foutmelding mailserver van email via gebruiker test01 door de NAS zelf

[AntoineS]

Weet iemand wat dit betekend ?

Information,Verbinding,2015/08/28 22:12:49,SYSTEM,User [test01] from [127.0.0.1] failed to log in via [Mail Server] due to permission error

ik begrijp dat gebruiker test01, van mijn nas zelf via mijn nas wil inloggen in de mailserver.

Wat ik nu graag wil snappen / uitzoeken waar deze opdracht vandaan komt ?

Groeten, Antoine
 

[Birdy]

Wat mag test01 dan allemaal en wat doet test01 op je NAS ?

[Briolet]

Die opdracht kan overal vandaan komen waar je iets over mail versturen ingevuld hebt. Dat kan zelfs een geheel ander account zijn waar je de wachtwoord/account informatie van de testgebruiker bij mail ingevuld hebt.

[AntoineS]

test01 was gewoon een test account en ja deze mocht ook gewoon emailen. Dit account had verder weinig rechten.
Op een gegeven moment kreeg ik van de week een email dat test01 zijn maximaal quote aan te verzenden email heeft gebruikt. (250 stuks) Aangezien het test account zeker niet voor email werd gebruikt door mij heb ik deze meteen geblokkeerd.
Daar op volgend kreeg ik vrij snel de foutmelding: Information,Verbinding,2015/08/28 22:12:49,SYSTEM,User [test01] from [127.0.0.1] failed to log in via [Mail Server] due to permission error. Wat mij met name zorgen baart is dat er geen wan ip adres mee gemoeid is maar juist de localhost/de nas zelf. ik ben bang dat er een service draait die er voor zorgt dat een ander via mij kan (kon, account is nu geblokkeerd) emailen via account test01. Het test01 account had een zwak wachtwoord.

Een aantal dagen geleden heb ik nieuwe dokuwiki plugins geïnstalleerd van de dokuwiki website.

Hoe denk jij daar over birdy ?

Alvast bedankt voor je input.

[Briolet]

Je kunt in het maillog kijken via Putty: /volume1/@maillog/maillog

Daar moet je in elk geval kunnen terugvinden waar die mailtjes naar toe gestuurd zijn.

[Basalt]

Ik wil in ieder geval dit topic voordragen voor de Meest Cryptische Titel Trofee van de maand Augustus 

[AntoineS]

Bedankt voor de opmerking mbt de maillog. Ik heb deze met vi netjes kunnen lezen. Is er een andere/betere manier dan vi ?

In de log is terug te vinden dat er naar het wachtwoord gezocht is. Er wordt blijkbaar regelmatig gekeken of men binnen kan komen.

Nu nog 2 vragen. De verzonden mail, wordt deze nog ergens bewaart ?

Zijn er nog meer van dit soort log bestanden ? Bijvoorbeeld om de nas via vpn of via html op 5001 te benaderen ?

Deze log bestanden zijn veel uitgebreider dan die waar je normaal bij kan.

Albast bedankt!

[Birdy]

Is er een andere/betere manier dan vi ?

Ja, met WinSCP kan je de log gewoon lezen op je PC, zie hier voor de instructies.

[AntoineS]

Dankje Birdy

Stukje log

Aug 19 21:25:22 NAS postfix/smtpd[16014]: warning: unknown[89.248.169.61]: SASL LOGIN authentication failed: authentication failure
Aug 19 21:25:22 NAS postfix/smtpd[16014]: disconnect from unknown[89.248.169.61]
Aug 19 21:25:23 NAS postfix/smtpd[16018]: B976FC442B4: client=unknown[154.120.106.224], sasl_method=LOGIN, sasl_username=test01
Aug 19 21:25:25 NAS postfix/cleanup[16026]: B976FC442B4: hold: header Received: from User (unknown [154.120.106.224])??(Authenticated sender: test01)??by xxxxxxxx.eu (Postfix) with ESMTPA id B976FC442B4;??Wed, 19 Aug 2015 21:25:23 +0200 (CEST) from unknown[154.120.106.224]; from=<louisjam2015@gmail.com> to=<georgeabiodunoshon@gmail.com> proto=ESMTP helo=<User>
Aug 19 21:25:25 NAS postfix/cleanup[16026]: B976FC442B4: message-id=<>
Aug 19 21:25:25 NAS postfix/smtpd[16018]: disconnect from unknown[154.120.106.224]


volgens mij blijkt hier uit dat het al wat eerder aan de gang was, enkel geen mass mail maar slechts een paar.
Ik heb darkstat draaien.
Is het mogelijk dat een ip-adres, die verbinding met mij heeft gemaakt, toch NIET in darkstat voorkomt ?
deze kom ik niet tegen: 154.120.106.224 en ook deze niet 89.248.169.61

Uiteindelijk kwam de mass mail van ip: 1.46.67.162 en van 1.46.2.211. Gelukkig mocht de server 'maar' 250 mails per dag verwerken per gebruiker en heeft dat de schade beperkt.
Deze 2 ip adressen kwam ik wel in darkstat tegen.

