Zextras Carbonio CE: Peningkatan Standar Keamanan dan Kontrol Email

Posted by

Beberapa standard improvement yang dapat diterapkan pada Zextras Carbonio CE diantaranya adalah mempersempit trusted network, menolak email sender/recipient yang tidak terdaftar, menolak domain sender/recipient yang tidak diketahui.

Untuk menerapkan improvement di atas, berikut adalah caranya

# Trusted Network

By default, trusted network pada Zextras Carbonio CE yang sudah terinstall adalah mengizinkan satu network sesuai dengan IP yang digunakan. Sebagai contoh, saya install Zextras Carbonio CE dengan IP 192.168.56.12 dan netmask 255.255.255.0. Dengan konfigurasi tersebut, maka trusted network yang terdaftar adalah 192.168.56.0/24. Dengan kata lain, Zextras Carbonio CE mengizinkan satu network tersebut untuk mengirimkan email melalui Zextras Carbonio CE server tanpa perlu adanya autentikasi (memasukkan username dan password). Tentu hal tersebut menjadi celah terjadinya Open Relay. Untuk mempersempit trusted network, silakan jalankan perintah berikut

su - zextras
zmprov ms $(zmhostname) zimbraMtaMyNetworks '127.0.0.0/8 192.168.56.12/32'

Perintah di atas membatasi trusted network hanya network 127.0.0.0/8 dan IP 192.168.56.12/32 saja. Jika hendak mengirimkan email dari IP selain yang terdaftar, maka harus autentikasi terlebih dahulu untuk mengirimkan email.

# Reject Unlisted Sender/Recipient dan Reject Unknown Sender/Recipient Domain

Improvement berikutnya adalah menolak email sender atau email recipient yang tidak ada pada server Zextras Carbonio CE. Sebagai contoh, pada email server terdapat 3 account dengan email user1@imanudin.web.id, user2@imanudin.web.id dan user3@imanudin.web.id. Apabila menerima email dari luar/internet dengan domain yang sama namun dengan account yang tidak terdaftar pada email server (misalnya user4@imanudin.web.id), maka email tersebut akan ditolak (reject unlisted sender). Begitu juga sebaliknya. Apabila ada yang mengirimkan email pada account yang tidak terdaftar, maka akan ditolak (reject unlisted recipient).

Improvement yang lain adalah menolak domain sender/recipient yang tidak diketahui. Improvement ini akan mengecek apakah domain tersebut exist di internet atau tidak. Biasanya dengan cara melihat apakah domain tersebut memiliki A records atau tidak. Misalnya, ketika user mengirimkan email pada domain @gmail.co.id, maka email tersebut akan dianggap unknown recipient domain. Karena domain gmail.co.id tidak memiliki A record. Begitu juga sebaliknya ketika mengirimkan email dari domain yang tidak exist, maka akan dianggap unknown sender domain.

Untuk menerapkan improvement di atas, silakan jalankan perintah berikut

su - zextras
zmprov ms $(zmhostname) zimbraMtaSmtpdRejectUnlistedRecipient yes zimbraMtaSmtpdRejectUnlistedSender yes

Buka file smtpd_recipient_restrictions.cf

vi /opt/zextras/conf/zmconfigd/smtpd_recipient_restrictions.cf

Tambahkan baris berikut dibawah tulisan permit_mynetworks

reject_unlisted_sender
reject_unlisted_recipient
reject_unknown_sender_domain
reject_unknown_recipient_domain

Catatan: Mungkin beberapa baris di atas sudah ada pada file tersebut. Silakan tambahkan baris yang belum ada untuk melengkapi improvement

Reload service postfix untuk memastikan improvement ter-apply

postfix reload

Cek hasil improvement dengan perintah berikut

postconf smtpd_recipient_restrictions

Pada konfigurasi smtpd_recipient_restrictions, pastikan sudah terdapat ke empat baris di atas.

Jika membutuhkan informasi terkait solusi Zextras (Instalasi dan Implementasi), dapat menghubungi Team Aktiva melalui form: https://www.aktiva.co.id/kontak/ atau email ke sales@aktiva.co.id

Silakan dicoba dan semoga bermanfaat 🙂

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.