Tips Mengecek dan Mengatasi Account yang Terindikasi Spam pada Zimbra Mail Server

April 11, 2015

Salah satu kendala yang sering terjadi saat saya melakukan audit mail server adalah terjadinya flooding email spam, dalam bentuk pengiriman email spam dalam jumlah massal oleh salah satu atau beberapa account email. Jika dibiarkan, flooding spam ini akan sangat mengganggu pengiriman email akibat penuhnya trafik antrian email. Selain itu, flooding spam ini juga bisa berakibat fatal terhadap mail server karena IP public mail server akan diblacklist oleh server tujuan dan beberapa layanan RBL (Relay Block List)

Flooding spam ini bisa terjadi karena beberapa faktor, yang terbanyak adalah akibat phising email alias email palsu yang di klik. Misalnya email palsu pemberitahuan over kuota yang meminta isian user name dan password.

Sebagai tindakan awal untuk menghentikan pendarahan yang terjadi, berikut adalah beberapa tips yang saya sarikan dari pengalaman saya menangani email server berbasis Zimbra yang melakukan spamming.

email
MENGETAHUI IDENTITAS SPAMMER

SSH ke mesin dengan jumlah deferred/active email terbanyak, kemudian jalankan perintah :

su – zimbra -c “mailq”

perhatikan nama sender/pengirim spam. Jika namanya menggunakan alamat email dengan nama domain kita, catat nama account tersebut

Ada kalanya spammer menyembunyikan account yang digunakan untuk melakukan spamming. Jika demikian, lakukan pengecekan dengan cara SSH ke server dan jalankan perintah :

tail -f /var/log/zimbra.log | grep sasl_method

atau

cat /var/log/zimbra.log | grep sasl_method

Account yang banyak sekali tampil dan tidak normal (misalnya setiap detik mengirim email) kemungkinan besar adalah account yang terkena hack dan digunakan oleh spammer untuk mengirim email spam.

Contoh log :

Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1417]: 5EE321F183E: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id

Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1410]: 5EED620ED08: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id

Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1407]: 5EFDD20ED09: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id

Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1413]: 5F1A520ED0A: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id

Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1400]: 7774920ED0B: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id

Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1414]: 80E4620ED0C: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id

Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1418]: 8DE6120ED0D: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id

Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1405]: 9113820ED0E: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id

Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1404]: 915B320ED0F: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id

Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1412]: B0E651DA306: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id

Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1406]: B0FC620ED10: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id

Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1408]: B6C9220ED11: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id

Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1399]: D56E320ED12: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id

Apr 21 23:24:24 mail.excellent.id postfix/smtps/smtpd[1409]: 4C12A20ED14: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id

Apr 21 23:24:24 mail.excellent.id postfix/smtps/smtpd[1403]: 9A12120ED15: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id

Apr 21 23:24:24 mail.excellent.id postfix/smtps/smtpd[1398]: C2977201A86: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id

MENGATASI MASALAH

Untuk mengatasi masalah, prosesnya dibagi kedalam beberapa tahapan, yaitu :

  1. Menghentikan pendarahan (menghentikan email spam dibuat lagi)
  2. Mengecek perubahan
  3. Hold email spam
  4. Release email normal
  5. Menghapus email spam
  6. Menghentikan email spam baru

Untuk menghentikan email spam baru dibuat terus menerus, lakukan perubahan password account yang terkena hack. Hal ini bisa dilakukan via Zimbra Admin atau bisa juga dengan perintah konsole (hak akses root) :

su – zimbra -c “zmprov sp vivianchow@excellent.id PasswordYangLebihKuatTermasuk4n9k4Dan&S!mbol”

Mengecek Perubahan

Jika suatu account terkena hack spam, biasanya ada beberapa perubahan yang terjadi. Buka webmail  dengan user name account tersebut  kemudian pilih tab preferences dan check beberapa item, antara lain :

  • Tab Account, berisi nama dan alamat reply-to
  • Signature
  • Draft email
  • Sent Items
  • Trash Email
  • Forwarding

Hold Email Spam

Agar pengiriman email tidak terganggu, lakukan hold terhadap seluruh email, baik yang terindikasi normal maupun spam. Caranya, SSH ke server kemudian jalankan perintah berikut :

/opt/zimbra/postfix/sbin/postsuper -h ALL

Tunggu beberapa saat karena proses hold akan butuh waktu, apalagi jika antrian email banyak sekali.

