Re: log dovecot

["mxp@adminh.fr" <mxp@adminh.fr>]

Déjà dans les logs je ne vois pas de connexion, ni même de tentative de 
connexion ce qui me laisse perplexe. Je me pose la même question que toi 
concernant ces IP :

141.212.122.154
researchscan409.eecs.umich.edu.
188.138.1.218
atlantic381.dedicatedpanel.com.
198.20.69.98
census2.shodan.io.
52.8.2.96
ec2-52-8-2-96.us-west-1.compute.amazonaws.com.
54.68.227.138
ec2-54-68-227-138.us-west-2.compute.amazonaws.com.
71.6.135.131
census7.shodan.io.
82.221.105.7
census11.shodan.io.
93.189.25.174
scan.sba-research.org.

Ce sont celle que j'ai pour le mois de mai.
Ca ressemble beaucoup à des attaques quand même... Est-ce qu'à un moment 
mon serveur a servi de relais, bonne question.

Je continue.

On 13/05/2015 10:54, Sébastien NOBILI wrote:
> Bonjour,
>
> Le mercredi 13 mai 2015 à 10:39, mxp@adminh.fr a écrit :
> > mail.info.1:May 10 04:28:28 thor dovecot: imap-login: Disconnected (no auth
> > attempts in 3 secs): user=<>, rip=188.138.1.218, lip=xx.xxx.xxx.xx, TLS,
> > session=<L049BLEVnQC8igHa>
> [...]
>
> > Ce que je ne comprends pas c'est pourquoi user = quedalle, je n'ai pas
> > souvenir de m'être connecté un peu avant 4h du mat ce jour là.
> C'est assez cohérent avec le « no auth attempts in 3 secs », je verrais bien un
> ouverture de connexion (ouverture de socket) sans rien derrière. Ton serveur
> voit donc quelqu'un se connecter, attend qu'il s'authentifie, mais il ne le fait
> pas.
>
> À quoi correspond l'IP distante ? Ça sent la tentative d'attaque…
>
> Sébastien