Bagi rekan-rekan yang pernah menerima email spoofing via display name seperti berikut :
Silakan coba tips berikut. Karena saya menggunakan Zimbra, berikut cara yang saya lakukan. Buat file dengan nama from_checks
su - zimbra vi /opt/zimbra/conf/from_checks
Isi sebagai berikut :
/^From:(.*@)+(.*@)/ HOLD sepertinya kamu spam
Keterangan : Apabila menerima email pada bagian from nya terdapat tanda a keong (@), maka email akan ditahan dan pada log terdapat pesan “sepertinya kamu spam”. Parameter HOLD bisa diganti dengan DISCARD atau REJECT agar email langsung ditolak.
Jika ingin melakukan whitelist terhadap email yang memiliki tanda @ pada bagian displayname, bisa ditambahkan pada baris paling atas seperti berikut :
/^From:(.*@imanudin.com)+(.*@imanudin.com)/ OK domain whitelist /^From:."(.*@.*)".<\1>/ OK You are $1 /^From:.".*@(.*)".<.*@\1>/ OK You are $1 /^From:(.*@)+(.*@)/ HOLD it looks like you are spam
Jika ingin di redirect emailnya daripada di hold, bisa diganti seperti berikut :
/^From:(.*@imanudin.com)+(.*@imanudin.com)/ OK domain whitelist /^From:(.*@)+(.*@)/ REDIRECT admin@yourdomain.com
Jalankan perintah berikut untuk menambahkan pengecekan header dan restart service Postfix
zmprov ms `zmhostname` zimbraMtaHeaderChecks "pcre:/opt/zimbra/conf/postfix_header_checks,pcre:/opt/zimbra/conf/from_checks" zmprov mcf zimbraMtaBlockedExtensionWarnRecipient FALSE postfix reload
Berikut adalah contoh log dan email yang tertahan setelah melakukan improvement
D6CAE2811C34: hold: header From: "imanudin@imanudin.net" <spam@spam.xyz> from unknown[120.xxx.xxx.xx]; from=<spam@spam.xyz> to=<cilox@imanudin.com> proto=ESMTP helo=: sepertinya kamu spam Nov 1 23:45:45 myzimbra postfix/cleanup[17284]: D6CAE2811C34: message-id=<c8432028-4616-fcea-2280-699b7e22058e@spam.xyz>
Contoh mailq
[zimbra@myzimbra ~]$ mailq -Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient------- D6CAE2811C34! 626 Thu Nov 1 23:45:45 spam@spam.xyz cilox@imanudin.com -- 1 Kbytes in 1 Requests.
Pada bagian Queue-ID, terdapat tanda seru (!) yang artinya email ditahan (HOLD).
Tips diatas hanyalah sebagian dari cara untuk meminimalisir spam yang masuk. Bagi rekan-rekan yang masih banyak menerima email spam dengan jenis yang lain, silakan coba layanan berikut : https://www.excellent.co.id/asav. Free trial selama 1 minggu 🙂
Silakan dicoba dan semoga bermanfaat 🙂
As usual, great article 🙂
Thank you very much for sharing!!!
Hi Sebastian,
Thanks for visiting my blog. Long time no see in Zimbra Forums 🙂
how do i make a regex to block the following spoof?
From: Sanga Collins
only the display name is faked, but gmail server is legit 🙁
I guess I can not type and email address in the comments.
From: Sanga Collins
the gmail is legit, just broke it up so that is shows in a comment
^From:.*”Sanga Collins” (?!.*)(.+)
this is the regex for your user name + any address that is not your company domain to match and hold.
^From:.*”Sanga Collins” (?!.*)(.+)
I had to leave out the at email symbol between ‘<' & 'My-Company'
sorry
Hi Sanga C,
Thanks for your share. You can allow your email in the first line and drop all
thank you!
This is much easier to control than using negative lookaheads!
mas Ahmad,
terkait dari pertanyaan ini, kalau email spam nya menggunakan display name “Sanga Collins” dan tidak menggunakan format email (menggunakan tanda @) dan alamat emailnya random, apakah saya bisa membuat rules nya spt ini:
/^From:.*”Sanga Collins” / HOLD it looks like you are spam
terimakasih sebelumnya
regards
Sigit
Hi mas Sigit,
Sangat bisa mas
Hi Ahmad Imanudin,
There are many false positives, because several emails from my domain send Display name as the e-mail itself.
As below:
hold: header From: “zabbix@mydomain.com” from unknown[x.x.x.x]; from= to= proto=ESMTP helo=: it looks like you are spam
Any way to get around it so check if the Display name is different from the actual email?
Regards,
Luciano da Silva.
Hello Luciano,
You can allow email that come from your domain. Please insert this line in the first line
You can adjust with your domain
Hello Ahmad,
I see,
But the problem is that I have so many domains to add and it’s impracticable for me to add them individually.
