November 2, 2018 Tips, Trick & Tutorial / Zimbra

Tips Block Email Spoofing by Display Name

Bagi rekan-rekan yang pernah menerima email spoofing via display name seperti berikut :

Silakan coba tips berikut. Karena saya menggunakan Zimbra, berikut cara yang saya lakukan. Buat file dengan nama from_checks

su - zimbra
vi /opt/zimbra/conf/from_checks

Isi sebagai berikut :

/^From:(.*@)+(.*@)/ HOLD sepertinya kamu spam

Keterangan : Apabila menerima email pada bagian from nya terdapat tanda a keong (@), maka email akan ditahan dan pada log terdapat pesan “sepertinya kamu spam”. Parameter HOLD bisa diganti dengan DISCARD atau REJECT agar email langsung ditolak.

Jika ingin melakukan whitelist terhadap email yang memiliki tanda @ pada bagian displayname, bisa ditambahkan pada baris paling atas seperti berikut :

/^From:(.*@imanudin.com)+(.*@imanudin.com)/ OK domain whitelist
/^From:(.*@)+(.*@)/ HOLD it looks like you are spam

Jika ingin di redirect emailnya daripada di hold, bisa diganti seperti berikut :

/^From:(.*@imanudin.com)+(.*@imanudin.com)/ OK domain whitelist
/^From:(.*@)+(.*@)/ REDIRECT admin@yourdomain.com

Jalankan perintah berikut untuk menambahkan pengecekan header dan restart service Postfix

zmprov ms `zmhostname` zimbraMtaHeaderChecks "pcre:/opt/zimbra/conf/postfix_header_checks,pcre:/opt/zimbra/conf/from_checks"
zmprov mcf zimbraMtaBlockedExtensionWarnRecipient FALSE
postfix reload

Berikut adalah contoh log dan email yang tertahan setelah melakukan improvement

D6CAE2811C34: hold: header From: "imanudin@imanudin.net" <spam@spam.xyz> from unknown[120.xxx.xxx.xx]; from=<spam@spam.xyz> to=<cilox@imanudin.com> proto=ESMTP helo=: sepertinya kamu spam
Nov  1 23:45:45 myzimbra postfix/cleanup[17284]: D6CAE2811C34: message-id=<c8432028-4616-fcea-2280-699b7e22058e@spam.xyz>

Contoh mailq

[zimbra@myzimbra ~]$ mailq
-Queue ID-  --Size-- ----Arrival Time---- -Sender/Recipient-------
D6CAE2811C34!     626 Thu Nov  1 23:45:45  spam@spam.xyz
                                         cilox@imanudin.com

-- 1 Kbytes in 1 Requests.

Pada bagian Queue-ID, terdapat tanda seru (!) yang artinya email ditahan (HOLD).

Tips diatas hanyalah sebagian dari cara untuk meminimalisir spam yang masuk. Bagi rekan-rekan yang masih banyak menerima email spam dengan jenis yang lain, silakan coba layanan berikut : https://www.excellent.co.id/asav. Free trial selama 1 minggu 🙂

Silakan dicoba dan semoga bermanfaat 🙂

51 comments

Sebastián Greco says:

November 3, 2018 at 5:24 am

As usual, great article 🙂

Thank you very much for sharing!!!

Reply
1. Ahmad Imanudin says:
  
  November 3, 2018 at 11:01 am
  
  Hi Sebastian,
  Thanks for visiting my blog. Long time no see in Zimbra Forums 🙂
  
  Reply
IT LTC says:

December 12, 2018 at 10:45 pm

how do i make a regex to block the following spoof?

From: Sanga Collins

only the display name is faked, but gmail server is legit 🙁

Reply
1. IT LTC says:
  
  December 12, 2018 at 10:47 pm
  
  I guess I can not type and email address in the comments.
  
  From: Sanga Collins
  
  the gmail is legit, just broke it up so that is shows in a comment
  
  Reply
IT LTC says:

December 13, 2018 at 9:27 pm

^From:.*”Sanga Collins” (?!.*)(.+)

this is the regex for your user name + any address that is not your company domain to match and hold.

