Sasl login authentication failed ugfzc3dvcmq6 что такое
Перейти к содержимому

Sasl login authentication failed ugfzc3dvcmq6 что такое

  • автор:

Sasl login authentication failed ugfzc3dvcmq6 что такое

Mon Sep 02, 2019 11:17 pm

I have a server with postfix installed and I have many messages saying: «sasl login authentication failed: ugfzc3dvcmq6».

My question is, how do I block automatic to port 25 containing «sasl login authentication failed: ugfzc3dvcmq6» and allow a maximum of 7 login failed?

Thank you very much in advance for the help.
regards

Posts: 27 Joined: Wed May 25, 2022 1:25 pm

Re: Block «SASL LOGIN authentication failed: UGFzc3dvcmQ6»

Mon Jan 23, 2023 4:44 pm

Still no response I see. I think this has to do with the very SASL encryption that renders the MT layer 7 filtering worthless (I presume).

BTW: did you know ‘UGFzc3dvcmQ6’ is ‘Password’ encoded in base64, same for ‘VXNlcm5hbWU6’ which is ‘Username’

Forum Guru
Posts: 12025 Joined: Tue Feb 25, 2014 12:49 pm Location: Italy Contact:

Re: Block «SASL LOGIN authentication failed: UGFzc3dvcmQ6»

Mon Jan 23, 2023 4:58 pm

All this is useless.
Posts: 27 Joined: Wed May 25, 2022 1:25 pm

Re: Block «SASL LOGIN authentication failed: UGFzc3dvcmQ6»

Mon Jan 23, 2023 6:18 pm

What he asked is a way to shoot down before knocking on the door.
But actually that expression is generated as reply to knocking on the (postfix or whatever) door.
An aggressive fail2ban after 1 retry with that user and pass in particular is the way to go.

And yes, all this is useless because they never stop and this is somehow harmless unless you have. no door or an open door, this is what they are after.
I agree to kick first then ask the rest 24h later, but they need to knock once.

Kind of Off-topic: what would be the impact of a rule with 5000 IPs LIST on a MT 4core ARM 64bit 1.(something) Ghz? Let’s say AX3 and a far off CCR2004.
That If someone still insist on having a ban list for this kind of stuff.

Dec 29, 2023: iRedMail-1.6.8 has been released.

  • Spider Email Archiver: Lightweight on-premises email archiving software, developed by iRedMail team. Supports Amazon S3 compatible storage and custom branding.
  • Join our Telegram group (@iredmail_chat) to get help from other iRedMail users.

SASL LOGIN authentication failed: UGFzc3dvcmQ6

iRedMail → iRedMail Support → SASL LOGIN authentication failed: UGFzc3dvcmQ6

Pages 1

You must login or register to post a reply

Posts: 4

1 Topic by laboratorio 2022-08-16 17:04:11

Topic: SASL LOGIN authentication failed: UGFzc3dvcmQ6

Hi,
We are getting a lot of annoying «warning: unknown[]: SASL LOGIN authentication failed: UGFzc3dvcmQ6» probably from spammers.

Is there an easy way to block this with fail2ban?

Spider Email Archiver: On-Premises, lightweight email archiving software developed by iRedMail team. Supports Amazon S3 compatible storage and custom branding.

2 Reply by ZhangHuangbin 2022-08-17 10:03:47

Re: SASL LOGIN authentication failed: UGFzc3dvcmQ6

Fail2ban is configured to ban such client with jail /etc/fail2ban/jail.d/postfix.local.

3 Reply by laboratorio 2022-08-17 17:00:19 (edited by laboratorio 2022-08-17 17:11:32)

Re: SASL LOGIN authentication failed: UGFzc3dvcmQ6

ZhangHuangbin wrote:

Fail2ban is configured to ban such client with jail /etc/fail2ban/jail.d/postfix.local.

I’m afraid something is not working as it should. It looks like this:

Status for the jail: postfix
|- Filter
| |- Currently failed: 30
| |- Total failed: 1315
| `- File list: /var/log/maillog
`- Actions
|- Currently banned: 0
|- Total banned: 0
`- Banned IP list:

[postfix]
backend = polling
journalmatch=
enabled = true
filter = postfix.iredmail
logpath = /var/log/maillog
action = iptables-multiport[name=postfix, port=»80,443,25,587,465,110,995,143,993,4190″, protocol=tcp]
banned_db[name=postfix, port=»80,443,25,587,465,110,995,143,993,4190″, protocol=tcp]
sendmail-whois[name=postfix, dest=root@example.com, sender=fail2ban@example.com]

4 Reply by Cthulhu 2022-08-18 01:33:24

Re: SASL LOGIN authentication failed: UGFzc3dvcmQ6

iptables was dropped some time ago, iredmail uses nftables instead (which is common for any debian higher than 9.0)

aswell, seems that you have an own implementation since banned_db needs an API token and sendmail-whois is not configured by default

Posts: 4

Pages 1

You must login or register to post a reply

iRedMail → iRedMail Support → SASL LOGIN authentication failed: UGFzc3dvcmQ6

Currently installed 2 official extensions . Copyright © 2003–2010 PunBB.

