Mengenal Spam
Berikut adalah pertanyaan yang sering ditujukan ke milis mengenai spam dan
jawabannya
1. Apakah Spam itu ?
Spam adalah pengiriman surat kepada orang yang tidak kenal yang biasanya
berisi penawaran mengenai business.
2. Kalau spammer ?
Spammer adalah orang yang melakukan spam tadi
3. Junk mail ?
Junk mail terus terang sangat luas cakupannya, misalnya spam tadi
sebetulnya bisa dikategorikan junk mail, atau contoh lain anda mengirimkan
pesan UNSUBSCRIBE ke milis juga termasuk junk, jadi secara garis besar ,
junk mail berarti :
- Bagi Mailling List : message yang tidak ada hubungannya dengan milis
tersebut
- Bagi user : message yang tidak kita kehendaki, misalnya teman anda
mengirimkan penawaran ikut MLM ke anda, itu junk.
4. Bagaimana caranya menghindari spam ?
Anda tidak dapat dapat menghindarinya jika anda menjadi anggota komunitas
internet yang aktif , misalnya dalam hal ini sering ikut mailling list.
Bahkan jika anda pasif sekalipun, anda dapat pula menerima spam tadi. Lho
bagaimana caranya ?
Bisa saja anda ikut mailling list, tapi anda tidak pernah posting, tapi
karena mailling list tersebut mengijinkan user untuk mendapatkan list
subscriber milis tadi, dari situ ia dapat mendapatkan alamat anda. Selain
itu, adanya suatu kelemahan di standard RFC untuk SMTP dimana anda dapat
mengetahui suatu user name ada atau tidak di server tadi dengan melakukan
telnet port 25, lalu ketik VRFY username, maka dari sini spammer dengan
cara brute forte (dicobain dari 0 sampe 10, a sampe zzzzzzzz (8 karakter
kan biasanya ?) )dapat mengetahui email email address yang ada di server itu.
Pencegahan sudah ada, dengan cara mendisable perintah VRFY tadi, misalnya
postfix patch terbaru, atau Qmail (CMIIW)
5. Apa yang harus saya lakukan jika menerima spam ?
Pertama jangan takut, sebab spam tidak sama dengan mail bomb, umumnya spam
yang anda terima tidak akan mencapai puluhan per hari, terkadang hanya 1
per minggu.
Jika anda malas, anda tinggal delete spam tadi, persoalan beres.
Tapi jika anda penasaran dan ingin membereskan spammer tadi, ada langkah
langkah yang harus anda lakukan berikut. Percuma anda me mail bomb orang
tadi, karena selain buang buang waktu, biasa alamat yang diberikan oleh
spammer tadi adalah fake address, jadi .... percuma kan ?
6. Cara spammer menyebarkan spam
Hal ini dibedakan menjadi 3 yaitu :
- Direct to MX spamming
- Spamming melalui mail server yang open relay
Kita akan membahasnya berikut
- Direct to MX spamming
Ilustrasinya adalah begini, ambillah suatu provider yang mail servernya
tidak open relay, misalnya cbn , dimana jika anda misalnya menggunakan
centrin.net dan anda ingin mengganti SMTP server anda dari
smtp.centrin.net.id / mail/bdg/sby.centrin.net.id menjadi
mail.cbn.net.id/smtp.cbn.net.id maka anda tidak akan dapat. Begitu anda
ingin coba kirim surat ke misalnya saya di iname.com , maka mail server cbn
tadi akan menolak, alhasil suratnya nggak bakalan kekirim. Tapi kalau anda
ingin mengirimkan surat ke [EMAIL PROTECTED] , maka anda dapat.
