[Mdaemon-L] Email Phishing
> ya melakukan firmware update sehingga belum pakai SyncOS 14.0.1 Kami sudah melakukan ini Pak, semoga sudah bisa teratasi > Harusnya ditolak kalau pakai MDaemon, sender host tidak punya legalitas > internet. > Apakah Ironport C190 tidak punya fasilitas "Legality Check"? Kami akan cek Pak. > Kirimkan complaint nya > To: ab...@ppd.co.id > cc: ab...@morahosting.com > To: ab...@.bluehost.com > cc: ab...@.websitewelcome.com > Lampirkan message header lengkap sebagai lampirannya. Terimakasih Pak Syafril, saat ini kami lakukan blocking hingga nanti kami menerima teriakan dari internal user kalau ada domain sender yg di block, baru kami rilis. Terimakasih, Asep. Y -- --[mdaemon-l]-- Milis ini untuk Diskusi antar pengguna MDaemon Mail Server di Indonesia Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette Arsip: http://mdaemon-l.dutaint.com Dokumentasi : http://mdaemon.dutaint.co.id Berlangganan: Kirim mail ke mdaemon-l-subscr...@dutaint.com Henti Langgan: Kirim mail ke mdaemon-l-unsubscr...@dutaint.com Versi terakhir: MDaemon 21.5.0, SecurityGateway 8.0.4
[Mdaemon-L] Email Phishing
On 12/2/21 11:09 AM, Asep Yuliyana via Mdaemon-L wrote: Pakai Iroport type apa? Cisco Ironport Email Security Appliance (ESA) C190 SyncOS pekai versi berapa? 10.0.2-020 Apakah SyncOS selalu diupdate secara berkala? Untuk OS belum pernah update Pak, namun antivirus dan antispam nya selalu update pak. Susah ya melakukan firmware update sehingga belum pakai SyncOS 14.0.1 Mohon advicenya berdasarkan header terlmapir Pak. From: "Emdia S" To: "'scm.application'" Subject: RE: Inter Org DC Kawitan Received: from 209.236.123.66 (HELO server1.intellibiz.net) ([209.236.123.66]) by mx1.kapalapi.co.id with ESMTP; 01 Dec 2021 18:28:35 +0700 Harusnya ditolak kalau pakai MDaemon, sender host tidak punya legalitas internet. Apakah Ironport C190 tidak punya fasilitas "Legality Check"? From: "Emdia S" To: "'scm.application'" Subject: RE: Inter Org DC Kawitan Received: from gateway10.unifiedlayer.com ([74.220.211.225]) by mx1.kapalapi.co.id with ESMTP; 01 Dec 2021 18:29:39 +0700 Yang ini dikirim melalui server yang punya legalitas internet yang cukup, susah ditolak; jadi diblock saja sender address atau sender domainnya karena memang sender itu sengaja kirim spam atau karena akunnya terhijack oleh spammer/hacker. From: "Fendy Arya Gunadi" To: "'scm.application'" Subject: RE: Inter Org DC Kawitan Received: from cpanel1.morahosting.com ([203.176.182.130]) by mx1.kapalapi.co.id with ESMTP; 01 Dec 2021 18:29:30 +0700 Yang ini dikirim melalui server yang punya legalitas internet yang cukup, susah ditolak; jadi diblock saja sender address atau sender domainnya karena memang sender itu sengaja kirim spam atau karena akunnya terhijack oleh spammer/hacker. Karena sendernya pakai domain *.co.id yang memang punya legalitas hukum NKRI, akan lebih baik jika komplain ke mail hosternya. X-AntiAbuse: This header was added to track abuse, please include it with any abuse report X-AntiAbuse: Primary Hostname - cpanel1.morahosting.com X-AntiAbuse: Original Domain - kapalapi.co.id X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12] X-AntiAbuse: Sender Address Domain - ppd.co.id X-Get-Message-Sender-Via: cpanel1.morahosting.com: authenticated_id: market...