Email dikirim dari domain yang bukan user server

Discussion in 'Masalah Teknik dan Keamanan' started by am3n, 23 Jan 2009.

Thread Status:
Not open for further replies.
  1. am3n

    am3n Apprentice 1.0

    Messages:
    384
    Likes Received:
    2
    Trophy Points:
    18
    dear all,

    mau tanya nih.. ada kejadian yang saya ngga ngerti. tiba2x si bos dapet info klo ada spam yang dikirim lewat server. tapi pas saya lihat isi email tsb sebenarnya itu email biasa aja. tapi anehnya baik domain sender / recipient itu bukan user kami ?

    salah satu cara agar si sender bisa kirim email lewat server kami adalah dengan smtp authentication dengan menggunakan user yang sudah ada diserver, tapi anehnya pada saat lihat UID/GID yang digunakan untuk mengirim email tsb hanya hasilnya spt ini:

    X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]
    UID 47: mailnull
    GID 12: mail

    kok bisa ? jadi tambah nga ngerti saya? padahal setting nobody sudah on

    Prevent the user "nobody" from sending out mail to remote addresses: Yes

    apakah saya juga perlu enable SMTP Tweak? saya cari info ttg ini sedikit sekali, sehingga saya tidak mengerti maksudnya :(

    btw: apakah dengan menginstall assp (assp deluxe ataupun asspx) akan bisa handle masalah ini
     
  2. YosDuoS

    YosDuoS Poster 1.0

    Messages:
    82
    Likes Received:
    0
    Trophy Points:
    6
    kalau tidak salah mailnull itu bukan nobody, dan nobody memiliki UID 99 dan GID 99. Jadi wajar kalau email dari mailnull tidak terblokir. Bagaimana denga bagian header lainnya( recieved from)? mungkin bisa jadi patokan untuk melacak.

    mail servernya coba di periksa pakai openrelay test tools, ada beberapa bisa ditemukan di google. kalau pass berarti memang ada peluang spammer dari luar memanfaatkan mail server anda.
     
  3. am3n

    am3n Apprentice 1.0

    Messages:
    384
    Likes Received:
    2
    Trophy Points:
    18
    makasih atas reply nya kk..

    openrelay test emang banyak sih?? tapi nga jelas.. bagian apa yang perlu di edit/tweak? spt ConfigServer Firewall dia khan jelas tuh .. kasih tau akibat nya apa? dan cara disable nya gimana??

    untuk header nya spt ini.. apa yang perlu cari ??

    host = nama host server saya
    server = nama domain server saya

    Code:
    Received: (qmail 937 invoked by uid 125); 22 Jan 2009 01:42:15 -0000
    Received: from ns7.server.com (HELO host.server.com) (69.46.xx.xx)
       by associate.com (qpsmtpd/0.40) with ESMTP; Wed, 21 Jan 2009 20:42:15 -0500
    Received: from [118.136.166.90] (helo=lenovo62e0b36c)
           by host.server.com with esmtpa (Exim 4.69)
           (envelope-from <junaedy@jurianto.or.id>)
           id 1LPoZz-0006uh-If
           for glen_stewart@associate.com; Thu, 22 Jan 2009 08:42:00 +0700
    Message-ID: <001e01c97c32$b1bef2a0$6501a8c0@lenovo62e0b36c>
    From: "junaedy" <junaedy@jurianto.or.id>
    To: "Glen Stewart" <glen_stewart@associate.com>
    Subject: Fw: Help Baby Samuel
    Date: Thu, 22 Jan 2009 08:42:23 +0700
    MIME-Version: 1.0
    Content-Type: text/plain;
           format=flowed;
           charset="iso-8859-1";
           reply-type=original
    Content-Transfer-Encoding: 7bit
    X-Priority: 3
    X-MSMail-Priority: Normal
    X-Mailer: Microsoft Outlook Express 6.00.2900.2180
    X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
    X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
    X-AntiAbuse: Primary Hostname - host.server.com
    X-AntiAbuse: Original Domain - associate.com
    X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]
    X-AntiAbuse: Sender Address Domain - jurianto.or.id
    
    trus .. gara2x kemarin tweak sana dan sini.. skrg malah email tidak ada yang bisa terkirim dari server / forwarding juga... hiks.... :confused::(

    duh knp juga kemarin otak-atik nga dicatet apa aja yang dirubah... :mad:
     
  4. YosDuoS

    YosDuoS Poster 1.0

    Messages:
    82
    Likes Received:
    0
    Trophy Points:
    6
    jurianto.or.id dan associate.com keduanya ada di server itu?
    kalau servernya cpanel, exim configurationnya bisa di reset ke default. exim configuration editor >> button " reset acl config to defaults".

    kalau memang itu open relay, coba di exim configuration editor di centang option "Require incoming SMTP connections to send HELO conforming to internet standards" kalau perlu option atas2nya juga.

    kalau di lihat dari header (helo=lenovo62e0b36c) seharusnya false karena bukan FQDN, tapi mungkin karena option yang saya sebutkan diatas belum di aktifkan, servernya jadi meloloskan email tsbt.

    intinya cukup bagian ACL Options saja yang diutak atik. sambil dimonitor aktivitas email di log nya (/var/log/maillog dan /var/log/exim_mainlog). jangan lupa ditest atau try and error. :)

    kita tunggu juga pendapat rekan2 lain.
     