Untuk jelasnya coba anda jalankan telnet (start-run-telnet.exe)
lalu anda alt-connect-remote isikan misalnya mail.cbn.net.id (TAPI ANDA
HARUS MENGGUNAKAN PROVIDER SELAIN CBN), pada portnya anda isikan 25 lalu enter
lalu anda ketik
HELO
mail from: [EMAIL PROTECTED]
rcpt to: [EMAIL PROTECTED]
Maka akan ada tulisan Sorry we do not relay, atau This host is not in my
rcpthosts, atau sebagainya
Tapi misalnya anda konek menggunakan cbn.net.id maka setelah anda mengetik
rcpt to: [EMAIL PROTECTED]
maka di sampingnya akan ada tulisan ok, tanda anda boleh menggunakan mail
server cbn tadi untuk mengirim ke [EMAIL PROTECTED]
Setelah itu anda ketik
DATA
lalu isi messagenya dan diakhir dengan . (titik) lalu enter
Maka akan ada pesan bahwa message anda telah diaccept dengan diberi nomor ,
lalu siap untuk dikirim
[tapi jika anda konek dengan cbn, dan anda ingin mencoba, maka anda boleh
mencoba dengan smtp lain yang tidak open relay misalnya
smtp.centrin.net.id, atau mail.bit.net.id)
TAPI jika pada contoh di atas, misalnya anda konek dengan centrin, terus
mencoba dengan mail.cbn.net.id , lalu pada RCPT TO: anda isikan
[EMAIL PROTECTED] , maka pasti bisa.
Nah pada direct to MX spamming hal ini sama juga, misalnya pada hotmail,
dengan pelanggan 60 juta, dan si spammer sudah punya 100 ribu address di
hotmail yang akan dispamming, maka ia tinggal telnet port 25 di
mail.hotmail.com , lalu pada rcpt to: nya ia tinggal isikan semua address
yang ia tujukan, padahal mail.hotmail.com itu tidak open relay.
Jadi pada intinya Direct to MX spamming adalah penggunaan mail server
tempat si target yang ingin dispam , untuk menyepam dia .
Contohnya dari header surat yang diterima adalah :
----------------------------------------------------
From: <[EMAIL PROTECTED]> Save Address Block Sender
Subject: Congratulations!
Date: Sat, 18 Dec 1999 11:29:35
MIME-Version: 1.0
Received: from [38.30.13.169] by hotmail.com (3.2) with ESMTP id
MHotMailBA2502CC0010D820F3BC261E0DA90F640; Sat Dec
18 08:35:29 1999
From [EMAIL PROTECTED] Sat Dec 18 08:49:04 1999
Message-Id: <[EMAIL PROTECTED]>
-------------------------------------------------------
Tampak, bahwa seseorang dengan IP 38.30.13.169 konek langsung ke
hotmail.com untuk menyepamm email account saya di hotmail, pada sat dec 18
, jam 08:35:29 tahun 1999 waktu hotmail, padahal waktu di komputer spammer
tadi sat dec 18 08:39:04 1999
Nah itu pada message idnya ada tulisan mindspring.com , yaitu salah satu
provider terbesar di Indonesia, itu hanya untuk mengecoh orang yang masih
"newbie" dalam soal spam menyepamm, agar dikira dia konek pakai
mindspring.com, padahal sebetulnya dia si 38.30.13.169 tadi, pake PSI.net
coba lihat hasil lookup berikut
--------------------------------------------
Host name: ip169.isdn14.800.psi.net
IP address: 38.30.13.169
Alias(es): None
--------------------------------------------
jadi ternyata si 38.30.13.169, dengan nama lainnya adalah
ip169.isdn14.800.psi.net, yang menyepamm saya,.
Wah sudah, tinggal saya kirimkan surat ke [EMAIL PROTECTED], minta agar si
spammer ini dibereskan, dab biasanya kalau di amerika itu beneran
dibereskan, bahkan biasanya account di disable (ditutup), contohnya
-----------------------------------------------
Date: Thu, 23 Dec 1999 16:17:16 -0500 (EST)
Message-Id: <[EMAIL PROTECTED]>
X-Loop-Detect: PSINet/nab
X-UIDL: 945997405.158
From: Net Abuse Team <[EMAIL PROTECTED]>
To: [EMAIL PROTECTED]
Subject: Re: Increase Your Revenues and Pay Your Bills ! (27026) #nab-1629170
Status: U
Hello,
Please be advised that the account used to violate our Net-Abuse
Policy has been disabled. If you receive any further correspondence
from this source, please let us know.
When submitting a complaint to PSINet, please include the SUBJECT
LINE of the spam in the subject of your e-mail.
Thank you.
Net-Abuse Team
PSINet, Inc.
