terima kasih 2011/9/22 hisham keris <[email protected]>
> Rakan-rakan, Minta maaf, tak sempat habis tulis emel, anak dah tekan.. > hehehe > Harap maaf, kalau emel terlalu panjang.. sekadar membantu. > > ./hisham > > > 2011/9/22 hisham keris <[email protected]> > >> Marzuki, >> >> Ada beberapa perkara kena buat. >> >> 1) Identify Account yang compromised dan cara spam di hantar. >> >> Cara account di compromised banyak cara, selain dari weak password. Ini >> banyak berlaku. Dan seperti rakan2 lain sebut ada banyak cara nak enforce >> user securekan password dia dalam zimbra. >> >> Ada 2 cara spam email di hantar oleh mereka menggunakan akaun pengguna. >> Bergantung anda punya feature yang di benarkan. >> >> a) Melalui webmail interface >> Dia akan tukar preference seperti reply to, name dan lain-lain termasuk >> kadangnya setkan forwarding semua email yang masuk. Email akan dihantar >> menggunakan webmail interface. >> >> Identify: >> Cara ini senang identify account yang di compromised, sebab dalam email >> queue, kita akan nampak pengguna kita menghantar terlalu banyak email. >> >> b) Melalui email client dan relay melalui SMTP server email. >> Jika server anda enable kan fungsi ini, iaitu, pengguna buleh menggunakan >> klien emel seperti thunderbird, outlook dan sebagainya untuk menghantar emel >> dari luar. Bila spammer tersebut dapat username dan password, mereka akan >> gunakan klien emel tersebut untuk hantar beribu2 emel. Mereka akan set out >> going email server adalah server anda, dan authentucate mengunakan akaun >> pengguna anda. Kebiasaannya spammer ini akan menukarkan header "FROM" yang >> bukannya domain anda seperti [email protected]. >> >> Identify: >> Agak susah nak identify sebab dalam email queue anda akan nampak sender >> adalah [email protected]. Kita mesti identify apa pengguna asal. >> >> Cara identify: >> i) email queue >> - dari admin interface. Tengok siapa yang banyak hantar email (jika masih >> queue) >> - dari cmd line sebagai zimbra user. type: mailq <-- mungkin list >> terlalu panjang. >> >> ii) dari /opt/zimbra/audit.log* >> - tengok berapa kerap login dari ip-ip luar >> >> iii) dari /var/log/zimbra.log >> Ini sesuai untuk emel yang dihantar melalui emel client menggunakan SMTP. >> cari/grep sasl_method atau sasl_username >> Kita akan dapat banyak lagi login untuk menghantar emel >> >> 2) Modify Account >> Tindakan seterusnya setelah dapatkan akaun yang di compromised. >> a) TUKAR PASSWORD melalui web admin >> b) Check preference pada akaun user seperti persona dan forwarding >> >> 3) Remove all spam messages >> Kadang kala ini agak sukar kalau terlalu banyak emel yang masih queue. >> >> a) Dari admin interface >> - remove queue >> >> b) Dari command line >> Memandangkan zimbra menggunakan postfix, jadi cuba gunakan script Ini: >> http://www.ustrem.org/en/articles/postfix-queue-delete-en/ >> Tukarkan path postqueue dan postsuper ke zimbra punya: >> /opt/zimbra/postfix/sbin/postqueue dan /opt/zimbra/postfix/sbin/postsuper >> Tukarkan part perl jika perlu. >> >> Larikan skrip tersebut guna user root. >> Syntax: >> Contoh nama skrip: pfdel >> Jadi, larikan begini: ./pfdel [email protected] >> Di mana alamat emel itu adalah alamat pengirim. Kalau alamatnya adalah >> pengguna kita seperti [email protected], lakukan seperti di atas >> >> >> >> >> >> >> On Tue, Sep 20, 2011 at 8:49 PM, MASOKIS <[email protected]> wrote: >> >>> >>> Oh.. thanks for the tips! >>> >>> >>> On Tue, Sep 20, 2011 at 12:34 PM, Sharuzzaman Ahmat Raslan < >>> [email protected]> wrote: >>> >>>> zimbra have option to lock the account after 3 or more attempt. please >>>> enable that feature. >>>> >>>> once your account is locked, you can be sure that someone out there is >>>> brute forcing your password. >>>> >>>> >>>> >>>> >>>> On Tue, Sep 20, 2011 at 12:26 PM, Umarzuki Mochlis >>>> <[email protected]>wrote: >>>> >>>>> >>>>> >>>>> 2011/9/20 Sharuzzaman Ahmat Raslan <[email protected]> >>>>> >>>>>> I have experience working with a web-based email system that a cracker >>>>>> brute-force the user password, and once they got the password, they >>>>>> login to >>>>>> the interface to send spam automatically. >>>>>> >>>>>> may I know what web interface that you use? >>>>>> >>>>>> change your password to something else using 20 random character. use >>>>>> KeePass if necessary. >>>>>> >>>>>> thanks for the tip. >>>>> >>>>> i'm using zimbra 7.1 >>>>> >>>>> -- >>>>> Regards, >>>>> >>>>> Umarzuki Mochlis >>>>> http://debmal.my >>>>> >>>>> -- >>>>> To unsubscribe from and detail about this group >>>>> http://portal.mosc.my/osdc-my-mailing-list-information >>>>> >>>>> OSDC.my Discussion Group In Facebook >>>>> http://www.facebook.com/groups/osdcmalaysia/ >>>>> >>>>> Malaysia Open Source Conference 2012 >>>>> MOSC2012 http://portal.mosc.my/ >>>>> >>>> >>>> >>>> >>>> -- >>>> Sharuzzaman Ahmat Raslan >>>> >>>> -- >>>> To unsubscribe from and detail about this group >>>> http://portal.mosc.my/osdc-my-mailing-list-information >>>> >>>> OSDC.my Discussion Group In Facebook >>>> http://www.facebook.com/groups/osdcmalaysia/ >>>> >>>> Malaysia Open Source Conference 2012 >>>> MOSC2012 http://portal.mosc.my/ >>>> >>> >>> >>> >>> -- >>> VISIT ME @ HTTP://WWW.MASOKIS.COM >>> >>> >>> -- >>> To unsubscribe from and detail about this group >>> http://portal.mosc.my/osdc-my-mailing-list-information >>> >>> OSDC.my Discussion Group In Facebook >>> http://www.facebook.com/groups/osdcmalaysia/ >>> >>> Malaysia Open Source Conference 2012 >>> MOSC2012 http://portal.mosc.my/ >>> >> >> > -- > To unsubscribe from and detail about this group > http://portal.mosc.my/osdc-my-mailing-list-information > > OSDC.my Discussion Group In Facebook > http://www.facebook.com/groups/osdcmalaysia/ > > Malaysia Open Source Conference 2012 > MOSC2012 http://portal.mosc.my/ > -- Regards, Umarzuki Mochlis http://debmal.my -- To unsubscribe from and detail about this group http://portal.mosc.my/osdc-my-mailing-list-information OSDC.my Discussion Group In Facebook http://www.facebook.com/groups/osdcmalaysia/ Malaysia Open Source Conference 2012 MOSC2012 http://portal.mosc.my/
