Recentemente notei que meu servidor estava relatando em mail.log muitas autenticações incorretas para usuários conhecidos, e não é um ataque de força bruta. E eu realmente não sei a causa de tais autenticações. Tenho usuários usando Gmail App, Mail no IOS, Mail app no MacOSX, ThunderBird e Outlooks, e também um serviço de webmail para acessar este servidor. Neste servidor eu tenho um certificado autoassinado e também estou trabalhando como host inteligente de e-mail. Este sistema é um MacOSX 10.9.5.
De todas as plataformas, o Outlook é o único que apresenta um comportamento estranho enquanto está conectado a este servidor. Está constantemente mostrando um pop-up de login irritante com as credenciais do usuário, do nada, e isso acontece com todos os meus usuários do Outlook. Os usuários podem usar o Outlook para enviar e receber, e tudo parece funcionar, exceto o pop-up de login.
No meu mail.log, tenho esse problema com SAL DIGEST-MD5, SASL PLAIN e SASL CRAM-MD5, por exemplo, algumas amostras aleatórias:
Jan 19 11:43:43 remote.x.pt postfix/smtpd[53889]: error: validate response: authentication failed for user=lcg (method=DIGEST-MD5)
Jan 19 11:43:43 remote.x.pt postfix/smtpd[53889]: warning: unknown[192.168.1.72]: SASL DIGEST-MD5 authentication failed
Jan 18 17:10:46 remote.x.pt postfix/smtpd[5838]: error: verify password: authentication failed: [email protected]
Jan 18 17:10:46 remote.x.pt postfix/smtpd[5838]: warning: hq2.pacsis.pt[x]: SASL PLAIN authentication failed
Jan 16 15:13:06 remote.x.pt postfix/smtpd[17510]: error: validate response: authentication failed for user=teste3 (method=CRAM-MD5)
Jan 16 15:13:06 remote.x.pt postfix/smtpd[17510]: warning: remote.x.pt[192.168.1.1]: SASL CRAM-MD5 authentication failed
A primeira tentativa foi do Outlook, a segunda acho que veio do webservice de e-mail e a terceira do aplicativo Mail.
Não consigo descobrir o que está causando isso, mas como tenho autenticação incorreta de vários clientes de software diferentes, presumo que haja algo em meu postfix ou nas configurações do dovecot.
Aqui você pode verificar ambas as configurações:
Pós-fixo:http://pastebin.com/EU1iLjAP
Pombal:http://pastebin.com/N9MfuvkD
Portas sendo usadas:
587 INICIALIZAÇÕES SMTP
993 IMAPSSL
ATUALIZAÇÃO 1:
Isto é o que está acontecendo, aqui você pode ver que depois de uma autenticação incorreta no início, em seguida ele é autenticado com sucesso:
Jan 19 14:33:05 remote.x.pt postfix/smtpd[62409]: error: validate response: authentication failed for user=lcg (method=DIGEST-MD5)
Jan 19 14:33:05 remote.x.pt postfix/smtpd[62409]: warning: unknown[192.168.1.72]: SASL DIGEST-MD5 authentication failed
Jan 19 14:33:05 remote.x.pt postfix/smtpd[62409]: verify password: AUTH PLAIN: authentication succeeded for user=lcg
ATUALIZAÇÃO2:
Parece que meu servidor não permite DIGEST-MD5 e CRAM-MD5 e depois muda para PLAIN, para determinados usuários. No localhost posso usar pelo menos CRAM-MD5 sem problemas.
Responder1
O problema que você está enfrentando é um problema do Dovecot, não do postfix.
Para que você possa entender como a Autenticação Dovecote leu isto, por favor:
Você deve entender que se as senhas do seu cliente estiverem salvas no banco de dados em texto simples, então você pode usar cram-md5 e digest-md5 (auth_mechanisms = login simples cram-md5 digerir-md5). Mas se a senha do banco de dados estiver criptografada; digamos que com um dos esquemas de criptografia mencionados nos Documentos Dovecote aqui:
http://wiki2.dovecot.org/Authentication/PasswordSchemes, então você não poderá usar o cram-md5, a menos que a senha já esteja salva no banco de dados com o hash cram-md5. Isso é confuso, então você entende melhor, digamos que eu tenha uma conta de e-mail com você, então eu faço login:
Cliente de e-mail -----> senha ---> O servidor de e-mail verificará o banco de dados e há 3 cenários que eu pode ver:
1º -Cenário a senha no banco de dados é salva em texto simples:
Email-server--(auth_mechanisms = plain login cram-md5 digest-md5)-->Sua senha Esquema(none)---->Database cram-md5(senha )/ou/ digest-md5(password)/or/senha simples: Portanto, a senha de registro correspondente à senha salva em texto simples do banco de dados.2º Cenário a senha no Banco de Dados é salva com SHA512-CRYPT:
EmailServer-- auth_mechanisms(plain login)--→Email-server—check password--->default_pass_scheme = SHA512-CRYPT ----SHA512-CRYPT(password ) ---→banco de dados (JÁ senha SHA512-CRYPT) – Correspondência de login3º Cenário a senha do banco de dados é criptografada com carm-md5:
Email-server---->auth_mechanisms(plain login cram-md5)--→Email-server---check password---default_pass_scheme =cram-md5-- > cram-md5(senha)---->database(senha já salva na senha cram-md5) – Login Match
Então você criptografa ou não a senha do banco de dados e usa SSL/TLS e faz auth_mechanisms="plain login" ou:
Se você não quiser usar SSL faça o auth_mechanisms=cram-md5 e armazene a senha no banco de dados como um cram- md5 se você quiser usar DIGEST-MD5 e CRAM-MD5 sua senha deve ser armazenada em PLAIN_TEXT.
Portanto, usando apenas CRAM-MD5, a senha no banco de dados pode ser CRAM-MD5 ou texto simples ou usando DIGEST-MD5 e CRAM-MD5: a senha no banco de dados deve ser armazenada apenas em texto simples.
No próximo link você encontrará alguns scripts para ajudá-lo a criptografar sua senha no Banco de Dados: http://wiki2.dovecot.org/HowTo/ConvertPasswordSchemes
Se quiser salvar a senha no banco de dados como DIGEST-MD5 você deve ler esta página:http://wiki2.dovecot.org/Authentication/Mechanisms/DigestMD5
Além disso, como você mencionou em nosso bate-papo, os valores auth_mechanisms usados no Dovecote podem ser usados no postfix como smtpd_pw_server_security_options=plain em main.cf