error 504 5.5.2 : Helo command rejected: need fully-qualified hostname;

Siang tadi temen kerja saya bilang bahwa email dari klien tidak bisa masuk ke kantor sejak jumat lalu. Sudah berkali-kali dicoba tapi masih tetep gak bisa terdeliver juga. Akhirnya saya cek log per-Jumat lalu untuk mencari tahu. Dari log (/var/log/mail.info) saya dapat error seperti ini untuk setiap email yang dikirimkan dari klien tersebut :

NOQUEUE: reject: RCPT from mail.xxx.co.id[202.158.xx.x]: 504 5.5.2 <IMSS>: Helo command rejected: need fully-qualified hostname; from=<client@xxx.co.id> to=<inbox.disini@yyy.com> proto=ESMTP helo=<IMSS>

Mulailah pencarian dari Mr. Google dimulai. Ternyata error tersebut di dapat jika nama mailserver pengirim tidak Fully Qualified Domain Name (FQDN). Ketika sampai pada mailserver yang mengharuskan/meminta agar semua email yang masuk mesti FQDN, terjadilah penolakan dan muncullah error diatas. Ini membuktikan bahwa mail server saya memiliki DNS resolver yang berfungsi mengecek setiap domain email yang masuk.

Lalu apa untungnya memiliki DNS resolver kalau ternyata ada beberapa email yang bisa ter-drop ? kalau saya perhatikan dari log-log yang ada, DNS resolver ini juga bagus untuk pengecekan apakah email yang datang berupa spam atau bukan. Jadi ketika antispam kita kurang baik bekerja, DNS resolver ini dapat membantu. Karena biasanya, spam mail tidak memiliki FQDN.

So, apa solusinya kalau kita miliki masalah seperti diatas ? Apakah kita akan mengorbankan mail server kita dengan me-release setting DNS resolver demi seorang klien ? Kalau menurut saya, jika anti spam kita berfungsi dengan baik dan maksimal, mungkin bisa aja di release DNS resolvernya. Tapi jika tidak, lebih baik cari alternatif email yang lain daripada harus mengorbankan ketenangan hidup. Hehehehe

Error postfix – Mengirim spam ke ribuan domain luar

Tepat pada saat masuk kantor sehabis libur lebaran, saya melihat log postfix yang sangat mencengangkan. Ada sekitar 7000-an email di antrian mailq. Karena hari masih pagi dan kemungkinan besar user belum ada yang kirim email ke luar, langsung saja saya jalankan delete all email pada antrian tersebut. Tapi sekitar 10 detik kemudian muncul lagi antrian email yang sangat menjengkelkan. Saya mulai kasak kusuk cek pada postfix saya. Mengecek apakah ada penyusup (sesuai pengalaman tahun lalu), mengecek AV update, mengecek apakah postgrey running, mengecek open relay, dan mengecek log verbos dari mail.info.

Setelah itu semua dilakukan, dicurigai ada 1 user yang mengirimkan email ke luar secara sporadis. Diantrian memang tidak kelihatan karena terbaca email luar ke email luar. Tapi secara logika saya ini mestinya tidak boleh ada diantrian saya. Kemudian saya coba scan virus yang ada di komputer user yang dicurigai tadi. Tidak ditemukan apa-apa. Hmm….. apa ya yang salah ? sementara pengiriman spam secara sporadis masih berlanjut. Mulai kasak kusuk ke google lagi.

Menemukan linknya mas jagawarnet yang punya kasus mirip dengan saya (http://human.network.web.id/2008/08/07/postfix-filtering/). Saya coba tambahkan restriction di main.cf, tapi sayangnya hanya bertahan sampai 4 jam tanpa spam. setelah itu terus berlanjut kirim spam lagi.