Reply
1. IT LTC says:
  
  December 13, 2018 at 9:28 pm
  
  ^From:.*”Sanga Collins” (?!.*)(.+)
  
  I had to leave out the at email symbol between ‘<' & 'My-Company'
  
  sorry
  
  Reply
2. Ahmad Imanudin says:
  
  December 14, 2018 at 6:56 am
  Hi Sanga C,
  Thanks for your share. You can allow your email in the first line and drop all
```
/^From:.*”Sanga Collins” +(yourgmail@gmail.com) / OK
/^From:.*”Sanga Collins”+(.*@)/ HOLD it looks like you are spam
```
  Reply
  1. IT LTC says:
    
    December 14, 2018 at 7:10 am
    
    thank you!
    
    This is much easier to control than using negative lookaheads!
    
    Reply
  2. sigit says:
    
    January 25, 2022 at 2:56 pm
    
    mas Ahmad,
    terkait dari pertanyaan ini, kalau email spam nya menggunakan display name “Sanga Collins” dan tidak menggunakan format email (menggunakan tanda @) dan alamat emailnya random, apakah saya bisa membuat rules nya spt ini:
    /^From:.*”Sanga Collins” / HOLD it looks like you are spam
    
    terimakasih sebelumnya
    
    regards
    
    Sigit
    
    Reply
    1. Ahmad Imanudin says:
      
      February 1, 2022 at 1:51 pm
      
      Hi mas Sigit,
      Sangat bisa mas
      
      Reply
Pingback: How To Block Email Spoofing by Display Name – Ahmad Imanudin
Luciano says:

December 19, 2018 at 5:17 pm

Hi Ahmad Imanudin,

There are many false positives, because several emails from my domain send Display name as the e-mail itself.
As below:
hold: header From: “zabbix@mydomain.com” from unknown[x.x.x.x]; from= to= proto=ESMTP helo=: it looks like you are spam

Any way to get around it so check if the Display name is different from the actual email?

Regards,
Luciano da Silva.

Reply
1. Ahmad Imanudin says:
  
  December 21, 2018 at 10:01 am
  Hello Luciano,
  You can allow email that come from your domain. Please insert this line in the first line
```
/^From:(.@imanudin.com)+(.@imanudin.com)/ OK domain whitelist
```
  You can adjust with your domain
  Reply
  1. Luciano says:
    
    January 4, 2019 at 12:00 am
    
    Hello Ahmad,
    
    I see,
    But the problem is that I have so many domains to add and it’s impracticable for me to add them individually.
    
    Any solution?
    Att/Regards,
    Luciano da Silva Gomes.
    
    Reply
    1. Ahmad Imanudin says:
      
      January 6, 2019 at 9:25 pm
      
      Hello Luciano,
      If your client having good reputation, you can apply ptr, spf, dkim, dmarc check for every incoming email.
      
      Reply
chaidir says:

April 9, 2019 at 10:18 am

hello pak Ahmad
bagaimana jika display name hanya “admin”

/^From:(.*admin)+(.*admin)/ HOLD sepertinya kamu spam (not work)

masih masuk ke inbox

Reply
1. Ahmad Imanudin says:
  
  April 10, 2019 at 9:29 am
  
  Hi mas,
  Bisa coba mekanisme yang ini :
  – https://imanudin.net/2015/02/12/zimbra-tips-blacklist-email-based-on-subject/
  – https://imanudin.net/2015/02/13/zimbra-tips-blacklist-email-based-on-body-email/
  
  Reply
Murugesan Rajarethinam says:

June 13, 2019 at 11:09 pm

Hello Mr. Ahmad Imanudin
I administer Zimbra 8.0.7_GA_6021.FOSS.
When I tried executing …. I get the below error. Do you know how to make this work in 8.0.7_GA_6021.FOSS?

zmprov ms `zmhostname` zimbraMtaHeaderChecks “pcre:/opt/zimbra/conf/postfix_header_checks,pcre:/opt/zimbra/conf/from_checks”
ERROR: account.INVALID_ATTR_NAME (invalid attr name: invalid attr name – unable to modify attributes: zimbraMtaHeaderChecks: attribute type undefined)

