Hari ini kami mendapati traffic email sangat besar, sekitar 10.000 email. Setelah kami reset akun tersebut tetap mengirim 10.000 email lagi.
Kami menemukan, email di relay melalui port 25.
Padahal port 25 sudah kami disable dan harus menggunakan port 587 untuk autentikasinya.
Bukti tersebut kami dapatkan dari email queue di directadmin
pada gambar diatas, port nya 25.
Setelah kami selidiki ternyata terjadi open relay disebabkan domain terkait terdapat pada list /etc/virtual/whitelist_domains.
Dimana harusnya domain yang terdapat di daftar tersebut adalah domain external dan bukan domain yg terdapat di internal server itu sendiri.
Kemudian kami mengosongkan whitelist_domains.
Sekarang traffic spam sudah berhasil di hentikan dan tidak tembus lagi.
buktinya semua aktifitas langsung di reject seperti ini
br>: R1: HELO should be a FQDN or address literal (See RFC 2821 4.1.1.1)
2016-11-03 20:30:58 H=(server01windows) [198.20.83.171] F=<r2bgfl@barindo.com> rejected RCPT <anakellycavalcante@yahoo.com.br>: R1: HELO should be a FQDN or address literal (See RFC 2821 4.1.1.1)
2016-11-03 20:30:59 H=(server01windows) [198.20.83.171] F=<r2bgfl@barindo.com> rejected RCPT <anehelp@yahoo.com.br>: R1: HELO should be a FQDN or address literal (See RFC 2821 4.1.1.1)
2016-11-03 20:30:59 H=(server01windows) [198.20.83.171] F=<r2bgfl@barindo.com> rejected RCPT <omitex@omitextil.com.br>: R1: HELO should be a FQDN or address literal (See RFC 2821 4.1.1.1)
Demikian sekedar catatan seputar open relay di directadmin.