<div dir="ltr">
<div></div><div>Hi all,</div><div><br></div><div>I want to remove the authentication penalty for specific ip addresses (subnets if possible).</div><div></div><div><br></div><div>I am using Dovecot 2.3.2 (582970113) and figured that this information:</div><div><a href="https://wiki2.dovecot.org/Authentication/Penalty">https://wiki2.dovecot.org/Authentication/Penalty</a><br></div><div></div><div></div><div></div><div>> 
If the IP is in login_trusted_networks (e.g. webmail), skip any authentication penalties 

<br></div><div><br></div><div>is not up to date.</div><div>Instead this information is:</div><div><a href="https://wiki2.dovecot.org/Upgrading/2.3">https://wiki2.dovecot.org/Upgrading/2.3</a></div><div></div><div><br></div><div>--- START ---<br></div><div><b>Localhost Auth Penalty</b><br><br>Dovecot no longer disables auth penalty waits for clients connecting from localhost (or login_trusted_networks in general). The previous idea was that it would likely be a webmail that would have its own delays, but there are no guarantees about this.<br><br>If the old behavior is still wanted, it's possible to do nowadays even more generically with e.g.:<br><br>passdb {<br> driver = passwd-file<br> args = username_format=%{rip} /etc/dovecot/passdb<br>}<br><br>/etc/dovecot/passdb:<br><br>127.0.0.1:::::::nodelay=yes<br>192.168.10.124:::::::nodelay=yes</div><div></div><div>--- STOP ---</div><div><br></div><div><br></div><div>Adding the passdb section and creating a passdb file with the respective ip addresses does not have any effect though.</div><div>Login failures through the webmailer are still being delayed.</div><div><br></div><div>"dovecot -n" shows that the new passdb section is loaded:</div><div><br></div><div>--- START ---</div><div></div><div>passdb {<br>  args = username_format=%{rip} /etc/dovecot/passdb<br>  driver = passwd-file<br>}<br>passdb {<br>  args = /etc/dovecot/dovecot-sql.conf.ext<br>  driver = sql<br>}<br></div><div>--- STOP ---<br></div><div><br></div><div>Changing orders does not make a difference.</div><div><br></div><div>The passdb file contains these entries:</div><div>--- START ---</div><div>127.0.0.1:::::::nodelay=yes<br>10.25.1.20:::::::nodelay=yes<br></div><div>--- STOP ---<br></div><div><br></div><div>The logfile shows the increased delay:</div><div>--- START ---<br></div><div>Jul 10 23:37:16 9fcdf83ee81e dovecot: imap-login: Disconnected (auth failed, 1 attempts in 2 secs): user=<xxx@yyy.zzz>, method=PLAIN, rip=10.25.1.20, lip=10.25.1.10, TLS, TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bit<br>s)<br>Jul 10 23:37:25 9fcdf83ee81e dovecot: imap-login: Disconnected (auth failed, 1 attempts in 6 secs): user=<xxx@yyy.zzz>, method=PLAIN, rip=10.25.1.20, lip=10.25.1.10, TLS, TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bit<br>s)<br></div><div>--- STOP ---</div><div><br></div><div><br></div><div>What am I missing?</div><div><br></div><div><br></div><div><br></div></div>