<div dir="ltr"><div>I'm trying to understand what is meant by "tarpit" in the ffollowing quote of the Dovecot auth policy docs for the "before" check ...</div><div style="margin-left:40px"><p>First query is done <strong>before</strong> password and user databases are
consulted. This means that any userdb/passdb attributes are left empty.</p>
<p>The command used here is ‘allow’ and will appear on the URL as
command=allow.</p>
<p><code class="gmail-docutils gmail-literal gmail-notranslate"><span class="gmail-pre">status</span></code> result values:</p>
<ul class="gmail-simple"><li><p><code class="gmail-docutils gmail-literal gmail-notranslate"><span class="gmail-pre">-1</span></code>: Reject</p></li><li><p><code class="gmail-docutils gmail-literal gmail-notranslate"><span class="gmail-pre">0</span></code>: Accept</p></li><li><p><code class="gmail-docutils gmail-literal gmail-notranslate"><span class="gmail-pre">(Any</span> <span class="gmail-pre">other</span> <span class="gmail-pre">positive</span> <span class="gmail-pre">value)</span></code>: <i><font size="4"><b>Tarpit for this number of seconds.</b></font></i></p></li></ul></div><div><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div>What actually happens if a positive status value is returned here?</div><div><br></div><div>Does it mean that the client will not receive any response for the given number of seconds, but that the given login attempt will still continue after that delay? Or does it mean that the client will not receive a response for the given number of seconds, and then the login will be rejected after that delay?</div><div><br></div><div>What if the client has connected via pop3 and is sending multple "user" and "pass" combinations? If the "before" check returns, for example, the integer "5" as the status, does this mean there will be a 5-second delay between each login attempt that is being sent to this connection?</div><div><br></div><div>Ideally, I'd like the following to occur, but I don't know if it is possible:</div><div><br></div><div>* Client connects via pop3 and intends to send a large batch of "user"/"pass" commands via this connection.<br></div><div><br></div><div>* The first "user"/"pass" command is made to wait for many seconds.</div><div><br></div><div>* Then, the connection is dropped, so that the subsequent "user"/"pass" commands do not even hit the dovecot server.</div><div><br></div><div>I'm thinking that this is *not* what is meant by "tarpit" in the auth policy docs, correct?</div><div><br></div><div>Thank you for any clarification.<br></div><div><br></div><div>-- <br> <a href="mailto:hippoman@gmail.com" target="_blank">hippoman@gmail.com</a><br> Take a hippopotamus to lunch today.<br></div></div></div></div></div></div>