Topic: Dovecot - Protection contre la force brute ?

[gieres]

Bonjour,
Depuis quelques jours, il y a des attaques (?) de dovecot de ce type :

Code: [Select]

--------------------- pam_unix Begin ------------------------

 dovecot:
    Authentication Failures:
       admin-help: 428 Time(s)
       postmaster-relay: 399 Time(s)
       som: 336 Time(s)
       anonymous: 326 Time(s)
       casa: 323 Time(s)
       0: 318 Time(s)
       sacha: 305 Time(s)
       root: 36 Time(s)
       abuse: 35 Time(s)
       admin: 32 Time(s)
       postmaster: 29 Time(s)
       mailer-daemon: 28 Time(s)
       alice: 3 Time(s)
       broad: 3 Time(s)
       comet2: 3 Time(s)
       infoserv: 3 Time(s)
       jb: 3 Time(s)
       maxpayne: 3 Time(s)
       mon2: 3 Time(s)
       silent: 3 Time(s)
       u2: 3 Time(s)
       whatever43: 3 Time(s)
       youth: 3 Time(s)
       263: 2 Time(s)
       3201: 2 Time(s)
       AD: 2 Time(s)
       Acrostichum: 2 Time(s)
       Assets: 2 Time(s)
       LoginForm: 2 Time(s)
       Reflector: 2 Time(s)
       abramov: 2 Time(s)
       accepted: 2 Time(s)
       ail: 2 Time(s)
       antares: 2 Time(s)
       anton1: 2 Time(s)
       apriline: 2 Time(s)
       area: 2 Time(s)
       arny: 2 Time(s)
       asd: 2 Time(s)
       asdfg123: 2 Time(s)
       baan: 2 Time(s)
       bans: 2 Time(s)
       basildonian: 2 Time(s)
       basin: 2 Time(s)
       behrmann: 2 Time(s)
       benjamin: 2 Time(s)
       bianca: 2 Time(s)
       bilder: 2 Time(s)
       bit: 2 Time(s)
       blackbird-amsterdam: 2 Time(s)
       bradfield: 2 Time(s)
       brighton: 2 Time(s)
       broken: 2 Time(s)
       cai: 2 Time(s)
       cecelia: 2 Time(s)
       chaoping: 2 Time(s)
       chris1: 2 Time(s)
       chu-tin: 2 Time(s)
       collab: 2 Time(s)
       collect: 2 Time(s)
       compaq: 2 Time(s)
       console: 2 Time(s)
       constanza: 2 Time(s)
       corvair: 2 Time(s)
       cpanel.demo: 2 Time(s)
       ctf: 2 Time(s)
       ctm: 2 Time(s)
       current: 2 Time(s)
       darklord: 2 Time(s)
       dc2: 2 Time(s)
       diah: 2 Time(s)
       doit: 2 Time(s)
       dori: 2 Time(s)
       drweb: 2 Time(s)
       dse: 2 Time(s)
       dude: 2 Time(s)
       duo: 2 Time(s)
       econ: 2 Time(s)
       elefante: 2 Time(s)
       elektro: 2 Time(s)
       elvis: 2 Time(s)
       encounter: 2 Time(s)
       eva: 2 Time(s)
       fabian: 2 Time(s)
       feng: 2 Time(s)
       form: 2 Time(s)
       forthcome: 2 Time(s)
       gib: 2 Time(s)
       gimli: 2 Time(s)
       gloriam: 2 Time(s)
       granite: 2 Time(s)
       grt: 2 Time(s)
       gus: 2 Time(s)
       harada: 2 Time(s)
       harish: 2 Time(s)
       hc: 2 Time(s)
       helga: 2 Time(s)
       hoo: 2 Time(s)
       iam: 2 Time(s)
       informix: 2 Time(s)
       install: 2 Time(s)
       ipcam: 2 Time(s)
       jimu: 2 Time(s)
       jjh: 2 Time(s)
       jsanchez: 2 Time(s)
       kayako: 2 Time(s)
       kibana: 2 Time(s)
       kisskiss: 2 Time(s)
       kolokol: 2 Time(s)
       kops: 2 Time(s)
       lavinia: 2 Time(s)
       letters: 2 Time(s)
       levi: 2 Time(s)
       linksrv: 2 Time(s)
       literacy: 2 Time(s)
       luiza: 2 Time(s)
       luping: 2 Time(s)
       lyn: 2 Time(s)
       lyncdiscover: 2 Time(s)
       malcolm: 2 Time(s)
       mariam: 2 Time(s)
       marylou: 2 Time(s)
       massage: 2 Time(s)
       mc1: 2 Time(s)
       mccarthy: 2 Time(s)
       medved: 2 Time(s)
       mirko: 2 Time(s)
       monali: 2 Time(s)
       mtm: 2 Time(s)
       mtz: 2 Time(s)
       mx25: 2 Time(s)
       nadya: 2 Time(s)
