[Mdaemon-L] Phising Email
On 11/12/21 20.44, Syafril Hermansyah via Mdaemon-L wrote: On 11/12/21 01.03, IT Rimau Group wrote: Ada 2 akun email kantor saya yang sepertinya terkena phising email. Jadi kedua akun email ini dipakai oleh orang-orang yang tidak bertanggung jawab, dan dikirimkan ke vendor-vendor ataupun orang lain dengan jumlah yang sangat banyak, sehingga mengakibatkan hampir tiap hari di bagian quarantine queue kedua email itu banyak ditampilkan, dan juga akun email tersebut otomatis ter disable, dipengaturan akun email. Jadi bila ingin diaktifkan kembali, saya harus enable kan akun tersebut. Solusinya kira - kira apa pak Syafril? Maaf lupa menyampaikan bahwa ini adalah masalah Account Hijacking. Bukan masalah terima phising mail melainkan (banyak) kirim mail phising ke internet sebagai dampak account terhijack. Received: from [0.0.0.0] [(95.178.86.1)] by email.rimaugroup.com with ESMTPSA id 57-md5007900.msg; Thu, 09 Dec 2021 18:36:42 +0700 X-Spam-Processed: email.rimaugroup.com, Thu, 09 Dec 2021 18:36:42 +0700 (not processed: message from trusted or authenticated source) X-MDOP-RefID: str=0001.0A67342B.61B1EA47.00AE,ss=4,re=0.000,recu=0.000,reip=0.000,vtr=str,vl=0,cl=4,cld=1,fgs=12 (_st=4 _vt=0 _iwf=0) X-MDRemoteIP: 95.178.86.1 X-MDHelo: [0.0.0.0] X-MDArrival-Date: Thu, 09 Dec 2021 18:36:42 +0700 X-Authenticated-Sender: eri...@rimaugroup.com Ini terjadi karena beberapa hal: 1. Server email.rimaugroup.com belum mengaktifkan strong password. http://mdaemon.dutaint.co.id/mdaemon/21.5.0/passwords.html [x] Require strong passwords atau password-password yang digunakan user lemah (weak). Untuk mengetahui password user mana saja yang lemah bisa lakukan sbb: klik menu "Report weak passwords" Lebih rinci bisa lihat artikel berikut https://www.mail-archive.com/mdaemon-l@dutaint.com/msg42271.html https://www.mail-archive.com/mdaemon-l@dutaint.com/msg42286.html 2. Belum/tidak mengaktifkan Location Screening Spammer/hacker itu berasal dari kota Riyadh, Arab Saudi tetapi bisa memanfaatkan kirim spam mail on behalf akun yang terkena hijack. http://mdaemon.dutaint.co.id/mdaemon/21.5.0/screening_location-screening.html [x] Enable Location Screening Select : all lalu deselect secara manual untuk country Indonesia. Location screening ini akan mencegah authentication attempt dari negara-negara yang difilter. Hacker sebelumnya akan melakukan uji coba mencari tahu username/password yang sesuai untuk di hijack, dengan location screening maka usaha percobaan itu akan digagalkan. Location screening ini akan menggunakan dynamic screening yang merupakan Internet Mail Firewall, jadi pastikan Dynamic Screening service aktif. http://mdaemon.dutaint.co.id/mdaemon/21.5.0/dynamic-screening_options.html [x] Enable the Dynamic Screening service [x] Enable Authentication Failure Tracking [x] Enable Dynamic Screening Blacklist [x] Enable Dynamic Screening Whitelist Percobaan mencari tahu username/password yang valid tidak hanya melalui smtp port 587 atau IMAP/POP3/Webmai/XMPP, tetapi juga ke smtp port 25. Dengan demikian maka smtp port 25 juga perlu diproteksi terhadap usaha authentication attempt. http://mdaemon.dutaint.co.id/mdaemon/21.5.0/security--smtp_authentication.html [x] Do not allow authentication on the SMTP port [x] ...add their IP