Recientemente me di cuenta de que mi servidor informaba en mail.log muchas autenticaciones incorrectas para usuarios conocidos, y no es un ataque de fuerza bruta. Y realmente no sé la causa de tales autenticaciones. Tengo usuarios que utilizan la aplicación Gmail, Mail en IOS, la aplicación Mail en MacOSX, ThunderBird y Outlook, y también un servicio de correo web para acceder a este servidor. En este servidor tengo un certificado autofirmado y también trabajo como host de correo inteligente. Este sistema es un MacOSX 10.9.5.
De todas las plataformas, Outlook es la única que tiene un comportamiento extraño mientras está conectado a este servidor. Muestra constantemente una molesta ventana emergente de inicio de sesión con las credenciales del usuario, surgida de la nada, y esto sucede con todos mis usuarios de Outlook. Los usuarios pueden usar Outlook para enviar y recibir, y todo parece funcionar, excepto la ventana emergente de inicio de sesión.
Desde mi mail.log tengo este problema con SAL DIGEST-MD5, SASL PLAIN y SASL CRAM-MD5, por ejemplo, algunas muestras aleatorias:
Jan 19 11:43:43 remote.x.pt postfix/smtpd[53889]: error: validate response: authentication failed for user=lcg (method=DIGEST-MD5)
Jan 19 11:43:43 remote.x.pt postfix/smtpd[53889]: warning: unknown[192.168.1.72]: SASL DIGEST-MD5 authentication failed
Jan 18 17:10:46 remote.x.pt postfix/smtpd[5838]: error: verify password: authentication failed: [email protected]
Jan 18 17:10:46 remote.x.pt postfix/smtpd[5838]: warning: hq2.pacsis.pt[x]: SASL PLAIN authentication failed
Jan 16 15:13:06 remote.x.pt postfix/smtpd[17510]: error: validate response: authentication failed for user=teste3 (method=CRAM-MD5)
Jan 16 15:13:06 remote.x.pt postfix/smtpd[17510]: warning: remote.x.pt[192.168.1.1]: SASL CRAM-MD5 authentication failed
El primer intento fue desde Outlook, el segundo creo que provino del servicio web de correo y el tercero desde la aplicación Correo.
No puedo entender qué está causando esto, pero como tengo autenticación incorrecta de varios clientes de software diferentes, supongo que hay algo en mi postfix o en las configuraciones de dovecot.
Aquí puedes comprobar ambas configuraciones:
Sufijo:http://pastebin.com/EU1iLjAP
Palomar:http://pastebin.com/N9MfuvkD
Puertos utilizados:
587 INICIO SMTP
993 IMAPSSL
ACTUALIZACIÓN 1:
Esto es lo que está pasando, aquí puedes ver que después de una mala autenticación al principio, luego se autentica exitosamente:
Jan 19 14:33:05 remote.x.pt postfix/smtpd[62409]: error: validate response: authentication failed for user=lcg (method=DIGEST-MD5)
Jan 19 14:33:05 remote.x.pt postfix/smtpd[62409]: warning: unknown[192.168.1.72]: SASL DIGEST-MD5 authentication failed
Jan 19 14:33:05 remote.x.pt postfix/smtpd[62409]: verify password: AUTH PLAIN: authentication succeeded for user=lcg
ACTUALIZACIÓN2:
Parece que mi servidor no permite DIGEST-MD5 y CRAM-MD5 y luego cambia a PLAIN, para ciertos usuarios. En localhost puedo usar al menos CRAM-MD5 sin problema.
Respuesta1
El problema que está teniendo es un problema de Dovecot, no de postfix.
Para que pueda entender cómo funciona la autenticación Dovecote, lea esto:
debe comprender que si las contraseñas de su cliente se guardan en la base de datos en texto sin formato, puede usar cram-md5 y digest-md5 (auth_mechanisms = inicio de sesión simple cram-md5). resumen-md5). Pero si la contraseña de la base de datos está cifrada; digamos con uno de los esquemas de cifrado que se mencionan en los documentos de Dovecote aquí:
http://wiki2.dovecot.org/Authentication/PasswordSchemes, entonces no podrá usar cram-md5, a menos que la contraseña ya esté guardada en la base de datos con el hash cram-md5. Esto es confuso, para que lo entiendas mejor, digamos que tengo una cuenta de correo electrónico contigo, así que inicio sesión:
Cliente de correo electrónico ----->contraseña--->El servidor de correo electrónico verificará la base de datos y hay 3 escenarios en los que puede ver:
1er -Escenario: la contraseña en la base de datos se guarda en texto sin formato:
Servidor de correo electrónico--(auth_mechanisms = inicio de sesión simple cram-md5 digest-md5)-->Su esquema de contraseña (ninguno)---->Base de datos cram-md5(contraseña )/o/ digest-md5(contraseña)/o/contraseña simple: Por lo tanto, la contraseña de registro que va a coincidir con la contraseña guardada en texto sin formato de la base de datos.Segundo escenario, la contraseña en la base de datos se guarda con SHA512-CRYPT:
EmailServer-- auth_mechanisms(inicio de sesión simple)--→Email-server—verificar contraseña--->default_pass_scheme = SHA512-CRYPT ----SHA512-CRYPT(contraseña ) ---→base de datos (YA Contraseña SHA512-CRYPT) – Coincidencia de inicio de sesiónTercer escenario, la contraseña de la base de datos está cifrada con carm-md5:
Servidor de correo electrónico---->auth_mechanisms(iniciar sesión sin formato cram-md5)--→Servidor de correo electrónico---verificar contraseña---default_pass_scheme =cram-md5-- > cram-md5(contraseña)---->base de datos (la contraseña ya está guardada en la contraseña de cram-md5) – Coincidencia de inicio de sesión
Entonces, cifra o no la contraseña de la base de datos y usa SSL/TLS y crea auth_mechanisms="plain login" o:
si no desea usar SSL, crea auth_mechanisms=cram-md5 y almacena la contraseña en la base de datos como un cram-md5. md5 si desea utilizar DIGEST-MD5 y CRAM-MD5, su contraseña debe almacenarse en PLAIN_TEXT.
Entonces, usando solo CRAM-MD5, la contraseña en la base de datos puede ser CRAM-MD5 o texto sin formato o usando DIGEST-MD5 y CRAM-MD5: la contraseña en la base de datos debe almacenarse solo en texto sin formato.
En el siguiente enlace encontrará algunos scripts que le ayudarán a cifrar su contraseña en la base de datos: http://wiki2.dovecot.org/HowTo/ConvertPasswordSchemes
Si desea guardar la contraseña en la base de datos como DIGEST-MD5 debe leer esta página:http://wiki2.dovecot.org/Authentication/Mechanisms/DigestMD5
Además, como mencionaste en nuestro chat, los valores de auth_mechanisms utilizados en Dovecote se pueden usar en postfix como smtpd_pw_server_security_options=plain en main.cf