       nataly: 2 Time(s)
       nec: 2 Time(s)
       news2: 2 Time(s)
       nine: 2 Time(s)
       oaadmin: 2 Time(s)
       offerte: 2 Time(s)
       ogawa: 2 Time(s)
       oh: 2 Time(s)
       oj: 2 Time(s)
       oki: 2 Time(s)
       opennms: 2 Time(s)
       p3: 2 Time(s)
       pasta: 2 Time(s)
       pav: 2 Time(s)
       pearl1: 2 Time(s)
       pegas: 2 Time(s)
       pit: 2 Time(s)
       pluton: 2 Time(s)
       postmasters: 2 Time(s)
       privacy: 2 Time(s)
       ps3: 2 Time(s)
       pz: 2 Time(s)
       qazwsx123: 2 Time(s)
       queen: 2 Time(s)
       rdavila: 2 Time(s)
       registro: 2 Time(s)
       reinaldo: 2 Time(s)
       remarks: 2 Time(s)
       renamefile: 2 Time(s)
       requestcompression: 2 Time(s)
       richter: 2 Time(s)
       s3cret: 2 Time(s)
       sheri: 2 Time(s)
       siteadmin: 2 Time(s)
       skinny: 2 Time(s)
       smtpmax: 2 Time(s)
       sobranie: 2 Time(s)
       society: 2 Time(s)
       sp1: 2 Time(s)
       srodriguez: 2 Time(s)
       srvc22: 2 Time(s)
       sweety2: 2 Time(s)
       swf: 2 Time(s)
       sztz: 2 Time(s)
       teams: 2 Time(s)
       test19: 2 Time(s)
       test9: 2 Time(s)
       tiffany: 2 Time(s)
       timothy: 2 Time(s)
       tome: 2 Time(s)
       trigger: 2 Time(s)
       tuyensinh: 2 Time(s)
       ua2: 2 Time(s)
       valentin: 2 Time(s)
       vandal: 2 Time(s)
       vianney: 2 Time(s)
       volta: 2 Time(s)
       webteam: 2 Time(s)
       weidong: 2 Time(s)
       wong: 2 Time(s)
       wuge: 2 Time(s)
       yusuf: 2 Time(s)
       zbigniew: 2 Time(s)
       zip: 2 Time(s)
       000: 1 Time(s)
       0000: 1 Time(s)
       008: 1 Time(s)
       1: 1 Time(s)
       100: 1 Time(s)
       1007238: 1 Time(s)
       109: 1 Time(s)
       111111111: 1 Time(s)
       112061: 1 Time(s)
       12121946: 1 Time(s)
       123123: 1 Time(s)
       123555: 1 Time(s)
       123qwe: 1 Time(s)
       14: 1 Time(s)
       158: 1 Time(s)
       186: 1 Time(s)
       19721972: 1 Time(s)
       1ab: 1 Time(s)
       1qa2ws: 1 Time(s)
       200: 1 Time(s)
       2112: 1 Time(s)
       219: 1 Time(s)
       2232: 1 Time(s)
       2252: 1 Time(s)
       33: 1 Time(s)
       350: 1 Time(s)
       44444: 1 Time(s)
       5065: 1 Time(s)
       ALEX: 1 Time(s)
       ATLAS: 1 Time(s)
       Aaterfinns: 1 Time(s)
       Adela: 1 Time(s)
       Admin: 1 Time(s)
       Administrators: 1 Time(s)
       Ahepatokla: 1 Time(s)
       Aileen: 1 Time(s)
       Amelie: 1 Time(s)
       Amphinesian: 1 Time(s)
       Ana: 1 Time(s)
       Apocynum: 1 Time(s)
       Apoio: 1 Time(s)
       AttachmentName: 1 Time(s)
       AuthChildForm: 1 Time(s)
       BACKUP: 1 Time(s)
       BD: 1 Time(s)
       Boff: 1 Time(s)
       Bykkonen: 1 Time(s)
       CHIEF: 1 Time(s)
       Charles: 1 Time(s)
       Collation: 1 Time(s)
       Computer: 1 Time(s)
       Dragon: 1 Time(s)
       ER: 1 Time(s)
       EXPORTTABLE: 1 Time(s)
       Email: 1 Time(s)
       Engineer1: 1 Time(s)
       FaysaL: 1 Time(s)
       Filename: 1 Time(s)
       Georgebuck: 1 Time(s)
       Graphics: 1 Time(s)
       HOST: 1 Time(s)
       Hallucinations: 1 Time(s)
       INDEXCOLUMNLIST: 1 Time(s)
       Jackson: 1 Time(s)
       Jincheng: 1 Time(s)
       KOY: 1 Time(s)
       Katowice: 1 Time(s)
       LLL: 1 Time(s)
       Labor: 1 Time(s)
       Lixin: 1 Time(s)
       MCCAA: 1 Time(s)
       MESLER: 1 Time(s)
       Monitor: 1 Time(s)
       ODS: 1 Time(s)
       Olaussen: 1 Time(s)
       Oncology: 1 Time(s)
       Other: 1 Time(s)
       P: 1 Time(s)
       PDP: 1 Time(s)
       Patches: 1 Time(s)
