Exim - reject.log - dovecot_login authenticator failed

[gloobus]

В общем, есть давно работающий VPS!
Почта там работает только для отправки писем PHP-шкой.
Это сейчас я на новых серверах очень удобно используя ADVANCED INSTALL SETTINGS ставлю только Exim, а тогда и dovecot, и clamd, и spamassassin установлены были...
А тут я подумал, что они работают? По dovecot.log видно что долбятся не жалея сил! В итоге я все это остановил, из автозагрузки отключил, и roundcubemail тоже убрал!
НО, почему то в логе Exim, а именно в reject.log я упорно вижу:

Code: Select all

2017-04-23 04:35:29 dovecot_login authenticator failed for (User) [195.22.126.98]: 535 Incorrect authentication data (set_id=testing)

...и им подобные записи

Скажите пожалуйста, что это и как избавиться? Может быть, по мимо остановки службы, надо было сделать ребут сервера? Или остановки dovecot не достаточно и надо его сносить? С местом на диске проблем нет, если что, ну пусть лежат, главное что бы не мешались!

Мне как то сдается, что это из-за записи в логе Exim:

Code: Select all

######################################################################
#                   AUTHENTICATION CONFIGURATION                     #
######################################################################
begin authenticators

dovecot_plain:
  driver = dovecot
  public_name = PLAIN
  server_socket = /var/run/dovecot/auth-client
  server_set_id = $auth1

dovecot_login:
  driver = dovecot
  public_name = LOGIN
  server_socket = /var/run/dovecot/auth-client
  server_set_id = $auth1

По указанному пути /var/run/dovecot есть следующее:

Code: Select all

[root@vpssrv dovecot]# ls -li
total 8
1180866 srw------- 1 root    root        0 Jan 27 01:18 anvil
1180867 srw------- 1 root    root        0 Jan 27 01:18 anvil-auth-penalty
1180862 srw-rw---- 1 dovecot mail        0 Jan 27 01:18 auth-client
1180861 srw------- 1 dovecot root        0 Jan 27 01:18 auth-login
1180864 srw------- 1 root    root        0 Jan 27 01:18 auth-master
1180863 srw------- 1 root    root        0 Jan 27 01:18 auth-userdb
1180865 srw------- 1 dovecot root        0 Jan 27 01:18 auth-worker
1180859 srw------- 1 root    root        0 Jan 27 01:18 config
1180858 srw------- 1 root    root        0 Jan 27 01:18 dict
1180857 srw------- 1 root    root        0 Jan 27 01:18 director-admin
1180855 srw-rw-rw- 1 root    root        0 Jan 27 01:18 dns-client
1180854 srw------- 1 root    root        0 Jan 27 01:18 doveadm-server
1180873 lrwxrwxrwx 1 root    root       25 Jan 27 01:18 dovecot.conf -> /etc/dovecot/dovecot.conf
1180453 drwxr-xr-x 2 root    root     4096 Sep 22  2015 empty
1180454 drwxr-x--- 2 root    dovenull 4096 Jan 27 01:18 login

Дальше мозгов не хватает :(

[imperio]

Судя по логу, попытки подбора продолжаются. Я бы предложил вам банить через fail2ban особо упоротых ботов.

[gloobus]

Это конечно вариант, но почему продолжаются попытки аутентификации при остановленном dovecot?
Или это нормальное явление?

[imperio]

Нормально. Записи должны пропасть если вы полностью удалите dovecot с удалением или комментированием конфигов в exim.conf

[gloobus]

Я правильно понимаю, достаточно закомментировать в конфиге секцию:

Code: Select all

######################################################################
#                   AUTHENTICATION CONFIGURATION                     #
######################################################################
begin authenticators

dovecot_plain:
  driver = dovecot
  public_name = PLAIN
  server_socket = /var/run/dovecot/auth-client
  server_set_id = $auth1

dovecot_login:
  driver = dovecot
  public_name = LOGIN
  server_socket = /var/run/dovecot/auth-client
  server_set_id = $auth1

и перезапустить Exim?