• Masim “Vavai” Sugianto

    Founder PT. Excellent Infotama Kreasindo– perusahaan email services provider (ESP) dan menjadi konsultan pada berbagai instansi pemerintah, korporasi besar, lembaga perbankan dan institusi pendidikan di Indonesia.

    Lebih detail tentang Vavai.




  • Publishing

  • Recent Posts

    • TOEFL ITP Score (Kedua)
    • Bisnis Kelapa Muda
    • Model Usaha
    • Back-End Developer, Front-End Developer & Staff IT Support
    • Markas Excellent Danita
  • Recent Comments

    • zeke on Mudah Belajar Java Bersama [SuSE] Linux – 2, Installasi Java
    • paket wisata karimunjawa on Mengecek dan Memperbaiki Performa Web Menggunakan GTMetrix dan Google Pagespeed Insights
    • bang amin on Mounting Harddisk / Partisi Windows pada [SuSE] Linux
    • MIRA on PR 6 untuk Komunitas openSUSE Indonesia
    • Baharuddin on Tips Menghitung PPN dan Dasar Pengenaan Pajak dari Nilai Total
  • Archives

    • April 2022
    • January 2022
    • July 2021
    • June 2021
    • February 2021
    • January 2021
    • December 2020
    • August 2020
    • July 2020
    • April 2020
    • March 2020
    • August 2019
    • July 2019
    • June 2019
    • March 2019
    • February 2019
    • January 2019
    • November 2018
    • October 2018
    • August 2018
    • May 2018
    • April 2018
    • January 2018
    • December 2017
    • July 2017
    • December 2016
    • November 2016
    • April 2016
    • March 2016
    • November 2015
    • July 2015
    • April 2015
    • November 2014
    • October 2014
    • February 2014
    • January 2014
    • December 2013
    • November 2013
    • October 2013
    • September 2013
    • August 2013
    • June 2013
    • May 2013
    • March 2013
    • February 2013
    • January 2013
    • December 2012
    • November 2012
    • October 2012
    • September 2012
    • August 2012
    • July 2012
    • June 2012
    • May 2012
    • April 2012
    • March 2012
    • February 2012
    • January 2012
    • December 2011
    • November 2011
    • October 2011
    • September 2011
    • August 2011
    • July 2011
    • June 2011
    • May 2011
    • April 2011
    • March 2011
    • February 2011
    • January 2011
    • December 2010
    • November 2010
    • October 2010
    • September 2010
    • August 2010
    • July 2010
    • June 2010
    • May 2010
    • April 2010
    • March 2010
    • February 2010
    • January 2010
    • October 2008
    • September 2008
    • August 2008
    • July 2008
    • June 2008
    • May 2008
    • April 2008
    • March 2008
    • February 2008
    • January 2008
    • December 2007
    • November 2007
    • October 2007
    • September 2007
    • August 2007
    • July 2007
    • June 2007
    • May 2007
    • April 2007
    • March 2007
  • Home
  • Bisnis & Marketing
  • Computer & IT Related
  • Lifestyle
  • Publishing
  • Free Stuff
  • About
  • Kontak

Tips Mengecek dan Mengatasi Account yang Terindikasi Spam pada Zimbra Mail Server

April 11, 2015

Salah satu kendala yang sering terjadi saat saya melakukan audit mail server adalah terjadinya flooding email spam, dalam bentuk pengiriman email spam dalam jumlah massal oleh salah satu atau beberapa account email. Jika dibiarkan, flooding spam ini akan sangat mengganggu pengiriman email akibat penuhnya trafik antrian email. Selain itu, flooding spam ini juga bisa berakibat fatal terhadap mail server karena IP public mail server akan diblacklist oleh server tujuan dan beberapa layanan RBL (Relay Block List)

Flooding spam ini bisa terjadi karena beberapa faktor, yang terbanyak adalah akibat phising email alias email palsu yang di klik. Misalnya email palsu pemberitahuan over kuota yang meminta isian user name dan password.

