Tutorial Anti Spam Oleh: Irwan Hadi
Berikut adalah pertanyaan yang sering ditujukan ke milis mengenai spam dan
jawabannya
1. Apakah Spam itu ?
Spam adalah pengiriman surat kepada orang yang tidak kenal yang biasanya berisi penawaran mengenai business.
2. Kalau spammer ?
Spammer adalah orang yang melakukan spam tadi 3. Junk mail ?
Junk mail terus terang sangat luas cakupannya, misalnya spam tadi sebetulnya bisa dikategorikan junk mail, atau contoh lain anda mengirimkan
pesan UNSUBSCRIBE ke milis juga termasuk junk, jadi secara garis besar , junk mail berarti :
- Bagi Mailling List : message yang tidak ada hubungannya dengan milis tersebut
- Bagi user : message yang tidak kita kehendaki, misalnya teman anda mengirimkan penawaran ikut MLM ke anda, itu junk.
4. Bagaimana caranya menghindari spam ?
Anda tidak dapat dapat menghindarinya jika anda menjadi anggota komunitas
internet yang aktif , misalnya dalam hal ini sering ikut mailling list. Bahkan jika anda pasif sekalipun, anda dapat pula menerima spam tadi. Lho
bagaimana caranya ?
Bisa saja anda ikut mailling list, tapi anda tidak pernah posting, tapi karena mailling list tersebut mengijinkan user untuk mendapatkan list subscriber milis tadi, dari situ ia dapat mendapatkan alamat anda. Selain
itu, adanya suatu kelemahan di standard RFC untuk SMTP dimana anda dapat mengetahui suatu user name ada atau tidak di server tadi dengan
melakukan
telnet port 25, lalu ketik VRFY username, maka dari sini spammer dengan cara brute forte (dicobain dari 0 sampe 10, a sampe zzzzzzzz (8 karakter kan biasanya ?) )dapat mengetahui email email address yang ada di
server itu.
Pencegahan sudah ada, dengan cara mendisable perintah VRFY tadi, misalnya
postfix patch terbaru, atau Qmail (CMIIW)
5. Apa yang harus saya lakukan jika menerima spam ?
Pertama jangan takut, sebab spam tidak sama dengan mail bomb, umumnya spam
yang anda terima tidak akan mencapai puluhan per hari, terkadang hanya 1 per minggu.
Jika anda malas, anda tinggal delete spam tadi, persoalan beres.
Tapi jika anda penasaran dan ingin membereskan spammer tadi, ada langkah langkah yang harus anda lakukan berikut. Percuma anda me mail bomb orang tadi, karena selain buang buang waktu, biasa alamat yang diberikan oleh
spammer tadi adalah fake address, jadi .... percuma kan ? 6. Cara spammer menyebarkan spam
Hal ini dibedakan menjadi 3 yaitu : - Direct to MX spamming
- Spamming melalui mail server yang open relay Kita akan membahasnya berikut
- Direct to MX spamming
Ilustrasinya adalah begini, ambillah suatu provider yang mail servernya tidak open relay, misalnya cbn , dimana jika anda misalnya menggunakan centrin.net dan anda ingin mengganti SMTP server anda dari
smtp.centrin.net.id / mail/bdg/sby.centrin.net.id menjadi
mail.cbn.net.id/smtp.cbn.net.id maka anda tidak akan dapat. Begitu anda ingin coba kirim surat ke misalnya saya di iname.com , maka mail server cbn
tadi akan menolak, alhasil suratnya nggak bakalan kekirim. Tapi kalau anda
ingin mengirimkan surat ke sianu@cbn.net.id , maka anda dapat. Untuk jelasnya coba anda jalankan telnet (start-run-telnet.exe)
lalu anda alt-connect-remote isikan misalnya mail.cbn.net.id (TAPI ANDA HARUS MENGGUNAKAN PROVIDER SELAIN CBN), pada portnya anda isikan 25 lalu enter
lalu anda ketik HELO
mail from: dodolgarut@centrin.net.id rcpt to: dodolmanis@centrin.net.id
Maka akan ada tulisan Sorry we do not relay, atau This host is not in my rcpthosts, atau sebagainya
Tapi misalnya anda konek menggunakan cbn.net.id maka setelah anda mengetik
rcpt to: dodolmanis@centrin.net.id
maka di sampingnya akan ada tulisan ok, tanda anda boleh menggunakan mail
server cbn tadi untuk mengirim ke dodolmanis@centrin.net.id Setelah itu anda ketik
DATA
lalu isi messagenya dan diakhir dengan . (titik) lalu enter Maka akan ada pesan bahwa message anda telah diaccept dengan diberi nomor ,
lalu siap untuk dikirim
[tapi jika anda konek dengan cbn, dan anda ingin mencoba, maka anda boleh
mencoba dengan smtp lain yang tidak open relay misalnya smtp.centrin.net.id, atau mail.bit.net.id)
TAPI jika pada contoh di atas, misalnya anda konek dengan centrin, terus mencoba dengan mail.cbn.net.id , lalu pada RCPT TO: anda isikan
sidodol@cbn.net.id , maka pasti bisa.
