Umum
Apa itu SMTP?
SMTP adalah fitur yang diberikan hosting untuk pelanggan dapat mengirim email melalui email client seperti Outlook, Thunderbird. Default SMTP MWN adalah mail.example.com dengan nomor port 25 dan 587.
Apa itu POP3?
POP3 adalah protokol yang memungkinkan pengguna menarik data email dari server ke komputernya melalui aplikasi email client seperti Outlook, Thunderbird. Default setting POP3 MWN adalah mail.example.com dengan port 110.
Apa itu IMAP?
IMAP merupakan satu lagi protokol email selain POP3, dengan koneksi berbasis IMAP, sinkronisasi data email antara komputer pengguna dengan mailserver dapat dilakukan. Setiap anda menghapus folder/email di Outlook, secara bersamaan anda juga telah menghapus folder/email di sisi server. Port untuk koneksi IMAP adalah 143.
Menerima email
Mengirim email
Email Spoofing
Email spoofing adalah salah satu jenis teknik phising melalui email dengan cara memalsukan From: seolah-oleh berasal dari email valid domain terpercaya. Tujuan dari spoofing ini umumnya adalah untuk mencuri informasi, hak akses dari pengguna.
Contoh sampel header email spoofing
Received: from [119.82.226.24] (helo=server43040x.masterweb.net)
by mxserver8.masterweb.com with esmtps (TLSv1:DHE-RSA-AES256-SHA:256)
(Exim 4.82) (envelope-from <k12345@server43040x.masterweb.net>)
id 1WVQp7-0001ZK-En; Wed, 02 Apr 2014 15:27:45 -0400
Received: from k12345 by server43040x.masterweb.net with local (Exim 4.82)
(envelope-from <k12345@server43040x.masterweb.net>)
id 1WVPk6-0003oL-7n; Wed, 02 Apr 2014 19:18:32 +0100
To: blndshvmorfn13@aol.com, bop1983@yahoo.com, bigbucky@telus.net,
bobsimmons@hotmail.com, bmcsteren@cyg.net, cannoninteriors@msn.com,
cammisa-cantzrusselcmowles@net-temps.com, bob_sue2004@yahoo.ca,
bjcllctcnr@aol.com, boggartyg@yahoo.com, butterworthpollenelala@netnitco.net,
boston2bklyn@talkmatch.com, cancangirl_1@yahoo.ca, birchbark12001@yahoo.ca,
bracamontesloriannesamm987@directv.com, blam@rogers.com,
bjoernmichaelis@arcor.de, bob@bobhartner.com, bpdesk@streamyx.com,
bob760524@yahoo.com.tw, canofpidgqm@kweenandkweens.com, bmcleod1@eastlink.ca,
botellomargaretellencmoss45247@net-temps.com, blue15@rogers.com
Subject:
X-PHP-Script: lokerjadi.com/wp-content/themes/Flat728/a.php for 190.174.212.187
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 8bit
From: Morris Volmar <bjsherritt@baronvale.co.uk>
Reply-To: Morris Volmar <bjsherritt@baronvale.co.uk>
Subject:
Message-Id: <E1WVPk6-0003oL-7n@server43040x.masterweb.net>
Date: Wed, 02 Apr 2014 19:18:30 +0100
Dari header di atas dapat terlihat From: seolah-olah berasal dari alamat email bjsherritt@baronvale.co.uk, ini adalah spoofing. Jika ingin melihat pengirim asli dan metode pengirimannya dapat ditrace dari baris:
Received: from k12345 by server43040x.masterweb.net with local (Exim 4.82) (envelope-from <k12345@server43040x.masterweb.net>)
Otentikasi berasal dari k12345@server43040x.masterweb.net (with local) mengindikasikan email terkirim melalui aplikasi web/skrip. Untuk lebih jelasnya lihat baris:
X-PHP-Script: lokerjadi.com/wp-content/themes/Flat728/a.php for 190.174.212.187 => dapat dilihat jelas skrip pengirim berasal dari skrip a.php
Dengan contoh header ini bisa disimpulkan bahwa spambot dengan skrip mailer tertentu sangat mudah memanipulasi header From: seolah-olah berasal dari email yang valid.
Pencurian password email oleh virus
Kasus lain yang sering dialami user antara lain password email PC Outlook user dicuri virus dan disalahgunakan untuk mengirim spam dari jaringan luar. Contoh kasus ini bisa diperiksa melalui log /var/log/spanel/smtp-access.log
info@tokoku=com.KR.59.4.90.67 [02/Apr/2014:01:27:39 +0000] 27.747s 1tx "money-making is fun! " QUEUED(250) 581b "info@tokoku.com" 15r "st
ock@gawab.com, bhellsbaby@yahoo.co.uk, winsolo@hotmail.com, rxowens@insightbb.com, herbstm46@hotmail.com, ocuaycong@mkwla.com, sheehan@brinet.c
om, pcp1111@optonline.net, who0ps99@hotmail.com, bob@knoxvilleascension.org, losmanrn@juno.com, spoontune@aol.com, hankbeyank@aol.com, gordonsm
ith24@hotmail.com, joebh@erols.com" 2dd6c2779e481206c8d0c306f23dedf3 (rate_limit=hour=0/100, day=0/500 rbl=sbl-xbl.spamhaus.org)
Dari contoh log smtp tersebut dapat dilihat user info@tokoku.com melakukan otentikasi smtp untuk pengiriman menggunakan IP Korea 59.4.90.67 pada jam 02/Apr/2014:01:27:39 +0000 sekali pengiriman (1tx) menggunakan subject: “money-making is fun! ” status terkirim (QUEUED) dengan ukuran pesan 581 bytes, From: dari info@tokoku.com dengan total penerima sebanyak 15 recipient (stock@gawab.com, bhellsbaby@yahoo.co.uk, winsolo@hotmail.com, rxowens@insightbb.com, herbstm46@hotmail.com, ocuaycong@mkwla.com, sheehan@brinet.com, pcp1111@optonline.net, who0ps99@hotmail.com, bob@knoxvilleascension.org, losmanrn@juno.com, spoontune@aol.com, hankbeyank@aol.com, gordonsm ith24@hotmail.com, joebh@erols.com) message id dalam email ini adalah 2dd6c2779e481206c8d0c306f23dedf3.
Penanganan kasus seperti ini adalah dengan memastikan PC user bersih dari virus-virus, scan dengan antivirus terupdate. Kemudian untuk password akun email bersangkutan segera direset melalui control panel hosting karena password telah tercuri oleh pembuat virus.