Guest User!

You are not Sophos Staff.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Getting source IP address of incorrect SMTP AUTH

Hello everyone,

Astaro will display in the "Management overview" tab a list of all failed authentication attempts in addition to successful web admin logons.

Unfortunately, while the web admin related entries have the "IP address" fields populated, failed logon that comes from SMTP auth (and I assume, the other modules) are listed as "0.0.0.0".

- Is there a convenient way to get that list of sources of incorrect SMTP logon attempts ?
- Is there a convenient way to display the source module for a specific failed logon ?

I'm asking because I see an increasing number of brute force attempt against our SMTP subsystem and I'd like to do a more finely grained analysis of these attacks in order to identify emerging patterns (plus, in case of success, I will positively NEED these source IP address for further investigations).


This thread was automatically locked due to age.
Parents
  • The way to find which "module" a failed authentication attempt was against is to look in the User Authentication log.  From there you can go to the log for the affected section (such as SMTP.log) to get details about the attempt itself (such as source IP).
Reply
  • The way to find which "module" a failed authentication attempt was against is to look in the User Authentication log.  From there you can go to the log for the affected section (such as SMTP.log) to get details about the attempt itself (such as source IP).
Children
No Data