Generated in 0.007 seconds (63% PHP — 37% DB) with 9 queries

Abuse — SASL LOGIN authentication failed: UGFzc3dvcmQ6

X.X.X.X is our IP. I don’t see any abusiveness or something wrong here, I don’t get the postfix part we don’t have any postfix server here and this ip is our users internet IP not any server, people use outlook. I see the same problem with one of my server (word press installed) someone hacked into the server and added scripts to send spam emails. but I don’t know how to read this log and investigate or what should I ask from ISP for more info.

Report from fail2ban Reported-From: [email protected] Report-Type: login-attack User-Agent: vaniersel.net abuse report Report-ID: [email protected] Date: Thu, 26 Apr 2018 01:55:17 +0200 Source: X.X.X.X Source-Type: ipv4 Destination: 94.x.x.x Destination-Type: ipv4 Attachment: text/plain Schema-URL: http://www.x-arf.org/schema/abuse_login-attack_0.1.2.json Category: abuse Service: smtp Port: 25 

Помогите разобратся с чтением лога Postfix.

Есть такая история. Недавно меня хакнули. Каким то образом подобрали пароль к почтовому ящику на корпоративном сервере. Хотя стоит fal2ban на 5 попыток и в бан. Но как то смогли. Ящики правда старые, давно уволенных сотрудников. Я начал проверяль лог, благо активность обнаружили относительно быстро. Он 12 в 23 часа тест отправили, а рассылку начали через час, 13-го в 17 часов я ужу закрыл ящик. После этого я начал логи шустрить .

поясните мне что это значит?

 Dec 13 20:45:49 mail postfix/smtps/smtpd[33066]: warning: unknown[200.66.122.189]: SASL LOGIN authentication failed: UGFzc3dvcmQ6 

ВОт этот текст «UGFzc3dvcmQ6»

macik ★
13.12.17 22:04:20 MSK

targitaj ★★★★★
( 13.12.17 22:08:29 MSK )
Ответ на: комментарий от targitaj 13.12.17 22:08:29 MSK

И что, понятно что «не смогли». А вот текст UGFzc3dvcmQ6 Это что? Этот текст у многих IP одинаковый

macik ★
( 13.12.17 22:10:45 MSK ) автор топика
Последнее исправление: macik 13.12.17 22:11:13 MSK (всего исправлений: 1)

Ответ на: комментарий от macik 13.12.17 22:10:45 MSK
Twissel ★★★★★
( 13.12.17 22:20:15 MSK )
Ответ на: комментарий от Twissel 13.12.17 22:20:15 MSK

targitaj ★★★★★
( 13.12.17 22:24:18 MSK )
Ответ на: комментарий от Twissel 13.12.17 22:20:15 MSK

Очень интересно. Блин. Я аж припух. еще есть Username VXNlcm5hbWU6 .

Может кто подскажет правило для fai2ban log

warning: unknown[189.51.111.73]: SASL LOGIN authentication failed: 

правило думаю такое

^%(__prefix_line)warning: unknown\S+\[\]: SASL LOGIN authentication failed: 

macik ★
( 13.12.17 22:36:59 MSK ) автор топика
Ответ на: комментарий от macik 13.12.17 22:36:59 MSK

Нашел правильный вариант. Первый не подходит. fal2 ругается

warning: [-._\w]+[]: SASL PLAIN authentication failed: 

macik ★
( 13.12.17 22:46:21 MSK ) автор топика

А как можно посмотреть к какому email пытаются подобрать пароль??

macik ★
( 14.12.17 00:28:29 MSK ) автор топика
Ответ на: комментарий от macik 13.12.17 22:46:21 MSK

Нашел правильный вариант. Первый не подходит. fal2 ругается

На это правило fail2ban ругаться не будет. Но, и работать оно не будет.

Чтобы слепить правило iptables, файлтубану нужен IP заsранца:

В твоем варианте его нет.