Omdat ik het account uitgeschakeld had en er nog mails in de wacht que stonden kreeg ik de foutmelding mbt de localhost.

Aug 28 22:12:49 NAS dovecot: auth-worker(5879): Error: pam(test01,127.0.0.1): pam_acct_mgmt() failed: Permission denied

Kan ik nog ergens zien wel email verzonden is ?

Groeten,

Antoine

[AntoineS]

Het bestand maillog.1xz en dat gaat door tot maillog.4xz
Kan ik daar ook iets mee?

Het log bestand begint op 18 Jul 2015. Kan ik nog verder terug ?

Alvast bedankt!

Groeten,

Antoine

[Briolet]

Het mail log 'maillog.4xz' etc zijn gecomprimeerde log archieven. Met een unzipper of untarrrer moet je die weer kunnen uitpakken.

In dat log zie ik ook altijd veel pogingen om in te breken. Bij mij hebben ze 5 keer om een ww te raden maar ook daarna zie ik soms uren lang nog connect/disconnect meldingen.
Ik heb ook wel eens gezien dat weken lang maar 1 poging per uur gedaan werd. Deze kwamen door de autoblok heen omdat het onder de drempel bleef. Bij zo'n lage frequentie lukt het echter nooit om een sterk ww te raden.
In zijn algemeenheid moet je je er niet te veel van aantrekken zolang je maar sterke wachtwoorden gebruikt. Ook voor een test account dat je actief laat.

--
Zelf ben ik een mac gebruiker en daarvoor bestaat geen gratis programma zoals Putty. En dat log via vi bekijken is geen optie, daarom heb ik een hard-link van het log gemaakt naar een reguliere share. Dan staat de file ook zichtbaar op die share en kan ik met speciale log-software (Console) het log uitlezen. Alleen bij een archiefrotatie moet ik weer een nieuwe link maken, maar dat gebeurd slechts eens per half jaar.

[AntoineS]

Goed, mijn grootste angst, een virus, is het gelukkig niet.
Ik begrijp ook dat er geen reden is om opnieuw de nas te moeten installeren.
Automatisch blokkeren, wat ik in de vakantie uitgezet heb door redenen, heb ik weer aangezet.

Bedankt voor het meedenken !

Groeten,

Antoine

[Briolet]

Het is geen virus, maar ook niet goed.

Code: [Selecteer]

Aug 19 21:25:23 NAS postfix/smtpd[16018]: B976FC442B4: client=unknown[154.120.106.224], sasl_method=LOGIN, sasl_username=test01

Dit is een IP uit Nigeria die mail namens gmail probeert te zenden aan een ander gmail adres. Het lijkt er op dat je een smtp server niet beveiligd hebt en verzenden zonder verificatie toestaat. Want de kans dat ze én de accountnaam raden én dan ook nog het goede ww is klein.

Waarom ze gmail naar gmail proberen te zenden snap ik niet. gmail gebruikt SPF waarbij het IP van de SMTP server gecontroleerd wordt. Deze mail zal dus nooit door gmail geaccepteerd worden omdat hij niet vanaf een door gmail goedgekeurde smtp server komt.

Het aantal mailtjes per dag minimaliseren is zeer verstandig. Zelf heb ik hem nog veel lager dan 250 staan. Alleen voor het account van waar af ik wel eens een mailing stuur, heb ik hem hoger staan. (Sinds recent kun je dat maximum per dag ook nog per account instellen)

[AntoineS]

Hoi Briolet,

Nee ik ben zeker niet een open relay
Dat is me ooit eens gebeurd met een windows 2000 server en daar kijk ik echt voor uit!
De username test01 met het bijbehorende zwakke wachtwoord hebben ze gewoon goed gegokt.
Of ze moeten het ergens uit de cache kunnen lezen bij iemand waar ik ooit eens geweest ben.
Ik weet niet of dat kan ...

Alvast bedankt voor de tip per account

Wat is nog steeds raar vind is dat sommige ip adressen, die wel verbinding hebben gehad, niet in darkstat voorkomen.
Of kom je daar enkel in voor als een email verzenden ook daadwerkelijk is gelukt ?

Groeten,

Antoine

[Briolet]

Darkstat moet volgens mij alles laten zien wat door de poort loopt.

Ik heb b.v. telnet en ssh een keer in de router geforward om synology toegang te geven. In de firewall laat ik echter alleen 3 IP adressen toe. Toch zie ik veel entries in darkstat waarbij 60 bytes binnenkomen en 0 bytes teruggestuurd zijn. Als ik dan naar de poort kijk, is dat poort 23. De nas luistert wel, reageert niet, maar darkstat logt dit verkeer wel. Idem voor de entries van 48 bytes wat SSH inlogpogingen waren waar de nas niet op reageert.