smtp hackam tentativas e nenhum IP em logs

Question

smtp hackam tentativas e nenhum IP em logs

#1 resposta do (0 votos)

0

o servidor recebe ataques smtp login, mas o firewall não pode bani-los porque não há IP nos logs ... assim em var / log / messages :

Mar 13 16:00:05 sunucu saslauthd[1484]: do_auth         : auth failure: [user=admin] [service=smtp] [realm=] [mech=pam] [reason=PAM auth error]
Mar 13 16:00:07 sunucu saslauthd[1483]: do_auth         : auth failure: [user=admin] [service=smtp] [realm=] [mech=pam] [reason=PAM auth error]
Mar 13 16:00:09 sunucu saslauthd[1485]: do_auth         : auth failure: [user=admin] [service=smtp] [realm=] [mech=pam] [reason=PAM auth error]
Mar 13 16:00:11 sunucu saslauthd[1482]: do_auth         : auth failure: [user=admin] [service=smtp] [realm=] [mech=pam] [reason=PAM auth error]
Mar 13 16:00:12 sunucu saslauthd[1484]: do_auth         : auth failure: [user=admin] [service=smtp] [realm=] [mech=pam] [reason=PAM auth error]
Mar 13 16:00:15 sunucu saslauthd[1482]: do_auth         : auth failure: [user=admin] [service=smtp] [realm=] [mech=pam] [reason=PAM auth error]
...
...

Versões de software:

Operating system    CentOS Linux 7.4.1708
Perl version    5.016003
Path to Perl    /usr/bin/perl
BIND version    9.9
Postfix version 2.10.1
Mail injection command  /usr/lib/sendmail -t
Apache version  2.4.6
PHP versions    5.4.16, 7.0.10, 7.1.8
Logrotate version   3.8.6
MySQL version   10.1.31-MariaDB

Dovecot IMAP/POP3 Server Version 2.2.10.

Alguma ideia para corrigir isso?

dovecot centos

por Ünsal Korkmaz 15.03.2018 / 20:01

1 resposta

Tags dovecot centos

X11 sobre ssh no Ubuntu cria ícones no banco dos réus Por que meu aplicativo fecha quando clico nele na Fluxbox Iconbar (?)?

score 0 · Answer 1

Os serviços SMTP simples, por si só, não fornecem autenticação. SMTP autenticado é um eufemismo, como normalmente você tem que fazer login anteriormente via IMAP ou POP, para poder usar o serviço SMTP.

Normalmente, o IMAP, e com mais frequência as portas POP3 abertas para a Internet em geral, são forçadas a brutar como uma forma fácil de encontrar um login / senha fraco.

No entanto, nas configurações padrão postfix + dovecot, normalmente saslauthd é, para fins de autenticação, chamado por dovecot , que fornece os serviços IMAP / POP3.

Assim, você precisa examinar dovecot logs para entender o que está acontecendo e ver os endereços IP ofensivos.

Eu acho que os dovecot logs estão em /var/log/dovecot.log ou algo similar (eu não usei o centOS por um tempo).

Se a criação de log não for suficiente para você, você pode alterar dovecot configurações temporariamente como:

Edite /etc/dovecot/conf.d/10-logging.conf ou /etc/dovecot/dovecot.conf com:

auth_verbose=yes
auth_debug=yes
verbose_ssl=yes

e, em seguida, service dovecote restart

Também como um conselho, pode ser mais sensato fornecer esses serviços por TLS (pop3s 995 / tcp e imaps 993 / tcp), e não de forma simples. Será mais seguro e você terá muito menos ataques.

PS. Por favor, me confirme o nome dos arquivos de configuração e arquivos de log que você tem, para editar esta resposta.