Kein Betreff
Markus Winkler
ml at irmawi.de
Di Dez 27 13:42:03 CET 2022
Hallo Stefan,
On 27.12.22 12:12, SHarbich at t-online.de wrote:
> Sever journalctl immer noch folgende Einträge eines Postfach das ich
> gelöscht habe. Wie kann das sein? Kann ich ermitteln wer diese Anfrage stellt?
Du hast leider keinerlei Infos zu Deinem Server geschickt, daher kann man
über weite Strecken nur spekulieren.
Bis zu diesem Punkt funktionierte das Login offenbar noch:
> Dez 25 18:10:03 dsme01 dovecot[9180]: imap-login: Login:
> user=<voicemail at example.com>, method=PLAIN, rip=192.168.20.20, mpid=90031,
> TLS, TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits),
> session=<GCfzFqrw8O3AqBQU>
... aber ab hier dann nicht mehr:
> Dez 25 19:15:23 dsme01 dovecot[9180]: imap-login: Disconnected (auth
> failed, 4 attempts in 20 secs): user=<voicemail at example.com>, method=PLAIN,
> rip=192.168.20.20, TLS, TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256
> bits), session=<2UVf/6rwepHAqBQU>
Ist das zeitlich so weit korrekt eingeordnet?
Zweite Frage: Hast Du neben dem Username auch die 'rip' in Deinem Logauszug
geändert oder ist die wirklich 192.168.20.20 (lokale, sprich RFC
1918-Adresse)? Und ist es tatsächlich immer dieslber IP-Adresse? Von dort
kommen halt diese Logins. Daher ist das ein wichtiger Punkt, um Deine Frazu
nach dem "wer stellt diese Anfragen" zu beantworten.
Wenn das wirklich immer dieselbe IP-Adresse ist, von der aus diese Logins
erfolgen, kannst Du diese ja zunächst mal sperren.
Viele Grüße
Markus
Mehr Informationen über die Mailingliste Dovecot