[Dovecot-de] Login-Versuche
Patrick Ben Koetter
p at sys4.de
Do Aug 8 12:59:34 CEST 2013
* Helmut Lichtenberg <dovecot at listen.jpberlin.de>:
> Hallo,
> ich bekomme jetzt öfters mal einen Haufen von connect-Versuchen dieser Art:
>
> Aug 8 11:02:49 mail dovecot: pop3-login: Disconnected (tried to use disallowed plaintext auth):
> user=<>, rip=190.8.44.74, lip=192.108.34.20, session=<sAYm7Gvj7wC+CCxK>
> Aug 8 11:02:49 mail dovecot: pop3-login: Disconnected (tried to use disallowed plaintext auth):
> user=<>, rip=199.48.147.41, lip=192.108.34.20, session=<hVcc7GvjuwDHMJMp>
...
>
> Kann ich davon ausgehen, dass dies ein Angriff ist? Die vielen verschiedenen
> IP-Adressen, z.T in sehr kurzen Zeitabständen, sprechen m.E. dafür.
Es sind die klassischen Anzeichen dafür, ja.
> Wenn dies so ist, kann/sollte ich etwas dagegen tun?
> fail2ban ist installiert, spricht hierauf aber nicht an.
Warum nicht? Hast Du keine Regel dafür erstellt?
p at rick
--
[*] sys4 AG
http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
Mehr Informationen über die Mailingliste Dovecot