KONSEP TRUSTED NETWORK PADA MAIL SERVER
Salah satu pertanyaan yang kerap diajukan di milis Komunitas Zimbra Indonesia adalah mengenai konfigurasi email client yang hendak mengakses Zimbra dari jaringan publik/internet. Hal ini menjadi pertanyaan karena opsi yang tersedia ada 2, yaitu melakukan trusted network pada IP yang melakukan akses atau melakukan setting SMTP-Auth pada email client. Opsi pertama bisa dilakukan jika pengakses menggunakan alamat yang selalu sama dan permanen namun tidak efisien karena bisa saja pengakses menggunakan free hotspot atau akses jaringan lain yang tidak mungkin dimasukkan sebagai trusted network.
Zimbra secara default melakukan trusted network pada alamat IP-IP yang memiliki subnet yang sama dengan alamat IPnya. Sesuai dengan namanya, Trusted Network artinya dipercaya dengan konsekuensi semua email yang berasal dari IP trusted akan diteruskan oleh Zimbra tanpa harus melakukan authentikasi/mengirimkan user & password sebelum bisa mengirim email.
Di satu sisi hal ini memudahkan para admin mail server yang melakukan migrasi sistem dari mail server lain (terutama mail server berbasis Windows) dan tidak ingin terlalu banyak melakukan pekerjaan tambahan mengubah konfigurasi di email client.
Disisi lain, hal ini bisa berbahaya bagi integritas dan performance mail server. Dalam banyak kasus, jika salah satu komputer di dalam jaringan trusted terinfeksi virus, virus tersebut dapat bertindak sebagai zombie dan melakukan flooding pengiriman email alias mengirim email secara besar-besaran ke berbagai tujuan yang tidak jelas. Berdasarkan pengalaman, email spam ini bisa berjumlah ribuan hingga ratusan ribu dalam beberapa jam saja. Hal ini tentu berbahaya dan bisa membuat mail server yang kita setup menjadi langganan terkena blacklist.
AKTIVASI SMTP-AUTH PADA ZIMBRA MAIL SERVER
Untuk menangkal adanya flooding email, kita bisa mengaktifkan SMTP-Auth pada Zimbra Mail Server. Caranya adalah dengan mendaftarkan hanya alamat IP Zimbra pada Zimbra Admin | Server Setting | MTA | MTA Trusted Networks. Format penulisan Trusted Network menjadi : 127.0.0.0/8 alamatip/32, contoh : 127.0.0.0/8 192.168.0.1/32. Jika memiliki IP public, IP public juga didaftarkan dengan subnetting /32.
Jika trusted network sudah diset seperti diatas, lakukan restart service Zimbra dan konfigurasikan agar email client menggunakan SMTP Authentication untuk mengirim email (akan saya bahas konfigurasinya pada bagian kedua tulisan ini)
Jika ada pengiriman email baik dari luar maupun dari dalam jaringan, Zimbra akan melakukan verifikasi salah satu dari 2 hal berikut :
- Apakah alamat IP pengirim merupakan IP si Zimbra berdasarkan konfigurasi Trusted Networks atau
- Apakah pengirim melakukan authentikasi dalam bentuk user name dan password dan melalui submission port 587 (TLS) atau port 465 (SSL)
Jika salah satu dari 2 hal diatas tidak terpenuhi, Zimbra tidak akan menerima proses pengiriman email dan melakukan pesan balik pada pengirim dalam bentuk “Relay Access Denied”. Hal ini berarti mencegah Zimbra untuk dijadikan sebagai media “open relay” untuk pengiriman email tanpa authentikasi
CATATAN
Perlu diingat bahwa penulisan subnetting diatas tidak berpengaruh pada setting network card. Misalnya saya berlangganan internet dan mendapat 8 IP public static (subnet /29), maka saya tetap menuliskan subnet /29 pada Lan Card. Penulisan subnet /32 hanya dilakukan disisi Zimbra Admin saja. Jika penulisan subnet /32 dilakukan disisi Lan Card, nanti malah tidak bisa koneksi ke gateway sama sekali 😀
Berlanjut ke Bagian Kedua untuk konfigurasi mail client.
ADVERTORIAL
Training Zimbra Mail Server & Virtualization-Linux High Availability Server pada Excellent : http://bit.ly/l4vNel
7 Comments
Dear Pak Vavai,
Mohon pencerahannya, saya nyubi buat mailserver zimbra, untuk dijadikan smtp relay , MTA Trusted Network sudah saya inputkan. dan settingan sudah sesuai tutorial Pak Vavai, tapi saat dicoba buat kirim email semua email masuk ke diferred (queue) semua dan tidak bisa terkirim, Origin IP juga bukan dari ip pengirim tapi menjadi 127.0.0.1, Apakah ada yang perlu ditambahkan? Mohon replinya, Atas bantuannya diucapkan banyak terima kasih
Best Regards
Nanang Purnomo
Mas Nanang, coba check dipesan deferrednya karena apa?
Dear Mas Vavai,
Ingin bantuan pencerahannya nih, kami sudah set MTA Trusted Network di Zimbra Server, dan Zimbra Server melakukan relay ke external SMTP Server lain (di luar zimbra dan masuk ke IP Trusted Net). Ketika send email pake domain di Zimbra ke sesama domain masih bisa menggunakan IP Address non MTA Trusted Netw, akan tetapi apabila send email dari domain di Zimbra ke domain non Zimbra ada error otentifikasi.
Sudah dicoba dari mxtoolbox Zimbra kami not open relay, kira-kira masalah dimana ya Mas? Problemnya masih bisa send email menggunakan ip non MTA Trusted dengan menggunakan domain eksisting si Server ke sesama domain
Terima Kasih