Hallo,

Tips ini mengupdate yang lama

https://www.mail-archive.com/mdaemon-l@dutaint.com/msg41277.html
https://www.mail-archive.com/mdaemon-l@dutaint.com/msg41278.html
https://www.mail-archive.com/mdaemon-l@dutaint.com/msg41279.html

tips ini diperuntukkan bagi yang sudah menggunakan MDaemon versi 17.5.0 keatas.

Kalau MDaemon bisa diakses dari Internet maka tidak akan luput dari
gangguan spammer/hacker yang mencoba-coba cari tahu username/password
yang valid user kita yang nantinya digunakan oleh mereka untuk broadcast
spam mail ke internet.

Broadcast spam mail ke intenet yang berkepanjangan serta jumlahnya banyak akan
membuat server MDaemon (IP, hostname dan domain) di block oleh server penerima,
baik blocking permanent atau sementara atau masuk dalam daftar bad IP reputation
macam barracudacentral.org, Cloudmark CSI dll yang berakibat mail (juga) ditolak
sementara oleh receiver yang menggunakan layanan itu

https://sendgrid.com/blog/5-ways-check-sending-reputation/
http://www.anti-abuse.org/multi-rbl-check/

dengan demikian account hijacking memang perlu dihindari sejauh mungkin.

Asalkan semua akun sudah pakai strong password dan login name sudah menggunakan
email address lengkap maka gangguan itu tidak terlalu membuat risau, bisa
diabaikan (assumsinya MDaemon sudah closed relay).
Jangan ragu untuk meminta user mengubah password dengan strong password, seluruh
dunia sudah melakukannya baik itu online free mail, online internet banking,
online e-commerce, online akses kartu kredit, online akses penyedia jasa koneksi
internet (wireless, wired, cellular) dll.
Perubahan password itu demi kebaikkan bersama seluruh user di Internet 
(Netizen).

Akan tetapi sejak November 2016 yl gangguan itu semakin kerap, frekwensi
spammer/hacker yang coba-2x cari tahu username/password real account di MDaemon
meningkat pesat sehingga banyaknya notification message perihal gangguan itu
membuat tidak nyaman postmaster, khususnya dari negara-2x yang masuk dalam The
10 Worst Spam Countries dan The 10 Worst Botnet Countries versi spamhaus.org

https://www.spamhaus.org/statistics/countries/
https://www.spamhaus.org/statistics/botnet-cc/

Singkatnya, tindakan untuk mencegah akun terkena hijack meliputi


Pengaktifan Strong Password
----------------------------

Pengaktifan Strong Password dimulai dari Account Template

http://mdaemon.dutaint.co.id/mdaemon/17.5/index.html?template-manager_template.htm

[x] Account must change mailbox password before it can connect

dan hak akses untuk ganti password diberikan

http://mdaemon.dutaint.co.id/mdaemon/17.5/index.html?template-manager_web-services.htm

[x] ...edit password

bagi user yang sering bepergian keluar negeri diberikan hak untuk mengaktifkan 2
factor authentication

[x] Allow Two-Factor Authentication

klik "Load "New Accounts" template settings" agar effektif berlaku.

Saat akun baru dibuat bisa diberikan strong password yang standard,
mudah diinformasikan lewat telepon/voice, sms misalkan standar yang
digunakan = NamaPerusahaan### atau $JargonPerusahaan$

Setelah itu minta user baru  akses ke webmail untuk ganti passwordnya.

Prasyarat agar mereka ganti password dengan strong password maka
pastikan menu berikut aktif

http://mdaemon.dutaint.co.id/mdaemon/17.5/index.html?passwords.htm

[x] Require strong passwords

Minimum password length: 6

klik "Edit the bad password file"

daftar password yang mudah ditebak dimasukkan kedalam daftar "bad password"

http://newsfeed.time.com/2014/01/20/the-25-worst-passwords-of-2013/

http://www.forbes.com/sites/ygrauer/2016/01/20/2015-passwords-really-bad-make-sure-yours-not-on-list/#d33b9144d355

Untuk menjaga username/password diketahui hacker saat Windows OS terkena hack
aktifkan

[x] Store mailbox passwords using non-reversible encryption

Karena pergantian password baru (sudah strong password) dilakukan oleh pemilik
akun mestinya akan mudah diingat olehnya dibanding strong password yang
diberikan orang lain.
Tetapi bisa saja terjadi password itu terlupa oleh pemiliknya sehingga
sebaiknya diaktifkan password recovery untuk akun itu lewat webmail.

http://mdaemon.dutaint.co.id/mdaemon/17.5/index.html?wc--options.htm

[x] Enable password recovery

pemakaian lebih rinci untuk password recovery bisa dilihat disini

http://www.mail-archive.com/mdaemon-l@dutaint.com/msg37674.html


Untuk cari tahu akun lama yang masih pakai weak password bisa dilakukan dari

http://mdaemon.dutaint.co.id/mdaemon/17.5/index.html?passwords.htm

klik "Report weak password"
Nanti akan ditanyakan reportnya dikirim ke akun yang diisikan ke kolom yang
disediakan.

Untuk kasih tahu agar user yang masih pakai weak password agar mengganti
passwordnya bisa diaktifkan menu

[x] Force weak passwords to change

atau bisa juga semua user diminta ganti passwordnya melalui menu

Passwords expire after this many days = 30

Warn users of password expiration each day for 5 days
Remember this many old passwords = 3


Membatasi akses mail berdasar lokasi
------------------------------------

--- dilanjutkan ke bagian 2 --->


-- 
syafril
-------
Syafril Hermansyah
MDaemon-L Moderators, running MDaemon 17.5.0-64, SP 5.1-64
Harap tidak cc: atau kirim ke private mail untuk masalah MDaemon.

Instruction does much, but encouragement everything.
        --- Johann Wolfgang von Goethe


-- 
--MDaemon-L----------------------------------------------------------
Milis ini untuk Diskusi antar pengguna MDaemon Mail Server.

Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette
Arsip: http://mdaemon-l.dutaint.com
Dokumentasi : http://mdaemon.dutaint.co.id
Henti Langgan: Kirim mail ke mdaemon-l-unsubscr...@dutaint.com
Versi terakhir MD 17.5.0, SP 5.1, OC 5.0, SG 4.5.1



Kirim email ke