Sebagai tindakan awal untuk menghentikan pendarahan yang terjadi, berikut adalah beberapa tips yang saya sarikan dari pengalaman saya menangani email server berbasis Zimbra yang melakukan spamming.

email
MENGETAHUI IDENTITAS SPAMMER

SSH ke mesin dengan jumlah deferred/active email terbanyak, kemudian jalankan perintah :

su – zimbra -c “mailq”

perhatikan nama sender/pengirim spam. Jika namanya menggunakan alamat email dengan nama domain kita, catat nama account tersebut

Ada kalanya spammer menyembunyikan account yang digunakan untuk melakukan spamming. Jika demikian, lakukan pengecekan dengan cara SSH ke server dan jalankan perintah :

tail -f /var/log/zimbra.log | grep sasl_method

atau

cat /var/log/zimbra.log | grep sasl_method

Account yang banyak sekali tampil dan tidak normal (misalnya setiap detik mengirim email) kemungkinan besar adalah account yang terkena hack dan digunakan oleh spammer untuk mengirim email spam.

Contoh log :

Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1417]: 5EE321F183E: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id

Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1410]: 5EED620ED08: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id

Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1407]: 5EFDD20ED09: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id

Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1413]: 5F1A520ED0A: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id

Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1400]: 7774920ED0B: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id

Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1414]: 80E4620ED0C: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id

Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1418]: 8DE6120ED0D: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id

Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1405]: 9113820ED0E: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id

Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1404]: 915B320ED0F: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id

Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1412]: B0E651DA306: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id

Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1406]: B0FC620ED10: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id

Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1408]: B6C9220ED11: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id

Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1399]: D56E320ED12: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id

Apr 21 23:24:24 mail.excellent.id postfix/smtps/smtpd[1409]: 4C12A20ED14: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id

Apr 21 23:24:24 mail.excellent.id postfix/smtps/smtpd[1403]: 9A12120ED15: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id

Apr 21 23:24:24 mail.excellent.id postfix/smtps/smtpd[1398]: C2977201A86: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id

MENGATASI MASALAH

Untuk mengatasi masalah, prosesnya dibagi kedalam beberapa tahapan, yaitu :

  1. Menghentikan pendarahan (menghentikan email spam dibuat lagi)
  2. Mengecek perubahan
  3. Hold email spam
  4. Release email normal
  5. Menghapus email spam
  6. Menghentikan email spam baru

Untuk menghentikan email spam baru dibuat terus menerus, lakukan perubahan password account yang terkena hack. Hal ini bisa dilakukan via Zimbra Admin atau bisa juga dengan perintah konsole (hak akses root) :

su – zimbra -c “zmprov sp vivianchow@excellent.id PasswordYangLebihKuatTermasuk4n9k4Dan&S!mbol”

Mengecek Perubahan

Jika suatu account terkena hack spam, biasanya ada beberapa perubahan yang terjadi. Buka webmail  dengan user name account tersebut  kemudian pilih tab preferences dan check beberapa item, antara lain :

  • Tab Account, berisi nama dan alamat reply-to
  • Signature
  • Draft email
  • Sent Items
  • Trash Email
  • Forwarding

Hold Email Spam

Agar pengiriman email tidak terganggu, lakukan hold terhadap seluruh email, baik yang terindikasi normal maupun spam. Caranya, SSH ke server kemudian jalankan perintah berikut :

/opt/zimbra/postfix/sbin/postsuper -h ALL

Tunggu beberapa saat karena proses hold akan butuh waktu, apalagi jika antrian email banyak sekali.

Release Email Normal

Setelah email dihold, semua email baru akan berjalan lancar. Meski demikian, ada kemungkinan beberapa email normal ikut terkena hold. Untuk merelease-nya, buka Zimbra Admin | Monitor | Mail Queue | Nama Server | Held. Pilih account yang terindikasi normal (bisa dilihat, sendernya dan tujuannya juga normal), kemudian klik kanan dan pilih menu Release

Menghapus Email Spam

Menghapus email spam bisa dilakukan dengan 2 cara, yaitu :

