Tips Zimbra : Mendeteksi Identitas Spammer dari Sebuah Email Queue

December 20, 2010

Salah satu hal yang menjadi makanan sehari-hari seorang admin mail server adalah bagaimana caranya menjadikan mail server yang dikelola bersih dari virus dan spam. Meski tidak bersih 100%, paling tidak mail server relatif bebas dari spam dan virus.

Jika suatu saat mail server mendapat serangan spam, salah satu langkah yang diperlukan adalah mengidentifikasi asal muasal spam, alamat email yang digunakan oleh si spammer dan identitas lainnya. Kesemuanya diperlukan agar pergerakan spammer bisa langsung dihentikan, compromised account diketahui dan celah keamanan yang ada bisa segera ditutup.

Cara berikut bisa diterapkan pada Zimbra mail server atau server lain berbasis Postfix dengan menyesuaikan path aplikasi yang digunakan :

Untuk identifikasi spam, gunakan perintah mailq (mail queue) yang akan menampilkan daftar email yang masuk ke dalam queue, terutama email yang deferred :

# su - zimbra
zimbra@mailserver-host:~> mailq
-Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient-------
9202D6A8A66     1749 Mon Dec 20 05:46:40  sender-email@vavai.com
(host mail.perusahaanlain.co.id[196.25.2xx.xxx] refused to talk to me. If you believe that this failure is in error, please contact the intended recipient via alternate means.)
-- 2 Kbytes in 1 Request.

Dari perintah diatas, kita bisa mendapatkan ID dari queue yang sedang berjalan. Lakukan perintah postcat untuk membaca isi dari queue/email. Perhatikan alfabet awal dari ID queue (9 dalam contoh diatas). Itu berarti queue berada di folder /opt/zimbra/data/postfix/spool/deferred/9/

Jalankan perintah postcat menggunakan account root (jika dalam posisi user Zimbra, keluar dari prompt Zimbra dengan perintah exit)

mailserver-host:~ # /opt/zimbra/postfix/sbin/postcat /opt/zimbra/data/postfix/spool/deferred/9/9202D6A8A66

Dari perintah diatas, Zimbra akan menampilkan isi source dari email yang dapat kita gunakan untuk mengecek alamat email sender, IP yang dipergunakan, isi email dan lain-lain. Jika sebagian besar isi mail deferred berasal dari sender yang sama yaitu salah satu account yang ada di mail server kita, kemungkinan besar account tersebut termasuk kedalam kategori compromised account, alias passwordnya sudah terkena hack.

Lakukan testing dengan mengubah password account tersebut dan monitor ulang transaksi pengiriman email dengan perintah :

tail -f /var/log/zimbra.log

Semoga bermanfaat.


Share

Migrasi Server  / Tips, Tricks & Tutorial

Masim Vavai Sugianto
Masim Vavai Sugianto, Tinggal di Bekasi, Bekerja sebagai wirausahawan/Konsultan IT. Penganjur penggunaan sistem Linux dan aplikasi Open Source. Hobby Membaca, Hiking dan Avonturir. Mengembangkan PT. Excellent Infotama Kreasindo sebagai lembaga training dan IT consulting.

You might also like

Bonus Tahunan dari Dividen
June 21, 2019
Perputaran Roda Kehidupan
March 6, 2019
Kumpul Bersama Team Excellent
February 28, 2019

3 Comments


budiwijaya
December 20, 2010 at 9:55 am

Mas vavai,
di Zimbra kalo pengiriman itu keliatan ya dari account yg mana? Berarti pakai smtp-auth? biasanya kan kalo tanpa smtp-auth tidak terlihat pengirimnya dari mana karena diganti “From-nya” oleh spammer?

–budiwijaya


penjernih air
December 21, 2010 at 9:17 am

terimakasih infonya


Arief Yudhawarman
December 29, 2010 at 9:57 am

Alternatif lain yang lebih singkat bisa pakai perintah:
postcat -q no_queue|less
Contoh
postcat -q 9202D6A8A66 | less


Leave a Reply

Your email address will not be published. Required fields are marked *

CAPTCHA

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.