Hallo,
ich habe auf FreeBSD 4.10 mit sendmail SASL installiert.
Nach dem Starten des Dämons habe ich viermal den gleichen Prozess zu laufen:
root 38560 0.0 0.1 1100 716 ?? I Thu08PM 0:00.02 /usr/local/sbin/saslauthd -a pam
root 38559 0.0 0.1 1100 716 ?? I Thu08PM 0:00.02 /usr/local/sbin/saslauthd -a pam
root 38558 0.0 0.1 1100 716 ?? I Thu08PM 0:00.02 /usr/local/sbin/saslauthd -a pam
root 38557 0.0 0.1 1100 716 ?? I Thu08PM 0:00.02 /usr/local/sbin/saslauthd -a pam
root 38556 0.0 0.1 1100 716 ?? Is Thu08PM 0:00.02 /usr/local/sbin/saslauthd -a pam
Ist das korrekt so? (Falls ja, weshalb?)
2. hab ich im message logfile ab und zu folgenden Eintrag:
saslauthd[38559]: do_request : NULL password received
Nach einigem Lesen ist mir soweit klar, dass dies mit unerlaubtem Zugriff von aussen zu tun hat. Die dazu gehörigen Einträge in der maillog sind (1 Beispiel):
sm-mta[40492]: NOQUEUE: connect from [222.183.140.233]
sm-mta[40492]: AUTH: available mech=NTLM LOGIN ANONYMOUS PLAIN OTP DIGEST-MD5 CRAM-MD5, allowed mech=PLAIN LOGIN
sm-mta[40492]: j2GLmVEm040492: Milter: no active filter
sm-mta[40492]: j2GLmVEm040492: AUTH failure (LOGIN): authentication failure (-13) SASL(-13): authentication failure: checkpass failed
sm-mta[40492]: j2GLmVEm040492: AUTH failure (LOGIN): authentication failure (-13) SASL(-13): authentication failure: checkpass failed
sm-mta[40492]: j2GLmVEm040492: AUTH failure (LOGIN): authentication failure (-13) SASL(-13): authentication failure: checkpass failed
sm-mta[40492]: j2GLmVEm040492: AUTH failure (LOGIN): authentication failure (-13) SASL(-13): authentication failure: checkpass failed
sm-mta[40492]: j2GLmVEm040492: AUTH failure (LOGIN): authentication failure (-13) SASL(-13): authentication failure: checkpass failed
sm-mta[40492]: j2GLmVEm040492: AUTH failure (LOGIN): authentication failure (-13) SASL(-13): authentication failure: checkpass failed
sm-mta[40492]: j2GLmVEm040492: AUTH failure (LOGIN): authentication failure (-13) SASL(-13): authentication failure: checkpass failed
sm-mta[40492]: j2GLmVEm040492: [222.183.140.233]: possible SMTP attack: command=AUTH, count=8
sm-mta[40492]: j2GLmVEm040492: AUTH failure (LOGIN): authentication failure (-13) SASL(-13): authentication failure: checkpass failed
sm-mta[40492]: j2GLmVEm040492: AUTH failure (LOGIN): authentication failure (-13) SASL(-13): authentication failure: checkpass failed
sm-mta[40492]: j2GLmVEm040492: AUTH failure (LOGIN): authentication failure (-13) SASL(-13): authentication failure: checkpass failed
sm-mta[40492]: j2GLmVEm040492: AUTH failure (LOGIN): authentication failure (-13) SASL(-13): authentication failure: checkpass failed
sm-mta[40492]: j2GLmVEm040492: [222.183.140.233] did not issue MAIL/EXPN/VRFY/ETRN during connection to IPv4
Soweit so gut, es scheint also, dass der "Abwehrmechanismus" ordentlich funktioniert, oder liege ich da falsch?
Trotzdem würde ich die Einträge gern noch besser verstehen, vor allem:
- "NOQUEUE"
- "possible SMTP attack" (ich dachte, es handelt sich nur um den Versuch unerlaubt Emails über den Server zu schicken, weshalb dann "attack"?)
und
- "did not issue MAIL/EXPN/VRFY/ETRN during connection to IPv4"
Der Rest erklärt sich ja von selbst.
Ist alles ziemliches Neuland für mich und für Erläuterungen wäre ich daher dankbar. Ebenso für Verbesserungsvorschläge, falls aus den Einträgen hervorgehen sollte, dass doch was nicht sicher ist.
