postfix-users  

Re: [postfix-users] Postfix+Squirrelmail+Spam

Hari Hendaryanto
Mon, 31 Aug 2009 20:07:53 -0700

Andri wrote:

Rekan2 Yth,

Mohon masukkannya untuk masalah yg sedang saya hadapi saat ini.
kami mempunyai webmail (squirrelmail 1.4.9a + postfix-2.3.4) yg terkoneksi ke exchange server dimana user login ke webmail menggunakan autentikasi active directory. baru2 ini webmail tsb dibanjiri oleh spam dengan log spt dibawah ini :
Aug 30 05:05:06 webmail postfix/smtpd[1470]: connect from localhost.localdomain[127.0.0.1] Aug 30 05:05:06 webmail postfix/smtpd[1470]: 5621323FA7: client=localhost.localdomain[127.0.0.1] Aug 30 05:05:06 webmail postfix/cleanup[1473]: 5621323FA7: message-id=<7a2d144cd865d8824ecac6ef0cc92afb.squir...@mydomain> Aug 30 05:05:06 webmail postfix/qmgr[1155]: 5621323FA7: from=<i...@email.com>, size=1501, nrcpt=201 (queue active) Aug 30 05:05:07 webmail postfix/smtpd[1470]: disconnect from localhost.localdomain[127.0.0.1] Aug 30 05:05:07 webmail postfix/smtp[1475]: 5621323FA7: to=<christophergilbert...@hotmail.com>, relay=192.168.0.10[192.168.0. 
coba liat di log httpd nya pak,
yg access squirrelmail nya ip dari dalam network atau dari luar network bapak.
kalo dari dalam network, pasti salah satu user bapak ada yg doyan birim bulk email dengan nama sender domain yg bukan punya perusahaan bapak. :D di squirrelmail ada option personal information, isian email address dan reply-to bisa di isi email address apa aja, contoh: i...@email.com.
address spoofing kayak gini memang agak2 sudah kalo yg ngelakuin dari dalam trusted network. karena squiirellmail source address pasti di permit di main.cf. dan selama user authenticated via squirellmail dia bisa ngirim apa aja dengan nama sender apa aja, kecuali kalo destinationnya ngecheck validasi sender.
kalau yg akses dari luar network, mungkin ada orang luar yg tau user password salah satu user bapak.
kalau emailnya di kirim melalaui smtp auth, via client, seperti outlook atau thunderbird bisa di akali seperti ini: 
http://www.felipe-alfaro.org/blog/2006/02/19/block-sender-address-spoofing-with-smpt-auth/


cmiiw


PT.CITRA SARI MAKMUR
SATELLITE & TERRESTRIAL NETWORK

Connecting the distance - anytime, anywhere, any content
http://www.csmcom.com