Salah satu masalah besar pada setup sistem mail server adalah masalah Open Relay. Jika mail server diset sebagai open relay, itu sama artinya membuka pintu masuk lebar-lebar bagi para spammer untuk memanfaatkan mail server yang kita gunakan untuk mengirim email dari berbagai domain. Open Relay berarti setiap orang boleh mengirim email melalui mail server kita, meski nama domainnya bukanlah nama domain yang kita setup.
Contoh mudahnya, jika saya membuat mail server mail.vavai.co.id untuk digunakan oleh domain @vavai.co.id, seharusnya saya hanya membolehkan nama domain tersebut untuk terkirim dari mail server saya. Saya akan menolak pengiriman email yang dikirim tanpa menggunakan alamat domain vavai.co.id. Jika mail server diset sebagai open relay, mail server tidak akan membatasi domain pengirim, bisa saja spammer menggunakan domain palsu dan numpang lewat kirim email melalui mail server kita.
Yang menjadi masalah, banyak pada Admin yang tidak menyadari jika mail servernya open relay. Bukan karena tidak tahu bahayanya melainkan karena salah setting konfigurasi network !
Jika anda Admin mail server, khususnya Zimbra Mail Server atau Postfix, tentu pernah mengenal apa yang dinamakan trusted network. Jika suatu IP atau block IP diset sebagai trusted network, Zimbra atau Postfix tidak akan mengecek user dan password untuk authentikasi pengiriman email. Misalnya Zimbra menggunakan IP 192.168.0.1 dengan subnet 255.255.255.0 atau subnet = /24, maka semua klien yang memiliki IP 192.168.0.-192.168.0.254 akan dianggap trusted network dan boleh mengirimkan email melalui Zimbra/Postfix tanpa ditanyakan user name dan password untuk authentikasi.
Masalah akan timbul jika mail server yang disetup menggunakan IP public dan alamat IP gateway yang menghubungkan Zimbra dengan internet menggunakan IP dalam subnet yang sama alias 1 kelas IP. Dalam contoh diatas, IP Zimbra adalah 192.168.0.1 sedangkan gateway memiliki 2 IP yaitu IP private = 192.168.0.2 dan IP public, misalnya 125.161.88.201.
Jika ada mail server luar hendak mengirimkan email ke Zimbra, email akan diterima oleh IP 125.161.88.201 yang sama artinya bahwa email diterima oleh 192.168.0.2. Email ini akan diteruskan ke mail server Zimbra. Zimbra mengecek IP pengirim dan menemukan bahwa pengirim menggunakan IP 192.168.0.2 dan dianggap trusted sehingga tidak perlu dimintakan authentikasi.
Apa solusi untuk masalah ini ? Solusi yang tepat adalah menggunakan 2 kelas IP yang berbeda. Contoh konfigurasi yang saya gunakan pada salah satu klien saya adalah sebagai berikut :
IP Address Zimbra :
LAN Card 1 (eth0) : 192.168.10.1, ini terhubung ke switch/hub lokal
LAN Card 2 (eth1) : 192.168.1.1, ini terhubung ke modem ADSL/router, bisa juga menggunakan IP Public, misalnya 125.161.88.201
IP Address Klien : 192.168.10.0/24
IP Gateway : 192.168.1.2
Nantinya, setting trusted network pada Zimbra Admin | Server adalah 192.168.10.0/24 dan 192.168.1.1/32 atau 192.168.10.0/24 dan 125.161.88.201/32
Bagaimana jika hanya punya 1 LAN card? Mudah kok. Buat saja virtual IP yang dibonding ke LAN Card yang sama (meski kurang direkomendasikan jika trafik mailnya tinggi). Jika menggunakan openSUSE/SLES, Virtual IP dapat dengan mudah dibuat melalui menu YAST | Networkd Device | Network Setting.
Jika kesemua proses sudah dilakukan, silakan check status open relay melalui Open Relay Test, salah satunya melalui halaman web http://www.checkor.com/. Masukkan alamat email server anda, misalnya mail.vavai.co.id pada kotak isian dan kemudian klik tombol Check MyMailserver. Jika ada sebagian warna merah pada hasil check, itu tandanya mail server anda masih masuk kategori open relay dan harus diperbaiki konfigurasinya.
Berikut adalah contoh hasil test saat web diatas melakukan pengecekan status Open Relay, saya ambil dari Zimbra Log. Hasil konfigurasi yang benar akan menolak pengiriman email yang tidak trusted dengan pesan “Relay Access Denied”.