Release Email Normal

Setelah email dihold, semua email baru akan berjalan lancar. Meski demikian, ada kemungkinan beberapa email normal ikut terkena hold. Untuk merelease-nya, buka Zimbra Admin | Monitor | Mail Queue | Nama Server | Held. Pilih account yang terindikasi normal (bisa dilihat, sendernya dan tujuannya juga normal), kemudian klik kanan dan pilih menu Release

Menghapus Email Spam

Menghapus email spam bisa dilakukan dengan 2 cara, yaitu :

  1. Buka Zimbra Admin | Monitor | Mail Queue | Nama Server | Held. Pilih account yang terindikasi spam (bisa dilihat, sendernya bukan domain resmi,  tujuannya juga biasanya banyak, ke hotmail/yahoo/gmail dan abnormal). Jika email yang dihold ada ribuan, puluhan ribu atau ratusan ribu, tunggu sampai progress bar-nya selesai dan jumlah email spam sudah tampil semua. Jika sudah, pilih account spam tersebut, kemudian klik kanan dan pilih menu Delete
  2. SSH ke server kemudian dengan hak akses root buat dan jalankan script ini :http://vavai.com/script-untuk-menghapus-email-spam-di-queue-zimbra-mail-server/

/srv/pfdel vivianchow@excellent.id

Menghentikan Spam Baru

Untuk mencegah/mengurangi masuknya email spam baru, mungkin bisa mencoba 2 layanan yang dimanage oleh Excellent :

  • Layanan Cloud Anti Spam, Anti Virus dan MX Backup : https://www.excellent.co.id/asav/, berfungsi sebagai scan email masuk dari kemungkinan spam dan virus, sekaligus sebagai backup MX andaikan ada gangguan pada mail server
  • Layanan SMTP Relay dan Mail Gateway : https://www.excellent.co.id/smtp/, berfungsi sebagai SMTP relay sehingga mail server terhindar dari kemungkinan terkena blacklist disisi tujuan. Selain itu, SMTP relay juga bisa memberikan indikasi dan pencegahan dini terhadap kemungkinan terjadinya flooding email spam dari mail server klien

Share

Headline  / Migrasi Server  / Tips, Tricks & Tutorial

Masim Vavai Sugianto
Masim Vavai Sugianto, Tinggal di Bekasi, Bekerja sebagai wirausahawan/Konsultan IT. Penganjur penggunaan sistem Linux dan aplikasi Open Source. Hobby Membaca, Hiking dan Avonturir. Mengembangkan PT. Excellent Infotama Kreasindo sebagai lembaga training dan IT consulting.

You might also like

Excellent SMTP Relay & Blast Email Dashboard : Dari Ide Hingga Eksekusi
November 8, 2018
Upgrade openSUSE Leap 42.1 ke versi 15.1
November 7, 2018
Zimbra HSM, Zimbra Backup dan RAM
November 4, 2018

17 Comments


Icah Ats
July 7, 2015 at 1:48 am

Terima kasih banget nih bang.


bumi
September 2, 2015 at 4:01 pm

mas mau nanya, setiap kali saya dapet email dari cbn, selalu error seperti ini, hasilnya email ga masuk ke user, tolong pencerahannya, berikut error dari mail server

# tail -f /var/log/maillog |grep y@contoh.com
Sep 2 16:08:39 mailserver pop3d: LOGIN, user=y@contoh.com, ip=[::ffff:x.x.x.x]
Sep 2 16:08:39 mailserver pop3d: LOGOUT, user=y@contoh.com, ip=[::ffff:x.x.x.x], top=0, retr=0, time=0
Sep 2 16:11:41 mailserver postfix/smtpd[3780]: NOQUEUE: reject: RCPT from smtp-out-9.cbn.net.id[210.210.188.229]: 451 4.3.5 Server configuration error; from= to= proto=ESMTP helo=


albert
October 23, 2015 at 9:19 am

Dear vavai,

Saya mau tanya, user di kantor banyak yang complaint mereka kirim email ke luar suka masuknya ke junk, tapi tidak semuanya dan ada beberapa email yang ditolak, padahal saya sudah cek domain saya tidak masuk ke dalam daftar blakclist,

setelah saya cek, di webmail saya banyak sekali email spam yang dikirim melalui domain saya, tapi menggunakan account yang tidak pernah saya buat, bagaimana yah cara mengatasinya??

thanks


Ismail
November 6, 2015 at 10:24 am

Dear Mas Vavai,

Mas mohon pencerahannya, mail server yang ada dikantor sering sekalia muncul account email yang aneh dan tidak dikenal. Seolah-olah ada admin yang membuat account baru dengan privilege admin. Untuk kasus ini bagaimana ya cara mengatasinya.

