Selamat pagi pak Syafril,
Mengenai Reverse Lookups, apakah setting ini bertujuan (salah satunya) untuk
menghalau email hacker? (hacker yang menggunakan domain unauthoritative
Reverse DNS (PTR Record), dan apakah bisa saya artikan semacam domain yang
aneh-aneh)?
Ini berkaitan dengan kasus kami terdahulu dimana ada email palsu yang
berhasil masuk ke server kami, mengapa tidak terblock ya?, padahal kami
sudah mengaktifkan Reverse Lookups.
Saya memang belum menjalankan instruksi pak Syafril pada email terlampir,
akan tetapi ini terjadi lagi di sister company kami, dengan domain email
yang berbeda. Dimana kasusnya akan saya tanyakan pada email selanjutnya.
Best rgds,
Alim
--
--[MDaemon-L]
Milis ini untuk Diskusi antar pengguna MDaemon Mail Server.
Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette
Arsip: http://mdaemon-l.dutaint.com
Dokumentasi : http://mdaemon.dutaint.co.id
Henti Langgan: Kirim mail ke MDaemon-L-unsubscribe [at] dutaint.com
Berlangganan: kirim mail ke MDaemon-L-subscribe [at] dutaint.com
Versi terakhir MD 15.5.3, SP 4.5.1, BES 2.0.2, OC 3.5.1, SG 3.0.3--- Begin Message ---
On 2015-06-27 13:08, Alim wrote:
> Sangat jelas terlihat bahwa hal itu kami yakin semacam tindakan hacker.
Lebih tepat ada kebocoran informasi
Yang bisa diperiksa adalah apakah kebocoran itu disisi Anda
Akun recipient (r...@ggindonesia.co.id) tidak di forward ke akun lain?
Periksa ke korespondensi sejak awal dari keduanya, di mail header
message yang diterima oleh (r...@ggindonesia.co.id) dari
sender(lauki.za...@expeditors.com) apakah tidak ada cc: ke alamat lain?
Catat message-ID nya dan gunakan sebagai kata kunci pemeriksaan silang
ke smtp-in log sejak dimulainya korespondensi dengan topik tertentu s/d
tanggal terjadinya interupsi dari pihak lain.
Dari smtp-in log mail dari r...@ggindonesia.co.id punya message-id
berapa saja yang ditujukan ke lauki.za...@expeditors.com, dicatat.
Lakukan pemeriksaan silang berdasar message-ID tersebut ke smtp-out log,
apakah ada yang ditujukan ke recipient lain diluar
lauki.za...@expeditors.com.
Setelah hal itu diketahui maka baru bisa diambil tindakan yang sesuai.
--
syafril
---
Syafril Hermansyah
Running MDaemon 15.0.2-64 Beta B, SP 4.5.1-64
Kuncinya adalah pada manusia-manusia yang entrepreneurial, terseleksi
dengan baik, inovatif, dan berpikir sederhana.
-- Robert Noyce
--
--[MDaemon-L]
Milis ini untuk Diskusi antar pengguna MDaemon Mail Server.
Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette
Arsip: http://mdaemon-l.dutaint.com
Dokumentasi : http://mdaemon.dutaint.co.id
Henti Langgan: Kirim mail ke MDaemon-L-unsubscribe [at] dutaint.com
Berlangganan: kirim mail ke MDaemon-L-subscribe [at] dutaint.com
Versi terakhir MD 15.0.3, SP 4.5.1, BES 2.0.2, OC 3.5, SG 3.0.2
--- End Message ---
--- Begin Message ---
Selamat siang pak Syafril,
Mohon solusinya terkait kasus kami sebagai berikut:
1. Mulanya terjadi percakapan email antara user kami
(r...@ggindonesia.co.id) dengan pihak supplier (lauki.za...@expeditors.com)
2. Di tengah percakapan, tiba-tiba ada email balasan dari pihak lain yang
menyaru sebagai user kami dan user supplier. Email tersebut adalah:
lauki.za...@expedtors.com (tanpa huruf "i" pada domain expeditors.com,
menyaru sebagai lauki.za...@expeditors.com), dan
r...@ggindonesia.net (menyaru sebagai r...@ggindonesia.co.id)
3. Kedua user palsu tersebut menyela perbincangan untuk mengarahkan
pembayaran ke akun tertentu milik user palsu tersebut. Satu diantaranya
menggunakan bahasa indonesia tidak lazim seperti versi google translate.
Sangat jelas terlihat bahwa hal itu kami yakin semacam tindakan hacker.
Bagaimana hal ini bisa terjadi dan bagaimana mengatasinya?
Berikut salah satu log smtp in dari lauki.za...@expedtors.com
Fri 2015-06-26 03:23:52.829: --
Fri 2015-06-26 03:21:50.103: [145672] Session 145672; child 0001
Fri 2015-06-26 03:21:50.103: [145672] Accepting SMTP connection from
64.98.42.134:42941 to 202.43.114.202:25
Fri 2015-06-26 03:21:50.103: [145672] --> 220 jakarta.ggindonesia.co.id
ESMTP MDaemon 15.0.0; Fri, 26 Jun 2015 03:21:50 +0700
Fri 2015-06-26 03:21:50.365: [145672] <-- EHLO smtprelay.b.hostedemail.com
Fri 2015-06-26 03:21:50.365: [145672] --> 250-jakarta.ggindonesia.co.id
Hello smtprelay.b.hostedemail.com, pleased to meet you
Fri 2015-06-26 03:21:50.365: [145672] --> 250-ETRN
Fri 2015-06-26 03:21:50.365: [145672] --> 250-AUTH LOGIN CRAM-MD5 PLAIN
Fri 2015-06-26 03:21:50.365: [145672] --> 250-8BITMIME
Fri 2015-06-26 03:21:50.365: [145672] --> 250-ENHANCEDSTATUSCODES
Fri 2015-06-26 03:21:50.365: [145672] --> 250 SIZE
Fri 2015-06-26 03:21:50.623: [145672] <-- MAIL
FROM: SIZE=33057 BODY=8BITMIME
Fri 2015-06-26 03:21:50.625: [145672] Performing PTR lookup
(134.42.98.64.IN-ADDR.ARPA)
Fri 2015-06-26 03:21:51.245: [145672] * D=134.42.98.64.IN-ADDR.ARPA
TTL=(1440) PTR