Tips Improvement Anti Spam Zimbra : Sender Must Login/Anti Fake Mail pada Zimbra 8.5

Zimbra 8.5 baru saja release dan ada banyak perubahan dari sisi konfigurasi maupun kemudahan untuk melakukan improvement. Salah satu kemudahan improvement yang ada pada Zimbra 8.5 adalah konfigurasi sender must login.

Apa itu sender must login? 

Sender must login adalah suatu metode untuk memaksa user yang hendak mengirimkan email harus login terlebih dahulu pada Zimbra mail server, selain itu juga memaksa user agar antara from dan sasl_username sama-sama menggunakan alamat yang sama.

Apa efek apabila sender must login tidak dipasang?
Jika ada salah satu user pada Zimbra mail server passwordnya terkena hack/compromise, by default Zimbra mail server akan mengijinkan identitas from address berbeda dengan user yang berada pada smtp autentikasi yang digunakan. Berikut adalah contoh log-nya :

zimbra1 postfix/smtpd[29431]: B28914D5978: client=xxxxx.server.com[w.x.y.z], sasl_method=LOGIN, sasl_username=user
zimbra1 postfix/cleanup[5522]: B28914D5978: message-id=<20090420154255.B28914D5978@zimbraserver.com>
zimbra1 postfix/qmgr[20690]: B28914D5978: from=<spam@spam.com>, size=6026, nrcpt=10 (queue active)
zimbra1 postfix/cleanup[3983]: 2BA56465D28: message-id=<20090420154255.B28914D5978@zimbraserver.com>

Perhatikan informasi log sasl_username=user dan from=<spam@spam.com>.  Dari informasi diatas jelas user yang digunakan untuk login dan identitas from berbeda. Hal ini yang banyak digunakan oleh spammer dengan memanfaatkan autentikasi login yang passwordnya sangat mudah.

Selain contoh diatas, saya bisa saja menggunakan alamat email boss pada bagian from untuk mengirimkan email palsu. Tentu saja security hole ini sangat berbahaya dan dikhawatirkan digunakan oleh orang yang tidak bertanggung jawab.

Bagaimana cara menanggulanginya?

Jika kita menggunakan Zimbra sebagai mail server, maka kita dapat melakukan improvement Restricted Sender/Sender Must Login

Bagaimana cara memasang improvement Restricted Sender/Sender Must Login tersebut?

Jika menggunakan Zimbra versi 7, dapat mengikuti panduan pada link berikut : http://ahmad.imanudin.com/2013/05/05/improvement-anti-spam-zimbra-restricted-sendersender-must-login-pada-zimbra-7/, jika menggunakan Zimbra versi 8.0 dapat mengikuti panduan pada link berikut : http://ahmad.imanudin.com/2013/10/29/improvement-anti-spam-zimbra-restricted-sendersender-must-login-pada-zimbra-8-dengan-exceptionpengecualian/ dan jika menggunakan Zimbra versi 8.5, berikut tahapan yang dapat dilakukan yang sudah dipermudah oleh team Engineering Zimbra
[code lang=’bash’]
su – zimbra
zmprov mcf zimbraMtaSmtpdSenderLoginMaps  proxy:ldap:/opt/zimbra/conf/ldap-slm.cf +zimbraMtaSmtpdSenderRestrictions reject_authenticated_sender_login_mismatch
vi /opt/zimbra/conf/zmconfigd/smtpd_sender_restrictions.cf
[/code]
Tambahkan reject_sender_login_mismatch setelah permit_mynetworks sehingga seperti berikut :

permit_mynetworks, reject_sender_login_mismatch

Simpan dan tunggu beberapa menit untuk Zimbra melakukan apply konfigurasi yang baru saja dilakukan. Jika tidak mau menunggu, dapat lakukan manual restart service postfix
[code lang=’bash’]
postfix reload
[/code]

Berikut adalah contoh log setelah melakukan improvement tersebut :

Sep  7 09:21:07 mail postfix/smtps/smtpd[16910]: NOQUEUE: reject: RCPT from unknown[192.168.26.2]: 553 5.7.1 <spam@spam.com>: Sender address rejected: not owned by user admin@xxxxxxx; from=

Maksud dari log diatas adalah user admin hendak mengirimkan email, namun pada bagian from diubah menjadi alamat email spam@spam.com dan ditolak oleh Zimbra mail server

Silakan dicoba dan semoga bermanfaat 😀

Source : http://wiki.zimbra.com/wiki/Enforcing_a_match_between_FROM_address_and_sasl_username_8.5