Zimbra

Tips Zimbra : Blacklist Email SPAM Berdasarkan Body Email

Posted by

Beberapa hari ini saya mendapatkan email spam seperti notifikasi dari Administrator untuk melakukan upgrade account dengan mengisi informasi username + password. Email seperti ini biasanya saya tandai sebagai spam/junk, namun email spam tersebut tetap masuk pada account email saya. Ternyata email tersebut tidak hanya masuk pada account saya, melainkan juga pada account email yang lain. Adapun contoh email yang masuk seperti berikut :

spam-phising

Jika mendapatkan email seperti ini, lakukan edukasi pada user agar tidak langsung mempercayai email tersebut dan berkoordinasi dengan team admin email untuk ditindak lanjuti. Jika diketahui ternyata email tersebut adalah spam dan daripada email tersebut masuk terus menerus, langsung saja lakukan Blacklist pada Zimbra dengan mengambil kata pertama pada baris body email.

Adapun kata yang saya ambil pada body email adalah kata yang diawali dengan Your email has dan System Administrator (Karena admin jarang melakukan pengiriman email atas nama Administrator, melainkan nama Admin itu sendiri). Untuk melakukan blacklist, ikuti petunjuk berikut :

Buka file /opt/zimbra/conf/salocal.cf.in dan tambahkan rule blacklist pada bagian baris paling akhir

vi /opt/zimbra/conf/salocal.cf.in

Isi baris paling bawah kurang lebih seperti ini

body LOCAL_RULE1 /Your email has/i
score LOCAL_RULE1 40.0
body LOCAL_RULE2 /System Administrator/i
score LOCAL_RULE2 40.0

Maksud dari penambahan rule diatas adalah LOCAL_RULE1/2 merupakan nama rule/acl dan berikan nilai pada rule/acl tersebut sebesar 40.0 point.

Agar Zimbra dapat langsung apply penambahan rule yang baru dilakukan, restart service Zimbra. Dikarenakan belakangan hari ini banyak email spam yang serupa dengan kata-kata yang berbeda, Team Excellent membuat sebuah simple script untuk mempermudah penambahan blacklist. Download script tersebut, jalankan dan ikuti petunjuk yang ada

cd /srv/
wget -c http://ahmad.imanudin.com/wp-content/uploads/2014/07/tambahrule-spam.sh
sh tambahrule-spam.sh

Silakan dicoba dan semoga bermanfaat 😀

Source : http://wiki.zimbra.com/wiki/Improving_Anti-spam_system

17 comments

  2. Mas Ahmad bagaimana bila email dari internal domain saya ada tag spam di depan subjectnya? padahal email itu bukan spam. Saya sudah coba remove lewat Zimbra Admin Console =>Configure=>Global Settings=>AS/AV dan menghilangkan tulisan SPAM di subject prefix tapi belum berhasil.

    Terima kasih

    Reply

  3. mas Ahmad, kalao mau blokir mail spam yg menggunakan karakter cina bagaimana ya?
    saya sudah menambahkan pd salocal.cf.in:
    ##########################################
    #untuk block alamat pengirim memakai bahasa china
    header CHINESE_FROM From =~ /gb2312/i
    score CHINESE_FROM 40.0
    #untuk block subject yang ada tulisan china
    header CHINESE_SUBJECT Subject =~ /gb2312/i
    score CHINESE_SUBJECT 40.0
    #untuk block konten email yang ada tulisan china
    body CHINESE_BODY /gb2312/i
    score CHINESE_BODY 40.0
    ########################################
    Tapi email yg subject atau body mail menggunakan huruf cina masih tetap masuk

    terimakasih sebelumnya

    Reply

  4. Hi mas Ahmad,

    Saya coba lakukan langkah tersebut, tp gk ngefek. Body email dgn kata-kata tersebut tidak ke block.
    Ada yg salah dimana ya? Sepertinya zimbra saya gk ambil konfigurasi baru walaupun service zimbra sdh direstart (zmcontrol restart).

    Versi Zimbra 8.5.0_GA_3040_FOSS
    Tambahan di /opt/zimbra/conf/salocal.cf.in :
    body BODY_RULE1 /from Russia/i
    score BODY_RULE1 40.0
    body BODY_RULE2 /on Facebook/i
    score BODY_RULE2 40.0

    Saya cek zmlocalconfig mengenai antispam, sudah “true” semua.
    zimbra@mail:~$ zmlocalconfig -s | grep spam
    antispam_backup_retention = 0
    antispam_enable_restarts = true
    antispam_enable_rule_compilation = true

    Mohon pencerahannya.. Terima kasih 🙂

    Reply

      1. Thanks for reply.. 🙂

        Sorry mas Ahmad, ternyata salocal.cf ada di sini : /opt/zimbra/data/spamassassin/localrules/salocal.cf
        Dan saya lihat file di /opt/zimbra/conf/salocal.cf.in –> sama persis dgn yg ada di /opt/zimbra/data/spamassassin/localrules/salocal.cf

        Tapi kenapa gk jalan ya mas?
        Apa karena saya ada bypass_spam_check_maps?
        –> /opt/zimbra/conf/amavisd.conf.in
        bypass_spam_checks_maps => [1], # don’t spam-check internal mail
        bypass_virus_checks_maps => [1], # don’t virus-check internal mail
        Harusnya ini berlaku untuk internal mail & trusted network kan ya?
        Soalnya dulu kirim sesama domain dianggap spam, makanya saya kasih bypass ini.

        Mohon pencerahannya mas.. 🙂
        Terima kasih

        Reply

          1. Hi Mas Ahmad,

            Saya sudah coba kembalikan ke semula:
            bypass_spam_checks_maps => [0], # don’t spam-check internal mail
            bypass_virus_checks_maps => [0], # don’t virus-check internal mail

            Restart service zimbra.

            Dan cek spam body email, tetap tidak berjalan.
            Saya coba kirim email ke diri sendiri, tidak terdeteksi spam.

            Perlu cek dimana lagi ya?

            Thanks..

  5. Hi Mas Ahmad,

    Apakah artikel ini bisa diganti aksinya yang tadinya email di blok menjadi email dihold?

    Terima Kasih

    Reply

      1. Hi mas Ahmad,

        Terima kasih atas jawabannya, tetapi saat saya cek pada log statusnya “discarded, id=14873-11 – spam”, bagaimana saya dapat mengubahnya menjadi status “held/hold”?

        Reply

  6. Hi Mas Ahmad,

    Mail server zimbra saya sering terima email fake (dompleng domain true) tapi sendernya domain fake (domain lain) spt dibawah ini,
    From: “401251@telkom.co.id”

    Untuk bloking nya dimana mas ?

    Terima kasih

    Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.