メール録画予約で、予約メールの確認方法が pop3 で、apop か PLAIN しか使えないので、 自宅サーバ上に、pop3 / PLAIN 接続ができるようにした。 しかし、半日ほど運用していると、プロセス数がなんか多い。

"ps ax"で確認すると、"dovecot/auth -w"の量が定常的に30件ほど出てくるようになった。 何らかのプロセスがブロックしているのかと思ったら、プロセス数は増えたり減ったり。 ブロックしているなら、時間と共に増加傾向があるはず。そこで syslog を見ると、

Oct 17 16:15:05 hostname dovecot: pop3-login: Aborted login
(auth failed, 1 attempts in 20 secs): user=,
method=PLAIN, rip=37.49.224.10, lip=192.168.xx.xx,
session=<bg+4qkciNAAlMeAK>

みたいなのが、続々と表示される。攻撃相手のアカウント探しみたい。 ファイアウォールで dovecot 関連は、pop3s に限っていたとはいえ、 こういう攻撃をうけるのね。

早々に、dovecotでPLAINを禁止し、FireWallのpop3sを閉じ、メール録画予約も取りやめ。 確認のために、前述の dovecot のLOGを確認すると、どうも中国人が利用しているサーバを想定したパスワード探索をしている。

145 user=liu,
145 user=lee,
145 user=huang,
145 user=chen,
116 user=yu,
116 user=yang,
116 user=wu,
116 user=wang,
116 user=lu,
116 user=lin,
116 user=li,
116 user=cheng,