Thanks
Murugesan Rajarethinam

Reply
1. Ahmad Imanudin says:
  
  June 15, 2019 at 8:08 pm
  Hello,
  Zimbra 8.0.x version still use zmlocalconfig instead of zmprov. Please paste the result from the following command
```
zmlocalconfig -s | grep -i header
```
  Reply
  1. suresh says:
    
    July 5, 2019 at 2:32 pm
    
    Hi even i have same problem.
    
    here i posted the output.
    
    zmlocalconfig -s | grep -i header
    postfix_always_add_missing_headers = yes
    postfix_header_checks = pcre:${zimbra_home}/conf/postfix_header_checks
    postfix_smtpd_sasl_authenticated_header = no
    zimbra_http_originating_ip_header = X-Forwarded-For
    
    Reply
    1. Ahmad Imanudin says:
      
      July 7, 2019 at 8:59 pm
      
      Hello Suresh,
      You can use this command
      
      zmocalconfig -e postfix_header_checks="pcre:/opt/zimbra/conf/postfix_header_checks,pcre:/opt/zimbra/conf/from_checks"
      
      Reply
mbong says:

July 16, 2019 at 5:37 pm

mas ahmad mau nanya dong, kalo zimbra nya multi server, configurasi ini di pasang di mta yg proxy atau smtp yaah,
terima kasih 🙂

Reply
1. Ahmad Imanudin says:
  
  July 17, 2019 at 11:49 am
  
  Hi mas,
  Dipasangnya di semua server MTA mas
  
  Reply
Thanh van says:

November 7, 2019 at 12:29 pm

Hi Ahmad Imanudin
I want deny all domain spam with display name : Trang Nguyen send to domain for me
trangnguyen@lcs.com.vn
it user name in domain for me. hic
thanks.

Reply
1. Ahmad Imanudin says:
  
  November 9, 2019 at 8:45 pm
  
  Hello,
  You can look this one : https://imanudin.com/2018/11/02/tips-block-email-spoofing-by-display-name/#comment-122156
  
  Reply
choirul says:

August 10, 2020 at 4:11 pm

Assalaamu’alaykum Mas,
Saya menggunakan zimbra, bagaimana cara trapping jika ketika di show original message sbb:

Return-Path: user@domain.com
Received: from mail.otherdomain.com …….

Jadi ada beda antara return path dengan receive nya.
Gimana caranya supaya email dengan pattern spt diatas bisa di reject?

Terimakasih atas bantuanya.

Reply
1. Ahmad Imanudin says:
  
  August 11, 2020 at 2:38 pm
  
  Hi mas Choirul,
  Untuk case tersebut sepertinya agak sulit mas. Karena perbedaan return-path dan received: from lumrah adanya. Contoh kasusnya misalnya menggunakan SMTP Relay. Antara nama domain dan server SMTP Relay nya pasti tidak sama/beda.
  
  Reply
Muhammad fayaz Khan says:

August 19, 2020 at 5:22 pm

hi
i am facing spamming email they are using our name in display however email id is different .one more thing they are copying same email forward to others one as well with doc attachment. can you please help me out in this case . i did all the things like display name control as in your artical however i use some other parament to prevent the spam email like spf dkmi dmarc .
this is my email server output . facing spamming issue ..

[zimbra@email root]$ zmlocalconfig -s | grep -i header
zimbra_http_originating_ip_header = X-Forwarded-For
[zimbra@email root]$

Reply
1. Ahmad Imanudin says:
  
  August 22, 2020 at 4:01 pm
  
  Hi Muhammad Fayaz Khan,
  I recommend you to use external antispam like Mailborder or Proxmox Mail Gateway. It will help you to maintenance between antispam and mailbox server
  
  Reply
pizay says:

September 1, 2020 at 4:20 pm

Hallo mas Ahmad,

Cara lihat log ini gimana caranya ya??
D6CAE2811C34: hold: header From: “imanudin@imanudin.net” dari tidak dikenal [120.xxx.xxx.xx]; from = to = proto = ESMTP helo =: sepertinya kamu spam
1 Nov 23:45:45 myzimbra postfix / pembersihan [17284]: D6CAE2811C34: message-id =

