[Postfixbuch-users] login from local host - gehackt?

Alexander Dalloz ad+lists at uni-x.org
Fr Jun 6 17:14:49 CEST 2014 

Am 06.06.2014 16:27, schrieb jani kev:

Postmaster sollten wissen, dass man auf Mailinglisten kein TOFU postet.

> Danke für die Antwort! Aber nein - für diesen user kann ich das
> ausschließen.
>
> Folgende Systhematik fällt mir im Zusammenhang mit dem pop3 log auf:
>
> Wenn ein login Versuch mit FAILEd geloggt wird, ist die ip im Log IMMER
> 127.0.0.1
> Wenn ein Login Versuch klappt, wird die tatsächliche IP geloggt. Es scheint
> also so, als dass der sasl bei abgewiesenen Loginversuchen immer 127.0.0.1
> einträgt.

Mir scheint, Du bringst da ein paar Sachverhalte durcheinander.

In Deinem "pop3 log" Logfile landen die Zugriffe von POP3 + IMAP 
Clients. Für die erfolgreichen POP3 / IMAP Logins solltest Du natürlich 
die remote IP des jeweiligen Clients sehen. Für die Verbindungen des 
saslauthd, der bei Dir mit dem Backend rimap konfiguriert ist, kommt die 
Verbindung natürlich nur von localhost, wenn alles auf einem Server 
läuft. Diese saslauthd Verbindungsaufbauten zum Courier Server sind die 
SASL Anfragen, wenn einer Deiner User eine Mail verschicken will und 
sich dafür authentifiziert. Auch bei erfolgreichem SMTP AUTH eines 
Client siehst Du im Log des Courier localhost / 127.0.0.1 als den IMAP 
abfragenden Client.

> Damit bleibt für diesen Fall nur die besondere Häufigkeit (fortlaufed um
> die 10 pro Minute) so beunruhigend.
> Andere Bruteforces ("admin" ""root" "Joe" usw.) sind da weit weniger
> hartnäckig.
> Mich würde es dazu beruhigen, wenn ich die Tatsache, dass sasl alle
> "Failed" - Versuche immer mit 127.0.0.1 loggt, als "normal" abhaken könnte.

Normal ist wie oben beschrieben, dass die IMAP Logins des saslauthd 
lokal, also von 127.0.0.1 kommen. Nicht normal ist, wenn für einen 
bestimmten User ständig fehlgeschlagene Logins zu verzeichnen sind.

Wenn Du ein bruteforcing ausschließen kannst (solltest Du in den 
Logfiles erkennen können), dann ist es am wahrscheinlichsten, dass Dein 
User seinen Mailclient für den Mailversand nicht korrekt konfiguriert 
hat und er beim SMTP AUTH ein falsches Passwort überträgt. Und der 
Client hat vermutlich mindestens eine Mail im Postausgang und versucht 
ständig, diese loszuwerden.

> Gruß
> Janikev

Gruß

Alexander

Mehr Informationen über die Mailingliste Postfixbuch-users