[MDaemon-L] Tanya Reverse Lookups

2015-12-21 Terurut Topik Syafril Hermansyah 
On 22/12/15 09:42, Alim wrote:
> Mengenai Reverse Lookups, apakah setting ini bertujuan (salah
> satunya) untuk menghalau email hacker? (hacker yang menggunakan
> domain unauthoritative Reverse DNS (PTR Record), dan apakah bisa saya
> artikan semacam domain yang aneh-aneh)?

Tidak.
Reverse lookup adalah anti spoofing checker, mencheck legalitas sender
domain dan sender host (server yang digunakan untuk kirim mail).

> Ini berkaitan dengan kasus kami terdahulu dimana ada email palsu yang
> berhasil masuk ke server kami, mengapa tidak terblock ya?, padahal
> kami sudah mengaktifkan Reverse Lookups.

Kalau sendernya pakai domain yang terdaftar di internet dan dikirim
melalui sender host server yang legitimate maka akan lulus test
antispoofing reverselookup tersebut.
Di tips mengenai menseleksi sender host saya ada menyebutkan tentang
pandainya phising spammer memanfaatkan celah di ISP (yang tidak
mengikuti rekomendasi anti abuse working group MAAWG).

http://www.mail-archive.com/mdaemon-l%40dutaint.com/msg31029.html

dalam banyak kasus, mencegah phising spam mail dari free public account
(gmail, yahoo, hotmail, outlook) itu lebih sulit dibanding spam mail
dari domain umum.




-- 
syafril
---
Syafril Hermansyah
MDaemon-L Moderators, MDaemon 15.5.3-64, SP 4.5.1-64
Harap tidak cc: atau kirim ke private mail untuk masalah MDaemon.

Never give up on anything.
If you fail, try, try and try again.
You are learning the best ways of doing things.
--- Lailah Gifty Akita


-- 
--[MDaemon-L]
Milis ini untuk Diskusi antar pengguna MDaemon Mail Server.

Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette
Arsip: http://mdaemon-l.dutaint.com
Dokumentasi : http://mdaemon.dutaint.co.id
Henti Langgan: Kirim mail ke MDaemon-L-unsubscribe [at] dutaint.com
Berlangganan: kirim mail ke MDaemon-L-subscribe [at] dutaint.com
Versi terakhir MD 15.5.3, SP 4.5.1, BES 2.0.2, OC 3.5.2, SG 3.0.3

[MDaemon-L] Tanya Reverse Lookups

2015-12-21 Terurut Topik Alim 

Selamat pagi pak Syafril,

Mengenai Reverse Lookups, apakah setting ini bertujuan (salah satunya) untuk 
menghalau email hacker? (hacker yang menggunakan domain unauthoritative 
Reverse DNS (PTR Record), dan apakah bisa saya artikan semacam domain yang 
aneh-aneh)?


Ini berkaitan dengan kasus kami terdahulu dimana ada email palsu yang 
berhasil masuk ke server kami, mengapa tidak terblock ya?, padahal kami 
sudah mengaktifkan Reverse Lookups.


Saya memang belum menjalankan instruksi pak Syafril pada email terlampir, 
akan tetapi ini terjadi lagi di sister company kami, dengan domain email 
yang berbeda. Dimana kasusnya akan saya tanyakan pada email selanjutnya.


Best rgds,
Alim



--
--[MDaemon-L]
Milis ini untuk Diskusi antar pengguna MDaemon Mail Server.

Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette
Arsip: http://mdaemon-l.dutaint.com
Dokumentasi : http://mdaemon.dutaint.co.id
Henti Langgan: Kirim mail ke MDaemon-L-unsubscribe [at] dutaint.com
Berlangganan: kirim mail ke MDaemon-L-subscribe [at] dutaint.com
Versi terakhir MD 15.5.3, SP 4.5.1, BES 2.0.2, OC 3.5.1, SG 3.0.3--- Begin Message ---
On 2015-06-27 13:08, Alim wrote:

> Sangat jelas terlihat bahwa hal itu kami yakin semacam tindakan hacker.

Lebih tepat ada kebocoran informasi
Yang bisa diperiksa adalah apakah kebocoran itu disisi Anda

Akun recipient (r...@ggindonesia.co.id) tidak di forward ke akun lain?
Periksa ke korespondensi sejak awal dari keduanya, di mail header
message yang diterima oleh (r...@ggindonesia.co.id) dari
sender(lauki.za...@expeditors.com) apakah tidak ada cc: ke alamat lain?
Catat message-ID nya dan gunakan sebagai kata kunci pemeriksaan silang
ke smtp-in log sejak dimulainya korespondensi dengan topik tertentu s/d
tanggal terjadinya interupsi dari pihak lain.

Dari smtp-in log mail dari r...@ggindonesia.co.id punya message-id
berapa saja yang ditujukan ke lauki.za...@expeditors.com, dicatat.
Lakukan pemeriksaan silang berdasar message-ID tersebut ke smtp-out log,
apakah ada yang ditujukan ke recipient lain diluar
lauki.za...@expeditors.com.

Setelah hal itu diketahui maka baru bisa diambil tindakan yang sesuai.




-- 
syafril
---
Syafril Hermansyah
Running MDaemon 15.0.2-64 Beta B, SP 4.5.1-64

Kuncinya adalah pada manusia-manusia yang entrepreneurial, terseleksi
dengan baik, inovatif, dan berpikir sederhana.
-- Robert Noyce

-- 
--[MDaemon-L]
Milis ini untuk Diskusi antar pengguna MDaemon Mail Server.

Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette
Arsip: http://mdaemon-l.dutaint.com
Dokumentasi : http://mdaemon.dutaint.co.id
Henti Langgan: Kirim mail ke MDaemon-L-unsubscribe [at] dutaint.com
Berlangganan: kirim mail ke MDaemon-L-subscribe [at] dutaint.com
Versi terakhir MD 15.0.3, SP 4.5.1, BES 2.0.2, OC 3.5, SG 3.0.2

--- End Message ---
--- Begin Message ---

Selamat siang pak Syafril,

Mohon solusinya terkait kasus kami sebagai berikut:

1. Mulanya terjadi percakapan email antara user kami 
(r...@ggindonesia.co.id) dengan pihak supplier (lauki.za...@expeditors.com)


2. Di tengah percakapan, tiba-tiba ada email balasan dari pihak lain yang 
menyaru sebagai user kami dan user supplier. Email tersebut adalah:


   lauki.za...@expedtors.com (tanpa huruf "i" pada domain expeditors.com, 
menyaru sebagai lauki.za...@expeditors.com), dan

   r...@ggindonesia.net (menyaru sebagai r...@ggindonesia.co.id)

3. Kedua user palsu tersebut menyela perbincangan untuk mengarahkan 
pembayaran ke akun tertentu milik user palsu tersebut. Satu diantaranya 
menggunakan bahasa indonesia tidak lazim seperti versi google translate.


Sangat jelas terlihat bahwa hal itu kami yakin semacam tindakan hacker. 
Bagaimana hal ini bisa terjadi dan bagaimana mengatasinya?


Berikut salah satu log smtp in dari lauki.za...@expedtors.com

Fri 2015-06-26 03:23:52.829: --
Fri 2015-06-26 03:21:50.103: [145672] Session 145672; child 0001
Fri 2015-06-26 03:21:50.103: [145672] Accepting SMTP connection from 
64.98.42.134:42941 to 202.43.114.202:25
Fri 2015-06-26 03:21:50.103: [145672] --> 220 jakarta.ggindonesia.co.id 
ESMTP MDaemon 15.0.0; Fri, 26 Jun 2015 03:21:50 +0700

Fri 2015-06-26 03:21:50.365: [145672] <-- EHLO smtprelay.b.hostedemail.com
Fri 2015-06-26 03:21:50.365: [145672] --> 250-jakarta.ggindonesia.co.id 
Hello smtprelay.b.hostedemail.com, pleased to meet you

Fri 2015-06-26 03:21:50.365: [145672] --> 250-ETRN
Fri 2015-06-26 03:21:50.365: [145672] --> 250-AUTH LOGIN CRAM-MD5 PLAIN
Fri 2015-06-26 03:21:50.365: [145672] --> 250-8BITMIME
Fri 2015-06-26 03:21:50.365: [145672] --> 250-ENHANCEDSTATUSCODES
Fri 2015-06-26 03:21:50.365: [145672] --> 250 SIZE
Fri 2015-06-26 03:21:50.623: [145672] <-- MAIL 
FROM: SIZE=33057 BODY=8BITMIME
Fri 2015-06-26 03:21:50.625: [145672] Performing PTR lookup 
(134.42.98.64.IN-ADDR.ARPA)
Fri 2015-06-26 03:21:51.245: [145672] *  D=134.42.98.64.IN-ADDR.ARPA 
TTL=(1440) PTR