Hallo, Tips ini mengupdate yang lama
https://www.mail-archive.com/[email protected]/msg41277.html https://www.mail-archive.com/[email protected]/msg41278.html https://www.mail-archive.com/[email protected]/msg41279.html tips ini diperuntukkan bagi yang sudah menggunakan MDaemon versi 17.5.0 keatas. Kalau MDaemon bisa diakses dari Internet maka tidak akan luput dari gangguan spammer/hacker yang mencoba-coba cari tahu username/password yang valid user kita yang nantinya digunakan oleh mereka untuk broadcast spam mail ke internet. Broadcast spam mail ke intenet yang berkepanjangan serta jumlahnya banyak akan membuat server MDaemon (IP, hostname dan domain) di block oleh server penerima, baik blocking permanent atau sementara atau masuk dalam daftar bad IP reputation macam barracudacentral.org, Cloudmark CSI dll yang berakibat mail (juga) ditolak sementara oleh receiver yang menggunakan layanan itu https://sendgrid.com/blog/5-ways-check-sending-reputation/ http://www.anti-abuse.org/multi-rbl-check/ dengan demikian account hijacking memang perlu dihindari sejauh mungkin. Asalkan semua akun sudah pakai strong password dan login name sudah menggunakan email address lengkap maka gangguan itu tidak terlalu membuat risau, bisa diabaikan (assumsinya MDaemon sudah closed relay). Jangan ragu untuk meminta user mengubah password dengan strong password, seluruh dunia sudah melakukannya baik itu online free mail, online internet banking, online e-commerce, online akses kartu kredit, online akses penyedia jasa koneksi internet (wireless, wired, cellular) dll. Perubahan password itu demi kebaikkan bersama seluruh user di Internet (Netizen). Akan tetapi sejak November 2016 yl gangguan itu semakin kerap, frekwensi spammer/hacker yang coba-2x cari tahu username/password real account di MDaemon meningkat pesat sehingga banyaknya notification message perihal gangguan itu membuat tidak nyaman postmaster, khususnya dari negara-2x yang masuk dalam The 10 Worst Spam Countries dan The 10 Worst Botnet Countries versi spamhaus.org https://www.spamhaus.org/statistics/countries/ https://www.spamhaus.org/statistics/botnet-cc/ Singkatnya, tindakan untuk mencegah akun terkena hijack meliputi Pengaktifan Strong Password ---------------------------- Pengaktifan Strong Password dimulai dari Account Template http://mdaemon.dutaint.co.id/mdaemon/17.5/index.html?template-manager_template.htm [x] Account must change mailbox password before it can connect dan hak akses untuk ganti password diberikan http://mdaemon.dutaint.co.id/mdaemon/17.5/index.html?template-manager_web-services.htm [x] ...edit password bagi user yang sering bepergian keluar negeri diberikan hak untuk mengaktifkan 2 factor authentication [x] Allow Two-Factor Authentication klik "Load "New Accounts" template settings" agar effektif berlaku. Saat akun baru dibuat bisa diberikan strong password yang standard, mudah diinformasikan lewat telepon/voice, sms misalkan standar yang digunakan = NamaPerusahaan### atau $JargonPerusahaan$ Setelah itu minta user baru akses ke webmail untuk ganti passwordnya. Prasyarat agar mereka ganti password dengan strong password maka pastikan menu berikut aktif http://mdaemon.dutaint.co.id/mdaemon/17.5/index.html?passwords.htm [x] Require strong passwords Minimum password length: 6 klik "Edit the bad password file" daftar password yang mudah ditebak dimasukkan kedalam daftar "bad password" http://newsfeed.time.com/2014/01/20/the-25-worst-passwords-of-2013/ http://www.forbes.com/sites/ygrauer/2016/01/20/2015-passwords-really-bad-make-sure-yours-not-on-list/#d33b9144d355 Untuk menjaga username/password diketahui hacker saat Windows OS terkena hack aktifkan [x] Store mailbox passwords using non-reversible encryption Karena pergantian password baru (sudah strong password) dilakukan oleh pemilik akun mestinya akan mudah diingat olehnya dibanding strong password yang diberikan orang lain. Tetapi bisa saja terjadi password itu terlupa oleh pemiliknya sehingga sebaiknya diaktifkan password recovery untuk akun itu lewat webmail. http://mdaemon.dutaint.co.id/mdaemon/17.5/index.html?wc--options.htm [x] Enable password recovery pemakaian lebih rinci untuk password recovery bisa dilihat disini http://www.mail-archive.com/[email protected]/msg37674.html Untuk cari tahu akun lama yang masih pakai weak password bisa dilakukan dari http://mdaemon.dutaint.co.id/mdaemon/17.5/index.html?passwords.htm klik "Report weak password" Nanti akan ditanyakan reportnya dikirim ke akun yang diisikan ke kolom yang disediakan. Untuk kasih tahu agar user yang masih pakai weak password agar mengganti passwordnya bisa diaktifkan menu [x] Force weak passwords to change atau bisa juga semua user diminta ganti passwordnya melalui menu Passwords expire after this many days = 30 Warn users of password expiration each day for 5 days Remember this many old passwords = 3 Membatasi akses mail berdasar lokasi ------------------------------------ --- dilanjutkan ke bagian 2 ---> -- syafril ------- Syafril Hermansyah MDaemon-L Moderators, running MDaemon 17.5.0-64, SP 5.1-64 Harap tidak cc: atau kirim ke private mail untuk masalah MDaemon. Instruction does much, but encouragement everything. --- Johann Wolfgang von Goethe -- --MDaemon-L---------------------------------------------------------- Milis ini untuk Diskusi antar pengguna MDaemon Mail Server. Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette Arsip: http://mdaemon-l.dutaint.com Dokumentasi : http://mdaemon.dutaint.co.id Henti Langgan: Kirim mail ke [email protected] Versi terakhir MD 17.5.0, SP 5.1, OC 5.0, SG 4.5.1
