Salah satu kendala yang sering terjadi saat saya melakukan audit mail server adalah terjadinya flooding email spam, dalam bentuk pengiriman email spam dalam jumlah massal oleh salah satu atau beberapa account email. Jika dibiarkan, flooding spam ini akan sangat mengganggu pengiriman email akibat penuhnya trafik antrian email. Selain itu, flooding spam ini juga bisa berakibat fatal terhadap mail server karena IP public mail server akan diblacklist oleh server tujuan dan beberapa layanan RBL (Relay Block List)
Flooding spam ini bisa terjadi karena beberapa faktor, yang terbanyak adalah akibat phising email alias email palsu yang di klik. Misalnya email palsu pemberitahuan over kuota yang meminta isian user name dan password.
Sebagai tindakan awal untuk menghentikan pendarahan yang terjadi, berikut adalah beberapa tips yang saya sarikan dari pengalaman saya menangani email server berbasis Zimbra yang melakukan spamming.
MENGETAHUI IDENTITAS SPAMMER
SSH ke mesin dengan jumlah deferred/active email terbanyak, kemudian jalankan perintah :
su – zimbra -c “mailq”
perhatikan nama sender/pengirim spam. Jika namanya menggunakan alamat email dengan nama domain kita, catat nama account tersebut
Ada kalanya spammer menyembunyikan account yang digunakan untuk melakukan spamming. Jika demikian, lakukan pengecekan dengan cara SSH ke server dan jalankan perintah :
tail -f /var/log/zimbra.log | grep sasl_method
atau
cat /var/log/zimbra.log | grep sasl_method
Account yang banyak sekali tampil dan tidak normal (misalnya setiap detik mengirim email) kemungkinan besar adalah account yang terkena hack dan digunakan oleh spammer untuk mengirim email spam.
Contoh log :
Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1417]: 5EE321F183E: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id
Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1410]: 5EED620ED08: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id
Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1407]: 5EFDD20ED09: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id
Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1413]: 5F1A520ED0A: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id
Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1400]: 7774920ED0B: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id
Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1414]: 80E4620ED0C: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id
Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1418]: 8DE6120ED0D: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id
Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1405]: 9113820ED0E: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id
Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1404]: 915B320ED0F: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id
Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1412]: B0E651DA306: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id
Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1406]: B0FC620ED10: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id
Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1408]: B6C9220ED11: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id
Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1399]: D56E320ED12: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id
Apr 21 23:24:24 mail.excellent.id postfix/smtps/smtpd[1409]: 4C12A20ED14: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id
Apr 21 23:24:24 mail.excellent.id postfix/smtps/smtpd[1403]: 9A12120ED15: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id
Apr 21 23:24:24 mail.excellent.id postfix/smtps/smtpd[1398]: C2977201A86: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id
MENGATASI MASALAH
Untuk mengatasi masalah, prosesnya dibagi kedalam beberapa tahapan, yaitu :
- Menghentikan pendarahan (menghentikan email spam dibuat lagi)
- Mengecek perubahan
- Hold email spam
- Release email normal
- Menghapus email spam
- Menghentikan email spam baru
Untuk menghentikan email spam baru dibuat terus menerus, lakukan perubahan password account yang terkena hack. Hal ini bisa dilakukan via Zimbra Admin atau bisa juga dengan perintah konsole (hak akses root) :
su – zimbra -c “zmprov sp vivianchow@excellent.id PasswordYangLebihKuatTermasuk4n9k4Dan&S!mbol”
Mengecek Perubahan
Jika suatu account terkena hack spam, biasanya ada beberapa perubahan yang terjadi. Buka webmail dengan user name account tersebut kemudian pilih tab preferences dan check beberapa item, antara lain :
- Tab Account, berisi nama dan alamat reply-to
- Signature
- Draft email
- Sent Items
- Trash Email
- Forwarding
Hold Email Spam
Agar pengiriman email tidak terganggu, lakukan hold terhadap seluruh email, baik yang terindikasi normal maupun spam. Caranya, SSH ke server kemudian jalankan perintah berikut :
/opt/zimbra/postfix/sbin/postsuper -h ALL
Tunggu beberapa saat karena proses hold akan butuh waktu, apalagi jika antrian email banyak sekali.
