gambar diatas adalah penanganan sementara yang dilakukan admin1. Latar Belakang Masalah
Server mengalami kondisi respons jaringan yang lambat, meskipun:
- CPU dalam kondisi normal
- RAM tidak penuh
- Storage aman
Hal ini mengindikasikan bahwa penyebab perlambatan bukan berasal dari resource internal server, melainkan dari sisi jaringan.
2. Observasi Awal
2.1 Monitoring Jaringan
Monitoring menggunakan iftop menunjukkan:
- Banyak koneksi masuk (incoming) dari alamat IP luar
- IP berasal dari berbagai negara dan jaringan acak
- Terdapat lalu lintas IPv6 yang aktif
- Trafik masuk (RX) relatif lebih besar dibandingkan trafik keluar (TX)
Pola ini tidak sesuai dengan trafik normal mail server kecil, yang umumnya hanya berkomunikasi dengan:
- DNS resolver
- SMTP server tujuan (misalnya Gmail, Outlook)
- Klien IMAP/POP3 internal
2.2 Analisis Log Mail Server
Dilakukan pengecekan log koneksi SMTP dengan perintah:
sudo grep -i "connect from" /var/log/mail.log | wc -l
Hasil:
858
Jumlah ini menunjukkan 858 koneksi masuk ke layanan SMTP dalam rentang waktu tertentu.
Sebagai perbandingan:
- Mail server normal: < 50 koneksi
- Mail server aktif: 100–200 koneksi
Angka 858 jauh di atas kondisi normal.
3. Analisis Penyebab
Berdasarkan observasi, dapat disimpulkan bahwa:
- Server menjadi target scanning dan probing bot SMTP
- Bot mencoba melakukan koneksi ke port 25
- Tujuan umum: mencari open relay, brute-force autentikasi, atau validasi server untuk spam
- Port 25 (SMTP) terbuka ke publik
- Port ini menjadi target utama bot spam di internet
- IPv6 aktif tanpa pembatasan firewall
- Trafik IPv6 sering luput dari pengamanan
- Banyak bot memanfaatkan IPv6 karena lebih jarang difilter
- Tidak adanya proteksi otomatis terhadap koneksi berulang
- Tanpa rate limiting dan fail2ban, bot bebas melakukan koneksi berulang
4. Dampak yang Ditimbulkan
Jika kondisi ini dibiarkan, risiko yang dapat terjadi antara lain:
- Penurunan performa jaringan VPS
- Keterlambatan respons layanan mail
- IP server masuk blacklist spam
- Email keluar ditandai spam atau ditolak oleh Gmail
- Potensi suspend dari penyedia VPS
5. Kesimpulan
Berdasarkan hasil monitoring jaringan dan analisis log mail server, dapat disimpulkan bahwa:
Perlambatan server disebabkan oleh serangan bot yang melakukan koneksi massal ke port SMTP (25), baik melalui IPv4 maupun IPv6.
Masalah ini bukan berasal dari keterbatasan resource server, melainkan dari lalu lintas jaringan berbahaya yang tidak difilter.
6. Rekomendasi Mitigasi (Garis Besar)
Beberapa langkah yang direkomendasikan:
- Mengaktifkan fail2ban untuk layanan SMTP
- Menerapkan rate limiting pada Postfix
- Menutup atau membatasi IPv6 jika tidak digunakan
- Mengamankan port SMTP dengan firewall
- Monitoring log dan trafik secara berkala