Hallo,
Transaksi mail (data exchange) perlu di shield (secure, encrypt) agar transmisi data tidak di interrupt/hijack oleh hacker (man in the middle attack). Mail Encryption ada 2 macam: 1. Mail sessions encryption 2. Mail Content encryption Yang dibahas kali ini adalah Mail Session Encryption saja dulu. Mail session encryption protocol yang dikenal di dunia internet mail ada dua : SSL (Secure Sockets Layer) dan TLS (Transport Layer Security). SSL sudah kuno tetapi masih digunakan oleh beberapa mail server untuk terima koneksi mail dari email client, penerusnya adalah TLS. Dalam transaksi mail antar mail server saat ini menggunakan SMTP/TLS. Artikel berikut bisa menjadi patokkan protocol SSL/TLS apa yang sebaiknya dipakai https://github.com/ssllabs/research/wiki/SSL-and-TLS-Deployment-Best-Practices 1.1 Use 2048-Bit Private Keys Selalu gunakan Encryption length diatas 2048-bit karena dibawah itu sudah bisa di decrypt (walau susah dan butuh waktu). 1.2 Protect Private Keys SSL key terdiri atas 2 macam: Public Key dan Private Key. Public Key di expose ke internet sementara private key disimpan di mesin/server. Simpan private key ditempat yang "aman". 1.3 Ensure Sufficient Hostname Coverage Karena nama host terkadang diubah, akan lebih baik jika SSL keynya pakai Wildcard (*.domain.tld). 1.4 Obtain Certificates from a Reliable CA CA (Certificate Authority) ada banyak, penggunaan CA yang terkenal akan memudahkan client accept certificate. Pemakaian Self Sign Certificate tidak berarti encryptionnya lemah (weak), hanya saja Certificate itu tidak dipublish di internet atau terdaftar di CA list browser atau di email client sehingga perlu prosedur "SSL Certificate acceptance" agar tidak selalu muncul "Certificate not recognize" error di browser saat akses webmail atau saat email client akses mail service (IMAP/POP3/SMTP). 1.5 Use Strong Certificate Signature Algorithms Algoritma Hash yang digunakan direkomendasikan menggunakan SHA-2, karena SHA-1 sudah tidak dipakai lagi sejak January 2016. 2.2 Use Secure Protocols Gunakan/pilih TLS 1.2. 3.1 Avoid Too Much Security Koneksi SSL/TLS adalah lambat dibanding koneksi non-SSL/TLS, pangkas jumlah/macam algoritma security untuk mempercepat (efisiensi). Penerapan SSL/TLS di MDaemon. ----------------------------- SSL/TLS adalah fungsi dari Operating System, di windows dikenal dengan nama Windows Schannel (Secure channel) https://msdn.microsoft.com/en-us/library/windows/desktop/aa380123(v=vs.85).aspx Agar bisa mengunakan SSL/TLS dengan algoritma yang direkomendasikan oleh ssllabs diatas maka perlu menggunakan OS Windows7 keatas (full windows update). Setelah itu di MDaemon dibuatkan SSL key baru. http://mdaemon.dutaint.co.id/mdaemon/18.0/index.html?ssl_mdaemon.htm klik tombol "Create Certificate" Host name: mail.domain.tld (sesuai nama smtp host primary domain di MDaemon) Organization/company name: Nama Perusahaan Alternative host names : *.domain.tld Encryption key length: 2048 Hash algorithm: SHA-2 Country/region: ID (Indonesia) Yang diatas itu untuk pembuatan SSL Self Sign Certificate. Kalau pakai SSL dari recognize CA (Certificate Authority) maka mintakan ke CA provider certificate filenya dalam format PKCS#7 (*.pfx), karena SSL key yang digunakan MDaemon persis sama dengan yang digunakan Windows IIS Web engine server. Proses instalasinya sbb: https://knowledge.rapidssl.com/support/ssl-certificate-support/index?page=content&id=SO27073&actp=search&viewlocale=en_US https://ssl.comodo.com/support/ssl-technical-faqs/adding-root-and-intermediate-certificates-via-mmc.php Lakukan check/test menggunakan online ssl test untuk webmail. https://www.ssllabs.com/ssltest/ Kalau hasilnya masih kurang baik atau ingin memangkas jumlah algoritma gunakan utility berikut https://www.nartac.com/Products/IISCrypto Apa dampaknya jika tidak mengikuti rekomendasi diatas? --- dilanjutkan ke bagian 2 --> -- syafril ------- Syafril Hermansyah MDaemon-L Moderators, running MDaemon 18.0-64 bit Harap tidak cc: atau kirim ke private mail untuk masalah MDaemon. Learning without thought is labor lost; thought without learning is perilous. --- Confucius (551 BC - 479 BC), The Confucian Analects -- --[mdaemon-l]---------------------------------------------------------- Milis ini untuk Diskusi antar pengguna MDaemon Mail Server di Indonesia Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette Arsip: http://mdaemon-l.dutaint.com Dokumentasi : http://mdaemon.dutaint.co.id Berlangganan: Kirim mail ke [email protected] Henti Langgan: Kirim mail ke [email protected] Versi terakhir MD 18.0 (all-in-one), SG 5.0.1