       Peters: 1 Time(s)
       Portal: 1 Time(s)
       Postgres: 1 Time(s)
       ROLLE: 1 Time(s)
       RegisterForm: 1 Time(s)
       Relay: 1 Time(s)
       Richard: 1 Time(s)
       Rimslut: 1 Time(s)
       Rita: 1 Time(s)
       SAMLResponse: 1 Time(s)
       SANDBOX_README: 1 Time(s)
       SERGEI: 1 Time(s)
       SQLServer: 1 Time(s)
       Save: 1 Time(s)
       School: 1 Time(s)
       Sender: 1 Time(s)
       Senna: 1 Time(s)
       Shooter: 1 Time(s)
       SpamCheck: 1 Time(s)
       Status: 1 Time(s)
       Stephen: 1 Time(s)
       Strickland: 1 Time(s)
       SunShine: 1 Time(s)
       Sunshine: 1 Time(s)
       TEST5: 1 Time(s)
       TTTT: 1 Time(s)
       Thorstein: 1 Time(s)
       VIVI: 1 Time(s)
       VMAIL: 1 Time(s)
       WEBADMIN: 1 Time(s)
       Widget: 1 Time(s)
       Yezi: 1 Time(s)
       _savedok_x: 1 Time(s)
       _savedokview_x: 1 Time(s)
       aaaa: 1 Time(s)
       aabbcc: 1 Time(s)
       aarancibia: 1 Time(s)
       aarp: 1 Time(s)
       aavila: 1 Time(s)
       abababab: 1 Time(s)
       abas: 1 Time(s)
       abc1234: 1 Time(s)
       abc12345: 1 Time(s)
       abcde: 1 Time(s)
       abdulnasir: 1 Time(s)
       aben: 1 Time(s)
       abena1: 1 Time(s)
       abhay: 1 Time(s)
       abhishek: 1 Time(s)
       abp: 1 Time(s)
       abrt: 1 Time(s)
       aca: 1 Time(s)
       academics: 1 Time(s)
       accelerator: 1 Time(s)
       account_newsletters: 1 Time(s)
       accountid: 1 Time(s)
       accreditation: 1 Time(s)
       acessoainformacao: 1 Time(s)
       acp: 1 Time(s)
       act: 1 Time(s)
       activity: 1 Time(s)
       ad3: 1 Time(s)
       adad: 1 Time(s)
       adams: 1 Time(s)
       aday: 1 Time(s)
       added: 1 Time(s)
       addmeta: 1 Time(s)
       address1: 1 Time(s)
       ade: 1 Time(s)
       adela: 1 Time(s)
       adit: 1 Time(s)
       aditya: 1 Time(s)
       adm2: 1 Time(s)
       admin_test: 1 Time(s)
       admina: 1 Time(s)
       admissions: 1 Time(s)
       adriana: 1 Time(s)
       adriel: 1 Time(s)
       adrienne: 1 Time(s)
       adscriptitius: 1 Time(s)
       adwords: 1 Time(s)
       adx: 1 Time(s)
       affiliates: 1 Time(s)
       afiliado: 1 Time(s)
       afiliados: 1 Time(s)
       aftermarket-robotech: 1 Time(s)
       agatin: 1 Time(s)
       agencia: 1 Time(s)
       agglutinative: 1 Time(s)
       agile: 1 Time(s)
       agreement: 1 Time(s)
       agri: 1 Time(s)
       agronomia: 1 Time(s)
       agung: 1 Time(s)
       ahctv: 1 Time(s)
       ahudson: 1 Time(s)
       aide: 1 Time(s)
       aileen: 1 Time(s)
       aimee: 1 Time(s)
       aimi: 1 Time(s)
       aims: 1 Time(s)
       ainsleigh: 1 Time(s)
       aion: 1 Time(s)
       ais: 1 Time(s)
       aistest: 1 Time(s)
       aito: 1 Time(s)
       aitor: 1 Time(s)
       ajohnson: 1 Time(s)
       ajones: 1 Time(s)
       ajxaction: 1 Time(s)
       akane: 1 Time(s)
       akashi: 1 Time(s)
       ala: 1 Time(s)
       alain2: 1 Time(s)
       albany: 1 Time(s)
       albertine: 1 Time(s)
       aleksandr: 1 Time(s)
       aleksey: 1 Time(s)
       alexhot: 1 Time(s)
       alexina: 1 Time(s)
       alfa: 1 Time(s)
       algarve: 1 Time(s)
       algy: 1 Time(s)
       alimentacion: 1 Time(s)
       alive: 1 Time(s)
       alk: 1 Time(s)
       allan: 1 Time(s)
       allianora: 1 Time(s)
       allo: 1 Time(s)
       allusers: 1 Time(s)
       almoxarifado: 1 Time(s)
       alnan: 1 Time(s)
       aloha: 1 Time(s)
       alumno: 1 Time(s)
       amado: 1 Time(s)
       amalia: 1 Time(s)
       aman: 1 Time(s)
       amano: 1 Time(s)
       amar: 1 Time(s)
