Home > World Of ICT > IT Forensik walhususon tracking kasus e-mail

IT Forensik walhususon tracking kasus e-mail


Bagi anda para pengguna email pasti sudah kenal dengan yang namanya SPAM, secara sederhana spam dikategorikan sebagai transaksi email yang tidak dinginkan keberadaannya, biasanya berisi mail marketing, email phising, bahkan spam bervirus. Modus operandi para spammer (istilah orang yang suka nyepam) biasanya dengan mengkorek korek/mencoba menemukan celah akun email pada sebuah organisasi dengan weak password (phrasa password yg lemah) misal password adalah 123456, abcdef, qwerty, dll.  Ketika akun email berhasil dikuasai lalu mereka menggunakan third imap/pop mail application untuk melakukan mail bombing secara sadis ke random target database email yang mereka punya, bisa ribuan puluhan ratusan bahkan jutaan dalam satu kali rentan pengiriman.

Bagi mail server yang cerdas semacam Yahoo, Gmail, Microsoft tidak secara serta merta akan menerima email dengan tipikal spam seperti ini, banyak mekanisme proteksi diberlakukan untuk mencegah incoming mail spam, dimulai dari mengecek header keabsahan pengirim, pengecekan identitas server pengirim, cross check whitelist dan blacklist pengirim, pengecekan massive incoming dari server pengirim, dsb.  Nah ketika mail server cerdas tadi menangkap ada aktifitas flooding email dari salah satu IP, secara otomatis status IP pengirim akan ditandai sebagai Spammer, dampaknya adalah seluruh user dari domain/IP tadi tidak akan bisa berkirim email ke tujuan mail server cerdas tadi. Tidak cukup sampai disitu saja, biasanya IP spammer juga akan direcord dan dipublikasikan sebagai blacklist untuk diketahui halayak ramai.

SPAM inilahyang menjadi tantangan terbesar bagi pengelola email sebuah organisasi, administrator diharapkan mampu meredam “kebrutalan” spammer demi kelancaran trafik email pengguna. Berikut saya berbagi sedikit tips untuk mendeteksi keberadaan akun spammet pada mail server khususnya dengan platform Zimbra Collaboratin Suite

1.  Deteksi Spammer dari akun mail organisasi memang rada susyah susyah gamfang, yang penting ada kemauan maka disitu akan ditunjukkan jalan
2. Langkah pertama yakni secara rutin melakukan pengecekan Web ZimbraAdmin terutama dibagian mail    queue.
3.  Kemudian anda juga harus rutin mengecek ZimbraAdmin pada bagian monitoring (Server Statistic), lihat grafik apakah terdapat lonjakan email secara signifikan ?? jika iya maka lihat jam berapa pada titik lonjakan tersebut.
4. Apabila terindikasi memang ada lonjakan mail secara tidak wajar, lanjut ke langkah selanjutnya untuk check logging di server zimbra, dengan remote console tentunya.
5. Misal, rupanya pada tanggal 25 hari ini pada pukul 01:00 terdapat puluhan ribu email banjir
6. Check logging server pada pukul 01.00 tersebut dengan cara
root@zimbra:~# grep 01:00 /var/log/mail.log | more , maka akan muncul transaksi mail pada jam segitu
7. Tinggal catat from mailnya dari user siapa, apabila memang mencurigakan langsung saja itu akun di MUSNAHKAN, eh salah maksudnya di locked dulu😀 .

Contoh yg saya lakukan barusan, rupanya pada jam 01:00 dini hari ada login dgn akun joko dari ip 41.203.67.114 , doi berhasil login namun mungkin dengan mailagent selain webmail zimbra, sehingga pada ZimbraAdmin tidak dihitung sebagai session, karena sudah sepenuhnya menguasai akun joko lalu doi menyamar dengan identitas palsu from cyber_upgrade@cyberservices.com pasti dengan tujuan untuk Phising, biasanya cyber_upgrade ini berisi pemberitahuan upgrade email dan minta kirim password berikut loginnya.

