[Mdaemon-L] Missing Security Headers - Webmail

Mon, 10 Nov 2025 19:46:04 -0800

Ikut nimbrung Pak, ini web server nya pakai default MD atau pakai yg lain spt IIS ? 9 point ini settingnya di sisi webserver nya ya ? apakah MD ada di belakang Firewall/security gateway ? dan jika ya apakah di gateway sudah aktif IPS ? 

saya penasaran juga apakah 9 point ini lolos dari security gateway ?

Rgds,

On 11/11/2025 10:38, Asep Yuliyana via Mdaemon-L wrote:


Dear Pak Syafril,
Pentester melakukan pengecekan terhadap security header pada webmail mengunakan tools shcheck, dan ditemukan beberapa security header yang belum di implementasikan sehingga dinilai rentan terhadap serangan seperti XSS, MiTM, dan lainnya. 

Adapun security header yang belum di implementasikan, antara lain :

 1. Strict-Transport-Security: max-age=63072000; includeSubDomain; preload
 2. Content-Security-Policy: default-src ‘self’
 3. X-Frame-Option: DENY
 4. X-XSS-Protection: 0
 5. X-Content-Type-Options: nosniff
 6. Referrer-Policy: strict-origin-when-cross-origin
 7. Permission-Policy: geolocation=(), camera=(), microphone=()
 8. Cross-Origin Resource Sharing (CROS): https://yoursite.com
 9. Cache-Control: no-store
Apakah pada webmail Mdaemon dapat mengaktifkan 9 HTTP Security Headers diatas Pak? 

Terimakasih,

Asep. Y

--
--[mdaemon-l]----------------------------------------------------------
Milis ini untuk Diskusi antar pengguna MDaemon Mail Server di Indonesia

Netiket:https://wiki.openstack.org/wiki/MailingListEtiquette
Arsip:http://mdaemon-l.dutaint.com
Dokumentasi :http://mdaemon.dutaint.com
Berlangganan: Kirim mail [email protected]
Henti Langgan: Kirim mail [email protected]
Versi terakhir: MDaemon 25.5.1, SecurityGateway 11.0.3




--
--[mdaemon-l]----------------------------------------------------------
Milis ini untuk Diskusi antar pengguna MDaemon Mail Server di Indonesia

Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette
Arsip: http://mdaemon-l.dutaint.com
Dokumentasi : http://mdaemon.dutaint.com
Berlangganan: Kirim mail ke [email protected]
Henti Langgan: Kirim mail ke [email protected]
Versi terakhir: MDaemon 25.5.1, SecurityGateway 11.0.3

Kirim email ke