Tips Mengecek dan Mengatasi Account yang Terindikasi Spam pada Zimbra Mail Server

Salah satu kendala yang sering terjadi saat saya melakukan audit mail server adalah terjadinya flooding email spam, dalam bentuk pengiriman email spam dalam jumlah massal oleh salah satu atau beberapa account email. Jika dibiarkan, flooding spam ini akan sangat mengganggu pengiriman email akibat penuhnya trafik antrian email. Selain itu, flooding spam ini juga bisa berakibat fatal terhadap mail server karena IP public mail server akan diblacklist oleh server tujuan dan beberapa layanan RBL (Relay Block List)

Flooding spam ini bisa terjadi karena beberapa faktor, yang terbanyak adalah akibat phising email alias email palsu yang di klik. Misalnya email palsu pemberitahuan over kuota yang meminta isian user name dan password.

Sebagai tindakan awal untuk menghentikan pendarahan yang terjadi, berikut adalah beberapa tips yang saya sarikan dari pengalaman saya menangani email server berbasis Zimbra yang melakukan spamming.

email
MENGETAHUI IDENTITAS SPAMMER

SSH ke mesin dengan jumlah deferred/active email terbanyak, kemudian jalankan perintah :

su – zimbra -c “mailq”

perhatikan nama sender/pengirim spam. Jika namanya menggunakan alamat email dengan nama domain kita, catat nama account tersebut

Ada kalanya spammer menyembunyikan account yang digunakan untuk melakukan spamming. Jika demikian, lakukan pengecekan dengan cara SSH ke server dan jalankan perintah :

tail -f /var/log/zimbra.log | grep sasl_method

atau

cat /var/log/zimbra.log | grep sasl_method

Account yang banyak sekali tampil dan tidak normal (misalnya setiap detik mengirim email) kemungkinan besar adalah account yang terkena hack dan digunakan oleh spammer untuk mengirim email spam.

Contoh log :

Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1417]: 5EE321F183E: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id

Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1410]: 5EED620ED08: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id

Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1407]: 5EFDD20ED09: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id

Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1413]: 5F1A520ED0A: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id

Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1400]: 7774920ED0B: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id

Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1414]: 80E4620ED0C: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id

Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1418]: 8DE6120ED0D: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id

Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1405]: 9113820ED0E: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id

Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1404]: 915B320ED0F: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id

Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1412]: B0E651DA306: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id

Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1406]: B0FC620ED10: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id

Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1408]: B6C9220ED11: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id

Apr 21 23:24:23 mail.excellent.id postfix/smtps/smtpd[1399]: D56E320ED12: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id

Apr 21 23:24:24 mail.excellent.id postfix/smtps/smtpd[1409]: 4C12A20ED14: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id

Apr 21 23:24:24 mail.excellent.id postfix/smtps/smtpd[1403]: 9A12120ED15: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id

Apr 21 23:24:24 mail.excellent.id postfix/smtps/smtpd[1398]: C2977201A86: client=unknown[212.212.212.212], sasl_method=LOGIN,sasl_username=vivianchow@excellent.id

MENGATASI MASALAH

Untuk mengatasi masalah, prosesnya dibagi kedalam beberapa tahapan, yaitu :

  1. Menghentikan pendarahan (menghentikan email spam dibuat lagi)
  2. Mengecek perubahan
  3. Hold email spam
  4. Release email normal
  5. Menghapus email spam
  6. Menghentikan email spam baru

Untuk menghentikan email spam baru dibuat terus menerus, lakukan perubahan password account yang terkena hack. Hal ini bisa dilakukan via Zimbra Admin atau bisa juga dengan perintah konsole (hak akses root) :

su – zimbra -c “zmprov sp vivianchow@excellent.id PasswordYangLebihKuatTermasuk4n9k4Dan&S!mbol”

Mengecek Perubahan

Jika suatu account terkena hack spam, biasanya ada beberapa perubahan yang terjadi. Buka webmail  dengan user name account tersebut  kemudian pilih tab preferences dan check beberapa item, antara lain :

  • Tab Account, berisi nama dan alamat reply-to
  • Signature
  • Draft email
  • Sent Items
  • Trash Email
  • Forwarding

Hold Email Spam

Agar pengiriman email tidak terganggu, lakukan hold terhadap seluruh email, baik yang terindikasi normal maupun spam. Caranya, SSH ke server kemudian jalankan perintah berikut :

/opt/zimbra/postfix/sbin/postsuper -h ALL

Tunggu beberapa saat karena proses hold akan butuh waktu, apalagi jika antrian email banyak sekali.