       amms: 1 Time(s)
       amp: 1 Time(s)
       amp-scanner: 1 Time(s)
       anamaria: 1 Time(s)
       anand: 1 Time(s)
       andante: 1 Time(s)
       andie: 1 Time(s)
       andina: 1 Time(s)
       andre123: 1 Time(s)
       andrew: 1 Time(s)
       anet: 1 Time(s)
       angela: 1 Time(s)
       angelica: 1 Time(s)
       anime: 1 Time(s)
       ankang: 1 Time(s)
       anna123: 1 Time(s)
       annacc: 1 Time(s)
       annaruth: 1 Time(s)
       annualreport: 1 Time(s)
       ant: 1 Time(s)
       antaiva: 1 Time(s)
       antanas: 1 Time(s)
       anthony: 1 Time(s)
       antony: 1 Time(s)
       anu: 1 Time(s)
       anucha: 1 Time(s)
       anzen: 1 Time(s)
       ap2: 1 Time(s)
       ap3: 1 Time(s)
       apa: 1 Time(s)
       apc1: 1 Time(s)
       apiv3-dev: 1 Time(s)
       apm: 1 Time(s)
       apofis: 1 Time(s)
       apparel-de: 1 Time(s)
       apple12: 1 Time(s)
       appleid: 1 Time(s)
       application: 1 Time(s)
       appmail: 1 Time(s)
       approved: 1 Time(s)
       apptest: 1 Time(s)
       april: 1 Time(s)
       ara: 1 Time(s)
       aragon: 1 Time(s)
       arbeit: 1 Time(s)
       arch: 1 Time(s)
       archi: 1 Time(s)
       archiv: 1 Time(s)
       archiver: 1 Time(s)
       arduino: 1 Time(s)
       areaclienti: 1 Time(s)
       argos: 1 Time(s)
       arihant: 1 Time(s)
       ark: 1 Time(s)
       arkansas: 1 Time(s)
       arnold: 1 Time(s)
       arsenal: 1 Time(s)
       art2: 1 Time(s)
       articles: 1 Time(s)
       artist: 1 Time(s)
       artists: 1 Time(s)
       asa: 1 Time(s)
       asdf1234: 1 Time(s)
       asgard: 1 Time(s)
       asha: 1 Time(s)
       ashley: 1 Time(s)
       ashwin: 1 Time(s)
       asia: 1 Time(s)
       asp: 1 Time(s)
       aspire: 1 Time(s)
       asset: 1 Time(s)
       assis: 1 Time(s)
       association: 1 Time(s)
       ast: 1 Time(s)
       astrakhan: 1 Time(s)
       astrix: 1 Time(s)
       ata: 1 Time(s)
       att: 1 Time(s)
       attendance: 1 Time(s)
       atusi: 1 Time(s)
       auftrag: 1 Time(s)
       august: 1 Time(s)
       austin: 1 Time(s)
       authkey: 1 Time(s)
       authors: 1 Time(s)
       authtype: 1 Time(s)
       autodiscover.demo: 1 Time(s)
       automail: 1 Time(s)
       automation: 1 Time(s)
       autossh: 1 Time(s)
       autumn: 1 Time(s)
       auxiliary: 1 Time(s)
       ava: 1 Time(s)
       avahi-autoipd: 1 Time(s)
       avid: 1 Time(s)
       avin: 1 Time(s)
       avira: 1 Time(s)
       avis: 1 Time(s)
       awadhi: 1 Time(s)
       awesome: 1 Time(s)
       awhite: 1 Time(s)
       aws-cache: 1 Time(s)
       axelle: 1 Time(s)
       azhar: 1 Time(s)
       azurecom: 1 Time(s)
       b10: 1 Time(s)
       bac: 1 Time(s)
       bacchus: 1 Time(s)
       backends: 1 Time(s)
       bahir: 1 Time(s)
       baijialeyingqianfa: 1 Time(s)
       balay: 1 Time(s)
       balazs: 1 Time(s)
       bamboo: 1 Time(s)
       banger: 1 Time(s)
       banners: 1 Time(s)
       bannerweb: 1 Time(s)
       bansubmit: 1 Time(s)
       barcal: 1 Time(s)
       barney: 1 Time(s)
       barracuda: 1 Time(s)
       barry: 1 Time(s)
       bars: 1 Time(s)
       bart: 1 Time(s)
       ...
       zhaopin: 1 Time(s)
       zhidao: 1 Time(s)
       zhongshansijiazhentan: 1 Time(s)
       zhoujing: 1 Time(s)
       ziad: 1 Time(s)
       zizzo: 1 Time(s)
       zliu: 1 Time(s)
       zmail: 1 Time(s)
       zon1: 1 Time(s)
       zuli: 1 Time(s)
       zxcvb: 1 Time(s)
    Invalid Users:
       Unknown Account: 4723 Time(s)
Est-ce qu'il faut s'en soucier ?
Si oui, que faut-il mettre en oeuvre ?
D'avance merci.

