Dovecot "Imap-login: Info: Disconnected (auth failed, 1 attempts in 6 secs)"

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
Antworten
netlord
Beiträge: 24
Registriert: 23.12.2011 11:33:05

Dovecot "Imap-login: Info: Disconnected (auth failed, 1 attempts in 6 secs)"

Beitrag von netlord » 19.06.2019 17:51:42

Moin

ich habe immer wieder solche Einträge in meiner Log:
Jun 17 23:46:11 imap-login: Info: Disconnected (auth failed, 1 attempts in 6 secs): user=<user@domain.com>, method=PLAIN, rip=189.114.67.213, lip=1.1.1.1, TLS, session=<NAtX7IuLG5C9ckPV>
Laut geoiplookup ist das eine IP aus Brasilien.
Ich bin nicht in Brasilien und auch keiner der User die sich einloggen wollen. Also ein illegaler login-versuch.

Ist fehlgeschlagen also nicht schlimmes.
Aber

Meine Hosts.deny sieht so aus:

Code: Alles auswählen

 cat /etc/hosts.deny
# /etc/hosts.deny: list of hosts that are _not_ allowed to access the system.
#                  See the manual pages hosts_access(5) and hosts_options(5).
#
# Example:    ALL: some.host.name, .some.domain
#             ALL EXCEPT in.fingerd: other.host.name, .other.domain
#
# If you're going to protect the portmapper use the name "rpcbind" for the
# daemon name. See rpcbind(8) and rpc.mountd(8) for further information.
#
# The PARANOID wildcard matches any host whose name does not match its
# address.
#
# You may wish to enable this to ensure any programs that don't
# validate looked up hostnames still leave understandable logs. In past
# versions of Debian this has been the default.
# ALL: PARANOID

ALL: 1.
ALL: 14.
ALL: 45.
ALL: 189.
Damit müssten die IPs aus dem Bereich 189.* geblockt werden.
Wie kann das sein dass ich eine abgewiesene IP bis zum Dovecot durchkommt?

Was hab ich falsch gemacht?

Danke schon mal
danke und gruß

netlord
Nach oben
Benutzeravatar
novalix
Beiträge: 1909
Registriert: 05.10.2005 12:32:57
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: elberfeld

Re: Dovecot "Imap-login: Info: Disconnected (auth failed, 1 attempts in 6 secs)"

Beitrag von novalix » 20.06.2019 11:58:50

Moin,

sehr wahrscheinlich läuft Dein dovecot "standalone".
Damit die TCP-Wrapper-Konfiguration greift, müsste dovecot von einem Superdaemon wie inetd oder xinetd gestartet werden.

Was gegen solch ein Setup und Deiner angedachten Konfiguration spricht:

- Höherer Ressourcenbedarf
- Letztlich höherer Konfigurationsbedarf mit entsprechender Fehleranfälligkeit
- Sperren ganzer IP-Netzbereiche kann zu unerwünschten Effekten führen

Alternativ kannst Du die kernelbasierten Netzfilter einsetzen (iptables, nftables) und die Sperren dynamisieren (fail2ban).
Das Wem, Wieviel, Wann, Wozu und Wie zu bestimmen ist aber nicht jedermannns Sache und ist nicht leicht.
Darum ist das Richtige selten, lobenswert und schön.
Nach oben
netlord
Beiträge: 24
Registriert: 23.12.2011 11:33:05

Re: Dovecot "Imap-login: Info: Disconnected (auth failed, 1 attempts in 6 secs)"

Beitrag von netlord » 21.06.2019 09:05:26

novalix hat geschrieben: ↑ zum Beitrag ↑
20.06.2019 11:58:50
 sehr wahrscheinlich läuft Dein dovecot "standalone".
Richtig. Kein InetD, usw
Das würde heissen dass ein TCP Paket auf Port 25 zuerst beim dovecot-daemon ankommt bevor die hosts.deny angezogen wird.

(Jetzt gehts ums Verständnis) Kann ich das Steuern?
novalix hat geschrieben: ↑ zum Beitrag ↑
20.06.2019 11:58:50
 Alternativ kannst Du die kernelbasierten Netzfilter einsetzen (iptables, nftables) und die Sperren dynamisieren (fail2ban).
nftables ist kernelbasiert und greift daher vorher schon.
Macht sinn und ich werde das so machen.

Danke
danke und gruß

netlord
Nach oben
Antworten

Zurück zu „Web- und Mailserver“