to the Dynamic Screen if they attempt it anyway -- syafril Syafril Hermansyah MDaemon-L Moderator, run MDaemon 21.5.1 64bit Beta D Mohon tidak kirim private mail (atau cc:) untuk masalah MDaemon. Learn from yesterday, live for today, hope for tomorrow. The important thing is not to stop questioning. --- Albert Einstein -- --[mdaemon-l]-- Milis ini untuk Diskusi antar pengguna MDaemon Mail Server di Indonesia Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette Arsip: http://mdaemon-l.dutaint.com Dokumentasi : http://mdaemon.dutaint.co.id Berlangganan: Kirim mail ke mdaemon-l-subscr...@dutaint.com Henti Langgan: Kirim mail ke mdaemon-l-unsubscr...@dutaint.com Versi terakhir: MDaemon 21.5.0, SecurityGateway 8.0.4
[Mdaemon-L] Phising Email
On 11/12/21 01.03, IT Rimau Group wrote: Ada 2 akun email kantor saya yang sepertinya terkena phising email. Jadi kedua akun email ini dipakai oleh orang-orang yang tidak bertanggung jawab, dan dikirimkan ke vendor-vendor ataupun orang lain dengan jumlah yang sangat banyak, sehingga mengakibatkan hampir tiap hari di bagian quarantine queue kedua email itu banyak ditampilkan, dan juga akun email tersebut otomatis ter disable, dipengaturan akun email. Jadi bila ingin diaktifkan kembali, saya harus enable kan akun tersebut. Solusinya kira - kira apa pak Syafril? Received: from [0.0.0.0] [(95.178.86.1)] by email.rimaugroup.com with ESMTPSA id 57-md5007900.msg; Thu, 09 Dec 2021 18:36:42 +0700 X-Spam-Processed: email.rimaugroup.com, Thu, 09 Dec 2021 18:36:42 +0700 (not processed: message from trusted or authenticated source) X-MDOP-RefID: str=0001.0A67342B.61B1EA47.00AE,ss=4,re=0.000,recu=0.000,reip=0.000,vtr=str,vl=0,cl=4,cld=1,fgs=12 (_st=4 _vt=0 _iwf=0) X-MDRemoteIP: 95.178.86.1 X-MDHelo: [0.0.0.0] X-MDArrival-Date: Thu, 09 Dec 2021 18:36:42 +0700 X-Authenticated-Sender: eri...@rimaugroup.com Ini terjadi karena beberapa hal: 1. Server email.rimaugroup.com belum mengaktifkan strong password. http://mdaemon.dutaint.co.id/mdaemon/21.5.0/passwords.html [x] Require strong passwords atau password-password yang digunakan user lemah (weak). Untuk mengetahui password user mana saja yang lemah bisa lakukan sbb: klik menu "Report weak passwords" Lebih rinci bisa lihat artikel berikut https://www.mail-archive.com/mdaemon-l@dutaint.com/msg42271.html https://www.mail-archive.com/mdaemon-l@dutaint.com/msg42286.html 2. Belum/tidak mengaktifkan Location Screening Spammer/hacker itu berasal dari kota Riyadh, Arab Saudi tetapi bisa memanfaatkan kirim spam mail on behalf akun yang terkena hijack. http://mdaemon.dutaint.co.id/mdaemon/21.5.0/screening_location-screening.html [x] Enable Location Screening Select : all lalu deselect secara manual untuk country Indonesia. Location screening ini akan mencegah authentication attempt dari negara-negara yang difilter. Hacker sebelumnya akan melakukan uji coba mencari tahu username/password yang sesuai untuk di hijack, dengan location screening maka usaha percobaan itu akan digagalkan. Location screening ini akan menggunakan dynamic screening yang merupakan Internet Mail Firewall, jadi pastikan Dynamic Screening service aktif. http://mdaemon.dutaint.co.id/mdaemon/21.5.0/dynamic-screening_options.html [x] Enable the Dynamic Screening service [x] Enable Authentication