Danke, LI.
ich habe auf FreeBSD 4.10 mit sendmail SASL installiert.
Nach dem Starten des Dämons habe ich viermal den gleichen Prozess zu laufen:
root 38560 0.0 0.1 1100 716 ?? I Thu08PM 0:00.02 /usr/local/sbin/saslauthd -a pam
root 38559 0.0 0.1 1100 716 ?? I Thu08PM 0:00.02 /usr/local/sbin/saslauthd -a pam
root 38558 0.0 0.1 1100 716 ?? I Thu08PM 0:00.02 /usr/local/sbin/saslauthd -a pam
root 38557 0.0 0.1 1100 716 ?? I Thu08PM 0:00.02 /usr/local/sbin/saslauthd -a pam
root 38556 0.0 0.1 1100 716 ?? Is Thu08PM 0:00.02 /usr/local/sbin/saslauthd -a pam
Ist das korrekt so? (Falls ja, weshalb?)
2. hab ich im message logfile ab und zu folgenden Eintrag:
saslauthd[38559]: do_request : NULL password received
Nach einigem Lesen ist mir soweit klar, dass dies mit unerlaubtem Zugriff von aussen zu tun hat. Die dazu gehörigen Einträge in der maillog sind (1 Beispiel):
sm-mta[40492]: NOQUEUE: connect from [222.183.140.233]
sm-mta[40492]: AUTH: available mech=NTLM LOGIN ANONYMOUS PLAIN OTP DIGEST-MD5 CRAM-MD5, allowed mech=PLAIN LOGIN
sm-mta[40492]: j2GLmVEm040492: Milter: no active filter
sm-mta[40492]: j2GLmVEm040492: AUTH failure (LOGIN): authentication failure (-13) SASL(-13): authentication failure: checkpass failed
sm-mta[40492]: j2GLmVEm040492: AUTH failure (LOGIN): authentication failure (-13) SASL(-13): authentication failure: checkpass failed
sm-mta[40492]: j2GLmVEm040492: AUTH failure (LOGIN): authentication failure (-13) SASL(-13): authentication failure: checkpass failed
sm-mta[40492]: j2GLmVEm040492: AUTH failure (LOGIN): authentication failure (-13) SASL(-13): authentication failure: checkpass failed
sm-mta[40492]: j2GLmVEm040492: AUTH failure (LOGIN): authentication failure (-13) SASL(-13): authentication failure: checkpass failed
sm-mta[40492]: j2GLmVEm040492: AUTH failure (LOGIN): authentication failure (-13) SASL(-13): authentication failure: checkpass failed
sm-mta[40492]: j2GLmVEm040492: AUTH failure (LOGIN): authentication failure (-13) SASL(-13): authentication failure: checkpass failed
sm-mta[40492]: j2GLmVEm040492: [222.183.140.233]: possible SMTP attack: command=AUTH, count=8
sm-mta[40492]: j2GLmVEm040492: AUTH failure (LOGIN): authentication failure (-13) SASL(-13): authentication failure: checkpass failed
sm-mta[40492]: j2GLmVEm040492: AUTH failure (LOGIN): authentication failure (-13) SASL(-13): authentication failure: checkpass failed
sm-mta[40492]: j2GLmVEm040492: AUTH failure (LOGIN): authentication failure (-13) SASL(-13): authentication failure: checkpass failed
sm-mta[40492]: j2GLmVEm040492: AUTH failure (LOGIN): authentication failure (-13) SASL(-13): authentication failure: checkpass failed
sm-mta[40492]: j2GLmVEm040492: [222.183.140.233] did not issue MAIL/EXPN/VRFY/ETRN during connection to IPv4
Soweit so gut, es scheint also, dass der "Abwehrmechanismus" ordentlich funktioniert, oder liege ich da falsch?
Trotzdem würde ich die Einträge gern noch besser verstehen, vor allem:
- "NOQUEUE"
- "possible SMTP attack" (ich dachte, es handelt sich nur um den Versuch unerlaubt Emails über den Server zu schicken, weshalb dann "attack"?)
und
- "did not issue MAIL/EXPN/VRFY/ETRN during connection to IPv4"
Der Rest erklärt sich ja von selbst.
Ist alles ziemliches Neuland für mich und für Erläuterungen wäre ich daher dankbar. Ebenso für Verbesserungsvorschläge, falls aus den Einträgen hervorgehen sollte, dass doch was nicht sicher ist.
Danke, LI.
Last edited: