Tips Improvement Mail Server : Meningkatkan Keamanan Mail Server

Catatan : Artikel ini merupakan bagian keempat dari seri artikel Improvement Mail Server. Artikel sebelumnya bisa dibaca pada link berikut :

1. Artikel pertama : Tantangan & Masalah dalam Proses Setup Mail Server.
2. Artikel kedua :  Tips Improvement Mail Server : Skema dan Model Setup Mail Server
3. Artikel ketiga : Tips Improvement Mail Server : Contoh Kebutuhan Server (Server Sizing)

Seri artikel ini merupakan bagian dari modul Training Security Hardening & Improvement Anti Spam Mail Server yang jadwal terdekatnya akan diadakan pada tanggal 22 September 2013. Sebagian materi, terutama untuk skema multi server dan large deployment merupakan bagian dari materi Training Mastering Zimbra (Advanced Configuration, Multi Server, High Availability) yang jadwal terdekat akan dilakukan pada tanggal 16-18 September 2013.

Berikut adalah beberapa tips untuk setting mail server yang baik yang minimal bisa mencegah terjadinya masalah akibat spam/hacking dari spammer. Tulisan ini pernah saya tulis di tahun 2011 : “Tips Melindungi Mail Server dari Serangan Spam & Virus”, saya tulis dan lengkapi supaya lebih detail dan bisa bermanfaat bagi para SysAdmin mail server.

Sebagian besar setting merujuk pada sistem Zimbra Mail Server karena memang sistem ini yang paling banyak digunakan di klien Excellent. Meski demikian, tips yang dibahas dalam artikel ini bersifat umum dan bisa diterapkan di mail server lain dengan sedikit penyesuaian konfigurasi.

1. Strong Password. Pastikan selalu menggunakan strong password untuk semua account. Banyak terjadi serangan flooding email spam karena adanya account-account yang passwordnya compromise alias mudah dihack. Tentukan batas minimal panjang password, ketentuan besar kecil huruf, kombinasi angka dll
   `
   Secara standard, Excellent biasanya merekomendasikan penggunaan skala password sebagai berikut :
   `
   Panjang password minimal 8 karakter alphanumeric
   Minimal memiliki 1 buah angka
   Minimal memiliki 1 buah huruf besar
   Minimal memiliki 1 buah huruf kecil
   Memiliki minimal 1 buah simbol
   Unique password minimal 3 (tidak boleh mengulang 3 password terakhir)
   Ada setting password age (usia password, misalnya 3 bulan sekali harus diubah)
   `
   Pada Zimbra Mail Server, kita bisa memaksa user untuk menggunakan password yang memiliki tingkat keamanan memadai melalui menu di Zimbra Admin | Class of Services | Default | Advanced. Jika diset, ketentuan strong password ini tidak berlaku surut dalam arti bahwa account yang sudah memiliki password masih bisa menggunakan password yang lama. Ketentuan yang disetting ini hanya akan berlaku jika user mengubah password atau ada pembuatan user baru setelah ketentuan strong password diterapkan.
   `
   Jika menginginkan agar standard strong password ini berlaku dan user dipaksa ganti password via webmail, masuk ke Zimbra Admin | Manage |  Account kemudian edit account yang diinginkan dan berikan tanda check list pada opsi “Must Change Password”. Jika ingin semua account dipaksa ganti password bisa menjalankan perintah berikut melalui konsole/CLI Zimbra dengan hak akses Zimbra (su – zimbra terlebih dahulu) :
   [code lang=”bash”]for each in `zmprov -l gaa`; do zmprov ma $each zimbraPasswordMustChange TRUE; done[/code]`
   Biasanya tingkat keamanan password akan berbanding terbalik dengan tingkat kenyamanan user sehingga besar kemungkinan user yang terbiasa dengan password standard akan komplain. Jika hal ini yang terjadi, berikan jelaskan bahwa standard strong password merupakan keharusan jika ingin memenuhi kaidah keamanan data dan informasi sesuai audit dan ISO. Biasanya user tidak terlalu resisten jika dihadapkan dengan standard audit/ISO
2. Aktifkan akses SSL. Untuk keamanan data, jangan gunakan protokol imap, pop3 dan smtp standar (port 143, 110 dan 25). Gunakan port SSL untuk protokol tersebut, yaitu port 995 untuk POP3 SSL, port 993 untuk IMAP SSL dan port 465 untuk SMTP SSL atau port 587 untuk SMTP TLS
3. Aktifkan smtp-auth untuk pengiriman email. Set klien agar menggunakan authentikasi pada bagian setting smtp sehingga user harus melakukan otorisasi sebelum melakukan pengiriman email. Aktivasi smtp-auth membutuhkan perhatian pada tips bagian 4 dibawah ini. Detailnya bisa dibaca disini : Konfigurasi Mail Client Zimbra dengan SMTP Authentication untuk Akses Melalui Jaringan Publik
4. Batasi isian trusted network. Jika ip tertentu diset sebagai trusted network, email dari ip tersebut akan diperbolehkan mengirim email tanpa otorisasi. Untuk mengatasinya, lakukan pembatasan subnet untuk trusted network, misalnya trusted network dibatasi untuk 127.0.0.1/8 dan ip-address-zimbra/32. Subnet 32 berarti yang menjadi trusted network adalah ip si mesin Zimbra itu sendiri, yang lainnya harus melakukan otorisasi untuk pengiriman email. Penjelasannya bisa dibaca disini : “Tips Zimbra : Topologi Jaringan, Trusted Network & Open Relay”
5. Rate Limit. Aktifkan policyD/rule untuk membatasi jumlah maksimum pengiriman/penerimaan email dalam suatu interval waktu tertentu. Tips ini bermanfaat untuk mengantisipasi adanya flooding spam yang bisa berakibat black list terhadap ip public yang digunakan. Tutorialnya bisa dibaca disini : Tips Zimbra : Membatasi Pengiriman Email/Rate Limit Sending Message dengan PolicyD
6. Tutup semua port yang tidak digunakan. Selain port untuk konsumsi public, tutup semua port yang lain menggunakan firewall. Bisa juga membatasi akses port tertentu hanya untuk akses dari ip tertentu atau mengakses port administrasi melalui jalur VPN yang relatif lebih secure
7. Ubah port default untuk ssh. Gunakan port selain port 22 (misalnya port 8622) agar port ssh tidak sibuk menerima request akses dari spammer. Penggantian port SSH bisa dilakukan dengan mengubah port default pada file konfigurasi SSH : /etc/ssh/sshd_config. Jangan lupa menyesuaikan port SSH yang digunakan oleh Zimbra
8. Aktifkan Relay Block List (RBL) online. RBL online seperti Barracudacentral dan zen.spamhaus.org. RBL sangat membantu dalam melakukan verifikasi IP yang dicurigai sebagai spammer. Jika IP terdeteksi sebagai spam, mail server tidak perlu melakukan pengecekan dan bisa langsung menolak koneksi pengiriman data email. Hal ini akan membantu menjaga performa mail server agar tidak dibebani akses data dari spammer. Panduannya : “Tips Anti Spam Zimbra : Aktivasi Fasilitas Blacklist Spammer”
9. Aktifkan Sender Policy Framework (SPF). SPF dapat berfungsi dua arah baik untuk incoming maupun outgoing. Untuk outgoing, SPF bisa mengurangi terjadinya penolakan penerimaan email ditujuan karena SPF meningkatkan reputasi mail server dengan mendefinisikan IP public yang berhak mengirimkan email untuk domain tertentu. Dari sisi incoming, SPF bisa mengurangi kemungkinan adanya email forgery sekaligus meningkatkan performa mail server dalam menangkal spam dengan menambahkan score spam pada email yang SPF-nya gagal dikenali. Artikel untuk SPF outgoing bisa dibaca disini : “Menangkal Spoofing & Phising Spam Menggunakan SPF (Sender Policy Framework)”
10. Gunakan appliance/instance terpisah untuk anti spam & Anti Virus. Anti spam appliance berada disisi depan (front-end) sementara mail server ada disisi belakang (back end). Jika ada serangan besar-besaran, yang akan menjadi target adalah mesin front-end. Excellent memiliki product untuk anti spam appliance, detailnya bisa dibaca disini : PT. Excellent Infotama Kreasindo Sebagai Untangle Authorized Partner di Indonesia

Satu hal yang perlu dipahami adalah bahwa pengamanan email server membutuhkan beberapa tips dijalankan secara bersamaan. Jangan menjalankan 1 tips sementara tips yang lain tidak dijalankan karena nanti bisa menimbulkan celah keamanan disisi lain. Sebagai SysAdmin, jangan menunggu email server yang dikelola kebobolan baru kita menerapkan rule keamanan yang diperlukan. SysAdmin admin yang baik fungsinya bukan sebagai pemadam kebakaran lho ya 😉