[EMAIL PROTECTED]
http://www.psinet.com/legalinfo/netabusepolicy.html
-----------------------------------------------------
Nggak seperti di Indonesia sini, boro boro di disabled, mau ditegor aja si
spammer sama adminnya juga udah bagus.
Terus terang saja berdasarkan pengalaman saya selama ini, provider di
Indonesia yang terbaik dalam soal komplain spam adalah CBN, dan yang paling
buruk, hehehehee C.NTR.N
Yang lain nggak tau, soalnya belum pernah ada orang nyepamm lewat provider
lain ke saya.
Pada account hotmail saya, biasanya ada 4 provider besar yang kebetulan
usernya sangat banyak juga, yang suka direct to MX spamming , mereka yaitu
uu.net, biasa dengan IP di kepala 6x.xxx.xxx.xxx
PSI Net , biasa di IP kepala 3x.xxx.xxx.xxx
BBNPlanet, biasa di IP 4.xxx.xxx.xxx
Aol . biasa di 16x.xxx.xxx.xxx
- Spamming melalui mail server yang open relay
Jika anda telah mengerti Direct to MX spamming, maka anda dengan mudah
mengerti yang ini, dimana sama seperti pada direct to MX spamming, tapi
pada mail server yang open relay, begitu anda ketik rcpt to:
[EMAIL PROTECTED] , maka dia akan ok
Contohnya adalah berikut ini
------------------------------------------
>Received: from rmx09.globecomm.net (rmx09.iname.net [165.251.8.95]) by
>dpnegoro.bit.net.id (8.8.5/BITNET5) with ESMTP id XAA22356 for
><[EMAIL PROTECTED]> Sun, 31 Oct 1999 23:04:48 GMT
>Received: from smv15.iname.net by rmx09.globecomm.net (8.9.1/8.8.0) with
>SMTP id RAA10078 ; Sun, 31 Oct 1999 17:59:21 -0500 (EST)
>Received: from data99.cz (www.data99.cz [193.179.185.105])
> by smv15.iname.net (8.9.3/8.9.1SMV2) with ESMTP id RAA22733;
> Sun, 31 Oct 1999 17:56:41 -0500 (EST)
>Received: from fij909 [38.26.242.169] by data99.cz with ESMTP
> (SMTPD32-5.05) id A9001180180; Sun, 31 Oct 1999 23:56:00 +0100
>From: "Rudy" <[EMAIL PROTECTED]>
>Subject: Want More Sales?
>To: [EMAIL PROTECTED]
>X-Mailer: Microsoft Outlook Express 4.72.1712.3
>X-MimeOLE: Produced By Microsoft MimeOLE V(null).1712.3
>Mime-Version: 1.0
>Date: Sun, 31 Oct 1999 17:01:17 -0500
>Content-Type: text/plain; charset="iso-8859-1"
>Message-Id: <199910312356876 .sm01216="" fij909="">
>Content-Transfer-Encoding: 8bit
>X-MIME-Autoconverted: from quoted-printable to 8bit by smv15.iname.net id
>RAA22733
----------------------------------------------------
Tampak seseorang dengan IP 38.26.242.169, menggunakan mail server
data99.cz, atau aliasnya adalah www.data99.cz , dengan IP mail server itu
adalah 193.179.185.105 yang open relay untuk menyepamm saya.
orang itu pakai outlook express dari mikocok untuk nyepamm saya.
Nah contoh ini jelas, mail server data99.cz harusnya tidak boleh open relay
, tapi dia ternyata bisa dipakai oleh orang yang tidak dalam satu sub net
block 193.179.x.x nya, yaitu dari 38.26.242.169 , maka ini open relay.
Anda pun juga bisa menggunakannya,selama mail server tadi belum diperbaiki
oleh adminnya.
Nah siapakah orang dengan IP 38.26.242.169 tadi ?
Mudah, kita lookup, maka hasilnya adalah
-----------------------------------
Host name: ip169.providence11.ri.pub-ip.psi.net
IP address: 38.26.242.169
Alias(es): None
-----------------------------------
Ups, dari psi.net juga, dia lokasinya bahkan sangat jelas, dia berada di
kota providence, yang berada di state RI (rhode Island) di Amerika.
