Muitos logins com falha de autenticação para usuários "bons"

Navegue suas respostas
1

Eu notei recentemente que meu servidor estava reportando no mail.log muitas autenticações ruins para usuários conhecidos, e não é um ataque de força bruta. E eu realmente não sei a causa de tais autenticações. Eu tenho usuários usando, Gmail App, Mail no IOS, Mail no MacOSX, ThunderBird e Outlook, e também um serviço de webmail para acessar este servidor. Neste servidor eu tenho um certificado auto-assinado e também está trabalhando como um host inteligente de correio. Este sistema é um MacOSX 10.9.5.

De todas as plataformas, o Outlook é o único que tem um comportamento estranho enquanto está conectado a este servidor. Está constantemente mostrando um popup de login irritante com as credenciais do usuário, do nada, e isso acontece com todos os meus usuários do Outlook. Os usuários podem usar o Outlook para enviar e receber, e tudo parece funcionar, exceto o pop-up de login.

Do meu mail.log eu tenho esse problema com o SAL DIGEST-MD5, SASL PLAIN e SASL CRAM-MD5, por exemplo, algumas amostras aleatórias: 

Jan 19 11:43:43 remote.x.pt postfix/smtpd[53889]: error: validate response: authentication failed for user=lcg (method=DIGEST-MD5)
Jan 19 11:43:43 remote.x.pt postfix/smtpd[53889]: warning: unknown[192.168.1.72]: SASL DIGEST-MD5 authentication failed

Jan 18 17:10:46 remote.x.pt postfix/smtpd[5838]: error: verify password: authentication failed: [email protected]
Jan 18 17:10:46 remote.x.pt postfix/smtpd[5838]: warning: hq2.pacsis.pt[x]: SASL PLAIN authentication failed

Jan 16 15:13:06 remote.x.pt postfix/smtpd[17510]: error: validate response: authentication failed for user=teste3 (method=CRAM-MD5)
Jan 16 15:13:06 remote.x.pt postfix/smtpd[17510]: warning: remote.x.pt[192.168.1.1]: SASL CRAM-MD5 authentication failed

A primeira tentativa foi do Outlook, a segunda, acho que veio do serviço web de correio e a terceira do aplicativo Mail.

Eu não consigo descobrir o que está causando isso, mas desde que eu tenho más autorizações de vários clientes de software diferentes, eu assumo que há algo em minhas configurações de postfix ou dovecot.

Aqui você pode verificar as duas configurações:

Postfix: link

Dovecot: link

Portas sendo usadas:

  • 587 STARTLS SMTP

  • 993 SSL IMAP

UPDATE 1:

Isso é o que está acontecendo, aqui você pode ver que, depois de uma má autenticação no começo, a próxima é autenticar com sucesso: 

Jan 19 14:33:05 remote.x.pt postfix/smtpd[62409]: error: validate response: authentication failed for user=lcg (method=DIGEST-MD5)
Jan 19 14:33:05 remote.x.pt postfix/smtpd[62409]: warning: unknown[192.168.1.72]: SASL DIGEST-MD5 authentication failed
Jan 19 14:33:05 remote.x.pt postfix/smtpd[62409]: verify password: AUTH PLAIN: authentication succeeded for user=lcg

UPDATE2:

Parece que o meu servidor não permite DIGEST-MD5 e CRAM-MD5 e depois muda para PLAIN, para certos usuários. No localhost eu posso usar pelo menos CRAM-MD5 sem problema.

    
por SipriusPT 19.01.2017 / 13:57

1 resposta

1

O problema que você está tendo é um problema Dovecot não postfix.
 Então você pode entender como a Autenticação do Dovecote lê isto, por favor:

Você deve entender que, se as senhas do seu cliente forem salvas no Banco de Dados em texto simples, você poderá usar o comando cram-md5 e digest-md5 (auth_mechanisms = login simples cram-md5 digest-md5). Mas se a senha no banco de dados estiver criptografada; vamos dizer com um dos esquemas de criptografia menção sobre os documentos Dovecote aqui: link , então você não pode usar empinar -md5, a menos que a senha já esteja salva no banco de dados com o hash cram-md5. Isso é confuso, então você entende melhor, digamos que eu tenho uma conta de e-mail com você para que eu faça o login:
Email Client ----- > password --- > O servidor de e-mail verificará o banco de dados e há três cenários que eu posso ver:

  • 1st -Scenario the password in database is saved in Plain text:
    Email-server--(auth_mechanisms = plain login cram-md5 digest-md5)-->Your password Scheme(none)---->Database cram-md5(password)/or/ digest-md5(password)/or/plain password: So the logging password going to matches with database plain-text saved password.

  • 2nd-Scenario the password in the Database is saved with SHA512-CRYPT:
    EmailServer-- auth_mechanisms(plain login)--→Email-server—check password--->default_pass_scheme = SHA512-CRYPT ----SHA512-CRYPT(password) ---→database(ALREADY SHA512-CRYPT Password) – Log-in Match

  • 3rd-Scenario the Database password is encrypted with carm-md5:
    Email-server---->auth_mechanisms(plain login cram-md5)--→Email-server---check password---default_pass_scheme =cram-md5--> cram-md5(password)---->database(password already saved in cram-md5 password) – Log-in Match

Assim, você criptografa ou não a senha do banco de dados e usa SSL / TLS e faz auth_mechanisms="login simples" ou:
Se você não quiser usar o SSL, faça o auth_mechanisms = cram-md5 e armazene a senha no banco de dados como um cram-md5 Se você quiser usar DIGEST-MD5 e CRAM-MD5, sua senha deve ser armazenada em PLAIN_TEXT.
Portanto, usando apenas CRAM-MD5, a senha no banco de dados pode ser CRAM-MD5 ou texto simples ou usando DIGEST-MD5 e CRAM-MD5: a senha no banco de dados deve ser armazenada apenas em texto puro.

No próximo link, você encontrará alguns scripts para ajudá-lo a criptografar sua senha no banco de dados: link

Se você quiser salvar a senha no banco de dados como DIGEST-MD5, você deve ler esta página: link

Além disso, como você mencionou em nosso bate-papo, os valores de auth_mechanisms usados no Dovecote podem ser usados no postfix como smtpd_pw_server_security_options = plain em main.cf

    
por 20.01.2017 / 00:40

Tags

Se eu reiniciar o serviço xinetd, isso impactará as conexões FTP atualmente ativas? Acesso ao AWS S3 negado ao objeto real quando o simulador diz que o acesso é permitido