Thanks! 2011/10/2 Sharuzzaman Ahmat Raslan <[email protected]>
> besar kemungkinan account user yahoo tu dah kena hijack... > > jadi bila dia hantar kepada kita yang menggunakan gmail, email account dia > ada dalam contact, google biasanya tak classify sebagai spam > > saya cadangkan classify email tu sebagai spam dalam gmail, supaya algorithm > gmail boleh belajar tentang spam dan user account tersebut... > > > > > 2011/10/1 Tajul Azhar <[email protected]> > >> Just nak tanya lagi. >> >> Yahoo! mail pernah hantar link, atau satu statement yang membawa kepada >> satu link iklan spam, ubat kuat dan sebagainya. Selalunya saya dapat dari >> emel yahoo! di dalam list contact saya di Gmail account. >> >> Adakah ini emel spam yang sama yang dimaksudkan oleh saudara Umarzuki? >> >> Jika ya, dan semestinya kita terima emel tersebut, dan kita tak nak >> jadikannya sebagai 'user spam', bagaimana kita nak elakkan perkara tersebut >> (jika ada)? >> >> Terima kasih terdahulu >> >> 2011/9/24 Umarzuki Mochlis <[email protected]> >> >>> terima kasih >>> >>> >>> 2011/9/22 hisham keris <[email protected]> >>> >>>> Rakan-rakan, Minta maaf, tak sempat habis tulis emel, anak dah tekan.. >>>> hehehe >>>> Harap maaf, kalau emel terlalu panjang.. sekadar membantu. >>>> >>>> ./hisham >>>> >>>> >>>> 2011/9/22 hisham keris <[email protected]> >>>> >>>>> Marzuki, >>>>> >>>>> Ada beberapa perkara kena buat. >>>>> >>>>> 1) Identify Account yang compromised dan cara spam di hantar. >>>>> >>>>> Cara account di compromised banyak cara, selain dari weak password. Ini >>>>> banyak berlaku. Dan seperti rakan2 lain sebut ada banyak cara nak enforce >>>>> user securekan password dia dalam zimbra. >>>>> >>>>> Ada 2 cara spam email di hantar oleh mereka menggunakan akaun pengguna. >>>>> Bergantung anda punya feature yang di benarkan. >>>>> >>>>> a) Melalui webmail interface >>>>> Dia akan tukar preference seperti reply to, name dan lain-lain termasuk >>>>> kadangnya setkan forwarding semua email yang masuk. Email akan dihantar >>>>> menggunakan webmail interface. >>>>> >>>>> Identify: >>>>> Cara ini senang identify account yang di compromised, sebab dalam email >>>>> queue, kita akan nampak pengguna kita menghantar terlalu banyak email. >>>>> >>>>> b) Melalui email client dan relay melalui SMTP server email. >>>>> Jika server anda enable kan fungsi ini, iaitu, pengguna buleh >>>>> menggunakan klien emel seperti thunderbird, outlook dan sebagainya untuk >>>>> menghantar emel dari luar. Bila spammer tersebut dapat username dan >>>>> password, mereka akan gunakan klien emel tersebut untuk hantar beribu2 >>>>> emel. >>>>> Mereka akan set out going email server adalah server anda, dan >>>>> authentucate >>>>> mengunakan akaun pengguna anda. Kebiasaannya spammer ini akan menukarkan >>>>> header "FROM" yang bukannya domain anda seperti [email protected]. >>>>> >>>>> Identify: >>>>> Agak susah nak identify sebab dalam email queue anda akan nampak sender >>>>> adalah [email protected]. Kita mesti identify apa pengguna asal. >>>>> >>>>> Cara identify: >>>>> i) email queue >>>>> - dari admin interface. Tengok siapa yang banyak hantar email (jika >>>>> masih queue) >>>>> - dari cmd line sebagai zimbra user. type: mailq <-- mungkin list >>>>> terlalu panjang. >>>>> >>>>> ii) dari /opt/zimbra/audit.log* >>>>> - tengok berapa kerap login dari ip-ip luar >>>>> >>>>> iii) dari /var/log/zimbra.log >>>>> Ini sesuai untuk emel yang dihantar melalui emel client menggunakan >>>>> SMTP. >>>>> cari/grep sasl_method atau sasl_username >>>>> Kita akan dapat banyak lagi login untuk menghantar emel >>>>> >>>>> 2) Modify Account >>>>> Tindakan seterusnya setelah dapatkan akaun yang di compromised. >>>>> a) TUKAR PASSWORD melalui web admin >>>>> b) Check preference pada akaun user seperti persona dan forwarding >>>>> >>>>> 3) Remove all spam messages >>>>> Kadang kala ini agak sukar kalau terlalu banyak emel yang masih queue. >>>>> >>>>> a) Dari admin interface >>>>> - remove queue >>>>> >>>>> b) Dari command line >>>>> Memandangkan zimbra menggunakan postfix, jadi cuba gunakan script Ini: >>>>> http://www.ustrem.org/en/articles/postfix-queue-delete-en/ >>>>> Tukarkan path postqueue dan postsuper ke zimbra punya: >>>>> /opt/zimbra/postfix/sbin/postqueue dan >>>>> /opt/zimbra/postfix/sbin/postsuper >>>>> Tukarkan part perl jika perlu. >>>>> >>>>> Larikan skrip tersebut guna user root. >>>>> Syntax: >>>>> Contoh nama skrip: pfdel >>>>> Jadi, larikan begini: ./pfdel [email protected] >>>>> Di mana alamat emel itu adalah alamat pengirim. Kalau alamatnya adalah >>>>> pengguna kita seperti [email protected], lakukan seperti di atas >>>>> >>>>> >>>>> >>>>> >>>>> >>>>> >>>>> On Tue, Sep 20, 2011 at 8:49 PM, MASOKIS <[email protected]> wrote: >>>>> >>>>>> >>>>>> Oh.. thanks for the tips! >>>>>> >>>>>> >>>>>> On Tue, Sep 20, 2011 at 12:34 PM, Sharuzzaman Ahmat Raslan < >>>>>> [email protected]> wrote: >>>>>> >>>>>>> zimbra have option to lock the account after 3 or more attempt. >>>>>>> please enable that feature. >>>>>>> >>>>>>> once your account is locked, you can be sure that someone out there >>>>>>> is brute forcing your password. >>>>>>> >>>>>>> >>>>>>> >>>>>>> >>>>>>> On Tue, Sep 20, 2011 at 12:26 PM, Umarzuki Mochlis < >>>>>>> [email protected]> wrote: >>>>>>> >>>>>>>> >>>>>>>> >>>>>>>> 2011/9/20 Sharuzzaman Ahmat Raslan <[email protected]> >>>>>>>> >>>>>>>>> I have experience working with a web-based email system that a >>>>>>>>> cracker brute-force the user password, and once they got the >>>>>>>>> password, they >>>>>>>>> login to the interface to send spam automatically. >>>>>>>>> >>>>>>>>> may I know what web interface that you use? >>>>>>>>> >>>>>>>>> change your password to something else using 20 random character. >>>>>>>>> use KeePass if necessary. >>>>>>>>> >>>>>>>>> thanks for the tip. >>>>>>>> >>>>>>>> i'm using zimbra 7.1 >>>>>>>> >>>>>>>> -- >>>>>>>> Regards, >>>>>>>> >>>>>>>> Umarzuki Mochlis >>>>>>>> http://debmal.my >>>>>>>> >>>>>>>> -- >>>>>>>> To unsubscribe from and detail about this group >>>>>>>> http://portal.mosc.my/osdc-my-mailing-list-information >>>>>>>> >>>>>>>> OSDC.my Discussion Group In Facebook >>>>>>>> http://www.facebook.com/groups/osdcmalaysia/ >>>>>>>> >>>>>>>> Malaysia Open Source Conference 2012 >>>>>>>> MOSC2012 http://portal.mosc.my/ >>>>>>>> >>>>>>> >>>>>>> >>>>>>> >>>>>>> -- >>>>>>> Sharuzzaman Ahmat Raslan >>>>>>> >>>>>>> -- >>>>>>> To unsubscribe from and detail about this group >>>>>>> http://portal.mosc.my/osdc-my-mailing-list-information >>>>>>> >>>>>>> OSDC.my Discussion Group In Facebook >>>>>>> http://www.facebook.com/groups/osdcmalaysia/ >>>>>>> >>>>>>> Malaysia Open Source Conference 2012 >>>>>>> MOSC2012 http://portal.mosc.my/ >>>>>>> >>>>>> >>>>>> >>>>>> >>>>>> -- >>>>>> VISIT ME @ HTTP://WWW.MASOKIS.COM >>>>>> >>>>>> >>>>>> -- >>>>>> To unsubscribe from and detail about this group >>>>>> http://portal.mosc.my/osdc-my-mailing-list-information >>>>>> >>>>>> OSDC.my Discussion Group In Facebook >>>>>> http://www.facebook.com/groups/osdcmalaysia/ >>>>>> >>>>>> Malaysia Open Source Conference 2012 >>>>>> MOSC2012 http://portal.mosc.my/ >>>>>> >>>>> >>>>> >>>> -- >>>> To unsubscribe from and detail about this group >>>> http://portal.mosc.my/osdc-my-mailing-list-information >>>> >>>> OSDC.my Discussion Group In Facebook >>>> http://www.facebook.com/groups/osdcmalaysia/ >>>> >>>> Malaysia Open Source Conference 2012 >>>> MOSC2012 http://portal.mosc.my/ >>>> >>> >>> >>> >>> -- >>> Regards, >>> >>> Umarzuki Mochlis >>> http://debmal.my >>> >>> -- >>> To unsubscribe from and detail about this group >>> http://portal.mosc.my/osdc-my-mailing-list-information >>> >>> OSDC.my Discussion Group In Facebook >>> http://www.facebook.com/groups/osdcmalaysia/ >>> >>> Malaysia Open Source Conference 2012 >>> MOSC2012 http://portal.mosc.my/ >>> >> >> >> >> -- >> Komuniti Sabily Malaysia >> http://www.sabily.my >> >> -- >> To unsubscribe from and detail about this group >> http://portal.mosc.my/osdc-my-mailing-list-information >> >> OSDC.my Discussion Group In Facebook >> http://www.facebook.com/groups/osdcmalaysia/ >> >> Malaysia Open Source Conference 2012 >> MOSC2012 http://portal.mosc.my/ >> > > > > -- > Sharuzzaman Ahmat Raslan > > -- > To unsubscribe from and detail about this group > http://portal.mosc.my/osdc-my-mailing-list-information > > OSDC.my Discussion Group In Facebook > http://www.facebook.com/groups/osdcmalaysia/ > > Malaysia Open Source Conference 2012 > MOSC2012 http://portal.mosc.my/ > -- Komuniti Sabily Malaysia http://www.sabily.my -- To unsubscribe from and detail about this group http://portal.mosc.my/osdc-my-mailing-list-information OSDC.my Discussion Group In Facebook http://www.facebook.com/groups/osdcmalaysia/ Malaysia Open Source Conference 2012 MOSC2012 http://portal.mosc.my/