So, mudah, tinggal saya komplain lagi ke [EMAIL PROTECTED] , maka.......
biarkan orang psi.net membereskan spammer tadi.
-----------------------------------------------
Setelah jelas mengenai 2 jenis metode spamming yaitu direct to MX spamming
dan spamming melalui mail server yang open relay, maka kita bisa lanjut ke
lesson berikut
7. Bagaimana cara melacak spammer ?
Anda bisa melacaknya melalui IP yang digunakan, karena 98% kasus spamming,
maka IP address yang digunakan spammer tadi pasti akan masuk di header, dan
anda dapat melacaknya.
Kuncinya adalah anda HARUS dapat melihat full header dari message tadi,
kalau di hotmail misalnya pilih options lalu preferences, lalu pilih pada
bagian show header : full header.
Di yahoo mail sama juga, kalau anda pakai Eudora, anda tinggal klik tombol
blah blah blah button di sebelah kiri atas, kalau anda pakai mikocok
outlook express bagaimana ? Nah itu anda temukan sendiri saja, soalnya saya
tidak pernah dan tidak akan pernah pakai outlook express.
Memang ada beberapa mail server di internet yang saya tahu, yang anonymous,
bahkan di Indonesia ada juga, milik salah satu bank, dimana jika IP address
anda TIDAK akan muncul di header, yang muncul hanyalah begini misalnya
Received: from suatubank.co.id by suatubank.co.id with SMTP
.......................
harusnya kan muncul nya begini
Received: from testing[202.147.xxx.xxx] by suatubank.co.id with SMTP
...........
testing adalah kata yang saya isikan pada pada saat HELO
jadi begini, kalau anda telnet port 25, suatu mail server, lalu pas
HELO , anda isikan misalnya kucingku
Maka yang akan tampil di header adalah :
Received: from kucingku[IP ANDA SAAT ITU] by mailserver.yang.anda.gunakan
with SMTP .........
Nah setelah anda dapatkan IP si spammer, maka anda bisa mencoba untuk
lookupnya, misalnya di linux pakai $ dig -x IP atau di windows anda bisa
cari utility netlab di tucows (www.tucows.com)
8. Apa yang harus saya lakukan selanjutnya jika saya menerima spamm ?
Seperti yang telah ditulis di atas, anda dapat langsung mendeletenya, tapi
diharapkan anda setelah membaca surat ini, tolong jangan didelete begitu
saja spammnya, tapi anda sebaiknya ikut untuk menghentikan aksi keganasan
spammer ini
Untuk jenis Direct to MX spamming, anda cukup laporkan ke
[EMAIL PROTECTED]
tapi untuk jenis yang open relay spamming, anda tolong forward spamm tadi ke
[EMAIL PROTECTED] , dan [EMAIL PROTECTED]
pada body nya, anda tulis
Relay: xxx.xxx.xxx.xxx
xxx.xxx.xxx.xxx adalah IP dari mail server yang open relay.
ingat, jangan sampai salah tulis dengan
relay : xxx.xxx.xxx.xxx , karena messagenya anda akan dibalikin.
Ini adalah langkah untuk membatasi ruang gerak si spammer, sehingga dengan
demikian si spammer akan lebih sulit untuk beraksi.
--
Jika anda seorang admin mail server, selain set mail server anda agar tidak
open relay, tolong juga anda subscribe DUL, RSS dan RBL dari
http://www.mail-abuse.org , dan http://www.orbs.org selain untuk melindungi
langganan anda dari spam, juga untuk semakin membatasi ruang gerak spammer.
DUL -> Dial Up user List adalah layanan untuk memblock adanya Direct to MX
spamming ke mail server anda
RSS -> Relay Spamm Stopper adalah layanan untuk memblock email yang berasal
dari mail server yang open relay.
RBL -> Real Time Black Hole List adalah layanan untuk memblock email dari
site site yang selain open relay, juga site lain yang terlibat kasus serius.
--------
References :
1. http://www.mail-abuse.org
2. http://www.orbs.org
3. http://www.cauce.org
4. http://www.spamcop.net
5. milis@gunadarma.ac.id
No comments:
Post a Comment