Bootmen ☆☆☆
( 14.12.17 04:06:51 MSK )
Последнее исправление: Bootmen 14.12.17 04:10:10 MSK (всего исправлений: 1)

Ответ на: комментарий от Bootmen 14.12.17 04:06:51 MSK

Да, первый вариант не работает. Второй то что надо

warning: [-._\w]+[]: SASL PLAIN authentication failed: 

Работает как часы, пошел бан по полной. Они уроды ботнет используют. две попытки и смена IP! Уменьшил до двух попыток. И iptables начал пополнятся.

macik ★
( 14.12.17 10:45:46 MSK ) автор топика
Ответ на: комментарий от macik 14.12.17 10:45:46 MSK

Если сервер стоит в датацентре, а твой внешний айпи не прописан в исключениях, то через некоторе время ты обнаружишь в бане сам себя из-за того, что кто-нибудь из пользователей неправильно введет пароль. Но даже применительно к обычным внешним пользователям две попытки это мало.

У тебя есть две крайности, первая это open-relay, вторая это запретить файрволу принимать вообще любые соединения и тогда сервер в безопасности, но пользоваться им никто не может. Стремясь оградить сервер от ботнета, надо думать и о пользователях и держать баланс.

constin ★★★★
( 14.12.17 11:19:54 MSK )
Ответ на: комментарий от constin 14.12.17 11:19:54 MSK

Боты достали. У меня вообще круче:

action = route findtime = 21600 maxretry = 1 bantime = -1 logpath = /var/log/mail.log 

Мои узеры настраивают почтового клиента не чаще одного раза. Если клиент криворук, то я ему содействую по удаленке. И я всегда у них на связи. Зато сервер не долбят. Причем ВСЕ сети узеров вношу в игнор. Ясный перец в игнор не попадут польские или бразильские IP.

Bootmen ☆☆☆
( 14.12.17 12:02:24 MSK )
Последнее исправление: Bootmen 14.12.17 12:10:05 MSK (всего исправлений: 2)

Ответ на: комментарий от Bootmen 14.12.17 12:02:24 MSK

Хорошо, что ты не администратор gmail)) Но если клиентов устраивает, то почему бы и нет. Хотя ты в скором времени забанишь так все сетки датацентов и твой сервер начнет иногда не пропускать честные коннекты.

constin ★★★★
( 14.12.17 12:17:58 MSK )
Ответ на: комментарий от Bootmen 14.12.17 12:02:24 MSK

Ну у меня не вариант IP адреса ставить в исключения. Пользователи шастают по всему миру и их не отследить. Обычно у всех настроены клиенты моими специалистами, если кого и за банило то можно и позвонить.

macik ★
( 14.12.17 12:57:37 MSK ) автор топика
Последнее исправление: macik 14.12.17 12:58:05 MSK (всего исправлений: 1)

Ответ на: комментарий от macik 14.12.17 12:57:37 MSK

Нашел на просторах лучший вариант. А то я что то поспешил с хвалебной одой к моему варианту.

 (?i): warning: [-._\w]+\[\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed(: [A-Za-z0-9+/ ]*)?$ 

macik ★
( 14.12.17 13:17:07 MSK ) автор топика
Ответ на: комментарий от constin 14.12.17 12:17:58 MSK

Хотя ты в скором времени забанишь так все сетки

Раз в месяц я устраиваю «амнистию»: перезагружаю сервер и все баны слетают.

Bootmen ☆☆☆
( 14.12.17 17:41:28 MSK )
Последнее исправление: Bootmen 14.12.17 17:42:09 MSK (всего исправлений: 1)

Ответ на: комментарий от macik 14.12.17 10:45:46 MSK

кстати, насчет iptables. Переводи работу fail2ban на использование ipset.

targitaj ★★★★★
( 14.12.17 17:43:12 MSK )
Ответ на: комментарий от macik 14.12.17 13:17:07 MSK

Это всем очень интересно, держи в курсе. Хотя нет, лучше научись писать regex сам.

могу только догадываться какой скилл у этих специалистов.

constin ★★★★
( 14.12.17 18:37:43 MSK )
Последнее исправление: constin 14.12.17 18:38:57 MSK (всего исправлений: 1)

Ответ на: комментарий от targitaj 14.12.17 17:43:12 MSK

macik ★
( 15.12.17 00:57:38 MSK ) автор топика

iptables наполняется не хило .