Release Email Normal
Setelah email dihold, semua email baru akan berjalan lancar. Meski demikian, ada kemungkinan beberapa email normal ikut terkena hold. Untuk merelease-nya, buka Zimbra Admin | Monitor | Mail Queue | Nama Server | Held. Pilih account yang terindikasi normal (bisa dilihat, sendernya dan tujuannya juga normal), kemudian klik kanan dan pilih menu Release
Menghapus Email Spam
Menghapus email spam bisa dilakukan dengan 2 cara, yaitu :
- Buka Zimbra Admin | Monitor | Mail Queue | Nama Server | Held. Pilih account yang terindikasi spam (bisa dilihat, sendernya bukan domain resmi, tujuannya juga biasanya banyak, ke hotmail/yahoo/gmail dan abnormal). Jika email yang dihold ada ribuan, puluhan ribu atau ratusan ribu, tunggu sampai progress bar-nya selesai dan jumlah email spam sudah tampil semua. Jika sudah, pilih account spam tersebut, kemudian klik kanan dan pilih menu Delete
- SSH ke server kemudian dengan hak akses root buat dan jalankan script ini :https://www.vavai.com/script-untuk-menghapus-email-spam-di-queue-zimbra-mail-server/
/srv/pfdel vivianchow@excellent.id
Menghentikan Spam Baru
Untuk mencegah/mengurangi masuknya email spam baru, mungkin bisa mencoba 2 layanan yang dimanage oleh Excellent :
- Layanan Cloud Anti Spam, Anti Virus dan MX Backup : https://www.excellent.co.id/asav/, berfungsi sebagai scan email masuk dari kemungkinan spam dan virus, sekaligus sebagai backup MX andaikan ada gangguan pada mail server
- Layanan SMTP Relay dan Mail Gateway : https://www.excellent.co.id/smtp/, berfungsi sebagai SMTP relay sehingga mail server terhindar dari kemungkinan terkena blacklist disisi tujuan. Selain itu, SMTP relay juga bisa memberikan indikasi dan pencegahan dini terhadap kemungkinan terjadinya flooding email spam dari mail server klien
21 Comments
Terima kasih banget nih bang.
mas mau nanya, setiap kali saya dapet email dari cbn, selalu error seperti ini, hasilnya email ga masuk ke user, tolong pencerahannya, berikut error dari mail server
# tail -f /var/log/maillog |grep y@contoh.com
Sep 2 16:08:39 mailserver pop3d: LOGIN, user=y@contoh.com, ip=[::ffff:x.x.x.x]
Sep 2 16:08:39 mailserver pop3d: LOGOUT, user=y@contoh.com, ip=[::ffff:x.x.x.x], top=0, retr=0, time=0
Sep 2 16:11:41 mailserver postfix/smtpd[3780]: NOQUEUE: reject: RCPT from smtp-out-9.cbn.net.id[210.210.188.229]: 451 4.3.5 Server configuration error; from= to= proto=ESMTP helo=
Dear vavai,
Saya mau tanya, user di kantor banyak yang complaint mereka kirim email ke luar suka masuknya ke junk, tapi tidak semuanya dan ada beberapa email yang ditolak, padahal saya sudah cek domain saya tidak masuk ke dalam daftar blakclist,
setelah saya cek, di webmail saya banyak sekali email spam yang dikirim melalui domain saya, tapi menggunakan account yang tidak pernah saya buat, bagaimana yah cara mengatasinya??
thanks
Dear Mas Vavai,
Mas mohon pencerahannya, mail server yang ada dikantor sering sekalia muncul account email yang aneh dan tidak dikenal. Seolah-olah ada admin yang membuat account baru dengan privilege admin. Untuk kasus ini bagaimana ya cara mengatasinya.