  1. Buka Zimbra Admin | Monitor | Mail Queue | Nama Server | Held. Pilih account yang terindikasi spam (bisa dilihat, sendernya bukan domain resmi,  tujuannya juga biasanya banyak, ke hotmail/yahoo/gmail dan abnormal). Jika email yang dihold ada ribuan, puluhan ribu atau ratusan ribu, tunggu sampai progress bar-nya selesai dan jumlah email spam sudah tampil semua. Jika sudah, pilih account spam tersebut, kemudian klik kanan dan pilih menu Delete
  2. SSH ke server kemudian dengan hak akses root buat dan jalankan script ini :https://www.vavai.com/script-untuk-menghapus-email-spam-di-queue-zimbra-mail-server/

/srv/pfdel vivianchow@excellent.id

Menghentikan Spam Baru

Untuk mencegah/mengurangi masuknya email spam baru, mungkin bisa mencoba 2 layanan yang dimanage oleh Excellent :

  • Layanan Cloud Anti Spam, Anti Virus dan MX Backup : https://www.excellent.co.id/asav/, berfungsi sebagai scan email masuk dari kemungkinan spam dan virus, sekaligus sebagai backup MX andaikan ada gangguan pada mail server
  • Layanan SMTP Relay dan Mail Gateway : https://www.excellent.co.id/smtp/, berfungsi sebagai SMTP relay sehingga mail server terhindar dari kemungkinan terkena blacklist disisi tujuan. Selain itu, SMTP relay juga bisa memberikan indikasi dan pencegahan dini terhadap kemungkinan terjadinya flooding email spam dari mail server klien
CloudExcellentplanet-terasi-aggregatorSpamTipsZimbra
Share

Headline  / Migrasi Server  / Tips, Tricks & Tutorial

Masim Vavai Sugianto
Masim Vavai Sugianto, Tinggal di Bekasi, Bekerja sebagai wirausahawan/Konsultan IT. Penganjur penggunaan sistem Linux dan aplikasi Open Source. Hobby Membaca, Hiking dan Avonturir. Mengembangkan PT. Excellent Infotama Kreasindo sebagai lembaga training dan IT consulting.

You might also like

TOEFL ITP Score (Kedua)
April 8, 2022
Model Usaha
January 20, 2022
Back-End Developer, Front-End Developer & Staff IT Support
January 19, 2022

21 Comments


Icah Ats
July 7, 2015 at 1:48 am

Terima kasih banget nih bang.



bumi
September 2, 2015 at 4:01 pm

mas mau nanya, setiap kali saya dapet email dari cbn, selalu error seperti ini, hasilnya email ga masuk ke user, tolong pencerahannya, berikut error dari mail server

# tail -f /var/log/maillog |grep y@contoh.com
Sep 2 16:08:39 mailserver pop3d: LOGIN, user=y@contoh.com, ip=[::ffff:x.x.x.x]
Sep 2 16:08:39 mailserver pop3d: LOGOUT, user=y@contoh.com, ip=[::ffff:x.x.x.x], top=0, retr=0, time=0
Sep 2 16:11:41 mailserver postfix/smtpd[3780]: NOQUEUE: reject: RCPT from smtp-out-9.cbn.net.id[210.210.188.229]: 451 4.3.5 Server configuration error; from= to= proto=ESMTP helo=



albert
October 23, 2015 at 9:19 am

Dear vavai,

Saya mau tanya, user di kantor banyak yang complaint mereka kirim email ke luar suka masuknya ke junk, tapi tidak semuanya dan ada beberapa email yang ditolak, padahal saya sudah cek domain saya tidak masuk ke dalam daftar blakclist,

setelah saya cek, di webmail saya banyak sekali email spam yang dikirim melalui domain saya, tapi menggunakan account yang tidak pernah saya buat, bagaimana yah cara mengatasinya??

thanks



Ismail
November 6, 2015 at 10:24 am

Dear Mas Vavai,

Mas mohon pencerahannya, mail server yang ada dikantor sering sekalia muncul account email yang aneh dan tidak dikenal. Seolah-olah ada admin yang membuat account baru dengan privilege admin. Untuk kasus ini bagaimana ya cara mengatasinya.

