Seperti kawan ketahui, spamassassin adalah salah satu anti spam yang biasa dipakai dalam email server, spamassassin dapat berjalan di berbagai macam email server seperti qmail, toaster, sendmail, postfix sampai dengan microsoft exchange, fungsinya adalah untuk memfilter email spam atau bahkan membloknya.
Beberapa hari ini email server ditempat saya terkena serangan spam pada beberapa account-nya, kalau dilihat dari banyaknya email yang masuk pada account-account tersebut hanya berjarak satu menit bahkan kurang, mungkin inilah yang disebut email spoofing, serangan ini juga mengakibatkan account menjadi over quota karena email yang masuk terus-menerus, setelah over quota maka mailer daemon akan terkirim ke account postmaster, ini bisa berakibat fatal, mengingat jika postmaster mengalami over quota, log-log penting juga tidak akan terkirim, sehingga kita tidak akan tahu laporan apa saja yang biasanya masuk ke sini setiap hari.
Setelah cek dan menganalisa yang terjadi, total ada tiga account yang terkena serangan spam, semuanya memakai password '123', entah karena rapuhnya password ini atau karena memang ada yang memakai dan secara tidak sengaja register pada situs spam yang dipasang phising, ketiga account tersebut memang dimanfaatkan oleh spammer untuk mengirim email spam ke alamat email orang-orang di public internet.
Terus terang kawan saya bingung mencari solusinya, menghapus account tersebut tentu tidak mungkin karena dipakai oleh orang lain, oh ya kebetulan disini saya memakai qmail sebagai mail server dan squirrelmail sebagai web mailnya dan qmailadmin sebagai administrasi accountnya.
Dengan keadaan tersebut, langkah pertama adalah mengganti password semua account tersebut, tujuannya agar situs spam yang memakai kehilangan hak otorisasinya, dan jika si empunya account gagal login, mereka tentunya mereka akan bertanya ke saya, mungkin ini lebih baik dari pada menghapusnya. Setelah selesai mengganti password cek di dalam log dan memang terlihat pesan autentikasi yang gagal dari vchkpw-smtp dengan memakai password '123'.
Dengan demikian satu masalah mungkin terpecahkan, tetapi seperti penjelasan diatas banyak email masuk yang jaraknya hanya satu menit atau kurang dari beberapa domain sender. Satu domain bahkan bisa mengulang sampai ratusan bahkan ribuan kali pengiriman.
Setelah googling ternyata ada fasiltas dari spamassasin yang bisa blacklist dan whitelist untuk domain sender, mungkin ini terlewatkan dan tidak terkonfigurasi dengan baik. Untuk keperluan tersebut diatas saya memilih untuk mengkonfigurasi blacklist domain sender, untuk mengkofigurasinya login sebagai root dan ketik:
# vi /etc/mail/spamassassin/local.cf
# This is the right place to customize your installation of SpamAssassin.
###########################################################################
blacklist_from *@badspammer.com
blacklist_from *@badspam.com
required_hits 10
Tambahkan: blacklist_from *@badspammer.com (sesuaikan dengan domain sender spammer)
Simpan dan reboot spamassassin, setelah melakukan dua hal tersebut email server kembali aman dan mudah-mudahan saja keadaan ini sampai seterusnya.
Terima kasih, jangan ragu untuk bertanya dan meninggalkan komentar
Mau nanya klo di exchange 2007 gimana konfigurasinya ? trims.
ReplyDeleteUntuk wndows, searching aja spamasassin for windows, trus kawan sesuaikan konfigurasinya.
Deleteprinsipnya sama ko, hanya beda sisitem operasi
selamta mencoba