Salah satu hal yang menjadi makanan sehari-hari seorang admin mail server adalah bagaimana caranya menjadikan mail server yang dikelola bersih dari virus dan spam. Meski tidak bersih 100%, paling tidak mail server relatif bebas dari spam dan virus.
Jika suatu saat mail server mendapat serangan spam, salah satu langkah yang diperlukan adalah mengidentifikasi asal muasal spam, alamat email yang digunakan oleh si spammer dan identitas lainnya. Kesemuanya diperlukan agar pergerakan spammer bisa langsung dihentikan, compromised account diketahui dan celah keamanan yang ada bisa segera ditutup.
Cara berikut bisa diterapkan pada Zimbra mail server atau server lain berbasis Postfix dengan menyesuaikan path aplikasi yang digunakan :
Untuk identifikasi spam, gunakan perintah mailq (mail queue) yang akan menampilkan daftar email yang masuk ke dalam queue, terutama email yang deferred :
# su - zimbra
zimbra@mailserver-host:~> mailq
-Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient-------
9202D6A8A66 1749 Mon Dec 20 05:46:40 sender-email@vavai.com
(host mail.perusahaanlain.co.id[196.25.2xx.xxx] refused to talk to me. If you believe that this failure is in error, please contact the intended recipient via alternate means.)
-- 2 Kbytes in 1 Request.
Dari perintah diatas, kita bisa mendapatkan ID dari queue yang sedang berjalan. Lakukan perintah postcat untuk membaca isi dari queue/email. Perhatikan alfabet awal dari ID queue (9 dalam contoh diatas). Itu berarti queue berada di folder /opt/zimbra/data/postfix/spool/deferred/9/
Jalankan perintah postcat menggunakan account root (jika dalam posisi user Zimbra, keluar dari prompt Zimbra dengan perintah exit)
mailserver-host:~ # /opt/zimbra/postfix/sbin/postcat /opt/zimbra/data/postfix/spool/deferred/9/9202D6A8A66
Dari perintah diatas, Zimbra akan menampilkan isi source dari email yang dapat kita gunakan untuk mengecek alamat email sender, IP yang dipergunakan, isi email dan lain-lain. Jika sebagian besar isi mail deferred berasal dari sender yang sama yaitu salah satu account yang ada di mail server kita, kemungkinan besar account tersebut termasuk kedalam kategori compromised account, alias passwordnya sudah terkena hack.
Lakukan testing dengan mengubah password account tersebut dan monitor ulang transaksi pengiriman email dengan perintah :
tail -f /var/log/zimbra.log
Semoga bermanfaat.
3 Comments
Mas vavai,
di Zimbra kalo pengiriman itu keliatan ya dari account yg mana? Berarti pakai smtp-auth? biasanya kan kalo tanpa smtp-auth tidak terlihat pengirimnya dari mana karena diganti “From-nya” oleh spammer?
–budiwijaya
terimakasih infonya
Alternatif lain yang lebih singkat bisa pakai perintah:
postcat -q no_queue|less
Contoh
postcat -q 9202D6A8A66 | less