Re: Frage nach etwas tieferem Knoff-Hoff über SASL Atacken

Mi Mär 13 12:00:28 CET 2019

Am 13.03.19 um 10:43 schrieb Carsten:
> Moin zusammen.
> 
> Mein Fail2Ban meldet mir immer mal wieder solche Versuche:
> "...
> Mar 12 12:33:03 derdapp004 postfix/smtpd[23102]: connect from
> 16c13.w.time4vps.cloud[195.181.245.88]
> Mar 12 12:33:03 derdapp004 postfix/smtpd[23102]: warning:
> 16c13.w.time4vps.cloud[195.181.245.88]: SASL LOGIN authentication
> failed: Invalid authentication mechanism
> Mar 12 12:33:03 derdapp004 postfix/smtpd[23102]: disconnect from
> 16c13.w.time4vps.cloud[195.181.245.88]
> ..."
> 
> Ich würde gerne den Mechanismus hinter dieser Art von Angriff verstehen,
> da es sich wohl nicht um einen "normalen" Passwort Zugriff handelt.
> Im Netz finde ich jedoch nichts dazu.
> Kann mir mal jemand auf die Sprünge helfen?
> 
> Gruss
> Carsten

Das ist keine besondere Attacke sondern nur der Versuch den Mechanismus
LOGIN zu benutzen, den du nicht erlaubt hast.

Mit LOGIN können sich lokale Benutzer unter Verwendung der /etc/shadow
Datei am smtpd Anmelden um den Dienst in Anspruch zunehmen.

-- 
Denny Hanschke

         /"\
         \ /     ASCII RIBBON CAMPAIGN - AGAINST HTML MAIL
          X                            - AGAINST M$ ATTACHMENTS
         / \

   http://www.asciiribbon.org/

   /!\ I'll keep fightin' against M$ HTML-eMails...

---------------------------------------------------------