Denny Hanschke, 13.3.2019 12:00 +0100: > Am 13.03.19 um 10:43 schrieb Carsten: >> Moin zusammen. >> >> Mein Fail2Ban meldet mir immer mal wieder solche Versuche: >> "... >> Mar 12 12:33:03 derdapp004 postfix/smtpd[23102]: connect from >> 16c13.w.time4vps.cloud[195.181.245.88] >> Mar 12 12:33:03 derdapp004 postfix/smtpd[23102]: warning: >> 16c13.w.time4vps.cloud[195.181.245.88]: SASL LOGIN authentication >> failed: Invalid authentication mechanism >> Mar 12 12:33:03 derdapp004 postfix/smtpd[23102]: disconnect from >> 16c13.w.time4vps.cloud[195.181.245.88] >> ..." >> >> Ich würde gerne den Mechanismus hinter dieser Art von Angriff verstehen, >> da es sich wohl nicht um einen "normalen" Passwort Zugriff handelt. >> Im Netz finde ich jedoch nichts dazu. >> Kann mir mal jemand auf die Sprünge helfen? >> >> Gruss >> Carsten > > Das ist keine besondere Attacke sondern nur der Versuch den Mechanismus > LOGIN zu benutzen, den du nicht erlaubt hast.
Genau. > Mit LOGIN können sich lokale Benutzer unter Verwendung der /etc/shadow > Datei am smtpd Anmelden um den Dienst in Anspruch zunehmen. LOGIN ist ein SASL-Mechanismus, also im Prinzip eine Verfahrensvorschrift, wie die Kommunikationspartner die Authentifizierungsdaten übertragen. Dass LOGIN (oder irgendein anderer SASL-Mechanismus) verwendet wird, sagt nichts darüber aus, welche Art von Benutzerdatenbank (SQL, LDAP, shadow, Cyrus sasldb...) auf dem Server benutzt wird. -- Gruß mks
