Sicherheitsluecke, spam Moeglichkeit in postfix/dovecot ?

Christoph P.U. Kukulies kuku at kukulies.org
Mi Okt 14 09:18:47 CEST 2015


Am 14.10.2015 um 09:17 schrieb Christoph P.U. Kukulies:
> Noch um diesen Thread zu benutzen: was bedeutet diese Anfrage (der 
> gecryptete String nach dem PLAIN):
>
> Oct 13 16:57:08 mydomain postfix/smtpd[5531]: < unknown[180.93.0.252]: 
> AUTH PLAIN a3VrdUBreWt1bGllcy5vcmcAaGHtbW9uZGIzAA==
> Oct 13 16:57:08 mydomain postfix/smtpd[5531]: 
> xsasl_dovecot_server_first: sasl_method PLAIN, init_response 
> a3VrdUBreWt1bGllcy5vcmcAaGHtbW9uZGIzAA==
>
>
> Dem folgt dann
>
> Oct 13 16:57:08 mydomain postfix/smtpd[5531]: 
> xsasl_dovecot_server_first: sasl_method PLAIN, init_response 
> a3VrdUBreWt1bGllcy5vcmcAaGHtbW9uZGIzAA==
> Oct 13 16:57:14 kukulies postfix/smtpd[5531]: 
> xsasl_dovecot_handle_reply: auth reply: FAIL?3?user=xxxxxxxxx
>
>
> xxxxxxxxxx ist in dem Falle das (wie auch immer) gefischte Password, 
> was hier aber als Username erscheint bzw. versucht wurde.
> Entspricht der gecryptete String etwa dem, was hinter user= steht?
>
> Das erschien in meinen Logs wahrscheinlich kurz, nachdem ich die Lücke 
> geschlossen hatte.
>
> -- 
> Christoph
>

Jetzt habe ich doch vergessen, einen Cut&Paste zu anonymisieren :)

--
Christoph


Mehr Informationen über die Mailingliste Dovecot