• Masim “Vavai” Sugianto

    Founder PT. Excellent Infotama Kreasindo– perusahaan email services provider (ESP) dan menjadi konsultan pada berbagai instansi pemerintah, korporasi besar, lembaga perbankan dan institusi pendidikan di Indonesia.

    Lebih detail tentang Vavai.




  • Publishing

  • Recent Posts

    • TOEFL ITP Score (Kedua)
    • Bisnis Kelapa Muda
    • Model Usaha
    • Back-End Developer, Front-End Developer & Staff IT Support
    • Markas Excellent Danita
  • Recent Comments

    • dkyubn.bizwebs.com on Instalasi Squid Proxy Server pada OpenSUSE
    • http://aonubs.website2.me/ on Instalasi Squid Proxy Server pada OpenSUSE
    • canadian pharmacy online on Instalasi Squid Proxy Server pada OpenSUSE
    • site592154748.fo.team on Instalasi Squid Proxy Server pada OpenSUSE
    • kqwsh.wordpress.com20220516what-everybody-else-does-when-it-comes-to-online-pharmacies on Instalasi Squid Proxy Server pada OpenSUSE
  • Archives

    • April 2022
    • January 2022
    • July 2021
    • June 2021
    • February 2021
    • January 2021
    • December 2020
    • August 2020
    • July 2020
    • April 2020
    • March 2020
    • August 2019
    • July 2019
    • June 2019
    • March 2019
    • February 2019
    • January 2019
    • November 2018
    • October 2018
    • August 2018
    • May 2018
    • April 2018
    • January 2018
    • December 2017
    • July 2017
    • December 2016
    • November 2016
    • April 2016
    • March 2016
    • November 2015
    • July 2015
    • April 2015
    • November 2014
    • October 2014
    • February 2014
    • January 2014
    • December 2013
    • November 2013
    • October 2013
    • September 2013
    • August 2013
    • June 2013
    • May 2013
    • March 2013
    • February 2013
    • January 2013
    • December 2012
    • November 2012
    • October 2012
    • September 2012
    • August 2012
    • July 2012
    • June 2012
    • May 2012
    • April 2012
    • March 2012
    • February 2012
    • January 2012
    • December 2011
    • November 2011
    • October 2011
    • September 2011
    • August 2011
    • July 2011
    • June 2011
    • May 2011
    • April 2011
    • March 2011
    • February 2011
    • January 2011
    • December 2010
    • November 2010
    • October 2010
    • September 2010
    • August 2010
    • July 2010
    • June 2010
    • May 2010
    • April 2010
    • March 2010
    • February 2010
    • January 2010
    • October 2008
    • September 2008
    • August 2008
    • July 2008
    • June 2008
    • May 2008
    • April 2008
    • March 2008
    • February 2008
    • January 2008
    • December 2007
    • November 2007
    • October 2007
    • September 2007
    • August 2007
    • July 2007
    • June 2007
    • May 2007
    • April 2007
    • March 2007
  • Home
  • Bisnis & Marketing
  • Computer & IT Related
  • Lifestyle
  • Publishing
  • Free Stuff
  • About
  • Kontak

Tips Zimbra : Topologi Jaringan, Trusted Network & Open Relay

June 3, 2010

Salah satu masalah besar pada setup sistem mail server adalah masalah Open Relay. Jika mail server diset sebagai open relay, itu sama artinya membuka pintu masuk lebar-lebar bagi para spammer untuk memanfaatkan mail server yang kita gunakan untuk mengirim email dari berbagai domain. Open Relay berarti setiap orang boleh mengirim email melalui mail server kita, meski nama domainnya bukanlah nama domain yang kita setup.

Contoh mudahnya, jika saya membuat mail server mail.vavai.co.id untuk digunakan oleh domain @vavai.co.id, seharusnya saya hanya membolehkan nama domain tersebut untuk terkirim dari mail server saya. Saya akan menolak pengiriman email yang dikirim tanpa menggunakan alamat domain vavai.co.id. Jika mail server diset sebagai open relay, mail server tidak akan membatasi domain pengirim, bisa saja spammer menggunakan domain palsu dan numpang lewat kirim email melalui mail server kita.

Yang menjadi masalah, banyak pada Admin yang tidak menyadari jika mail servernya open relay. Bukan karena tidak tahu bahayanya melainkan karena salah setting konfigurasi network !