@ppd.co.id Kirimkan complaint nya To: ab...@ppd.co.id cc: ab...@morahosting.com Lampirkan message header lengkap sebagai lampirannya. Date: Wed, 01 Dec 2021 11:22:53 +0200 From: "Fendy Arya Gunadi" To: "" Received: from gateway21.websitewelcome.com ([192.185.45.228]) by mx1.kapalapi.co.id with ESMTP; 01 Dec 2021 16:22:53 +0700 X-AntiAbuse: This header was added to track abuse, please include it with any abuse report X-AntiAbuse: Primary Hostname - box5730.bluehost.com X-AntiAbuse: Original Domain - kapalapi.co.id X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12] X-AntiAbuse: Sender Address Domain - tppainc.com Yang ini bisa kirim complaint ke To: ab...@.bluehost.com cc: ab...@.websitewelcome.com Lampirkan message header lengkap sebagai lampirannya. Atau block sender domain tppainc.com. -- syafril Syafril Hermansyah MDaemon-L Moderator, run MDaemon 21.5.1 64bit Beta D Mohon tidak kirim private mail (atau cc:) untuk masalah MDaemon. Never give up on anything. If you fail, try, try and try again. You are learning the best ways of doing things. --- Lailah Gifty Akita -- --[mdaemon-l]-- Milis ini untuk Diskusi antar pengguna MDaemon Mail Server di Indonesia Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette Arsip: http://mdaemon-l.dutaint.com Dokumentasi : http://mdaemon.dutaint.co.id Berlangganan: Kirim mail ke mdaemon-l-subscr...@dutaint.com Henti Langgan: Kirim mail ke mdaemon-l-unsubscr...@dutaint.com Versi terakhir: MDaemon 21.5.0, SecurityGateway 8.0.4
[Mdaemon-L] Email Phishing
Dear Pak Syafril, Mohon maaf atas penyebutan namanya Pak. > Perlihatkan message header dari beberapa phising spam itu kesini. > Lebih baik headernya disimpan ke dalam 1 text file > *.txt agar lebih mudah membedakan 1 dengan yang lain. Terlampir 3 contoh header yang lolos masuk ke inbox dan 1 header yang masuk spam quarantine oleh cinsco ironport > Pakai Iroport type apa? Cisco Ironport Email Security Appliance (ESA) C190 > SyncOS pekai versi berapa? 10.0.2-020 > Apakah SyncOS selalu diupdate secara berkala? Untuk OS belum pernah update Pak, namun antivirus dan antispam nya selalu update pak. Mohon advicenya berdasarkan header terlmapir Pak. Terimakasih, Asep. Y -- --[mdaemon-l]-- Milis ini untuk Diskusi antar pengguna MDaemon Mail Server di Indonesia Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette Arsip: http://mdaemon-l.dutaint.com Dokumentasi : http://mdaemon.dutaint.co.id Berlangganan: Kirim mail ke mdaemon-l-subscr...@dutaint.com Henti Langgan: Kirim mail ke mdaemon-l-unsubscr...@dutaint.com Versi terakhir: MDaemon 21.5.0, SecurityGateway 8.0.4 Return-path: Authentication-Results: mail.fastratabuana.co.id iprev=pass policy.iprev=172.30.30.100 reason="white listed" (HELO mx1.kapalapi.co.id); iprev=pass policy.iprev=172.30.30.100 reason="white listed" (MAIL ci...@asiapacsolution.com) Received: from mx1.kapalapi.co.id by mail.fastratabuana.co.id (MDaemon PRO v16.0.4) with ESMTP id 12-md5489604.msg for ; Wed, 01 Dec 2021 18:28:44 +0700 X-Spam-Processed: mail.fastratabuana.co.id, Wed, 01 Dec 2021 18:28:44 +0700 (not processed: message size (311906) exceeds spam filter configured max size of (102400)) X-MDOP-RefID: str=0001.0A67342B.61A75C6B.005E,ss=1,re=0.000,recu=0.000,reip=0.000,vtr=str,vl=0,cl=1,cld=1,fgs=0 (_st=1 _vt=0 _iwf=0) X-MDHelo: mx1.kapalapi.co.id X-MDArrival-Date: Wed, 01 Dec 2021 18:28:44 +0700 X-Rcpt-To: scm.applicat...@kapalapi.co.id X-MDRcpt-To: scm.applicat...@kapalapi.co.id X-Return-Path: ci...@asiapacsolution.com X-Envelope-From: ci...@asiapacsolution.com X-MDaemon-Deliver-To: scm.applicat...@kapalapi.co.id IronPort-PHdr: =?us-ascii?q?A9a23=3A9/yB9xP5i4UtVjlys6gl6nYZDRdPi9zP1u491JM?= =?us-ascii?q?rhvp0f7i5+Ny6ZQqDv60r1QSWFt+Ko9t/yMPu+5j6XmIB5ZvT+FsjS7drEyE/t?= =?us-ascii?q?MMNggY7C9SEA0CoZNTjbig9AdgQHAQ9pyLzPkdaAtvxaEPPqXOu8zESBg//NQ1?= =?us-ascii?q?oLejpB4Lelcu62/6u95HJfglFijiwbbxsIBiysA7cqtQYjYx+J6gr1xDHuGFIe?= =?us-ascii?q?+NYxWNpIVKcgRPx7dqu8ZBg7ipdpesv+9ZPXqvmcas4S6dYDCk9PGAu+MLrrxj?= =?us-ascii?q?DQhCR6XYaT24bjwBHAwnB7BH9Q5fxri73vfdz1SWGIcH7S60/VDK/5KlpVRDok?= =?us-ascii?q?j8KOTA5/m/Jl8J/g75UrQmkpxBj34LZep2ZOOZ8c67bYNgURXBBXsFUVyFZDI+?= =?us-ascii?q?yYI4PAPcAPelCsoLzulUCpga5CAawBePvzCJHh3/t0KIgyOQhEBvJ3BQ6EN0Sq?= =?us-ascii?q?3TUq9H1NLoOUeC0y6nIyy/PYO9R2Tf48YXFdA0qrv6QU7xqa8XR1VUvGB3fjlW?= =?us-ascii?q?WsYHoPjyY2+sCvWSH4ORtUeCihWA6pwxxozWiyNshh4bLi48I1F3I6zt0zZgxK?= =?us-ascii?q?NC4S0N1Yd+pHZhMuyyeKod7Qs0vTmd1syg50r0LoYC3cDQOxZg92RLSZf2Kf5K?= =?us-ascii?q?V7h79WuudOzZ1iXN9dL6imRq+71KsxvD/W8WoylpGsytIn9rWun0J0RHY99KJR?= =?us-ascii?q?eFn/ki73DaCzwDT5f9AIUAzjafbMIAuwqQulpUNq0TPAzX6mETwjK+KaEok/uy?= =?us-ascii?q?o6+X8bbXnp56QLYl0hR/iMqg2m8y/B/o3MhQWUmSF5eix0Kfv8VP3TbhLlPE6j?= =?us-ascii?q?7fVvZ7AKckap6O1GwpV3Zwi6xa7ATemytMYnXwfIV1ZeRKHiZXmOlHVLf/iFve?= =?us-ascii?q?/gk6jkC9xyP/aJb3hBZHNLmXfkLfgerZ97VRQxxY0zdBa/55UEK0OIOrvWk/ts?= =?us-ascii?q?9zVFgQ5PBCxw+r9Etp9zpseWWaOAqCFKqzSrV6I5uUpI+SXZ48aoi79JOIh5/H?= =?us-ascii?q?0lX85mEURcrWu3ZcNaXC3A6cuH0LMKzX3idJHGH8Sugs1RfDrj1vNG3YHfH23G?= =?us-ascii?q?ask/jU6A4u6DIDFboOkmLWF1T+6WJZRIGFKXAOiC3DtIs+pXvsNYWqpaIc1mT0?= =?us-ascii?q?CWamJQpQg3AmnvxT9z6d7L+3SvCYfsMSwh5BO++TPmERqpnRPBMOH3jTVJ1w?= =?us-ascii?q?=3D?= IronPort-HdrOrdr: =?us-ascii?q?A9a23=3AfkvlB64J0JPj6F4UGQPXwPnXdLJyesId70hD?= =?us-ascii?q?6qkRc3xom6mj/PxG88536faZslossRIb+OxoUZPoKRnhHPVOj7X5U43MYOHC0F?= =?us-ascii?q?HYT/ABnO6Sp0yGJ8XcntQtrJuJSMBFebvN5WoTt7eD3OGPe+xQu+Vux8iT9J3j?= =?us-ascii?q?80s=3D?= X-IronPort-Anti-Spam-Filtered: true X-IronPort-Anti-Spam-Result: =?us-ascii?q?A0F4BADlpThhbUJ77NFaHgENLwwOCxKCc?= =?us-ascii?q?w2BcS0rKBIxhEiJBIVhgic4AYMelG2DWoFoCwEBAQEBAQEBAQQBBD0EBAEBBIE?= =?us-ascii?q?ng0cCHjMFgWgmOBMBAhgBAQEBBAEBAQIBBgMBAQECECsHXoVoDYI1IoIDgS9CA?= =?us-ascii?q?QEKAR0CCAESAQEUJBoRBAEBBgEBAQoOAQYDAgQVDyAJDgsHAYJygncPAQWpcHq?= =?us-ascii?q?BMYEBgggBAQaHVweBQ4FTgQpYgklGSwGBUgKFWoYUNz6ECnCCYROCUYhcc6IjT?= =?us-ascii?q?4sChhqCTAMCYwWITAoLgyCFQoMIAqYphX6RIpQcoXOFZYF4IoFccBWDJCsBERQ?= =?us-ascii?q?ZZpE7imY5MwI2AgYLAQEDCZIMAQE?= X-IPAS-Result: =?us-ascii?q?A0F4BADlpThhbUJ77NFaHgENLwwOCxKCcw2BcS0rKBIxhEi?= =?us-ascii?q?JBIVhgic4AYMelG2DWoFoCwEBAQEBAQEBAQQBBD0EBAEBBIEng0cCHjMFgWgmO?= =?us-ascii?q?BMBAhgBAQEBBAEBAQIBBgMBAQECECsHXoVoDYI1IoIDgS9CAQEKAR0CCAESAQE?= =?us-ascii?q?UJBoRBAEBBgEBAQoOAQYDAgQVDyAJDgsHAYJygncPAQWpcHqBMYEBgggBAQaHV?=