Nah pada direct to MX spamming hal ini sama juga, misalnya pada hotmail, dengan pelanggan 60 juta, dan si spammer sudah punya 100 ribu address di hotmail yang akan dispamming, maka ia tinggal telnet port 25 di
mail.hotmail.com , lalu pada rcpt to: nya ia tinggal isikan semua address
yang ia tujukan, padahal mail.hotmail.com itu tidak open relay.
Jadi pada intinya Direct to MX spamming adalah penggunaan mail server tempat si target yang ingin dispam , untuk menyepam dia .
Contohnya dari header surat yang diterima adalah :
---From: <sender994@mindspring.com> Save Address Block Sender Subject: Congratulations!
Date: Sat, 18 Dec 1999 11:29:35 MIME-Version: 1.0
Received: from [38.30.13.169] by hotmail.com (3.2) with ESMTP id MHotMailBA2502CC0010D820F3BC261E0DA90F640; Sat Dec
18 08:35:29 1999
From sender994@mindspring.com Sat Dec 18 08:49:04 1999 Message-Id: <480.595739.647571@mindspring.com>
---Tampak, bahwa seseorang dengan IP 38.30.13.169 konek langsung ke
hotmail.com untuk menyepamm email account saya di hotmail, pada sat dec 18
, jam 08:35:29 tahun 1999 waktu hotmail, padahal waktu di komputer spammer
tadi sat dec 18 08:39:04 1999
Nah itu pada message idnya ada tulisan mindspring.com , yaitu salah satu provider terbesar di Indonesia, itu hanya untuk mengecoh orang yang masih
"newbie" dalam soal spam menyepamm, agar dikira dia konek pakai mindspring.com, padahal sebetulnya dia si 38.30.13.169 tadi, pake PSI.net
coba lihat hasil lookup berikut
---Host name: ip169.isdn14.800.psi.net
IP address: 38.30.13.169 Alias(es): None
---jadi ternyata si 38.30.13.169, dengan nama lainnya adalah ip169.isdn14.800.psi.net, yang menyepamm saya,.
Wah sudah, tinggal saya kirimkan surat ke abuse@psi.net, minta agar si spammer ini dibereskan, dab biasanya kalau di amerika itu beneran dibereskan, bahkan biasanya account di disable (ditutup), contohnya
---Date: Thu, 23 Dec 1999 16:17:16 -0500 (EST)
Message-Id: <199912232117.QAA03498@utility1.troy.psi.com> X-Loop-Detect: PSINet/nab
X-UIDL: 945997405.158
From: Net Abuse Team <abuse@psi.com> To: irwanhadi@iname.com
Subject: Re: Increase Your Revenues and Pay Your Bills ! (27026) #nab-1629170
Status: U Hello,
Policy has been disabled. If you receive any further correspondence from this source, please let us know.
When submitting a complaint to PSINet, please include the SUBJECT LINE of the spam in the subject of your e-mail.