[ReetP]

This is likely due to the recently updated smeserver-qpsmtpd package.

We moved from using cvm-unix authentication to imap authentication to fix this issue (that you reported....!)

https://forums.koozali.org/index.php/topic,54890.msg288782.html#msg288782
https://forums.koozali.org/index.php/topic,54571.msg286036.html#msg286036

Bug 12193 (it is a potential security bug so may not be visible)

So now you have lots of authentication failures, and no segfaults

I would suggest you check for old accounts, and consider things like XT Geoip to cut down some of the noise.

[Jean-Philippe Pialasse]

xt geoip peut reduire grandement le nombre de tentatives en diminuant le pool d’ip ayant acces au service.

fail2ban peut permettre de banir les ip tentant un bruteforce sur le service.  a condition que cela ne soit pas distribué.

globalememt tu as pu effectivement voir une augmentation sur imap car maintenant le service sert aussi bien pour imap que pour qpsmtpd

[gieres]

Bonjour,
@ReetP

We moved from using cvm-unix authentication to imap authentication to fix this issue (that you reported....!)
https://forums.koozali.org/index.php/topic,54890.msg288782.html#msg288782

You have a good memory !
GeoIP installed. Wait and see to-morrow report to adjust settings...

@JPP

a condition que cela ne soit pas distribué.

Je n'ai pas compris cette condition de non distribution.

@mab974
Superbe contribution ! J'en ai profité pour faire la page en français.
- L'entrée de GeoIP dans le menu Sécurité du gestionnaire du serveur n'est pas traduite. Je ne sais pas comment on fait ça.
- dans les réglages de GeoIP, parie « Filtrage par service pour Xtables GeoIP », il doit manquer des mots dans la phrase du bas : « Cliquer ici pour avoir une nouvelle services parmi une liste des services disponibles ».

Bonne journée.

[ReetP]

Bonjour,
@ReetPYou have a good memory !

No I don't. I just used the search button

But I did write the patch!!

Code: [Select]

GeoIP installed. Wait and see tomorrow report to adjust settings...
That should save you many headaches. Enjoy.