# SASL LOGIN authentication failed: UGFzc3dvcmQ6



## thommy (1. Dez. 2016)

n'amd zusammen,

gibt´s ne Möglichkeit, bei o.g. Logeintrag den verwendeten User mitzugeben? Mein Server steht derzeit nach einem erfolgreichen Hack auf einen meiner User unter besonderer "Bearbeitung". FTP habe ich inzwischen komplett von extern gesperrt (geht nur noch über VPN, nicht mehr über die öffentliche IP) - den SMTP / dovecot kann ich aber leider nicht so einfach sperren...

Mich interessiert aktuell vor allem, welche Mailkonten und welche Domains angegriffen werden, damit ich dort zielgerichtet häufiger die Passwörter ändern kann. Evtl. kann ich dann auch feststellen, dass auch bei diesem Angriff die Syntax falsch ist (FTP mit user "test", "testuser", "<mail@domain.tld>" funktioniert z.b. nicht)...

Danke!

Thomas


----------



## thommy (1. Dez. 2016)

der Vollständigkeit halber: Server ist eine Single-Installation mit Debian nach der PerfectServer-Methode.


----------



## nowayback (1. Dez. 2016)

```
echo "UGFzc3dvcmQ6" | base64 -d
```



Zitat von thommy:


> gibt´s ne Möglichkeit, bei o.g. Logeintrag den verwendeten User mitzugeben?


auth_verbose = yes in /etc/dovecot/conf.d/10-logging.conf z.b.?


----------



## thommy (2. Dez. 2016)

danke für den tipp


----------