Thank you. Net-Abuse Team PSINet, Inc. abuse@psi.com http://www.psinet.com/legalinfo/netabusepolicy.html
---Nggak seperti di Indonesia sini, boro boro di disabled, mau ditegor aja si
spammer sama adminnya juga udah bagus.
Terus terang saja berdasarkan pengalaman saya selama ini, provider di Indonesia yang terbaik dalam soal komplain spam adalah CBN, dan yang paling
buruk, hehehehee C.NTR.N
Yang lain nggak tau, soalnya belum pernah ada orang nyepamm lewat provider
lain ke saya.
Pada account hotmail saya, biasanya ada 4 provider besar yang kebetulan usernya sangat banyak juga, yang suka direct to MX spamming , mereka yaitu
uu.net, biasa dengan IP di kepala 6x.xxx.xxx.xxx PSI Net , biasa di IP kepala 3x.xxx.xxx.xxx BBNPlanet, biasa di IP 4.xxx.xxx.xxx
Aol . biasa di 16x.xxx.xxx.xxx
- Spamming melalui mail server yang open relay
Jika anda telah mengerti Direct to MX spamming, maka anda dengan mudah mengerti yang ini, dimana sama seperti pada direct to MX spamming, tapi pada mail server yang open relay, begitu anda ketik rcpt to:
somebody@somesite.com , maka dia akan ok Contohnya adalah berikut ini
--->Received: from rmx09.globecomm.net (rmx09.iname.net [165.251.8.95]) by >dpnegoro.bit.net.id (8.8.5/BITNET5) with ESMTP id XAA22356 for
><xxxxxxx@dpnegoro.bit.net.id>; Sun, 31 Oct 1999 23:04:48 GMT
>Received: from smv15.iname.net by rmx09.globecomm.net (8.9.1/8.8.0) with
>SMTP id RAA10078 ; Sun, 31 Oct 1999 17:59:21 -0500 (EST) >Received: from data99.cz (www.data99.cz [193.179.185.105])
> by smv15.iname.net (8.9.3/8.9.1SMV2) with ESMTP id RAA22733; > Sun, 31 Oct 1999 17:56:41 -0500 (EST)
>Received: from fij909 [38.26.242.169] by data99.cz with ESMTP > (SMTPD32-5.05) id A9001180180; Sun, 31 Oct 1999 23:56:00 +0100 >From: "Rudy" <benk9@lakmail.com>
>Subject: Want More Sales? >To: look38j@iname.net
>X-MimeOLE: Produced By Microsoft MimeOLE V(null).1712.3 >Mime-Version: 1.0
>Date: Sun, 31 Oct 1999 17:01:17 -0500
>Content-Type: text/plain; charset="iso-8859-1" >Message-Id: <199910312356876.SM01216@fij909> >Content-Transfer-Encoding: 8bit
>X-MIME-Autoconverted: from quoted-printable to 8bit by smv15.iname.net id
>RAA22733
---Tampak seseorang dengan IP 38.26.242.169, menggunakan mail server data99.cz, atau aliasnya adalah www.data99.cz , dengan IP mail server itu
adalah 193.179.185.105 yang open relay untuk menyepamm saya. orang itu pakai outlook express dari mikocok untuk nyepamm saya.
Nah contoh ini jelas, mail server data99.cz harusnya tidak boleh open relay
, tapi dia ternyata bisa dipakai oleh orang yang tidak dalam satu sub net
block 193.179.x.x nya, yaitu dari 38.26.242.169 , maka ini open relay. Anda pun juga bisa menggunakannya,selama mail server tadi belum
diperbaiki oleh adminnya.
Nah siapakah orang dengan IP 38.26.242.169 tadi ? Mudah, kita lookup, maka hasilnya adalah
---Host name: ip169.providence11.ri.pub-ip.psi.net IP address: 38.26.242.169
Alias(es): None
---Ups, dari psi.net juga, dia lokasinya bahkan sangat jelas, dia berada di kota providence, yang berada di state RI (rhode Island) di Amerika. So, mudah, tinggal saya komplain lagi ke abuse@psi.net , maka... biarkan orang psi.net membereskan spammer tadi.
