Kein Betreff

Markus Winkler ml at irmawi.de
Di Dez 27 13:42:03 CET 2022


Hallo Stefan,

On 27.12.22 12:12, SHarbich at t-online.de wrote:
> Sever journalctl immer noch folgende Einträge eines Postfach das ich 
> gelöscht habe. Wie kann das sein? Kann ich ermitteln wer diese Anfrage stellt?

Du hast leider keinerlei Infos zu Deinem Server geschickt, daher kann man 
über weite Strecken nur spekulieren.

Bis zu diesem Punkt funktionierte das Login offenbar noch:

> Dez 25 18:10:03 dsme01 dovecot[9180]: imap-login: Login: 
> user=<voicemail at example.com>, method=PLAIN, rip=192.168.20.20, mpid=90031, 
> TLS, TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits), 
> session=<GCfzFqrw8O3AqBQU>

... aber ab hier dann nicht mehr:

> Dez 25 19:15:23 dsme01 dovecot[9180]: imap-login: Disconnected (auth 
> failed, 4 attempts in 20 secs): user=<voicemail at example.com>, method=PLAIN, 
> rip=192.168.20.20, TLS, TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 
> bits), session=<2UVf/6rwepHAqBQU>

Ist das zeitlich so weit korrekt eingeordnet?

Zweite Frage: Hast Du neben dem Username auch die 'rip' in Deinem Logauszug 
geändert oder ist die wirklich 192.168.20.20 (lokale, sprich RFC 
1918-Adresse)? Und ist es tatsächlich immer dieslber IP-Adresse? Von dort 
kommen halt diese Logins. Daher ist das ein wichtiger Punkt, um Deine Frazu 
nach dem "wer stellt diese Anfragen" zu beantworten.

Wenn das wirklich immer dieselbe IP-Adresse ist, von der aus diese Logins 
erfolgen, kannst Du diese ja zunächst mal sperren.

Viele Grüße
Markus


Mehr Informationen über die Mailingliste Dovecot