[code language=’cpp’]
Jun 3 15:47:21 mail postfix/smtpd[10684]: connect from www.no-ip.com[204.16.252.112]
Jun 3 15:47:22 mail postfix/smtpd[10684]: NOQUEUE: reject: RCPT from www.no-ip.com[204.16.252.112]: 554 5.7.1 : Relay access denied; from= to= proto=SMTP helo=
Jun 3 15:47:24 mail postfix/smtpd[10684]: NOQUEUE: reject: RCPT from www.no-ip.com[204.16.252.112]: 554 5.7.1 : Relay access denied; from= to= proto=SMTP helo=
Jun 3 15:47:25 mail postfix/smtpd[10684]: NOQUEUE: reject: RCPT from www.no-ip.com[204.16.252.112]: 554 5.7.1 : Relay access denied; from= to= proto=SMTP helo=
Jun 3 15:47:26 mail postfix/smtpd[10684]: NOQUEUE: reject: RCPT from www.no-ip.com[204.16.252.112]: 554 5.7.1 : Relay access denied; from= to= proto=SMTP helo=
Jun 3 15:47:26 mail postfix/smtpd[10684]: NOQUEUE: reject: RCPT from www.no-ip.com[204.16.252.112]: 554 5.7.1 : Relay access denied; from= to= proto=SMTP helo=
Jun 3 15:47:27 mail postfix/smtpd[10684]: NOQUEUE: reject: RCPT from www.no-ip.com[204.16.252.112]: 554 5.7.1 : Relay access denied; from= to= proto=SMTP helo=
Jun 3 15:47:27 mail postfix/smtpd[10684]: lost connection after RCPT from www.no-ip.com[204.16.252.112]
Jun 3 15:47:27 mail postfix/smtpd[10684]: disconnect from www.no-ip.com[204.16.252.112]
[/code]
Status diatas dinyatakan relay access denied karena pengirim bukan trusted network dan tidak menggunakan mail authentication untuk mengirim email (mail authenticationnya ditolak karena tidak dikenal di Zimbra Server)
Bagaimana dengan pengalaman anda ?
11 Comments
“Jika ada mail server luar hendak mengirimkan email ke Zimbra, email akan diterima oleh IP 125.161.88.201 yang sama artinya bahwa email diterima oleh 192.168.0.2. Email ini akan diteruskan ke mail server Zimbra. Zimbra mengecek IP pengirim dan menemukan bahwa pengirim menggunakan IP 192.168.0.2 dan dianggap trusted sehingga tidak perlu dimintakan authentikasi.”
Ini aneh… kalo ada email server luar, misalkan IP 1.2.3.4 mau kirim email ke Zimbra email server ya mestinya Source IP tetap 1.2.3.4 tidak menjadi 192.168.0.2.
Kecuali anda menerapkan NAT, dimana Source IP lalu di rewrite
@Dedhi,
Thanks sudah mengingatkan. Untuk kasus yang saya contohkan memang menggunakan NAT, itu mungkin yang menjadi alasan mengapa blacklist IP spammer juga tidak berjalan karena IP yang dikenal sudah direwrite.
akan lebih baik kalau gunakan DNAT/Port Forwarding untuk kasus di atas, sehingga IP yang di deteksi tetap original IP.
Mas Vavai pertama terimaksih tutorialnya ya.
saya selama ini setup mail server zimbra dimana diserver ada 2 lan card pakai ip publik 222.x.x.x dan ip local 192.168.1.1 shg client pakai ip 192.168.1..0/24.
selama ini alhamdulilah lancar2 saja.
Saya mau tanya kalu instal konfigur mail server yg model NAT itu gimana ya?jadi mau saya IP publik sbg firewal dan routing saja sedang mail server saya diinstal di ip local misal 192.168.1.10,dan kurasa model ini utk sekuritinya lebih bagus sesuai penjelsan mas diatas.
apakah DNS server nya di set di IP publik tadi apakah diset di IP tempat mailserver tadi di 192.168.1.10.
terimaksih mas,muga2 mas buatin tutorial ttg mail server yg model di NAT .
Terimaksih mas
Mas Vavai saya mau tanya donk, saya sudah kasih ip public di server zimbra. Bisa gak ya, saya batasi hanya beberapa account saja yang bisa akses webmail dari luar??
Thx
Kalo di hasil test open relay masi ada yang merah musti cek konfigurasi yang mana ya?
RSET
250 Ok
MAIL FROM: spam@mail.sebukuiron.co.id
250 Ok
RCPT TO: test1@mail.sebukuiron.co.id
Test Failed, 250 Ok
@Nady,
Cara check dan solusinya sudah disampaikan pada artikel diatas.