Tks,
Rgds,

Ismail


Masim Vavai Sugianto
November 8, 2015 at 9:49 am

@Ismail,

Versi Zimbra-nya versi berapa? Kelihatannya mesti upgrade Zimbra ke latest update sekalian update patch bash untuk OS-nya


Usman
November 9, 2015 at 5:28 pm

kalau akun internal kasih stempel spam oleh server gmn cara penyelesiannya mas, padahal akun tersebut bukan spam..


m agus munandar
March 15, 2016 at 5:18 am

mas vavai maksud yang su – zimbra -c “mailq” apa ya, soalnya saya masih newbie, ini ada kasus mail zimbra nya di detect spam oleh gmail. makasih ya mas.


Vavai
March 15, 2016 at 7:08 am

su – zimbra -c “mailq” itu untuk mengecek antrian email mas. Kalau kasus Zimbra ditag sebagai spam oleh Gmail bacanya artikel ini : vavai.com/2011/07/28/tips-mail-server-10-ciri-ciri-mail-server-yang-dikonfigurasi-dengan-baik/


Menangkal brute force dan spam di zimbra mail dengan fail2ban | Blog Catatan Harian
August 16, 2016 at 8:44 pm

[…] dan Mengatasi Account yang Terindikasi Spam pada Zimbra Mail Server , saya mengikuti tutorial di http://vavai.com/2015/04/11/tips-mengecek-dan-mengatasi-account-yang-terindikasi-spam-pada-zimbra-ma…   , fail2ban sendiri adaalh aplikasi yang menggunakan IPTables untuk melakukan proses banned […]


Menangkal bruteforce dan spam di zimbra mail dengan fail2ban | Blog Catatan Harian
August 18, 2016 at 7:45 am

[…] dan Mengatasi Account yang Terindikasi Spam pada Zimbra Mail Server , saya mengikuti tutorial di http://vavai.com/2015/04/11/tips-mengecek-dan-mengatasi-account-yang-terindikasi-spam-pada-zimbra-ma…   […]


cuveng87
June 1, 2017 at 5:57 pm

tlg di bantu bos


Indra
August 22, 2017 at 8:55 am

Trimakasih.. Sangat bermanfaat
numpang tanya, apakah dengan update versi zimbra bisa mengatasi masalah spam yg mengirim secara otomatis tanpa setting lagi?
bisakah seseorang memanfaatkan server email kita untuk mining bitcoin(BTC) soalnya saya lihat ada indikasi BTC di informasi akun administrator zimbra.


Kaindra
January 9, 2018 at 5:12 pm

Om vavai kalau untuk deleted di Zimbra 8.7.11 scriptnya gimana?
Saya pake
opt/zimbra/common/sbin/postsuper -d ALL
Kayanya tanpa respond

Thanks


Masim Vavai Sugianto
January 9, 2018 at 7:52 pm

@Kaindra,

Bisa pakai script disini : http://vavai.com/2011/06/27/script-untuk-menghapus-email-spam-di-queue-zimbra-mail-server/

dengan mengganti parameter /opt/zimbra/postfix/sbin/ menjadi /opt/zimbra/common/sbin/


kaindra
January 9, 2018 at 9:11 pm

Thanks Om Vavai.. it’s Work


Tatang
April 25, 2018 at 3:46 pm

Dear Mas Vavai,

Saya pakai zimbra 8.6 ada beberapa masalah :
1. Email spam/phishing seperti dalam pembahasan.
2. Di daily report terlihat jumlah email delivery yg banyak, padahal saya yakin gak mungkin sebanyak itu.
3. Masalah baru dan cukup urgent, ada aktivitas di server zimbra yg mengakibatkan traffic bandwith download membengkak sampai rata2 80 Mbps, di cek di mikrotik terlihat beberapa IP destination nya.

Mohon pencerahan bagaimana cara mengatasi masalah2 di atas, terutama no.3 terima kasih.


Vavai
April 26, 2018 at 6:44 am

@Tatang,

Untuk point pertama dan kedua bisa menggunakan cara dalam artikel ini, kemudian aktifkan anti spam dan anti virus untuk mengurangi kemungkinan

Untuk point 3 ini masalah memcached ddos attack/memcrash. Solusinya sbb :

https://wiki.zimbra.com/index.php?title=Blocking_Memcached_Attack


Leave a Reply

Your email address will not be published. Required fields are marked *

CAPTCHA

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.