Sicherheitsluecke, spam Moeglichkeit in postfix/dovecot ?
Christoph P.U. Kukulies
kuku at kukulies.org
Mi Okt 14 09:18:47 CEST 2015
Am 14.10.2015 um 09:17 schrieb Christoph P.U. Kukulies:
> Noch um diesen Thread zu benutzen: was bedeutet diese Anfrage (der
> gecryptete String nach dem PLAIN):
>
> Oct 13 16:57:08 mydomain postfix/smtpd[5531]: < unknown[180.93.0.252]:
> AUTH PLAIN a3VrdUBreWt1bGllcy5vcmcAaGHtbW9uZGIzAA==
> Oct 13 16:57:08 mydomain postfix/smtpd[5531]:
> xsasl_dovecot_server_first: sasl_method PLAIN, init_response
> a3VrdUBreWt1bGllcy5vcmcAaGHtbW9uZGIzAA==
>
>
> Dem folgt dann
>
> Oct 13 16:57:08 mydomain postfix/smtpd[5531]:
> xsasl_dovecot_server_first: sasl_method PLAIN, init_response
> a3VrdUBreWt1bGllcy5vcmcAaGHtbW9uZGIzAA==
> Oct 13 16:57:14 kukulies postfix/smtpd[5531]:
> xsasl_dovecot_handle_reply: auth reply: FAIL?3?user=xxxxxxxxx
>
>
> xxxxxxxxxx ist in dem Falle das (wie auch immer) gefischte Password,
> was hier aber als Username erscheint bzw. versucht wurde.
> Entspricht der gecryptete String etwa dem, was hinter user= steht?
>
> Das erschien in meinen Logs wahrscheinlich kurz, nachdem ich die Lücke
> geschlossen hatte.
>
> --
> Christoph
>
Jetzt habe ich doch vergessen, einen Cut&Paste zu anonymisieren :)
--
Christoph
Mehr Informationen über die Mailingliste Dovecot