Conseguimos rastrear o nome de usuário usando o próprio Dovecot.
No /etc/dovecot/conf.d/10-logging.conf config, ativamos o registro de autenticação detalhado usando
auth_verbose = yes
Isso coloca as informações em
/etc/dovecot/info.log
Primeiro, deixe-me dizer que o servidor de e-mail está funcionando bem e os usuários podem se conectar e enviar e-mail.
Basicamente, existe um script da web local que se conecta ao servidor de e-mail tentando enviar e-mails a cada poucos minutos. Tem a senha errada. O problema é que não sabemos qual script está se conectando, então estamos procurando uma maneira de obter o nome de usuário que está sendo testado.
UGFzc3dvcmQ6 - decodifica para Senha: não é de muita ajuda. Uma linha de registro completa está abaixo.
Dec 11 20:15:37 HOST postfix/smtpd[642]: warning: HOST[x.x.x.x]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
O servidor está executando o Debian / Postfix / Dovecot.
Consegui evitar isso configurando o SSL e exigindo tentativas de autenticação por SSL somente com
smtpd_tls_auth_only = yes
Isso não apresenta a opção AUTH para o cliente remoto depois de EHLO e assim os spammers / hackers desistem porque estabelecer uma conexão SSL é muito tempo. Eles trabalham um jogo de números. Agora, ao invés disso, ele desliga quando tenta AUTH e eu recebo isso nos meus logs:
Jan 7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: warning: 91.200.12.140: hostname vps863.hidehost.net verification failed: No address associated with hostname
Jan 7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: connect from unknown[91.200.12.140]
Jan 7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: lost connection after AUTH from unknown[91.200.12.140]
Jan 7 22:14:27 ip-99-99-99-99 postfix/smtpd[22274]: disconnect from unknown[91.200.12.140]