Horch, wer will mit welchem Passwort rein

Welcher Mailserverbetreiber kennt sie nicht, die Logeinträge in der Art postfix/smtpd[1234]: warning: unknown[192.0.2.123]: SASL LOGIN authentication failed: UGFzc3dvcmQ6 oder dovecot: imap-login: Disconnected (auth failed, 1 attempts in 2 secs): user=<jdoe@example.com>, method=PLAIN, rip=192.0.2.123, lip=198.51.100.143, TLS: Disconnected, session=<...>?
In den seltensten Fällen handelt es sich um einen falsch konfigurierten Mailclient eines echten Benutzers. Derartige Logeinträge werden meistens von irgendwelchen Skripten verursacht. Es ist jedoch nicht ersichtlich, warum der Loginversuch gescheitert ist.

Wer Dovecot zum Authentifizieren seiner Benutzer einsetzt, kann mit ein wenig Konfigurationsaufwand mehr Details loggen lassen. In der Standardkonfiguration befindet sich die entsprechende Einstellung in der Datei dovecot/conf.d/10-logging.conf. Nachdem auth_verbose = yes konfiguriert wurde bedarf es noch ein dovecot reload. Schon loggt Dovecot den Grund, warum die Anmeldung gescheitert ist. Entweder stimmt das Passwort nicht ‘Password mismatch‘, oder der angegebene Benutzer konnte nicht in der userdb gefunden werden ‘unknown user‘.

Wenn ein dummes Skript stumpf seine Liste von Passwörtern abarbeitet, kann in der 10-logging.conf zusätzlich auth_verbose_passwords = plain gesetzt werden. Damit werden, nach einem weiteren dovecot reload, auch die gesendeten Passwörter ins Log geschrieben.
In der Beispiel-Konfiguration wird die Einstellung wie folgt beschrieben:

In case of password mismatches, log the attempted password. Valid values are
no, plain and sha1. sha1 can be useful for detecting brute force password
attempts vs. user simply trying the same password over and over again.
You can also truncate the value to n chars by appending ":n" (e.g. sha1:6).