AW: Frage nach etwas tieferem Knoff-Hoff über SASL Atacken

Uwe Drießen driessen at fblan.de
Mi Mär 13 14:31:45 CET 2019


Im Auftrag von Carsten
> Moin zusammen.
> 
> Mein Fail2Ban meldet mir immer mal wieder solche Versuche:
> "...
> Mar 12 12:33:03 derdapp004 postfix/smtpd[23102]: connect from
> 16c13.w.time4vps.cloud[195.181.245.88]
> Mar 12 12:33:03 derdapp004 postfix/smtpd[23102]: warning:
> 16c13.w.time4vps.cloud[195.181.245.88]: SASL LOGIN authentication
> failed: Invalid authentication mechanism
> Mar 12 12:33:03 derdapp004 postfix/smtpd[23102]: disconnect from
> 16c13.w.time4vps.cloud[195.181.245.88]
> ..."
> 
> Ich würde gerne den Mechanismus hinter dieser Art von Angriff verstehen,
> da es sich wohl nicht um einen "normalen" Passwort Zugriff handelt.
> Im Netz finde ich jedoch nichts dazu.
> Kann mir mal jemand auf die Sprünge helfen?
> 
Ich schau ab und an immer mal wieder nach welche Netze / IP sich an Passworthacking versuchen 

[z]grep "Password mismatch" dovecot.log[.*.gz] |cut -d"," -f2|cut -d")" -f1 |sort|uniq -c |sort |less

Da kommt manchmal recht erstaunliches raus :-) 


Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server. 
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045 




Mehr Informationen über die Mailingliste postfix-users