Tks,
Rgds,
Ismail
@Ismail,
Versi Zimbra-nya versi berapa? Kelihatannya mesti upgrade Zimbra ke latest update sekalian update patch bash untuk OS-nya
kalau akun internal kasih stempel spam oleh server gmn cara penyelesiannya mas, padahal akun tersebut bukan spam..
mas vavai maksud yang su – zimbra -c “mailq” apa ya, soalnya saya masih newbie, ini ada kasus mail zimbra nya di detect spam oleh gmail. makasih ya mas.
su – zimbra -c “mailq” itu untuk mengecek antrian email mas. Kalau kasus Zimbra ditag sebagai spam oleh Gmail bacanya artikel ini : vavai.com/2011/07/28/tips-mail-server-10-ciri-ciri-mail-server-yang-dikonfigurasi-dengan-baik/
tlg di bantu bos
Trimakasih.. Sangat bermanfaat
numpang tanya, apakah dengan update versi zimbra bisa mengatasi masalah spam yg mengirim secara otomatis tanpa setting lagi?
bisakah seseorang memanfaatkan server email kita untuk mining bitcoin(BTC) soalnya saya lihat ada indikasi BTC di informasi akun administrator zimbra.
Om vavai kalau untuk deleted di Zimbra 8.7.11 scriptnya gimana?
Saya pake
opt/zimbra/common/sbin/postsuper -d ALL
Kayanya tanpa respond
Thanks
@Kaindra,
Bisa pakai script disini : https://www.vavai.com/2011/06/27/script-untuk-menghapus-email-spam-di-queue-zimbra-mail-server/
dengan mengganti parameter /opt/zimbra/postfix/sbin/ menjadi /opt/zimbra/common/sbin/
Thanks Om Vavai.. it’s Work
Dear Mas Vavai,
Saya pakai zimbra 8.6 ada beberapa masalah :
1. Email spam/phishing seperti dalam pembahasan.
2. Di daily report terlihat jumlah email delivery yg banyak, padahal saya yakin gak mungkin sebanyak itu.
3. Masalah baru dan cukup urgent, ada aktivitas di server zimbra yg mengakibatkan traffic bandwith download membengkak sampai rata2 80 Mbps, di cek di mikrotik terlihat beberapa IP destination nya.
Mohon pencerahan bagaimana cara mengatasi masalah2 di atas, terutama no.3 terima kasih.
@Tatang,
Untuk point pertama dan kedua bisa menggunakan cara dalam artikel ini, kemudian aktifkan anti spam dan anti virus untuk mengurangi kemungkinan
Untuk point 3 ini masalah memcached ddos attack/memcrash. Solusinya sbb :
https://wiki.zimbra.com/index.php?title=Blocking_Memcached_Attack
Mas Vavai zimbra saya kok minta restart terus ya?
munculnya bengini:
HTTP ERROR 502
Problem accessing ZCS upstream server. Cannot connect to the ZCS upstream server. Connection is refused.
Possible reasons:
upstream server is unreachable
upstream server is currently being upgraded
upstream server is down
Please contact your ZCS administrator to fix the problem.
Powered by Nginx-Zimbra://
Setelah di restart normal kembali…setiap bulan begitu…ini kenapa ya?
@Made,
HTTP Error 502 biasanya ada problem di mailbox services, kemungkinan besar beban Java dan memory di server. Bisa info spek server dan versi Zimbra-nya?
@ Mas Vavai
ini mas speknya
AMD A8-3870 APU with Radeon(tm) HD Graphics
RAM nya 4gb
versi zimbra 8.6.0_GA 115 FOSS
ubuntu 14.04.4 LTS server
cuma 100 user mas..
mohon pencerahannya mas..terima kasih atas responnya mas..
Siang Pak, saya mau tanya,…
bagaimana cara mengalihkan mail baru pada mail zimbra, dalam hal ini account mail A terima mail masuk ke arcive tetapi tidak terima ke inbox.
cara mengambil mail dari arcive ke inbox bagimana ya pak,? mohon bantuannya, terima kasih.