Any solution?
Att/Regards,
Luciano da Silva Gomes.
Hello Luciano,
If your client having good reputation, you can apply ptr, spf, dkim, dmarc check for every incoming email.
hello pak Ahmad
bagaimana jika display name hanya “admin”
/^From:(.*admin)+(.*admin)/ HOLD sepertinya kamu spam (not work)
masih masuk ke inbox
Hi mas,
Bisa coba mekanisme yang ini :
– https://imanudin.net/2015/02/12/zimbra-tips-blacklist-email-based-on-subject/
– https://imanudin.net/2015/02/13/zimbra-tips-blacklist-email-based-on-body-email/
Hello Mr. Ahmad Imanudin
I administer Zimbra 8.0.7_GA_6021.FOSS.
When I tried executing …. I get the below error. Do you know how to make this work in 8.0.7_GA_6021.FOSS?
zmprov ms `zmhostname` zimbraMtaHeaderChecks “pcre:/opt/zimbra/conf/postfix_header_checks,pcre:/opt/zimbra/conf/from_checks”
ERROR: account.INVALID_ATTR_NAME (invalid attr name: invalid attr name – unable to modify attributes: zimbraMtaHeaderChecks: attribute type undefined)
Thanks
Murugesan Rajarethinam
Hello,
Zimbra 8.0.x version still use zmlocalconfig instead of zmprov. Please paste the result from the following command
Hi even i have same problem.
here i posted the output.
zmlocalconfig -s | grep -i header
postfix_always_add_missing_headers = yes
postfix_header_checks = pcre:${zimbra_home}/conf/postfix_header_checks
postfix_smtpd_sasl_authenticated_header = no
zimbra_http_originating_ip_header = X-Forwarded-For
Hello Suresh,
You can use this command
mas ahmad mau nanya dong, kalo zimbra nya multi server, configurasi ini di pasang di mta yg proxy atau smtp yaah,
terima kasih 🙂
Hi mas,
Dipasangnya di semua server MTA mas
Hi Ahmad Imanudin
I want deny all domain spam with display name : Trang Nguyen send to domain for me
trangnguyen@lcs.com.vn
it user name in domain for me. hic
thanks.
Hello,
You can look this one : https://imanudin.com/2018/11/02/tips-block-email-spoofing-by-display-name/#comment-122156
Assalaamu’alaykum Mas,
Saya menggunakan zimbra, bagaimana cara trapping jika ketika di show original message sbb:
Return-Path: user@domain.com
Received: from mail.otherdomain.com …….
Jadi ada beda antara return path dengan receive nya.
Gimana caranya supaya email dengan pattern spt diatas bisa di reject?
Terimakasih atas bantuanya.
Hi mas Choirul,
Untuk case tersebut sepertinya agak sulit mas. Karena perbedaan return-path dan received: from lumrah adanya. Contoh kasusnya misalnya menggunakan SMTP Relay. Antara nama domain dan server SMTP Relay nya pasti tidak sama/beda.
hi
i am facing spamming email they are using our name in display however email id is different .one more thing they are copying same email forward to others one as well with doc attachment. can you please help me out in this case . i did all the things like display name control as in your artical however i use some other parament to prevent the spam email like spf dkmi dmarc .
this is my email server output . facing spamming issue ..
[zimbra@email root]$ zmlocalconfig -s | grep -i header
zimbra_http_originating_ip_header = X-Forwarded-For
[zimbra@email root]$
Hi Muhammad Fayaz Khan,
I recommend you to use external antispam like Mailborder or Proxmox Mail Gateway. It will help you to maintenance between antispam and mailbox server
Hallo mas Ahmad,
Cara lihat log ini gimana caranya ya??
D6CAE2811C34: hold: header From: “imanudin@imanudin.net” dari tidak dikenal [120.xxx.xxx.xx]; from = to = proto = ESMTP helo =: sepertinya kamu spam
1 Nov 23:45:45 myzimbra postfix / pembersihan [17284]: D6CAE2811C34: message-id =
Hi mas Pizay,
Bisa dicek pada log /var/log/zimbra.log mas. Bisa pakai cat, more, less atau sejenisnya
Hallo Kang Iman,
Kang mau tanya kalau untuk mengembalikan kembali tanpa perlu melakukan from_checks bagaimana ya kang ?
Kebetulan saya baru coba testing untuk block email spoofingnya.
Terima kasih.
Hi mas Ridwan,
Cukup kosongkan saja isinya dan reload postfix nya
mas , sya coba menerapkan from_checks sudah berhasil ke block email spoofing nya
namun test kirim email dari Gmail.com ke domain sendiri jadi tidak masuk ya
maaf mas ternyata service clamav not start,
scriptnya berjalan baik terima kasiih
Hai Mas Iman,
Sebelumnya terimakasih untuk artikelnya sangat bermanfaat.