Release Email Normal

Setelah email dihold, semua email baru akan berjalan lancar. Meski demikian, ada kemungkinan beberapa email normal ikut terkena hold. Untuk merelease-nya, buka Zimbra Admin | Monitor | Mail Queue | Nama Server | Held. Pilih account yang terindikasi normal (bisa dilihat, sendernya dan tujuannya juga normal), kemudian klik kanan dan pilih menu Release

Menghapus Email Spam

Menghapus email spam bisa dilakukan dengan 2 cara, yaitu :

  1. Buka Zimbra Admin | Monitor | Mail Queue | Nama Server | Held. Pilih account yang terindikasi spam (bisa dilihat, sendernya bukan domain resmi,  tujuannya juga biasanya banyak, ke hotmail/yahoo/gmail dan abnormal). Jika email yang dihold ada ribuan, puluhan ribu atau ratusan ribu, tunggu sampai progress bar-nya selesai dan jumlah email spam sudah tampil semua. Jika sudah, pilih account spam tersebut, kemudian klik kanan dan pilih menu Delete
  2. SSH ke server kemudian dengan hak akses root buat dan jalankan script ini :http://vavai.com/2011/06/27/script-untuk-menghapus-email-spam-di-queue-zimbra-mail-server/

/srv/pfdel vivianchow@excellent.id

Menghentikan Spam Baru

Untuk mencegah/mengurangi masuknya email spam baru, mungkin bisa mencoba 2 layanan yang dimanage oleh Excellent :

  • Layanan Cloud Anti Spam, Anti Virus dan MX Backup : https://www.excellent.co.id/asav/, berfungsi sebagai scan email masuk dari kemungkinan spam dan virus, sekaligus sebagai backup MX andaikan ada gangguan pada mail server
  • Layanan SMTP Relay dan Mail Gateway : https://www.excellent.co.id/smtp/, berfungsi sebagai SMTP relay sehingga mail server terhindar dari kemungkinan terkena blacklist disisi tujuan. Selain itu, SMTP relay juga bisa memberikan indikasi dan pencegahan dini terhadap kemungkinan terjadinya flooding email spam dari mail server klien
Pin It

10 thoughts on “Tips Mengecek dan Mengatasi Account yang Terindikasi Spam pada Zimbra Mail Server

  1. mas mau nanya, setiap kali saya dapet email dari cbn, selalu error seperti ini, hasilnya email ga masuk ke user, tolong pencerahannya, berikut error dari mail server

    # tail -f /var/log/maillog |grep y@contoh.com
    Sep 2 16:08:39 mailserver pop3d: LOGIN, user=y@contoh.com, ip=[::ffff:x.x.x.x]
    Sep 2 16:08:39 mailserver pop3d: LOGOUT, user=y@contoh.com, ip=[::ffff:x.x.x.x], top=0, retr=0, time=0
    Sep 2 16:11:41 mailserver postfix/smtpd[3780]: NOQUEUE: reject: RCPT from smtp-out-9.cbn.net.id[210.210.188.229]: 451 4.3.5 Server configuration error; from= to= proto=ESMTP helo=

  2. Dear vavai,

    Saya mau tanya, user di kantor banyak yang complaint mereka kirim email ke luar suka masuknya ke junk, tapi tidak semuanya dan ada beberapa email yang ditolak, padahal saya sudah cek domain saya tidak masuk ke dalam daftar blakclist,

    setelah saya cek, di webmail saya banyak sekali email spam yang dikirim melalui domain saya, tapi menggunakan account yang tidak pernah saya buat, bagaimana yah cara mengatasinya??

    thanks

  3. Dear Mas Vavai,

    Mas mohon pencerahannya, mail server yang ada dikantor sering sekalia muncul account email yang aneh dan tidak dikenal. Seolah-olah ada admin yang membuat account baru dengan privilege admin. Untuk kasus ini bagaimana ya cara mengatasinya.

    Tks,
    Rgds,

    Ismail

  4. m agus munandar March 15, 2016 at 5:18 am -

    mas vavai maksud yang su – zimbra -c “mailq” apa ya, soalnya saya masih newbie, ini ada kasus mail zimbra nya di detect spam oleh gmail. makasih ya mas.

  5. su – zimbra -c “mailq” itu untuk mengecek antrian email mas. Kalau kasus Zimbra ditag sebagai spam oleh Gmail bacanya artikel ini : vavai.com/2011/07/28/tips-mail-server-10-ciri-ciri-mail-server-yang-dikonfigurasi-dengan-baik/

  6. Pingback: Menangkal brute force dan spam di zimbra mail dengan fail2ban | Blog Catatan Harian

  7. Pingback: Menangkal bruteforce dan spam di zimbra mail dengan fail2ban | Blog Catatan Harian

Leave a Reply

Your email address will not be published. Required fields are marked *


*