  5. am3n

    am3n Apprentice 1.0

    Messages:
    384
    Likes Received:
    2
    Trophy Points:
    18
    Urgent

    ke 2 domain tsb bukan client di server ini :(

    saya niat nya juga mau kasih opsi yes di "Require incoming SMTP connections to send HELO conforming to internet standards" tapi aneh nya ... pada saat exim nya di restart... mate...

    Code:
    Waiting for exim to restart..............finished.
    
    /usr/sbin/exim -bd -q30m running as mailnull with pid 13984
    /usr/sbin/exim -tls-on-connect -bd -oX 465 running as mailnull with pid 13989
    /usr/sbin/exim -bd -q30m running as mailnull with pid 14023
    
    exim has failed, please contact the sysadmin.
    
    tidakk........ :eek::eek:

    padahal gw liat port 25 nyala loh??

    Code:
    # netstat -pant | grep :25
    tcp        0      0 0.0.0.0:25                  0.0.0.0:*                   LISTEN      13984/exim
    mungkin gw reset acl to default dulu kali ya ?? ma liat2x log dulu nya..
    thank you dah mau reply... semoga masih mau bantuin
     
  6. am3n

    am3n Apprentice 1.0

    Messages:
    384
    Likes Received:
    2
    Trophy Points:
    18
    kesimpulannya kondisi server cpanel saya skrg.
    tarik email pop3 = OK
    lihat email di webmail (imap) = OK
    kirim email ke server itu dari yahoo = OK
    kirim email keluar dari server itu = ????failed????
    user kirim email menggunakan server itu = ????failed????

    saya perlu cek log yang mana ya ???

    maaf saya kebiasaan pake qmail blm terbiasa pake exim.
    hiks
     
  7. am3n

    am3n Apprentice 1.0

    Messages:
    384
    Likes Received:
    2
    Trophy Points:
    18
    ngga ngerti gimana.. tapi setelah stop firewall dari confingserver dan coba restart exim oke tuh

    Code:
    Waiting for exim to restart..............finished.
    
    /usr/sbin/exim -bd -q30m running as mailnull with pid 14184
    /usr/sbin/exim -tls-on-connect -bd -oX 465 running as mailnull with pid 14189
    
    exim restart ok
    tapi aneh nya saya nemu error ini di /var/log/exim_mainlog
    "2009-01-28 00:00:16 1LRrIO-0002Ib-DE ** am3n_group@yahoo.com <support@server.com> R=lookuphost T=remote_smtp: retry time not reached for any host after a long failure period"

    coba kirim ke yahoo/gmail failed mulu dengan error spt itu..
    tapi klo ke email kantor gpp..
    nga ngerti dah..

    maaf jadi curhat...
     
  8. YosDuoS

    YosDuoS Poster 1.0

    Messages:
    82
    Likes Received:
    0
    Trophy Points:
    6
    seperti masalah DNS atau firewall gitu. coba di periksa juga. atau IP server masuk RBL mungkin?
     
  9. am3n

    am3n Apprentice 1.0

    Messages:
    384
    Likes Received:
    2
    Trophy Points:
    18
    sudah cari2x .. ternyata error itu emang pemberitahuan dari exim bahwa email tsb gagal dikirim (karena suatu alasan tertentu dan exim akan mencoba lagi) tapi skrg itu blm waktunya bagi exim untuk mencoba kirim lagi email tsb :D

    error/notifikasi yang tidak berguna menurut saya.. saya butuh info kenapa email tsb gagal..


    oh iya opsi "Require incoming SMTP connections to send HELO conforming to internet standards" di exim configuration editor itu ternyata sudah dicentang dan saya cek di server lain juga sudah spt nya ini sudah default dari cpanelnya.. tapi baru2x ini ada user komplain tidak tidak bisa kirim email dari outlook dengan error spt ini

    Code:
    550 Access denied - Invalid HELO name (See RFC2821 4.1.1.1)', Port: 25, Secure(SSL): No, Server Error: 550, Error Number: 0x800CCC78
    bagaimana solusi yang terbaik? apakah disable opsi tsb di whm? atau minta user ganti nama pc nya ?? ps: mereka spt nya konek via speedy IP nya 125.x.x.x

    saya baru inget yang kemarin saya centang itu adalah "Require incoming SMTP connections to send a HELO that does not match this server's local domains." maksud nya agar tidak orang yang kirim email menggunakan HELO nama server. tapi karena buru2x .. saya tdk memperhatikan apakah reload exim nya berjalan baik / tidak. jadi nya skrg opsi tsb saya disable. apakah klo opsi tsb di enable tidak masalah ?
     
    Last edited: 28 Jan 2009
  10. am3n

    am3n Apprentice 1.0

    Messages:
    384
    Likes Received:
    2
    Trophy Points:
    18
Loading...
Thread Status:
Not open for further replies.

Share This Page

Loading...