Ditengah kebingungan, saya melihat mas jagawarnet sedang OL, ya sudah saya tanyakan saja. Syukurnya beliau mau bantu (thanks mas….). Jadi step yang direkomendasikan adalah seperti berikut :

1. cek apakah mailserver kita open relay atau ngga. Bisa dicek di www.checkor.com
2. trus kl udah pasti gak OR, pastikan spam terkirim dari dalem. biasanya kalau muncul di queue mailq, itu dari lokal
3. jika dari lokal, lakuakn mail forensik dengan cara ketik #postconf -q queue_id
4. Disitu akan terlihat header, body dan footer dari email tersebut
5. cari email address lokal yang terlibat
6. Kalau udah dapet, cek random beberapa antrian lagi untuk memastikan hanya 1 yang terlibat pengiriman spam
7. disable user dengan cara ganti password
8. hapus antrian
9. kalau masih terjadi, hapus usernya
10. hapus antrian
11. Selesai

Dan Alhamdulillah setelah itu semua normal kembali.

Berikut petikan hasil #  postconf postcat -q queue_id

*** MESSAGE CONTENTS deferred/F/F0EFDB05AA ***
Received: from localhost (localhost [127.0.0.1])
by mailserver.domain.com (Postfix) with ESMTP id F0EFDB05AA;
Wed,  8 Oct 2008 08:32:15 +0700 (WIT)
Received: from mailserver.domain.com ([127.0.0.1])
by localhost (mail.domain.com [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id 07751-05; Wed, 8 Oct 2008 08:32:15 +0700 (WIT)
Received: from mail.domain.com (localhost [127.0.0.1])
by mailserver.domain.com (Postfix) with ESMTP id 3A398B0592;
Wed,  8 Oct 2008 08:32:14 +0700 (WIT)
Received: from 193.120.116.180
(SquirrelMail authenticated user blah.blah)
by mail.domain.com with HTTP;
Wed, 8 Oct 2008 08:32:15 +0700 (WIT)
Message-ID: <45360.193.120.116.180.1223429535.squirrel@mail.domain.com>
Date: Wed, 8 Oct 2008 08:32:15 +0700 (WIT)
Subject: HURRY!!! YOUR EMAIL HAS WON!!! CONGRATULATION!!!
From: “EURO MEGA MILLION NATIONAL IRISH LOTTERY” <seanly@di-ve.com>
Reply-To: claim.irishagent2@gmail.com
User-Agent: SquirrelMail/1.4.13
MIME-Version: 1.0
Content-Type: text/plain;charset=iso-8859-1
Content-Transfer-Encoding: 8bit
X-Confirm-Reading-To: seanly@di-ve.com
Disposition-Notification-To: seanly@di-ve.com
X-Priority: 3 (Normal)
Importance: Normal
Return-Receipt-To: seanly@di-ve.com
To: undisclosed-recipients:;
X-Virus-Scanned: Debian amavisd-new at domain.com

INTERNATIONAL PROMOTIONS/PRIZE AWARD DEPT
REF NO: MMIL/7762367424/08
BATCH NO: 2178/108/MMD

ATTN: Winner,
RE: AWARD NOTIFICATION FINAL NOTICE.

We are pleased to inform today being the 07th of October 2008 the release
of the result of the EURO MEGA MILLION NATIONAL IRISH LOTTERY held on 11th
of August 2008. Your email address was attached to ticket number
42-23-0-113-69-½ with serial number 7773-05 and drew the lucky numbers
736-22575993-86 and consequently won in category (A).

You have therefore been approved for a lump sum payout of 815,960 (EIGHT
HUNDRED AND FIFTEEN THOUSAND, NINE HUNDRED AND SIXTY EUROS) in cash
credited to file REF NO: MMIL/3762367224/08. This from total cash prize of
14,464,450:00 (FOURTEEN MILLION, FOUR HUNDRED AND SIXTY FOUR THOUSAND,
FOUR HUNDRED AND FIFTY EUROS) shared among the seventeen international
winner in this Category. All participants were selected through our
computerized email selection machine (TOPAZ) from a database drawn from
only Microsoft users from over 200,000.00 companies and 3,000,000
individual email addresses and names from all over the world.

Artinya kira-kira begini : User blah.blah dimanfaatkan untuk mengirimkan email melalui webmail.

Mudah-mudahan tulisan ini bisa berguna buat orang lain yang mengalami hal yang sama.