Sicherheitsluecke, spam Moeglichkeit in postfix/dovecot ?
Christoph P.U. Kukulies
kuku at kukulies.org
Mi Okt 14 09:17:15 CEST 2015
Noch um diesen Thread zu benutzen: was bedeutet diese Anfrage (der
gecryptete String nach dem PLAIN):
Oct 13 16:57:08 mydomain postfix/smtpd[5531]: < unknown[180.93.0.252]:
AUTH PLAIN a3VrdUBreWt1bGllcy5vcmcAaGHtbW9uZGIzAA==
Oct 13 16:57:08 mydomain postfix/smtpd[5531]:
xsasl_dovecot_server_first: sasl_method PLAIN, init_response
a3VrdUBreWt1bGllcy5vcmcAaGHtbW9uZGIzAA==
Dem folgt dann
Oct 13 16:57:08 mydomain postfix/smtpd[5531]:
xsasl_dovecot_server_first: sasl_method PLAIN, init_response
a3VrdUBreWt1bGllcy5vcmcAaGHtbW9uZGIzAA==
Oct 13 16:57:14 kukulies postfix/smtpd[5531]:
xsasl_dovecot_handle_reply: auth reply: FAIL?3?user=xxxxxxxxx
xxxxxxxxxx ist in dem Falle das (wie auch immer) gefischte Password, was
hier aber als Username erscheint bzw. versucht wurde.
Entspricht der gecryptete String etwa dem, was hinter user= steht?
Das erschien in meinen Logs wahrscheinlich kurz, nachdem ich die Lücke
geschlossen hatte.
--
Christoph
Mehr Informationen über die Mailingliste Dovecot