Recientemente noté una sesión SMTP en mi servidor que comenzó cuando se conectó un host remoto, pero nunca pareció que se enviaran correos electrónicos. Pude ver que probablemente era un sitio de SPAM y, por lo tanto, eliminé la sesión SMTP, pero el host remoto se reconectó inmediatamente pero usaba un dominio HELO diferente.
Tenía curiosidad por lo que estaban haciendo, así que utilicé tcpdump para capturar la sesión y la maté de nuevo para capturar una sesión desde el principio.
Lo que encontré fue lo que hicieron:
HELO randomdomain.com RSET Acceso automático
Con RSET y AUTH LOGIN se repiten una y otra vez en un bucle.
¿Esto parece un ataque de fuerza bruta en las contraseñas?