---Setelah jelas mengenai 2 jenis metode spamming yaitu direct to MX spamming
dan spamming melalui mail server yang open relay, maka kita bisa lanjut ke
lesson berikut
7. Bagaimana cara melacak spammer ?
Anda bisa melacaknya melalui IP yang digunakan, karena 98% kasus spamming,
maka IP address yang digunakan spammer tadi pasti akan masuk di header, dan
anda dapat melacaknya.
Kuncinya adalah anda HARUS dapat melihat full header dari message tadi, kalau di hotmail misalnya pilih options lalu preferences, lalu pilih pada
bagian show header : full header.
Di yahoo mail sama juga, kalau anda pakai Eudora, anda tinggal klik tombol
blah blah blah button di sebelah kiri atas, kalau anda pakai mikocok outlook express bagaimana ? Nah itu anda temukan sendiri saja, soalnya saya
tidak pernah dan tidak akan pernah pakai outlook express.
Memang ada beberapa mail server di internet yang saya tahu, yang anonymous,
bahkan di Indonesia ada juga, milik salah satu bank, dimana jika IP address
anda TIDAK akan muncul di header, yang muncul hanyalah begini misalnya Received: from suatubank.co.id by suatubank.co.id with SMTP
...
harusnya kan muncul nya begini
Received: from testing[202.147.xxx.xxx] by suatubank.co.id with SMTP ...
testing adalah kata yang saya isikan pada pada saat HELO
jadi begini, kalau anda telnet port 25, suatu mail server, lalu pas HELO , anda isikan misalnya kucingku
Maka yang akan tampil di header adalah : Received: from kucingku[IP ANDA SAAT ITU] by mailserver.yang.anda.gunakan
with SMTP ...
Nah setelah anda dapatkan IP si spammer, maka anda bisa mencoba untuk lookupnya, misalnya di linux pakai $ dig -x IP atau di windows anda bisa cari utility netlab di tucows (www.tucows.com)
8. Apa yang harus saya lakukan selanjutnya jika saya menerima spamm ? Seperti yang telah ditulis di atas, anda dapat langsung mendeletenya, tapi
diharapkan anda setelah membaca surat ini, tolong jangan didelete begitu saja spammnya, tapi anda sebaiknya ikut untuk menghentikan aksi
keganasan spammer ini
Untuk jenis Direct to MX spamming, anda cukup laporkan ke abuse@provider.yang.digunakan.si.spammer
tapi untuk jenis yang open relay spamming, anda tolong forward spamm tadi ke
relays@mail-abuse.org , dan relays@orbs.org pada body nya, anda tulis
Relay: xxx.xxx.xxx.xxx
xxx.xxx.xxx.xxx adalah IP dari mail server yang open relay. ingat, jangan sampai salah tulis dengan
relay : xxx.xxx.xxx.xxx , karena messagenya anda akan dibalikin. Ini adalah langkah untuk membatasi ruang gerak si spammer, sehingga dengan
--Jika anda seorang admin mail server, selain set mail server anda agar tidak
open relay, tolong juga anda subscribe DUL, RSS dan RBL dari http://www.mail-abuse.org , dan http://www.orbs.org selain untuk melindungi
langganan anda dari spam, juga untuk semakin membatasi ruang gerak spammer.
DUL -> Dial Up user List adalah layanan untuk memblock adanya Direct to MX
spamming ke mail server anda
RSS -> Relay Spamm Stopper adalah layanan untuk memblock email yang berasal
dari mail server yang open relay.
RBL -> Real Time Black Hole List adalah layanan untuk memblock email dari
site site yang selain open relay, juga site lain yang terlibat kasus serius. ---References : 1. http://www.mail-abuse.org 2. http://www.orbs.org 3. http://www.cauce.org 4. http://www.spamcop.net 5. pengalaman lah !
PS: jika ada yang ingin ditanyakan lebih lanjut, bisa mengirimkannya ke alamat saya irwanhadi@iname.com, dan mohon agar tutorial ini dibaca terutama bagi mereka yang masih buta urusan spam , agar tidak bingung terus.
DIEDARKAN OLEH VLSM PEMULA 2000 www.pemula.com dikutip dari hackerlink