Failure Tracking [x] Enable Dynamic Screening Blacklist [x] Enable Dynamic Screening Whitelist Percobaan mencari tahu username/password yang valid tidak hanya melalui smtp port 587 atau IMAP/POP3/Webmai/XMPP, tetapi juga ke smtp port 25. Dengan demikian maka smtp port 25 juga perlu diproteksi terhadap usaha authentication attempt. http://mdaemon.dutaint.co.id/mdaemon/21.5.0/security--smtp_authentication.html [x] Do not allow authentication on the SMTP port [x] ...add their IP to the Dynamic Screen if they attempt it anyway -- syafril Syafril Hermansyah MDaemon-L Moderator, run MDaemon 21.5.1 64bit Beta D Mohon tidak kirim private mail (atau cc:) untuk masalah MDaemon. You cannot unify everyone’s thoughts, but you can unify everyone through a common goal. -- Jack Ma -- --[mdaemon-l]-- Milis ini untuk Diskusi antar pengguna MDaemon Mail Server di Indonesia Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette Arsip: http://mdaemon-l.dutaint.com Dokumentasi : http://mdaemon.dutaint.co.id Berlangganan: Kirim mail ke mdaemon-l-subscr...@dutaint.com Henti Langgan: Kirim mail ke mdaemon-l-unsubscr...@dutaint.com Versi terakhir: MDaemon 21.5.0, SecurityGateway 8.0.4
[Mdaemon-L] Email Phishing
On 12/2/21 11:09 AM, Asep Yuliyana via Mdaemon-L wrote: Pakai Iroport type apa? Cisco Ironport Email Security Appliance (ESA) C190 SyncOS pekai versi berapa? 10.0.2-020 Apakah SyncOS selalu diupdate secara berkala? Untuk OS belum pernah update Pak, namun antivirus dan antispam nya selalu update pak. Susah ya melakukan firmware update sehingga belum pakai SyncOS 14.0.1 Mohon advicenya berdasarkan header terlmapir Pak. From: "Emdia S" To: "'scm.application'" Subject: RE: Inter Org DC Kawitan Received: from 209.236.123.66 (HELO server1.intellibiz.net) ([209.236.123.66]) by mx1.kapalapi.co.id with ESMTP; 01 Dec 2021 18:28:35 +0700 Harusnya ditolak kalau pakai MDaemon, sender host tidak punya legalitas internet. Apakah Ironport C190 tidak punya fasilitas "Legality Check"? From: "Emdia S" To: "'scm.application'" Subject: RE: Inter Org DC Kawitan Received: from gateway10.unifiedlayer.com ([74.220.211.225]) by mx1.kapalapi.co.id with ESMTP; 01 Dec 2021 18:29:39 +0700 Yang ini dikirim melalui server yang punya legalitas internet yang cukup, susah ditolak; jadi diblock saja sender address atau sender domainnya karena memang sender itu sengaja kirim spam atau karena akunnya terhijack oleh spammer/hacker. From: "Fendy Arya Gunadi" To: "'scm.application'" Subject: RE: Inter Org DC Kawitan Received: from cpanel1.morahosting.com ([203.176.182.130]) by mx1.kapalapi.co.id with ESMTP; 01 Dec 2021 18:29:30 +0700 Yang ini dikirim melalui server yang punya legalitas internet yang cukup, susah ditolak; jadi diblock saja sender address atau sender domainnya karena memang sender itu sengaja kirim spam atau karena akunnya terhijack oleh spammer/hacker. Karena sendernya pakai domain *.co.id yang memang punya legalitas hukum NKRI, akan lebih baik jika komplain ke mail hosternya. X-AntiAbuse: This header was added to track abuse, please include it with any abuse report X-AntiAbuse: Primary Hostname - cpanel1.morahosting.com X-AntiAbuse: Original Domain - kapalapi.co.id X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12] X-AntiAbuse: Sender Address Domain - ppd.co.id X-Get-Message-Sender-Via: cpanel1.morahosting.com: authenticated_id: market...