Jika anda Admin mail server, khususnya Zimbra Mail Server atau Postfix, tentu pernah mengenal apa yang dinamakan trusted network. Jika suatu IP atau block IP diset sebagai trusted network, Zimbra atau Postfix tidak akan mengecek user dan password untuk authentikasi pengiriman email. Misalnya Zimbra menggunakan IP 192.168.0.1 dengan subnet 255.255.255.0 atau subnet = /24, maka semua klien yang memiliki IP 192.168.0.-192.168.0.254 akan dianggap trusted network dan boleh mengirimkan email melalui Zimbra/Postfix tanpa ditanyakan user name dan password untuk authentikasi.

Masalah akan timbul jika mail server yang disetup menggunakan IP public dan  alamat IP gateway yang menghubungkan Zimbra dengan internet menggunakan IP dalam subnet yang sama alias 1 kelas IP. Dalam contoh diatas, IP Zimbra adalah 192.168.0.1 sedangkan gateway memiliki 2 IP yaitu IP private = 192.168.0.2 dan IP public, misalnya 125.161.88.201.

Jika ada mail server luar hendak mengirimkan email ke Zimbra, email akan diterima oleh IP 125.161.88.201 yang sama artinya bahwa email diterima oleh 192.168.0.2. Email ini akan diteruskan ke mail server Zimbra. Zimbra mengecek IP pengirim dan menemukan bahwa pengirim menggunakan IP 192.168.0.2 dan dianggap trusted sehingga tidak perlu dimintakan authentikasi.

Apa solusi untuk masalah ini ? Solusi yang tepat adalah menggunakan 2 kelas IP yang berbeda. Contoh konfigurasi yang saya gunakan pada salah satu klien saya adalah sebagai berikut :

IP Address Zimbra :

LAN Card 1 (eth0) : 192.168.10.1, ini terhubung ke switch/hub lokal

LAN Card 2 (eth1) : 192.168.1.1, ini terhubung ke modem ADSL/router, bisa juga menggunakan IP Public, misalnya 125.161.88.201

IP Address Klien : 192.168.10.0/24

IP Gateway : 192.168.1.2

Nantinya, setting trusted network pada Zimbra Admin | Server adalah 192.168.10.0/24 dan 192.168.1.1/32 atau 192.168.10.0/24 dan 125.161.88.201/32

Bagaimana jika hanya punya 1 LAN card? Mudah kok. Buat saja virtual IP yang dibonding ke LAN Card yang sama (meski kurang direkomendasikan jika trafik mailnya tinggi). Jika menggunakan openSUSE/SLES, Virtual IP dapat dengan mudah dibuat melalui menu YAST | Networkd Device | Network Setting.

Jika kesemua proses sudah dilakukan, silakan check status open relay melalui Open Relay Test, salah satunya melalui halaman web http://www.checkor.com/. Masukkan alamat email server anda, misalnya mail.vavai.co.id pada kotak isian dan kemudian klik tombol Check MyMailserver. Jika ada sebagian warna merah pada hasil check, itu tandanya mail server anda masih masuk kategori open relay dan harus diperbaiki konfigurasinya.

Berikut adalah contoh hasil test saat web diatas melakukan pengecekan status Open Relay, saya ambil dari Zimbra Log. Hasil konfigurasi yang benar akan menolak pengiriman email yang tidak trusted dengan pesan “Relay Access Denied”.

Jun  3 15:47:21 mail postfix/smtpd[10684]: connect from www.no-ip.com[204.16.252.112]
Jun  3 15:47:22 mail postfix/smtpd[10684]: NOQUEUE: reject: RCPT from www.no-ip.com[204.16.252.112]: 554 5.7.1 : Relay access denied; from= to= proto=SMTP helo=
Jun  3 15:47:24 mail postfix/smtpd[10684]: NOQUEUE: reject: RCPT from www.no-ip.com[204.16.252.112]: 554 5.7.1 : Relay access denied; from= to= proto=SMTP helo=
Jun  3 15:47:25 mail postfix/smtpd[10684]: NOQUEUE: reject: RCPT from www.no-ip.com[204.16.252.112]: 554 5.7.1 : Relay access denied; from= to= proto=SMTP helo=
Jun  3 15:47:26 mail postfix/smtpd[10684]: NOQUEUE: reject: RCPT from www.no-ip.com[204.16.252.112]: 554 5.7.1 : Relay access denied; from= to= proto=SMTP helo=
Jun  3 15:47:26 mail postfix/smtpd[10684]: NOQUEUE: reject: RCPT from www.no-ip.com[204.16.252.112]: 554 5.7.1 : Relay access denied; from= to= proto=SMTP helo=
Jun  3 15:47:27 mail postfix/smtpd[10684]: NOQUEUE: reject: RCPT from www.no-ip.com[204.16.252.112]: 554 5.7.1 : Relay access denied; from= to= proto=SMTP helo=
Jun  3 15:47:27 mail postfix/smtpd[10684]: lost connection after RCPT from www.no-ip.com[204.16.252.112]
Jun  3 15:47:27 mail postfix/smtpd[10684]: disconnect from www.no-ip.com[204.16.252.112]

Status diatas dinyatakan relay access denied karena pengirim bukan trusted network dan tidak menggunakan mail authentication untuk mengirim email (mail authenticationnya ditolak karena tidak dikenal di Zimbra Server)

Bagaimana dengan pengalaman anda ?

