Lagi-lagi Spamming Melalui Zombie
Senin ini saya ke Bandung untuk menyelesaikan beberapa urusan. Berangkat dari Depok kurang lebih pukul 11.00 dan menggunakan mobil sendiri melalui jalur Puncak. Tapi seperti biasa, masalah kantor selalu timbul pada saat yang paling tidak diinginkan. Hasilnya, di tengah-tengah perjalanan, saya harus minggir sebentar (kurang lebih 1 jam) untuk bergabung dengan rekan-rekan di kantor dengan menggunakan koneksi GPRS dengan kekuatan sinyal satu bar saja 
.
Ternyata masalahnya adalah spam melalui zombie. Zombie adalah sebutan untuk komputer-komputer di Internet yang terkena virus atau worm, sehingga komputer-komputer tersebut dapat dikontrol oleh sang pembuat virus atau worm untuk melakukan apapun yang dikehendakinya. Pada kasus ini, si pembuat virus menginstruksikan para zombie untuk mengirim spam dengan cara dictionary attack.
Dictionary attack bekerja dengan cara mengirim ke alamat email dengan bagian username yang random, misalnya: feiljfaiejf@example.com, wqiruiwor@example.com, lseijr@example.com dan seterusnya.
Kerugian yang diakibatkan oleh dictionary attack adalah:
Menumpuknya antrian email, terutama bagi mail server yang menggunakan sistem delayed bounce seperti Qmail. Mail server dengan sistem ini akan menerima semua email walaupun alamat email tidak valid, termasuk seluruh email hasil dictionary attack. Solusi untuk mengatasi hal ini adalah dengan mengganti mail server dengan yang tidak menggunakan sistem delayed bounce. Untuk pengguna Qmail dapat mengganti fungsi qmail-smtpd dengan qpsmtpd yang dilengkapi dengan plugin check_delivery
Habisnya slot koneksi SMTP. Biasanya server SMTP akan membatasi jumlah koneksi maksimum yang akan diterima untuk menghindari pemakaian sumber daya yang berlebihan. Tetapi jika yang mengirim email berjumlah ribuan, maka slot koneksi ini bisa dipastikan akan habis. Pengirim email yang tidak bersalah harus berebut untuk mendapatkan slot koneksi SMTP sebelum bisa mengirim email. Solusi untuk mengatasi hal ini adalah dengan melakukan pemblokiran di tingkat TCP/IP, misalnya dengan menggunakan iptables di Linux.
Pada umumnya dictionary attack mengincar satu domain saja. Jika hal ini yang terjadi pada satu klien saya, maka saya akan ubah MX record domain yang bersangkutan ke 127.0.0.1. Cara ini jauh lebih efisien ketimbang melakukan pemblokiran terhadap puluhan ribu IP yang bisa memakan waktu lebih dari satu hari. Rekor pemblokiran saya adalah lebih dari 17000 host!
Namun, pada kasus saat ini pengiriman spam dilakukan terhadap beberapa domain sekaligus, sehingga saya tidak bisa menerapkan metoda ini . Satu-satunya solusi adalah dengan melakukan pemblokiran di tingkat IP dengan iptables. Saat ini saya sudah mendapatkan sekitar 4000 IP. Selain itu saya juga menaikkan jumlah slot koneksi SMTP sebanyak lima kali lipat.
Pengiriman spam memang masih berlangsung, tapi paling tidak saat ini slot koneksi SMTP tidak terpakai seluruhnya sehingga email dengan itikad baik masih dapat masuk. Mungkin karena pelaku spam menargetkan banyak domain, sehingga jumlah koneksi SMTP yang dilakukan ke satu server jauh lebih sedikit dibandingkan jika pelaku spam menargetkan satu domain saja.
priyadi@priyadi.net
priyadi@priyadi.net
priyadi
1277851
priyadi iman
priyadi@priyadi.net
waaah…dashyat benerrr ya…
gara2 sering baca blognya mas pri, sy jd bnyk tau nih tentang bnyk hal…
sering baca aku malah bingung
tp ada ilmu baru pastinya hehehehehe mas pri gimana dgn posfix?
lha, pri kalo MX-nya dirubah ke localhost apa masih bisa nerima email dari mail server?
iyya, kalo MX-nya gimana caranya nerima email?
bingung aku..
bisa dijelasin lebih lanjut.. ?
–budiw
itu namanya ngorbanin 1 domain supaya domain yang lain masih bisa nerima mail. yang mx-nya diubah jadi 127.0.0.1 itu ya otomatis jadi gak bisa nerima mail.
jangan2 pri diserang sepam sama zombie AA
#2: biar spam gak bisa masuk ke server itu gampang. yang susah itu gimana supaya email yang bukan spam gak dianggap spam oleh mail servernya
Apa si klien gak akan komplain kalo emailnya mengalami downtime? kan konsekuensi di set localhost gak bisa nerima email dari luar.
BTW, pri.. boleh tau gak kalo di set ke localhost biasanya dalam berapa jam/hari dictionary attack akan berhenti? ntar pas dikembalikan lagi ke MX awal ternyata masih terjadi dictionary attack.
Oh….
Uhhh….reaky!!
Iya nih.. spam merajalela.. sampe2 mail server kantor gw ke-listing di spamcop segala.. udah beres sih sama ahlinya. hehehe..
Oia.. Roy™ itu K.R.M.T ROY SURYO NOTODIPROJO yah ?
Tuh hari ini lagi komentarin Joe Millionaire di Bisnis Indonesia. Lagi kehilangan arah katanya..
#10: pasti komplain, tapi lebih baik satu yang komplain daripada 200 yang komplain. biasanya saya set MX sementara dalam 24 jam. dalam beberapa kasus sebelumnya, setelah 24 jam masih ada spam yang masuk, tapi gak separah sebelumnya.
GPRS Sux!!!!