Einträge in mail.log

[ludwigklr]

Hallo, gibt es eine Erklärung für die log Einträge von postfix in mail.log ?

Ich suche z.B. nach

ehlo=2 , starttls=1 , auth=1, mail=1, rcpt=31, nrcpt=1 und sasl_username=xxxx@yyy

wurde der sasl_username so benutzt?

 

[GwenDragon]

Ob der Username per SASL so benutzt wurde, schau mal nach mit
egrep -i 'sasl|smtpd|auth' /var/log/mail.log | grep 'username=xxxx@yyy'

 

[ludwigklr]

Ob der Username per SASL so benutzt wurde, schau mal nach mit
egrep -i 'sasl|smtpd|auth' /var/log/mail.log | grep 'username=xxxx@yyy'

Hallo, ja dort finde ich Einträge z.B. :

Feb 26 11:20:25 test postfix/submission/smtpd[1274547]: 0BC03208F9: client=unknown[103.213.193.49], sasl_method=LOGIN, [email protected]

nur merkwürdig ist [email protected] gibt es auf dem System nicht. Das System
heißt test.owl.de und in der sasldb2 gibt es keinen Eintrag für [email protected]
Die Einträge dort sind alle für die Domain [email protected]. In /var/log/auth.log taucht
auch nichts davon auf.

 

[GwenDragon]

Der Username hat aber ein Login bei deinem Postfix bekommen.
Ein fehlgeschlagener Login sähe so aus
Feb 27 12:53:12 s2 postfix/smtpd[2642840]: warning: unknown[195.211.191.25]: SASL LOGIN authentication failed: authentication failure, sasl_username=master

 

[ludwigklr]

Der Username hat aber ein Login bei deinem Postfix bekommen.
Ein fehlgeschlagener Login sähe so aus
Feb 27 12:53:12 s2 postfix/smtpd[2642840]: warning: unknown[195.211.191.25]: SASL LOGIN authentication failed: authentication failure, sasl_username=master

Ja und nicht nur einen es waren über 2000 bis ich die IP Adresse gesperrt habe und ich weiß nicht
wie das passiert ist. Es wurden 50 Mails mit einer Anmeldung abgeladen und als Spam verteilt.

 

[Thorsten]

Kennwort kompromittiert würde ich sagen.

 

[GwenDragon]

Nachdem 103.213.193.49 ist eine indische IP ist, denke ich, dass das Login für [email protected] geknackt oder das Passwort per Keylogger o.ä. vom PC/Smartphone gestohlen wurde.

 

[ludwigklr]

Kennwort kompromittiert würde ich sagen.

Hallo,

vermute ich auch. Bloß wie wenn es den Account [email protected] auf dem System überhaupt nicht gibt

 

[ludwigklr]

Hallo,

vermute ich auch. Bloß wie wenn es den Account [email protected] auf dem System überhaupt nicht gibt

Hallo,

ich habe etwas gefunden. In der /etc/defaul/saslauthd stand unter MECHANISMS="pam sasldb" drin.
Meine Vermutung der Zugriff passierte über pam denn den user ludwig gab es auf test.owl.de und mit einem
passwort konnte sich der Angreifer anmelden und seinen Schrott abladen.

Jetzt habe ich den user totgelegt und nur noch über sasldb kann eine Authentifizierung erfolgen

 

[Joe User]

Der Username hat aber ein Login bei deinem Postfix bekommen.

Nö, hat er nicht ;-)
Es wurde lediglich die LOGIN-Methode verwendet, mehr (also ob erfolgreich oder nicht) steht in der zitierten Logzeile nicht.

grep -i "1274547" /var/log/mail.log

 

[Joe User]

ehlo=2 , starttls=1 , auth=1, mail=1, rcpt=31, nrcpt=1

Das sind lediglich statistische Debug-Zahlen, nichts was in irgendeiner Weise beunruhigend wäre.

sasl_username=xxxx@yyy

Es wurde der angegebene Username beim Loginversuch genutzt.