DNSOpen RelayopenSUSE & SLESplanet-terasi-aggregatorSLESZimbra
Share

Migrasi Server  / openSUSE & SLES  / Tips, Tricks & Tutorial

Masim Vavai Sugianto
Masim Vavai Sugianto, Tinggal di Bekasi, Bekerja sebagai wirausahawan/Konsultan IT. Penganjur penggunaan sistem Linux dan aplikasi Open Source. Hobby Membaca, Hiking dan Avonturir. Mengembangkan PT. Excellent Infotama Kreasindo sebagai lembaga training dan IT consulting.

You might also like

Webinar Zimbra : Mindset untuk Team IT
July 29, 2020
Eskalasi Masalah Email : mailbox unavailable invalid DNS MX or A/AAAA resource record
July 14, 2020
Two Factor Authentication (2FA/TFA) untuk Meningkatkan Keamanan Akses Email
April 24, 2020

11 Comments


Dedhi
June 3, 2010 at 7:30 pm

“Jika ada mail server luar hendak mengirimkan email ke Zimbra, email akan diterima oleh IP 125.161.88.201 yang sama artinya bahwa email diterima oleh 192.168.0.2. Email ini akan diteruskan ke mail server Zimbra. Zimbra mengecek IP pengirim dan menemukan bahwa pengirim menggunakan IP 192.168.0.2 dan dianggap trusted sehingga tidak perlu dimintakan authentikasi.”

Ini aneh… kalo ada email server luar, misalkan IP 1.2.3.4 mau kirim email ke Zimbra email server ya mestinya Source IP tetap 1.2.3.4 tidak menjadi 192.168.0.2.
Kecuali anda menerapkan NAT, dimana Source IP lalu di rewrite



Vavai
June 3, 2010 at 7:38 pm

@Dedhi,
Thanks sudah mengingatkan. Untuk kasus yang saya contohkan memang menggunakan NAT, itu mungkin yang menjadi alasan mengapa blacklist IP spammer juga tidak berjalan karena IP yang dikenal sudah direwrite.



dudi
June 4, 2010 at 8:19 am

akan lebih baik kalau gunakan DNAT/Port Forwarding untuk kasus di atas, sehingga IP yang di deteksi tetap original IP.



akhmad
June 4, 2010 at 5:03 pm

Mas Vavai pertama terimaksih tutorialnya ya.
saya selama ini setup mail server zimbra dimana diserver ada 2 lan card pakai ip publik 222.x.x.x dan ip local 192.168.1.1 shg client pakai ip 192.168.1..0/24.
selama ini alhamdulilah lancar2 saja.

Saya mau tanya kalu instal konfigur mail server yg model NAT itu gimana ya?jadi mau saya IP publik sbg firewal dan routing saja sedang mail server saya diinstal di ip local misal 192.168.1.10,dan kurasa model ini utk sekuritinya lebih bagus sesuai penjelsan mas diatas.
apakah DNS server nya di set di IP publik tadi apakah diset di IP tempat mailserver tadi di 192.168.1.10.

terimaksih mas,muga2 mas buatin tutorial ttg mail server yg model di NAT .

Terimaksih mas



BenQ
June 9, 2010 at 2:51 pm

Mas Vavai saya mau tanya donk, saya sudah kasih ip public di server zimbra. Bisa gak ya, saya batasi hanya beberapa account saja yang bisa akses webmail dari luar??

Thx



nady
December 9, 2010 at 10:40 am

Kalo di hasil test open relay masi ada yang merah musti cek konfigurasi yang mana ya?

RSET
250 Ok
MAIL FROM: spam@mail.sebukuiron.co.id
250 Ok
RCPT TO: test1@mail.sebukuiron.co.id
Test Failed, 250 Ok



Masim Vavai Sugianto
December 9, 2010 at 2:35 pm

@Nady,
Cara check dan solusinya sudah disampaikan pada artikel diatas.



