Blog VavaiSerendipity of Life

Improvement Anti Spam Zimbra

Beberapa malam yang lalu saya sempat midnight show di salah satu gedung lembaga negara sampai sekitar pukul 12 malam gara-gara ada hiburan yang datang dari Rusia. Hiburan itu dalam bentuk serbuan spam yang datang bergelombang menghantam mail server Zimbra sejak pagi hingga malam hari.

Mail server Zimbra yang diserang spam difungsikan sebagai anti spam, anti virus dan front-end mail server. Secara normal biasanya hanya ada ratusan email yang masuk kedalam queue email yang sedang diproses namun kemarin mendadak ada belasan ribu email yang antri di queue email sehingga mengganggu trafik incoming & outgoing email. Sebagian besar email yang masuk merupakan email palsu dengan domain .ru. Besar log yang digunakan untuk mencatat pergerakan email ini biasanya rata-rata berukuran beberapa MB atau puluh MB saja namun kemarin mendadak loncat hingga mencapai lebih dari 1 GB.

Pengecekan log yang saya lakukan menunjukkan IP SMTP server yang digunakan oleh spammer berbeda-beda, kemungkinan besar menggunakan anonymous proxy sehingga blocking IP agak sulit dilakukan. Berikut adalah beberapa hal yang saya lakukan baik sebelum serangan dilakukan maupun sesudahnya :

1. Menurunkan Level Kill & Tag Score untuk Spam dan Virus. Sebelumnya score default untuk kill spam adalah 75%, diturunkan menjadi 55% sedangkan untuk tagging adalah 33%. Score default SpamAssasin adalah 20 jadi 55% equivalen dengan score 11 dan 33% equivalen dengan jumlah score 6.6. Jika score spam lebih dari atau sama dengan 6.6 maka akan ditag sebagai spam sedangkan jika score Spam Assasin lebih dari atau sama dengan 11 maka email langsung di kill dan tidak masuk ke junk inbox. Konfigurasi ini diset melalui menu Zimbra Admin | Global Setting | AS/AV. Tidak menutup kemungkinan score ini saya turunkan agar lebih ampuh dalam membasmi spam
2. Mengaktifkan RBLs Check. Layanan blacklist IP yang saya gunakan antara lain : b.barracudacentral.org, zen.spamhaus.org, dnsbl.njabl.org, dnsbl.ahbl.org, cbl.abuseat.org dan bl.spamcop.net. Daftar tersebut dimasukkan melalui menu Zimbra Admin | Global Setting | MTA
3. Mengaktifkan Fasilitas Blacklist/White List. Langkah-langkahnya bisa dibaca disini : http://wiki.zimbra.com/index.php?title=Improving_Anti-spam_system#Domain_white.2Fblack_list
4. Slow Down Koneksi Concurrent. Spammer biasanya mengirimkan email dalam jumlah yang besar dan membuka koneksi dalam jumlah banyak diwaktu yang bersamaan. Hal ini bisa membuat mail server sangat sibuk dan terpaksa menggunakan sumber daya yang besar untuk mengantisipasinya. Postfix yang menjadi engine Zimbra secara default memperbolehkan koneksi concurrent sebanyak 20-30 koneksi. Saya mengubahnya menjadi 2-3 koneksi dengan perintah sebagai berikut :

   su - zimbra
   postconf -e 'smtpd_hard_error_limit = 3'
   postconf -e 'smtpd_soft_error_limit = 2'
   exit
   su
   cd /opt/zimbra/postfix/sbin
   ./postfix stop
   ./postfix start
   

5. Memastikan Setup IP-IP pada Isian Trusted Network. Hal ini bisa dilakukan melalui menu Zimbra Admin | Server pada tab MTA. Trusted network saya set agar hanya menerima IP mail server tertentu mengingat posisi Zimbra adalah front-end mail server.
6. Mengaktifkan plugin SPF, Pyzor dan Razor. Hal ini bisa dengan mudah diinstall pada openSUSE mengingat softwarenya tersedia secara online melalui http://software.opensuse.org/search sehingga saya tidak perlu melakukan instalasi secara manual

Selain 6 hal diatas saya juga mengecek ulang port-port yang kemungkinan masih terbuka dan menonaktifkan service-service yang tidak urgent. Alhamdulillah setelah beberapa saat queue bisa dibersihkan dari spam-spam yang mengganggu dan kembali normal hingga saat ini. Meski sudah normal saya tetap mengeceknya secara berkala agar tidak ada celah yang memungkinkan terulangnya kejadian yang sama.

Posted by vavai on Nov 6th, 2009 and is filed under Linux, Zimbra. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

5 Responses to “Improvement Anti Spam Zimbra”

1. 

   hafidz November 6th, 2009, 1:02 pm

   Ini plugin buat apa pak –> # Mengaktifkan plugin SPF, Pyzor dan Razor

   Server yang saya tangani malah ada yang sampai relay spam karena sebelumnya sukses melakukan dictionary attack. ternyata di setting securitynya ada yang masih belum bener.
2. 

   Vavai November 6th, 2009, 1:08 pm

   @Hafidz,

   SPF, Pyzor dan Razor digunakan untuk meningkatkan score spam bagi email-email yang tidak eligible dan mail servernya tidak dikonfigurasi dengan benar
3. 

   Dedhi November 7th, 2009, 6:23 am

   Kalo udah begini, filter paling OK buat front end adalah MS Exchange.

   Langsung modar soale, jadi ndak ada email (plus spam) yang masuk lagi
4. 

   samiaji November 8th, 2009, 3:21 am

   kayaknya domain lembaga negara itu kena forgery. dan cara2 diatas pasti masih bisa lolos, karena spammernya bukan dari rusia , tapi dari internal jaringan komputer yg dipakai user…melalui malware,trojan….

   so… aktifkan saja smtp auth dan bersihkan semua komputer user. dengan mengaktifkan banyak2 antispam seperti tulisan diatas akan menurunkan performa server nya sendiri.

Trackbacks

1. Tweets that mention Improvement Anti Spam Zimbra | Blog Vavai -- Topsy.com

Name (required)

Mail (will not be published) (required)

Website