Tks,
Rgds,

Ismail



Masim Vavai Sugianto
November 8, 2015 at 9:49 am

@Ismail,

Versi Zimbra-nya versi berapa? Kelihatannya mesti upgrade Zimbra ke latest update sekalian update patch bash untuk OS-nya



Usman
November 9, 2015 at 5:28 pm

kalau akun internal kasih stempel spam oleh server gmn cara penyelesiannya mas, padahal akun tersebut bukan spam..



m agus munandar
March 15, 2016 at 5:18 am

mas vavai maksud yang su – zimbra -c “mailq” apa ya, soalnya saya masih newbie, ini ada kasus mail zimbra nya di detect spam oleh gmail. makasih ya mas.



Vavai
March 15, 2016 at 7:08 am

su – zimbra -c “mailq” itu untuk mengecek antrian email mas. Kalau kasus Zimbra ditag sebagai spam oleh Gmail bacanya artikel ini : vavai.com/2011/07/28/tips-mail-server-10-ciri-ciri-mail-server-yang-dikonfigurasi-dengan-baik/



Menangkal brute force dan spam di zimbra mail dengan fail2ban | Blog Catatan Harian
August 16, 2016 at 8:44 pm

[…] dan Mengatasi Account yang Terindikasi Spam pada Zimbra Mail Server , saya mengikuti tutorial di https://www.vavai.com/2015/04/11/tips-mengecek-dan-mengatasi-account-yang-terindikasi-spam-pada-zimbra-ma…   , fail2ban sendiri adaalh aplikasi yang menggunakan IPTables untuk melakukan proses banned […]



Menangkal bruteforce dan spam di zimbra mail dengan fail2ban | Blog Catatan Harian
August 18, 2016 at 7:45 am

[…] dan Mengatasi Account yang Terindikasi Spam pada Zimbra Mail Server , saya mengikuti tutorial di https://www.vavai.com/2015/04/11/tips-mengecek-dan-mengatasi-account-yang-terindikasi-spam-pada-zimbra-ma…   […]



cuveng87
June 1, 2017 at 5:57 pm

tlg di bantu bos



Indra
August 22, 2017 at 8:55 am

Trimakasih.. Sangat bermanfaat
numpang tanya, apakah dengan update versi zimbra bisa mengatasi masalah spam yg mengirim secara otomatis tanpa setting lagi?
bisakah seseorang memanfaatkan server email kita untuk mining bitcoin(BTC) soalnya saya lihat ada indikasi BTC di informasi akun administrator zimbra.



Kaindra
January 9, 2018 at 5:12 pm

Om vavai kalau untuk deleted di Zimbra 8.7.11 scriptnya gimana?
Saya pake
opt/zimbra/common/sbin/postsuper -d ALL
Kayanya tanpa respond

Thanks



Masim Vavai Sugianto
January 9, 2018 at 7:52 pm

@Kaindra,

Bisa pakai script disini : https://www.vavai.com/2011/06/27/script-untuk-menghapus-email-spam-di-queue-zimbra-mail-server/

dengan mengganti parameter /opt/zimbra/postfix/sbin/ menjadi /opt/zimbra/common/sbin/



kaindra
January 9, 2018 at 9:11 pm

Thanks Om Vavai.. it’s Work



Tatang
April 25, 2018 at 3:46 pm

Dear Mas Vavai,

Saya pakai zimbra 8.6 ada beberapa masalah :
1. Email spam/phishing seperti dalam pembahasan.
2. Di daily report terlihat jumlah email delivery yg banyak, padahal saya yakin gak mungkin sebanyak itu.
3. Masalah baru dan cukup urgent, ada aktivitas di server zimbra yg mengakibatkan traffic bandwith download membengkak sampai rata2 80 Mbps, di cek di mikrotik terlihat beberapa IP destination nya.

Mohon pencerahan bagaimana cara mengatasi masalah2 di atas, terutama no.3 terima kasih.



