Rakan-rakan, Minta maaf, tak sempat habis tulis emel, anak dah tekan.. hehehe Harap maaf, kalau emel terlalu panjang.. sekadar membantu.
./hisham 2011/9/22 hisham keris <[email protected]> > Marzuki, > > Ada beberapa perkara kena buat. > > 1) Identify Account yang compromised dan cara spam di hantar. > > Cara account di compromised banyak cara, selain dari weak password. Ini > banyak berlaku. Dan seperti rakan2 lain sebut ada banyak cara nak enforce > user securekan password dia dalam zimbra. > > Ada 2 cara spam email di hantar oleh mereka menggunakan akaun pengguna. > Bergantung anda punya feature yang di benarkan. > > a) Melalui webmail interface > Dia akan tukar preference seperti reply to, name dan lain-lain termasuk > kadangnya setkan forwarding semua email yang masuk. Email akan dihantar > menggunakan webmail interface. > > Identify: > Cara ini senang identify account yang di compromised, sebab dalam email > queue, kita akan nampak pengguna kita menghantar terlalu banyak email. > > b) Melalui email client dan relay melalui SMTP server email. > Jika server anda enable kan fungsi ini, iaitu, pengguna buleh menggunakan > klien emel seperti thunderbird, outlook dan sebagainya untuk menghantar emel > dari luar. Bila spammer tersebut dapat username dan password, mereka akan > gunakan klien emel tersebut untuk hantar beribu2 emel. Mereka akan set out > going email server adalah server anda, dan authentucate mengunakan akaun > pengguna anda. Kebiasaannya spammer ini akan menukarkan header "FROM" yang > bukannya domain anda seperti [email protected]. > > Identify: > Agak susah nak identify sebab dalam email queue anda akan nampak sender > adalah [email protected]. Kita mesti identify apa pengguna asal. > > Cara identify: > i) email queue > - dari admin interface. Tengok siapa yang banyak hantar email (jika masih > queue) > - dari cmd line sebagai zimbra user. type: mailq <-- mungkin list terlalu > panjang. > > ii) dari /opt/zimbra/audit.log* > - tengok berapa kerap login dari ip-ip luar > > iii) dari /var/log/zimbra.log > Ini sesuai untuk emel yang dihantar melalui emel client menggunakan SMTP. > cari/grep sasl_method atau sasl_username > Kita akan dapat banyak lagi login untuk menghantar emel > > 2) Modify Account > Tindakan seterusnya setelah dapatkan akaun yang di compromised. > a) TUKAR PASSWORD melalui web admin > b) Check preference pada akaun user seperti persona dan forwarding > > 3) Remove all spam messages > Kadang kala ini agak sukar kalau terlalu banyak emel yang masih queue. > > a) Dari admin interface > - remove queue > > b) Dari command line > Memandangkan zimbra menggunakan postfix, jadi cuba gunakan script Ini: > http://www.ustrem.org/en/articles/postfix-queue-delete-en/ > Tukarkan path postqueue dan postsuper ke zimbra punya: > /opt/zimbra/postfix/sbin/postqueue dan /opt/zimbra/postfix/sbin/postsuper > Tukarkan part perl jika perlu. > > Larikan skrip tersebut guna user root. > Syntax: > Contoh nama skrip: pfdel > Jadi, larikan begini: ./pfdel [email protected] > Di mana alamat emel itu adalah alamat pengirim. Kalau alamatnya adalah > pengguna kita seperti [email protected], lakukan seperti di atas > > > > > > > On Tue, Sep 20, 2011 at 8:49 PM, MASOKIS <[email protected]> wrote: > >> >> Oh.. thanks for the tips! >> >> >> On Tue, Sep 20, 2011 at 12:34 PM, Sharuzzaman Ahmat Raslan < >> [email protected]> wrote: >> >>> zimbra have option to lock the account after 3 or more attempt. please >>> enable that feature. >>> >>> once your account is locked, you can be sure that someone out there is >>> brute forcing your password. >>> >>> >>> >>> >>> On Tue, Sep 20, 2011 at 12:26 PM, Umarzuki Mochlis >>> <[email protected]>wrote: >>> >>>> >>>> >>>> 2011/9/20 Sharuzzaman Ahmat Raslan <[email protected]> >>>> >>>>> I have experience working with a web-based email system that a cracker >>>>> brute-force the user password, and once they got the password, they login >>>>> to >>>>> the interface to send spam automatically. >>>>> >>>>> may I know what web interface that you use? >>>>> >>>>> change your password to something else using 20 random character. use >>>>> KeePass if necessary. >>>>> >>>>> thanks for the tip. >>>> >>>> i'm using zimbra 7.1 >>>> >>>> -- >>>> Regards, >>>> >>>> Umarzuki Mochlis >>>> http://debmal.my >>>> >>>> -- >>>> To unsubscribe from and detail about this group >>>> http://portal.mosc.my/osdc-my-mailing-list-information >>>> >>>> OSDC.my Discussion Group In Facebook >>>> http://www.facebook.com/groups/osdcmalaysia/ >>>> >>>> Malaysia Open Source Conference 2012 >>>> MOSC2012 http://portal.mosc.my/ >>>> >>> >>> >>> >>> -- >>> Sharuzzaman Ahmat Raslan >>> >>> -- >>> To unsubscribe from and detail about this group >>> http://portal.mosc.my/osdc-my-mailing-list-information >>> >>> OSDC.my Discussion Group In Facebook >>> http://www.facebook.com/groups/osdcmalaysia/ >>> >>> Malaysia Open Source Conference 2012 >>> MOSC2012 http://portal.mosc.my/ >>> >> >> >> >> -- >> VISIT ME @ HTTP://WWW.MASOKIS.COM >> >> >> -- >> To unsubscribe from and detail about this group >> http://portal.mosc.my/osdc-my-mailing-list-information >> >> OSDC.my Discussion Group In Facebook >> http://www.facebook.com/groups/osdcmalaysia/ >> >> Malaysia Open Source Conference 2012 >> MOSC2012 http://portal.mosc.my/ >> > > -- To unsubscribe from and detail about this group http://portal.mosc.my/osdc-my-mailing-list-information OSDC.my Discussion Group In Facebook http://www.facebook.com/groups/osdcmalaysia/ Malaysia Open Source Conference 2012 MOSC2012 http://portal.mosc.my/
