Lagi-lagi Spamming Melalui Zombie

Senin ini saya ke Bandung untuk menyelesaikan beberapa urusan. Berangkat dari Depok kurang lebih pukul 11.00 dan menggunakan mobil sendiri melalui jalur Puncak. Tapi seperti biasa, masalah kantor selalu timbul pada saat yang paling tidak diinginkan. Hasilnya, di tengah-tengah perjalanan, saya harus minggir sebentar (kurang lebih 1 jam) untuk bergabung dengan rekan-rekan di kantor dengan menggunakan koneksi GPRS dengan kekuatan sinyal satu *bar* saja :(.

Ternyata masalahnya adalah spam melalui *zombie*. *Zombie* adalah sebutan untuk komputer-komputer di Internet yang terkena virus atau *worm*, sehingga komputer-komputer tersebut dapat dikontrol oleh sang pembuat virus atau *worm* untuk melakukan apapun yang dikehendakinya. Pada kasus ini, si pembuat virus menginstruksikan para *zombie* untuk mengirim spam dengan cara *dictionary attack*.

*Dictionary attack* bekerja dengan cara mengirim ke alamat email dengan bagian *username* yang random, misalnya: feiljfaiejf@example.com, wqiruiwor@example.com, lseijr@example.com dan seterusnya.

Kerugian yang diakibatkan oleh *dictionary attack* adalah:

1. Menumpuknya antrian email, terutama bagi mail server yang menggunakan sistem *delayed bounce* seperti [Qmail](http://www.qmail.org). *Mail server* dengan sistem ini akan menerima semua email walaupun alamat email tidak valid, termasuk seluruh email hasil *dictionary attack*. Solusi untuk mengatasi hal ini adalah dengan mengganti *mail server* dengan yang tidak menggunakan sistem *delayed bounce*. Untuk pengguna Qmail dapat mengganti fungsi [qmail-smtpd](http://www.qmail.org/qmail-manual-html/man8/qmail-smtpd.html) dengan [qpsmtpd](http://smtpd.develooper.com) yang dilengkapi dengan *plugin* [check_delivery](http://www.hjp.at/projekte/qpsmtpd/plugins.rxml)

2. Habisnya slot koneksi SMTP. Biasanya server SMTP akan membatasi jumlah koneksi maksimum yang akan diterima untuk menghindari pemakaian sumber daya yang berlebihan. Tetapi jika yang mengirim email berjumlah ribuan, maka slot koneksi ini bisa dipastikan akan habis. Pengirim email yang tidak bersalah harus berebut untuk mendapatkan slot koneksi SMTP sebelum bisa mengirim email. Solusi untuk mengatasi hal ini adalah dengan melakukan pemblokiran di tingkat TCP/IP, misalnya dengan menggunakan [iptables](http://www.netfilter.org) di Linux.

Pada umumnya *dictionary attack* mengincar satu domain saja. Jika hal ini yang terjadi pada satu klien saya, maka saya akan ubah MX record domain yang bersangkutan ke 127.0.0.1. Cara ini jauh lebih efisien ketimbang melakukan pemblokiran terhadap puluhan ribu IP yang bisa memakan waktu lebih dari satu hari. Rekor pemblokiran saya adalah [lebih dari 17000 host](https://priyadi.net/archives/2004/10/11/dictionary-spam-attack/)!

Namun, pada kasus saat ini pengiriman spam dilakukan terhadap beberapa domain sekaligus, sehingga saya tidak bisa menerapkan metoda ini :(. Satu-satunya solusi adalah dengan melakukan pemblokiran di tingkat IP dengan [iptables](http://www.netfilter.org). Saat ini saya sudah mendapatkan sekitar 4000 IP. Selain itu saya juga menaikkan jumlah slot koneksi SMTP sebanyak lima kali lipat.

Pengiriman spam memang masih berlangsung, tapi paling tidak saat ini slot koneksi SMTP tidak terpakai seluruhnya sehingga email dengan itikad baik masih dapat masuk. Mungkin karena pelaku spam menargetkan banyak domain, sehingga jumlah koneksi SMTP yang dilakukan ke satu server jauh lebih sedikit dibandingkan jika pelaku spam menargetkan satu domain saja.

15 comments

  1. :”> suGEMBLUNG sudah berhasil melakukan ini :-w – dia bilang semua spam ndak bakal masuk ke mail server nya termasuk ke webmail.fadla.or.id :”> :d :)>- yang pertama euy!

  2. :”> suGEMBLUNG sudah berhasil melakukan ini :-w – dia bilang semua spam ndak bakal masuk ke mail server nya termasuk ke webmail.fadla.or.id :”> :d :)>- yang pertama euy!

  3. sering baca aku malah bingung :D tp ada ilmu baru pastinya hehehehehe mas pri gimana dgn posfix?

  4. itu namanya ngorbanin 1 domain supaya domain yang lain masih bisa nerima mail. yang mx-nya diubah jadi 127.0.0.1 itu ya otomatis jadi gak bisa nerima mail.

  5. #2: biar spam gak bisa masuk ke server itu gampang. yang susah itu gimana supaya email yang bukan spam gak dianggap spam oleh mail servernya :)

  6. Apa si klien gak akan komplain kalo emailnya mengalami downtime? kan konsekuensi di set localhost gak bisa nerima email dari luar.

    BTW, pri.. boleh tau gak kalo di set ke localhost biasanya dalam berapa jam/hari dictionary attack akan berhenti? ntar pas dikembalikan lagi ke MX awal ternyata masih terjadi dictionary attack.

  7. Iya nih.. spam merajalela.. sampe2 mail server kantor gw ke-listing di spamcop segala.. udah beres sih sama ahlinya. hehehe..
    Oia.. Roy™ itu K.R.M.T ROY SURYO NOTODIPROJO yah ?
    Tuh hari ini lagi komentarin Joe Millionaire di Bisnis Indonesia. Lagi kehilangan arah katanya..

  8. #10: pasti komplain, tapi lebih baik satu yang komplain daripada 200 yang komplain. biasanya saya set MX sementara dalam 24 jam. dalam beberapa kasus sebelumnya, setelah 24 jam masih ada spam yang masuk, tapi gak separah sebelumnya.

Leave a Reply to dudi Cancel reply

Your email address will not be published. Required fields are marked *