Ich betreibe seit einiger Zeit einen privaten Mailserver, der auf Postfix/Dovecot basiert. Mir sind einige Logmeldungen von Postfix aufgefallen, die mich ein wenig alarmiert haben, und ich hoffe, jemand kann mir diese Meldungen erklären.
Feb 15 08:09:28 myhostname postfix/submission/smtpd[360942]: connect from fixed-187-190-157-212.totalplay.net[187.190.157.212]
Feb 15 08:09:44 myhostname postfix/submission/smtpd[360942]: warning: fixed-187-190-157-212.totalplay.net[187.190.157.212]: SASL PLAIN authentication failed: Connection lost to authentication server
Feb 15 08:09:45 myhostname postfix/submission/smtpd[360942]: disconnect from fixed-187-190-157-212.totalplay.net[187.190.157.212] ehlo=2 starttls=1 auth=0/1 quit=1 unknown=0/1 commands=4/6
Feb 15 08:09:49 myhostname dovecot[136388]: auth-worker(360945): sql(username,187.190.157.212): unknown user
Warum wird mir die Warnung „Verbindung zum Authentifizierungsserver unterbrochen“ angezeigt? Dies ist eine lokale Konfiguration, was bedeutet, dass die Authentifizierung über den Unix-Socket erfolgt private/auth, der dem Dovecot-Authentifizierungs-Worker gehört. Die UserDB dahinter ist eine lokale SQLite-Datenbank (da mein Server klein ist).
localhostDas bedeutet, dass es keine externe Kommunikation zur Authentifizierung gibt – und das ist der Grund, warum ich dachte, dass ich eine solche Warnung nie sehen sollte. Ist der Auth-Worker-Prozess abgestürzt? (Das bezweifle ich, in den Protokollen vor und nach dieser Meldung ist dieselbe PID für Dovecot Auth-Worker enthalten.)
Hat es der Fremde (wahrscheinlich ein Botnet, das versucht, Spam zu versenden) geschafft, einen fremden Authentifizierungsserver in meine Konfiguration einzuschleusen? (Das sollte doch unmöglich sein, oder?)
Sollte ich besorgt sein?