@ppd.co.id Kirimkan complaint nya To: ab...@ppd.co.id cc: ab...@morahosting.com Lampirkan message header lengkap sebagai lampirannya. Date: Wed, 01 Dec 2021 11:22:53 +0200 From: "Fendy Arya Gunadi" To: "" Received: from gateway21.websitewelcome.com ([192.185.45.228]) by mx1.kapalapi.co.id with ESMTP; 01 Dec 2021 16:22:53 +0700 X-AntiAbuse: This header was added to track abuse, please include it with any abuse report X-AntiAbuse: Primary Hostname - box5730.bluehost.com X-AntiAbuse: Original Domain - kapalapi.co.id X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12] X-AntiAbuse: Sender Address Domain - tppainc.com Yang ini bisa kirim complaint ke To: ab...@.bluehost.com cc: ab...@.websitewelcome.com Lampirkan message header lengkap sebagai lampirannya. Atau block sender domain tppainc.com. -- syafril Syafril Hermansyah MDaemon-L Moderator, run MDaemon 21.5.1 64bit Beta D Mohon tidak kirim private mail (atau cc:) untuk masalah MDaemon. Never give up on anything. If you fail, try, try and try again. You are learning the best ways of doing things. --- Lailah Gifty Akita -- --[mdaemon-l]-- Milis ini untuk Diskusi antar pengguna MDaemon Mail Server di Indonesia Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette Arsip: http://mdaemon-l.dutaint.com Dokumentasi : http://mdaemon.dutaint.co.id Berlangganan: Kirim mail ke mdaemon-l-subscr...@dutaint.com Henti Langgan: Kirim mail ke mdaemon-l-unsubscr...@dutaint.com Versi terakhir: MDaemon 21.5.0, SecurityGateway 8.0.4
[Mdaemon-L] Milis MDaemon-L@dutaint.com live again (2021-12-10)
Hallo semua, Milis MDaemon-L@dutaint.com down sejak Jumat 3 Desember 2021 sekitar jam 13.00 +07.00. Hal itu terjadi karena jaringan (network) terputus akibat gedung dimana server ini berada mengalami kebakaran. https://news.detik.com/berita/d-5837157/gedung-cyber-1-di-mampang-jaksel-kebakaran Sekalipun kebakaran berhasil dipadamkan di hari yang sama, akan tetapi pihak DamKar dan Polisi tidak memperkenankan listrik gedung dinyalakan, sebelum dilakukan pemeriksaan yang lebih instens terhadap jaringan yang terbakar. Setelah itu pihak polisi juga merasa perlu melakukan penyidikkan (investigasi) dari kemungkinan adanya sabotase mengingat gedung Cyber 1 ini merupakan "gedung/kawasan strategis". Alhamdullilah penyidikkan selesai pada hari ini Sabtu 2021-12-10, dan pada jam 17.00 +07.00 server-server kami sudah bisa dihidupkan dan list server ini sudah kembali live pada jam 17.11 +07.00 tadi. Mohon maaf atas ketidaknyamannya. Dan terimakasih atas pengertiannya. -- syafril Syafril Hermansyah MDaemon-L Moderator, run MDaemon 21.5.1 64bit Beta D Mohon tidak kirim private mail (atau cc:) untuk masalah MDaemon. If your actions inspire others to dream more, learn more, do more and become more, you are a leader. --- John Quincy Adams -- --[mdaemon-l]-- Milis ini untuk Diskusi antar pengguna MDaemon Mail Server di Indonesia Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette Arsip: http://mdaemon-l.dutaint.com Dokumentasi : http://mdaemon.dutaint.co.id Berlangganan: Kirim mail ke mdaemon-l-subscr...@dutaint.com Henti Langgan: Kirim mail ke mdaemon-l-unsubscr...@dutaint.com Versi terakhir: MDaemon 21.5.0, SecurityGateway 8.0.4