49.88.192.121 189.51.112.166 49.88.194.155 95.213.184.193 187.120.109.173 94.136.143.136 177.44.26.172 177.87.222.182 186.249.20.117 93.126.5.134 46.34.180.73 151.234.195.101 117.92.165.15 179.108.247.105 37.239.78.195 46.37.124.36 177.128.159.20 14.20.155.96 138.122.48.73 177.55.146.232 190.122.134.208 37.236.132.21 103.193.203.67 49.88.152.145 5.149.94.153 177.221.107.140 190.196.228.120 114.235.249.121 180.124.40.8 212.79.179.28 46.37.121.120 49.88.155.69 177.129.247.86 46.33.101.14 110.234.68.131 84.41.123.25 177.129.247.23 49.88.153.35 177.66.229.24 114.237.65.71 187.120.104.66 212.79.176.73 186.216.115.14 186.190.169.167 62.233.65.113 177.66.228.97 190.228.41.137 37.236.73.199 62.233.65.112 186.235.37.47 179.189.188.242 189.126.236.159 177.72.14.132 45.7.180.111 5.8.240.58 62.233.65.111 185.221.152.121 138.118.154.198 200.24.71.160 177.55.149.168 64.158.31.142 187.66.43.34 190.122.134.193 212.69.15.98 13.74.145.66 177.107.105.209 62.233.65.25 177.125.30.35 179.189.188.30 177.130.163.18 190.122.128.42 80.250.7.219 62.233.65.110 146.185.239.194 146.185.239.194 61.145.213.14 168.232.85.66 78.141.94.44 180.124.41.79 186.216.114.65 84.241.24.139 187.111.154.156 37.236.236.73 186.220.224.114 170.254.44.127 187.17.231.176 170.246.239.145 49.82.192.182 170.246.238.18 170.254.46.11 189.90.100.207 122.4.254.54 186.190.169.46 187.39.46.92 177.55.148.117 195.78.45.80 114.237.154.41 37.239.207.169 91.232.21.8 186.235.42.236 196.192.172.93 177.75.146.169 200.59.195.54 200.23.231.238 187.67.100.72 200.114.64.6 187.37.61.101 187.111.49.28 186.220.27.242 85.25.246.85 85.25.246.83 85.25.246.69 85.25.243.93 85.25.243.92 85.25.243.123 85.25.226.216 85.25.226.204 84.38.129.5 80.86.87.181 80.211.242.10 78.46.40.157 78.46.40.155 77.120.120.231 76.126.128.47 62.76.43.42 62.76.184.64 62.75.236.206 62.75.236.205 62.75.236.204 62.233.65.23 62.233.65.22 62.233.65.109 62.233.65.108 59.124.113.93 58.61.140.186 5.9.60.29 5.9.60.19 5.9.35.139 5.9.28.196 5.9.19.99 5.9.19.123 49.88.155.49 49.88.152.32 49.82.192.99 49.81.156.191 49.68.107.130 47.88.15.216 45.79.74.51 45.79.220.36 45.79.162.36 89.111.110.101 45.79.103.161 46.37.108.3 27.47.232.83 37.238.217.96 23.254.204.176 37.236.155.233 213.239.196.113 200.66.122.51 213.109.75.103 195.78.44.163 190.196.226.154 200.242.218.2 190.183.212.59 200.117.239.89 190.122.134.217 193.27.81.12 189.54.67.31 193.194.133.13 189.122.15.187 192.168.22.48 187.23.247.119 186.193.18.10 187.22.57.168 185.26.147.23 187.120.130.114 185.127.25.74 187.111.154.196 180.124.45.29 186.216.153.21 180.124.236.135 185.70.221.1 180.123.168.20 179.219.21.79 177.54.147.12 179.218.76.31 176.9.112.60 179.189.189.21 176.9.112.42 179.125.0.218 176.9.112.221 177.91.119.208 176.9.112.198 177.87.220.253 176.9.103.91 177.72.173.201 176.9.103.48 177.72.172.253 175.10.166.40 177.72.171.22 175.10.165.35 177.66.225.182 174.142.192.45 177.55.155.209 144.217.206.86 177.35.124.191 144.217.206.112 177.195.38.243 144.217.160.111 177.142.24.210 14.20.153.140 177.130.163.218 121.233.45.197 170.254.44.16 117.92.203.191 170.246.239.227 115.42.181.45 168.197.6.143 114.235.250.47 168.197.6.119 114.234.82.86 168.197.219.167 113.117.137.204 103.84.61.63 103.71.239.61 103.75.166.90 103.10.52.83 

macik ★
( 15.12.17 01:25:11 MSK ) автор топика
Ответ на: комментарий от macik 15.12.17 00:57:38 MSK

потому что при количестве заблокированных адресов свыше пары тысяч твой fail2ban просто ляжет

targitaj ★★★★★
( 15.12.17 04:04:36 MSK )
Ответ на: комментарий от targitaj 15.12.17 04:04:36 MSK

Ок, посмотрим в этом направлений. PS вообще он не мой .

macik ★
( 15.12.17 14:49:59 MSK ) автор топика

Не факт что подобрали (если только пароль не простой), могло и от юзера утечь.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *