Re: log dovecot

To: debian-user-french@lists.debian.org
Subject: Re: log dovecot
From: Erwan David <erwan@rail.eu.org>
Date: Wed, 13 May 2015 12:26:37 +0200
Message-id: <[🔎] 20150513102637.GL23228@rail.eu.org>
Mail-followup-to: debian-user-french@lists.debian.org
In-reply-to: <[🔎] 20150513085445.GA3522@sebian.nob900.homeip.net>
References: <[🔎] 55530DA5.6090209@adminh.fr> <[🔎] 20150513085445.GA3522@sebian.nob900.homeip.net>

On Wed, May 13, 2015 at 10:54:45AM CEST, Sébastien NOBILI <sebnewsletter@free.fr> said:
> Bonjour,
> 
> Le mercredi 13 mai 2015 à 10:39, mxp@adminh.fr a écrit :
> > mail.info.1:May 10 04:28:28 thor dovecot: imap-login: Disconnected (no auth
> > attempts in 3 secs): user=<>, rip=188.138.1.218, lip=xx.xxx.xxx.xx, TLS,
> > session=<L049BLEVnQC8igHa>
> 
> [...]
> 
> > Ce que je ne comprends pas c'est pourquoi user = quedalle, je n'ai pas
> > souvenir de m'être connecté un peu avant 4h du mat ce jour là.
> 
> C'est assez cohérent avec le « no auth attempts in 3 secs », je verrais bien un
> ouverture de connexion (ouverture de socket) sans rien derrière. Ton serveur
> voit donc quelqu'un se connecter, attend qu'il s'authentifie, mais il ne le fait
> pas.
> 
> À quoi correspond l'IP distante ? Ça sent la tentative d'attaque…
> 
> Sébastien

Ou le monitoring. Sur ma dedibox par exemple j'ai activé un monitoring
et c'est une machine de l'hébergeur qui se connecte régulièrement pour
vérifier que le service répond toujours.

Reply to:

References:
- log dovecot
  - From: "mxp@adminh.fr" <mxp@adminh.fr>
- Re: log dovecot
  - From: Sébastien NOBILI <sebnewsletter@free.fr>

Prev by Date: Re: log dovecot
Next by Date: Re: log dovecot
Previous by thread: Re: log dovecot
Next by thread: Re: log dovecot
Index(es):
- Date
- Thread