Sep 25 01:03:00 zimbra postfix/smtpd[9871]: 98CAD5E9860: client=unknown[41.203.67.114], 
sasl_method=PLAIN, sasl_username=joko@unila.ac.id
Sep 25 01:03:00 zimbra postfix/cleanup[21880]: EB2475E985B: message-id=<20120924180250.EB2475E985B@zimbra.unila.ac.id>
Sep 25 01:03:00 zimbra postfix/qmgr[30072]: EB2475E985B: 
from=<cyber_upgrade@cyberservices.com>, size=1150, nrcpt=19 (queue active)
Sep 25 01:03:00 zimbra postfix/cleanup[22099]: 3C4DA5E986B: message-id=<20120924180252.3C4DA5E986B@zimbra.unila.ac.id>
Sep 25 01:03:00 zimbra postfix/qmgr[30072]: 3C4DA5E986B: 
from=<cyber_upgrade@cyberservices.com>, size=1150, nrcpt=20 (queue active)
Sep 25 01:03:00 zimbra postfix/smtpd[9070]: D5D1B5E9866: client=unknown[41.203.67.114], sasl_method=PLAIN, sasl_username=joko@unila.ac.id
Sep 25 01:03:00 zimbra postfix/cleanup[22166]: 42DA65E9870: message-id=<20120924180252.42DA65E9870@zimbra.unila.ac.id>
Sep 25 01:03:00 zimbra postfix/smtpd[31084]: E09A85E986F: client=localhost[127.0.0.1]
Sep 25 01:03:00 zimbra postfix/qmgr[30072]: 42DA65E9870: from=<cyber_upgrade@cyberservices.com>, size=1150, nrcpt=20 (queue a
ctive)

Nah yang repot adalah si joko palsu ini kirim mail dengan MEMBABIT BUTA broadcast ke email basing-basing saja, sehingga hal inilah yang membuat mail server Unila di reject oleh sejumlah mail server karena mengirimkan email massive dalam jumlah besar (ribuan bahkan puluhan ribu).

Sep 25 01:03:00 zimbra postfix/smtp[22905]: EB2475E985B: 
to=<dancinggirl@itol.com>, relay=127.0.0.1[127.0.0.1]:10024, delay=1
0, delays=10/0/0/0.17, dsn=2.0.0, status=sent (250 2.0.0 Ok, id=22651-10, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as E09A85E986F)
Sep 25 01:03:00 zimbra postfix/smtp[22905]: EB2475E985B: 
to=<bas0708@mac.com>, relay=127.0.0.1[127.0.0.1]:10024, delay=10, de
lays=10/0/0/0.17, dsn=2.0.0, status=sent (250 2.0.0 Ok, id=22651-10, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as E09A85E986F)
Sep 25 01:03:00 zimbra postfix/smtp[22905]: EB2475E985B: 
to=<nicola.catton@onetel.net>, relay=127.0.0.1[127.0.0.1]:10024, del
ay=10, delays=10/0/0/0.17, dsn=2.0.0, status=sent (250 2.0.0 Ok, id=22651-10, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queu
ed as E09A85E986F)
Sep 25 01:03:00 zimbra postfix/smtp[22905]: EB2475E985B: to=<robertc1@tmail.com>, relay=127.0.0.1[127.0.0.1]:10024, delay=10,
delays=10/0/0/0.17, dsn=2.0.0, status=sent (250 2.0.0 Ok, id=22651-10, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as
E09A85E986F

8. Apabila sudah terlanjur server mail anda di CAP sebagai sumber SPAM, maka solusi paling efektif adalah segera ganti IP Addres mail server anda ke IP baru sembari meminta agar IP lama mail server di rubah statusnya.

  1. No comments yet.
  1. No trackbacks yet.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: