Dalam menentukan account mana yang membuat spam, kita harus bisa melogika suatu email yang masih dalam queue.
Misal queue dalam cPanel WHM – Mail Queue nya spt berikut ini:
—————————————————————————————–
This message was created automatically by mail delivery software.
A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:
felicity_94234444@yaho1.com
Domain mitraxxx.co.id has exceeded the max defers and failures per hour (5/5 (31%)) allowed. Message discarded.
charle233445@myht1.net
Domain mitraxxx.co.id has exceeded the max defers and failures per hour (5/5 (31%)) allowed. Message discarded. rmullik99122333@yaho1.com
Domain mitraxxx.co.id has exceeded the max defers and failures per hour (5/5 (31%)) allowed. Message discarded.
—— This is a copy of the message, including all the headers. ——
Return-path: <ir@mitraxxx.co.id>
Received: from [178.150.130.xxx] (port=56075 helo=vlbiubgwhf)
by server.indoxxx.com with esmtpa (Exim 4.82)
(envelope-from <ir@mitraxxx.co.id>)
id 1Vxkxk-0007tR-QR; Tue, 31 Dec 2013 05:05:29 +0700
To: <felicity_94234444@yaho1.com>, <charle233445@myht1.net>, <rmullik99122333@yaho1.com>
Subject: Pasti asala2an
From: “sum” <iri@mitraxxx.co.id>
Date: Mon, 30 Dec 2013 21:56:59 -0700
Mime-Version: 1.0
Content-Type: text/plain; charset=”iso-8859-3″
asal saja namanya spam
—————————————————————————————–
Dari queue tersebut terlihat bahwa domain mitraxxx.co.id telah mengirimkan kapasitas normal di mana manusia dapat mengirimkan. Ini pasti pekerjaan virus/spammer.
Kemudian perhatikan history message sebelumnya:
Return-path: <ir@mitraxxx.co.id>
Received: from [178.150.130.xxx] (port=56075 helo=vlbiubgwhf)
by server.indoxxx.com with esmtpa (Exim 4.82)
(envelope-from <ir@mitraxxx.co.id>)
id 1Vxkxk-0007tR-QR; Tue, 31 Dec 2013 05:05:29 +0700
Di sini terlihat bahwa domain telah melebihi kapasitas pengiriman, dan salah satu pengiriman adalah message dengan
id 1Vxkxk-0007tR-QR.
Kita perlu melihat isi dari 1Vxkxk-0007tR-QR :
root@server [/var/log]# cat exim_mainlog | grep 1Vxkxk-0007tR-QR
2013-12-31 05:05:29 1Vxkxk-0007tR-QR <= ir@mitraxxx.co.id H=(vlbiubgwhf) [178.150.130.xxx]:56075 P=esmtpa A=dovecot_login:ir@mitraxxx.co.id S=621 T=”Pasti asala2an” for felicity_94234444@yaho1.com charle233445@myht1.net rmullik99122333@yaho1.com
Dari log tersebut kita mendapatkan bahwa ID yang digunakan untuk melakukan spam adalah A=dovecot_login:ir@mitraxxx.co.id atau ir@mitraxxx.co.id.
Langkah selanjutnya adalah
a. Mematikan Exim
b. Membersihkan queue
c. Mengganti password email ir@mitraxxx.co.id
d. Menghidupkan Exim
e. meminta ir@mitraxxx.co.id menggunakan SSL saat penerimaan dan pengiriman email
Kunjungi www.proweb.co.id untuk menambah wawasan anda.