Re: Frage nach etwas tieferem Knoff-Hoff über SASL Atacken

Mi Mär 13 12:38:00 CET 2019

Denny Hanschke, 13.3.2019 12:00 +0100:

> Am 13.03.19 um 10:43 schrieb Carsten:
>> Moin zusammen.
>>
>> Mein Fail2Ban meldet mir immer mal wieder solche Versuche:
>> "...
>> Mar 12 12:33:03 derdapp004 postfix/smtpd[23102]: connect from
>> 16c13.w.time4vps.cloud[195.181.245.88]
>> Mar 12 12:33:03 derdapp004 postfix/smtpd[23102]: warning:
>> 16c13.w.time4vps.cloud[195.181.245.88]: SASL LOGIN authentication
>> failed: Invalid authentication mechanism
>> Mar 12 12:33:03 derdapp004 postfix/smtpd[23102]: disconnect from
>> 16c13.w.time4vps.cloud[195.181.245.88]
>> ..."
>>
>> Ich würde gerne den Mechanismus hinter dieser Art von Angriff verstehen,
>> da es sich wohl nicht um einen "normalen" Passwort Zugriff handelt.
>> Im Netz finde ich jedoch nichts dazu.
>> Kann mir mal jemand auf die Sprünge helfen?
>>
>> Gruss
>> Carsten
> 
> Das ist keine besondere Attacke sondern nur der Versuch den Mechanismus
> LOGIN zu benutzen, den du nicht erlaubt hast.

Genau.

> Mit LOGIN können sich lokale Benutzer unter Verwendung der /etc/shadow
> Datei am smtpd Anmelden um den Dienst in Anspruch zunehmen.

LOGIN ist ein SASL-Mechanismus, also im Prinzip eine
Verfahrensvorschrift, wie die Kommunikationspartner die
Authentifizierungsdaten übertragen.
Dass LOGIN (oder irgendein anderer SASL-Mechanismus) verwendet wird,
sagt nichts darüber aus, welche Art von Benutzerdatenbank (SQL, LDAP,
shadow, Cyrus sasldb...) auf dem Server benutzt wird.

-- 
Gruß
  mks