Tips Audit Sistem Zimbra Mail Server | Migrasi Windows Linux
August 8, 2011 at 11:05 am

[…] Memastikan Topologi Jaringan dan Konfigurasi Network. Konfigurasi yang tidak diset dengan baik akan membuat Zimbra menjadi open relay dan secara otomatis menjadi target serangan spam (sekaligus menjadi lokasi gateway bagi para spammer). Konfigurasi NAT pada mikrotik yang kurang tepat misalnya, bisa memicu masalah karena proses blacklist IP & hostname sender tidak berjalan akibat IP sender yang direwrite menjadi IP lokal gateway. Link artikel : Tips Zimbra : Topologi Jaringan, Trusted Network & Open Relay […]



First Zimbra Installation - How to block open relay
July 7, 2012 at 3:45 am

[…] (sorry, in Bahasa Indonesia, please use translator if you wish to read it) regarding this one : Tips Zimbra : Topologi Jaringan, Trusted Network & Open Relay | Migrasi Windows Linux Best Regards — Masim "Vavai" Sugianto Vavai Personal Blog Personal Blog [ID] […]



Open Relay MTA problem
July 7, 2012 at 3:53 am

[…] (sorry, in Bahasa Indonesia, please use translator if you wish to read it) regarding this one : Tips Zimbra : Topologi Jaringan, Trusted Network & Open Relay | Migrasi Windows Linux If you have a router with NAT setting, seems there was an error in your configuration, most likely […]



Tips Improvement Mail Server : Meningkatkan Keamanan Mail Server
March 30, 2015 at 8:57 am

[…] Batasi isian trusted network. Jika ip tertentu diset sebagai trusted network, email dari ip tersebut akan diperbolehkan mengirim email tanpa otorisasi. Untuk mengatasinya, lakukan pembatasan subnet untuk trusted network, misalnya trusted network dibatasi untuk 127.0.0.1/8 dan ip-address-zimbra/32. Subnet 32 berarti yang menjadi trusted network adalah ip si mesin Zimbra itu sendiri, yang lainnya harus melakukan otorisasi untuk pengiriman email. Penjelasannya bisa dibaca disini : “Tips Zimbra : Topologi Jaringan, Trusted Network & Open Relay” […]



Leave a Reply

Your email address will not be published. Required fields are marked *

CAPTCHA
Refresh

*

  • Artikel



  • Blogroll

    • DNS Propagation Checker
    • Instagram Photo/Video Downloader
    • PT. Excellent Infotama Kreasindo
  • Publishing

  • Recent Posts

    • TOEFL ITP Score (Kedua)
    • Bisnis Kelapa Muda
    • Model Usaha
    • Back-End Developer, Front-End Developer & Staff IT Support
    • Markas Excellent Danita
    • Pekerjaan Excellent
    • iMac 2021
    • Problem Solving
    • Kolam Mina Padi/Mina Genjer
    • Team Excellent


  • Links Ads

  • Recent Post

    • TOEFL ITP Score (Kedua)
    • Bisnis Kelapa Muda
    • Model Usaha
    • Back-End Developer, Front-End Developer & Staff IT Support
    • Markas Excellent Danita
    • Pekerjaan Excellent
    • iMac 2021
    • Problem Solving
    • Kolam Mina Padi/Mina Genjer
    • Team Excellent
    • Telur Bebek Mentah
    • Kursi Kayu dan Gerobak Angkringan
    • Kebun Pisang Barangan dan Ambon Kuning
    • Ternak Bebek
    • Data Statistik Covid dan Edukasi Media
  • Recent Comments

    • dkyubn.bizwebs.com on Instalasi Squid Proxy Server pada OpenSUSE
    • http://aonubs.website2.me/ on Instalasi Squid Proxy Server pada OpenSUSE
    • canadian pharmacy online on Instalasi Squid Proxy Server pada OpenSUSE
    • site592154748.fo.team on Instalasi Squid Proxy Server pada OpenSUSE
    • kqwsh.wordpress.com20220516what-everybody-else-does-when-it-comes-to-online-pharmacies on Instalasi Squid Proxy Server pada OpenSUSE
    • canadian rx on Instalasi Squid Proxy Server pada OpenSUSE
    • kwersd.mystrikingly.com on Instalasi Squid Proxy Server pada OpenSUSE
    • canadian prescriptions online on Instalasi Squid Proxy Server pada OpenSUSE
    • avuiom.sellfy.store on Instalasi Squid Proxy Server pada OpenSUSE
    • lwerts.livejournal.com276.html on Instalasi Squid Proxy Server pada OpenSUSE