[Mdaemon-L] Email Phishing
On 12/1/21 8:29 PM, Asep Yuliyana via Mdaemon-L wrote: Dear Pak Shafril, Nama saya : Syafril Hermansyah. Per hari ini sejak pagi kami banyak menerima email phissing Domain sender, IP sender, dan subjectnya sangat random, kami beberapa kali menerima email phishing, tetapi polanya tidak se-random ini, biasanya dikirim oleh 1 domain, sehingga kami mudah untuk memblokirnya. Perlihatkan message header dari beberapa phising spam itu kesini. Lebih baik headernya disimpan ke dalam 1 text file *.txt agar lebih mudah membedakan 1 dengan yang lain. Sebagai tambahan informasi saat ini kami menggunakan cisco iron port seagai email gateway kami. Pakai Iroport type apa? SyncOS pekai versi berapa? Apakah SyncOS selalu diupdate secara berkala? -- syafril Syafril Hermansyah MDaemon-L Moderators, running MDaemon 21.5.1 64 bit Beta A Harap tidak cc: atau kirim ke private mail untuk masalah MDaemon. I have not failed. I've just found 10,000 ways that won't work. --- Thomas A. Edison -- --[mdaemon-l]-- Milis ini untuk Diskusi antar pengguna MDaemon Mail Server di Indonesia Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette Arsip: http://mdaemon-l.dutaint.com Dokumentasi : http://mdaemon.dutaint.co.id Berlangganan: Kirim mail ke mdaemon-l-subscr...@dutaint.com Henti Langgan: Kirim mail ke mdaemon-l-unsubscr...@dutaint.com Versi terakhir: MDaemon 21.5.0, SecurityGateway 8.0.4
[Mdaemon-L] Email Phishing
Dear Pak Shafril, Per hari ini sejak pagi kami banyak menerima email phissing Domain sender, IP sender, dan subjectnya sangat random, kami beberapa kali menerima email phishing, tetapi polanya tidak se-random ini, biasanya dikirim oleh 1 domain, sehingga kami mudah untuk memblokirnya. Yang kali ini subject yang dikirim sepertinya sama dengan subject yang dibuat oleh internal user kami (bahkan penerima email ini hanya internal) namun tiba-tiba ada sender external yang mengirim spam dengan subject yang sama, dan mengganti alias sender seperti phishing email. Sebagai tambahan informasi saat ini kami menggunakan cisco iron port seagai email gateway kami. Mohon advicenya Pak, apakah belakangan ini Bapak menerima keluhan yang sama dari anggota milis ini? Kira-kira apa yang dapat saya lakukan untuk mengantisipasi serangan ini? Terimakasih, Asep. Y -- --[mdaemon-l]-- Milis ini untuk Diskusi antar pengguna MDaemon Mail Server di Indonesia Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette Arsip: http://mdaemon-l.dutaint.com Dokumentasi : http://mdaemon.dutaint.co.id Berlangganan: Kirim mail ke mdaemon-l-subscr...@dutaint.com Henti Langgan: Kirim mail ke mdaemon-l-unsubscr...@dutaint.com Versi terakhir: MDaemon 21.5.0, SecurityGateway 8.0.4