Reply
1. Ahmad Imanudin says:
  
  September 6, 2020 at 10:25 am
  
  Hi mas Pizay,
  Bisa dicek pada log /var/log/zimbra.log mas. Bisa pakai cat, more, less atau sejenisnya
  
  Reply
Ridwan Pratama Cahya Gustian says:

September 2, 2020 at 12:59 pm

Hallo Kang Iman,

Kang mau tanya kalau untuk mengembalikan kembali tanpa perlu melakukan from_checks bagaimana ya kang ?
Kebetulan saya baru coba testing untuk block email spoofingnya.

Terima kasih.

Reply
1. Ahmad Imanudin says:
  
  September 6, 2020 at 10:25 am
  
  Hi mas Ridwan,
  Cukup kosongkan saja isinya dan reload postfix nya
  
  Reply
Taufan says:

October 13, 2020 at 1:14 pm

mas , sya coba menerapkan from_checks sudah berhasil ke block email spoofing nya
namun test kirim email dari Gmail.com ke domain sendiri jadi tidak masuk ya

Reply
taufan says:

October 13, 2020 at 1:33 pm

maaf mas ternyata service clamav not start,
scriptnya berjalan baik terima kasiih

Reply
Pizay says:

November 18, 2020 at 2:55 pm

Hai Mas Iman,
Sebelumnya terimakasih untuk artikelnya sangat bermanfaat.
Saya telah berhasil menerapkan Block Email Spoofing by Display Name seperti yang ada di artikel ini, namun saya menemui kendala setelah beberapa hari kebelakang ini, jadi ada beberapa email dari partner kami yg terkena blocking dan alamat email atau domain itu adalah domain yang sah dan terpercaya.
Bagaimana saya bisa memberikan daftar putih untuk beberapa domain external agar email dari domain yang diberi daftar putih bisa lolos untuk pengiriman email.

Terimakasih.

Reply
1. Ahmad Imanudin says:
  
  November 18, 2020 at 4:38 pm
  
  Hi mas Pizay,
  Bisa mas. Silakan dicek kembali artikelnya. Sudah saya update panduannya
  
  Reply
  1. Pizay says:
    
    November 19, 2020 at 10:28 am
    
    Hai mas iman, saya ada beberapa domain dari external yang harus diberikan daftar putih, dan saya mencoba dengan cara sekaligus seperti ini:
    /^From:(.*@domainsaya.net)+(.*@domainsaya.net)/ OK domain whitelist
    /^From:(.*@punyadia.co.id)+(.*@punyadia.co.id)/ OK domain whitelist
    /^From:(.*@infobank.com)+(.*@infobank.com)/OK domain whitelist
    /^From:(.*@penggadaian.com)+(.*@penggadaian.com)/OK domain whitelist
    /^From:(.*@gadaimobil.com)+(.*@gadaimobil.com)/ OK domain whitelist
    /^From:(.*@)+(.*@)/ HOLD Sepertinya Anda Spam
    
    Hanya saya yang berhasil lolos ke daftar putih hanyalah yang di urutan paling atas yaitu adalah pada domain @domainsaya.net, untuk baris yang lain belum berhasil masuk pada daftar putih.
    Tolong untuk dikoresi, bagaimana saya bisa memberikan daftar putih kepada domain external sekaligus.
    
    Terimakasih.
    
    Reply
    1. Ahmad Imanudin says:
      
      November 24, 2020 at 2:10 pm
      
      HI mas Pizay,
      Kemungkinan tanda @ dibagian pertama bukan alamat email. Melainkan tanda @ yang disisipkan. Untuk whitelistnya, bisa cukup isi seperti berikut :
      
      /^From:(.*@penggadaian.com)/OK domain whitelist
      
      Reply
inge says:

April 15, 2021 at 9:28 am

selamat pagi mas iman,
hari ini sy dapat mass email spoofing dengan alamat email bukan menggunakan @ tp & , contohnya spt ini :

yuli&mydomain.com
apabila spoofing spt ini apaka saya bisa block dg spt ini :

/^From:(.*&)+(.*&)/ HOLD sepertinya kamu spam

mohon petunjuknya yah mas iman.