Saya telah berhasil menerapkan Block Email Spoofing by Display Name seperti yang ada di artikel ini, namun saya menemui kendala setelah beberapa hari kebelakang ini, jadi ada beberapa email dari partner kami yg terkena blocking dan alamat email atau domain itu adalah domain yang sah dan terpercaya.
Bagaimana saya bisa memberikan daftar putih untuk beberapa domain external agar email dari domain yang diberi daftar putih bisa lolos untuk pengiriman email.
Terimakasih.
Hi mas Pizay,
Bisa mas. Silakan dicek kembali artikelnya. Sudah saya update panduannya
Hai mas iman, saya ada beberapa domain dari external yang harus diberikan daftar putih, dan saya mencoba dengan cara sekaligus seperti ini:
/^From:(.*@domainsaya.net)+(.*@domainsaya.net)/ OK domain whitelist
/^From:(.*@punyadia.co.id)+(.*@punyadia.co.id)/ OK domain whitelist
/^From:(.*@infobank.com)+(.*@infobank.com)/OK domain whitelist
/^From:(.*@penggadaian.com)+(.*@penggadaian.com)/OK domain whitelist
/^From:(.*@gadaimobil.com)+(.*@gadaimobil.com)/ OK domain whitelist
/^From:(.*@)+(.*@)/ HOLD Sepertinya Anda Spam
Hanya saya yang berhasil lolos ke daftar putih hanyalah yang di urutan paling atas yaitu adalah pada domain @domainsaya.net, untuk baris yang lain belum berhasil masuk pada daftar putih.
Tolong untuk dikoresi, bagaimana saya bisa memberikan daftar putih kepada domain external sekaligus.
Terimakasih.
HI mas Pizay,
Kemungkinan tanda @ dibagian pertama bukan alamat email. Melainkan tanda @ yang disisipkan. Untuk whitelistnya, bisa cukup isi seperti berikut :
selamat pagi mas iman,
hari ini sy dapat mass email spoofing dengan alamat email bukan menggunakan @ tp & , contohnya spt ini :
yuli&mydomain.com
apabila spoofing spt ini apaka saya bisa block dg spt ini :
/^From:(.*&)+(.*&)/ HOLD sepertinya kamu spam
mohon petunjuknya yah mas iman.
Terimakasih
Hi mas,
Bisa disetup seperti ini
/^From:(.*&)+(.*@)/ HOLD sepertinya kamu spam
Halo Mas Iman,
Saya ada masalah di mail server saya ketika user kirim email kok tiba-tiba di To nya itu ada alamat email masuk ya?padahal user tidak merasa melakukan to, cc, atau bcc ke alamat email tersebut,,saya harus mulai dari mana ya untuk troubleshoot nya?
Terima kasih
Hi mas,
Ada contoh screenshotnya kah?
Sudah ketemu mas..settingan di Reply-to nya di inputkan alamat email spammer sebelumnya…
Jadi sepertinya akun user ini berhasil ke hack dan hacker tersebut setting Reply-To dengan alamat email hacker tersebut,karena sebelumnya user ini akun nya jadi spammer.
Tapi kira-kira apa ada lain untuk setting Reply-to ini selain melalui tab preferences?hanya untuk jaga-jaga kalau balik lagi.
Hi mas Tantio,
Reply-to bisa disetup dari email klien juga seperti Thunderbird/Outlook. Untuk disable Reply-to dari webmail, bisa jalankan perintah berikut peruser
Halo mas Iman,
Terima kasih untuk petunjuk nya mas.
Apakah bisa diaplikasikan secara global?
Biar nanti user yang ingin menggunakan fitur Reply-To baru diaktifkan.
Hi mas Tantio,
Untuk global sayangnya belum ada. Karena perintah tersebut hanya bisa didefine untuk account only. Belum tersedia untuk COS
Halo Mas Iman,
Ijin bertanya lagi, apakah metode ini tidak bisa kalau to nya ke alamat email distribution list? Karena di mail server saya email yg berasal dari display name yg ada @ nya kirim ke distribution list bisa masuk,
Hi mas Tantio,
Semestinya bisa mas. Karena yang dicek adalah From pada displayname nya
Received: from plumb.laolinjia.com (plumb.laolinjia.com [82.115.209.38])
by kangpos.excelindo.co.id (Postfix) with ESMTPS id 79D37600AD2FF
for ; Mon, 4 Sep 2023 11:05:59 +0700 (WIB)
From: Noreply@excelindo.co.id
To: xxxxxxxxx@excelindo.co.id
kalo from nya gitu harusnya kan ke filter ya mas?
Hi mas,
Jika seperti demikian, normal mas. Yang kefilter adalah bagian displayname nya. Bukan emailnya