Dalam menentukan account mana yang membuat spam, kita harus bisa melogika suatu email yang masih dalam queue.

Misal queue dalam cPanel  WHM – Mail Queue nya spt berikut ini:
—————————————————————————————–
This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

  felicity_94234444@yaho1.com
    Domain mitraxxx.co.id has exceeded the max defers and failures per hour (5/5 (31%)) allowed. Message discarded.
  charle233445@myht1.net
    Domain mitraxxx.co.id has exceeded the max defers and failures per hour (5/5 (31%)) allowed. Message discarded.   rmullik99122333@yaho1.com
    Domain mitraxxx.co.id has exceeded the max defers and failures per hour (5/5 (31%)) allowed. Message discarded.   
—— This is a copy of the message, including all the headers. ——

Return-path: <ir@mitraxxx.co.id>
Received: from [178.150.130.xxx] (port=56075 helo=vlbiubgwhf)
    by server.indoxxx.com with esmtpa (Exim 4.82)
    (envelope-from <ir@mitraxxx.co.id>)
    id 1Vxkxk-0007tR-QR; Tue, 31 Dec 2013 05:05:29 +0700
To: <felicity_94234444@yaho1.com>, <charle233445@myht1.net>, <rmullik99122333@yaho1.com>
Subject: Pasti asala2an
From: “sum” <iri@mitraxxx.co.id>
Date: Mon, 30 Dec 2013 21:56:59 -0700
Mime-Version: 1.0
Content-Type: text/plain; charset=”iso-8859-3″

asal saja namanya spam
—————————————————————————————–

Dari queue tersebut terlihat bahwa domain mitraxxx.co.id telah mengirimkan kapasitas normal di mana manusia dapat mengirimkan. Ini pasti pekerjaan virus/spammer.
Kemudian perhatikan history message sebelumnya:

Return-path: <ir@mitraxxx.co.id>
Received: from [178.150.130.xxx] (port=56075 helo=vlbiubgwhf)
    by server.indoxxx.com with esmtpa (Exim 4.82)
    (envelope-from <ir@mitraxxx.co.id>)
    id 1Vxkxk-0007tR-QR; Tue, 31 Dec 2013 05:05:29 +0700

Di sini terlihat bahwa domain telah melebihi kapasitas pengiriman, dan salah satu pengiriman adalah message dengan
id 1Vxkxk-0007tR-QR.

Kita perlu melihat isi dari 1Vxkxk-0007tR-QR :
root@server [/var/log]# cat exim_mainlog | grep 1Vxkxk-0007tR-QR
2013-12-31 05:05:29 1Vxkxk-0007tR-QR <= ir@mitraxxx.co.id H=(vlbiubgwhf) [178.150.130.xxx]:56075 P=esmtpa A=dovecot_login:ir@mitraxxx.co.id S=621 T=”Pasti asala2an” for felicity_94234444@yaho1.com charle233445@myht1.net rmullik99122333@yaho1.com

Dari log tersebut kita mendapatkan bahwa ID yang digunakan untuk melakukan spam adalah A=dovecot_login:ir@mitraxxx.co.id atau ir@mitraxxx.co.id.

Langkah selanjutnya adalah
a. Mematikan Exim
b. Membersihkan queue
c. Mengganti password email ir@mitraxxx.co.id
d. Menghidupkan Exim
e. meminta ir@mitraxxx.co.id menggunakan SSL saat penerimaan dan pengiriman email

Kunjungi www.proweb.co.id untuk menambah wawasan anda.

Analisa spam di queue Exim cPanel
× Ada yang dapat saya bantu ? Available on SundayMondayTuesdayWednesdayThursdayFridaySaturday