Terimakasih

Reply
1. Ahmad Imanudin says:
  
  April 19, 2021 at 9:52 am
  
  Hi mas,
  Bisa disetup seperti ini
  /^From:(.*&)+(.*@)/ HOLD sepertinya kamu spam
  
  Reply
Tantio says:

August 8, 2023 at 8:27 pm

Halo Mas Iman,
Saya ada masalah di mail server saya ketika user kirim email kok tiba-tiba di To nya itu ada alamat email masuk ya?padahal user tidak merasa melakukan to, cc, atau bcc ke alamat email tersebut,,saya harus mulai dari mana ya untuk troubleshoot nya?
Terima kasih

Reply
1. Ahmad Imanudin says:
  
  August 9, 2023 at 10:11 am
  
  Hi mas,
  Ada contoh screenshotnya kah?
  
  Reply
  1. Tantio says:
    
    August 9, 2023 at 10:43 am
    
    Sudah ketemu mas..settingan di Reply-to nya di inputkan alamat email spammer sebelumnya…
    Jadi sepertinya akun user ini berhasil ke hack dan hacker tersebut setting Reply-To dengan alamat email hacker tersebut,karena sebelumnya user ini akun nya jadi spammer.
    Tapi kira-kira apa ada lain untuk setting Reply-to ini selain melalui tab preferences?hanya untuk jaga-jaga kalau balik lagi.
    
    Reply
    1. Ahmad Imanudin says:
      
      August 10, 2023 at 1:38 pm
      
      Hi mas Tantio,
      Reply-to bisa disetup dari email klien juga seperti Thunderbird/Outlook. Untuk disable Reply-to dari webmail, bisa jalankan perintah berikut peruser
      
      su - zimbra zmprov ma namaaccount zimbraPrefReplyToEnabled FALSE
      
      Reply
      1. Tantio says:
        
        August 10, 2023 at 2:14 pm
        
        Halo mas Iman,
        
        Terima kasih untuk petunjuk nya mas.
        Apakah bisa diaplikasikan secara global?
        Biar nanti user yang ingin menggunakan fitur Reply-To baru diaktifkan.
      2. Ahmad Imanudin says:
        
        August 11, 2023 at 8:04 pm
        
        Hi mas Tantio,
        Untuk global sayangnya belum ada. Karena perintah tersebut hanya bisa didefine untuk account only. Belum tersedia untuk COS
Tantio says:

August 30, 2023 at 9:13 am

Halo Mas Iman,

Ijin bertanya lagi, apakah metode ini tidak bisa kalau to nya ke alamat email distribution list? Karena di mail server saya email yg berasal dari display name yg ada @ nya kirim ke distribution list bisa masuk,

Reply
1. Ahmad Imanudin says:
  
  September 4, 2023 at 10:26 am
  
  Hi mas Tantio,
  Semestinya bisa mas. Karena yang dicek adalah From pada displayname nya
  
  Reply
  1. Tantio says:
    
    September 7, 2023 at 10:18 pm
    
    Received: from plumb.laolinjia.com (plumb.laolinjia.com [82.115.209.38])
    by kangpos.excelindo.co.id (Postfix) with ESMTPS id 79D37600AD2FF
    for ; Mon, 4 Sep 2023 11:05:59 +0700 (WIB)
    From: Noreply@excelindo.co.id
    To: xxxxxxxxx@excelindo.co.id
    
    kalo from nya gitu harusnya kan ke filter ya mas?
    
    Reply
    1. Ahmad Imanudin says:
      
      September 9, 2023 at 2:36 pm
      
      Hi mas,
      Jika seperti demikian, normal mas. Yang kefilter adalah bagian displayname nya. Bukan emailnya
      
      Reply

Tips Block Email Spoofing by Display Name

Like this:

51 comments

Leave a Reply Cancel reply

Share Artikel Ini

Like this:

Leave a Reply Cancel reply