Vavai
April 26, 2018 at 6:44 am

@Tatang,

Untuk point pertama dan kedua bisa menggunakan cara dalam artikel ini, kemudian aktifkan anti spam dan anti virus untuk mengurangi kemungkinan

Untuk point 3 ini masalah memcached ddos attack/memcrash. Solusinya sbb :

https://wiki.zimbra.com/index.php?title=Blocking_Memcached_Attack



made
March 6, 2019 at 10:32 am

Mas Vavai zimbra saya kok minta restart terus ya?
munculnya bengini:

HTTP ERROR 502

Problem accessing ZCS upstream server. Cannot connect to the ZCS upstream server. Connection is refused.
Possible reasons:

upstream server is unreachable
upstream server is currently being upgraded
upstream server is down

Please contact your ZCS administrator to fix the problem.

Powered by Nginx-Zimbra://

Setelah di restart normal kembali…setiap bulan begitu…ini kenapa ya?



Masim Vavai Sugianto
March 6, 2019 at 7:22 pm

@Made,

HTTP Error 502 biasanya ada problem di mailbox services, kemungkinan besar beban Java dan memory di server. Bisa info spek server dan versi Zimbra-nya?



made
March 8, 2019 at 9:20 am

@ Mas Vavai

ini mas speknya
AMD A8-3870 APU with Radeon(tm) HD Graphics

RAM nya 4gb

versi zimbra 8.6.0_GA 115 FOSS

ubuntu 14.04.4 LTS server

cuma 100 user mas..

mohon pencerahannya mas..terima kasih atas responnya mas..



Ryan
April 16, 2020 at 3:21 pm

Siang Pak, saya mau tanya,…
bagaimana cara mengalihkan mail baru pada mail zimbra, dalam hal ini account mail A terima mail masuk ke arcive tetapi tidak terima ke inbox.
cara mengambil mail dari arcive ke inbox bagimana ya pak,? mohon bantuannya, terima kasih.



Leave a Reply

Your email address will not be published. Required fields are marked *

CAPTCHA
Refresh

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.

  • Artikel



  • Blogroll

    • DNS Propagation Checker
    • Instagram Photo/Video Downloader
    • PT. Excellent Infotama Kreasindo
  • Publishing

  • Recent Posts

    • TOEFL ITP Score (Kedua)
    • Bisnis Kelapa Muda
    • Model Usaha
    • Back-End Developer, Front-End Developer & Staff IT Support
    • Markas Excellent Danita
    • Pekerjaan Excellent
    • iMac 2021
    • Problem Solving
    • Kolam Mina Padi/Mina Genjer
    • Team Excellent


  • Links Ads

  • Recent Post

    • TOEFL ITP Score (Kedua)
    • Bisnis Kelapa Muda
    • Model Usaha
    • Back-End Developer, Front-End Developer & Staff IT Support
    • Markas Excellent Danita
    • Pekerjaan Excellent
    • iMac 2021
    • Problem Solving
    • Kolam Mina Padi/Mina Genjer
    • Team Excellent
    • Telur Bebek Mentah
    • Kursi Kayu dan Gerobak Angkringan
    • Kebun Pisang Barangan dan Ambon Kuning
    • Ternak Bebek
    • Data Statistik Covid dan Edukasi Media
  • Recent Comments

    • zeke on Mudah Belajar Java Bersama [SuSE] Linux – 2, Installasi Java
    • paket wisata karimunjawa on Mengecek dan Memperbaiki Performa Web Menggunakan GTMetrix dan Google Pagespeed Insights
    • bang amin on Mounting Harddisk / Partisi Windows pada [SuSE] Linux
    • MIRA on PR 6 untuk Komunitas openSUSE Indonesia
    • Baharuddin on Tips Menghitung PPN dan Dasar Pengenaan Pajak dari Nilai Total
    • Taufan on Excellent Samba 4 Appliance, Salah Satu Appliance Terpopuler di SUSE Gallery
    • perbaikan boiler on Manusia Utama : Mengurangi Makan Mengurangi Tidur
    • Lampu PJU Tenaga Surya on Selingan Bekerja
    • joy on Peresmian Taman Bacaan Excellent : Rencana Pembelian Rak Buku, Sajadah & Meja Pingpong
    • joy on Instalasi ATI VGA Driver pada Linux BlankOn 7 “Pattimura” & Ubuntu 11.04 “Natty Narwhal”