On 11/13/25 14:29, Asep Yuliyana via Mdaemon-L wrote:
Pak mungkin ini agak berbeda dengan hasil pentest sebelumnya, untuk aspek
"Sensitive Information Disclosure", mereka melakukan melakukan Open Source
Intelligence (OSINT) untuk mencari kredensial yang valid untuk melakukan
autentikasi ke webmail dan layanan SMTP. Penetration tester menemukan salah
satu email yang digunakan untuk login ke layanan SMTP di salah satu forum
tanya jawab seputar Mdaemon yang ditemukan di Google.
OSINT dilakukan melalui linkedin dan ditemukanlah akun saya yang masih aktif
sebagai karyawan kapal api, mereka menebak alamat email dan menemukan alamat
email saya di milis Mdaeamon ini Pak.
Setelahnya pentester mengakses ke forum dan ditemukan ada dikusi antara kita
yang menampilkan log SMTP. Dari contoh log smtp itu ditemukan credential
login berbasis hash base64, dan mereka decode dan diketahui hasilnya adalam
alamat email saya yang sama dengan temuan OSINT sebelumnya.
Mereka menilai temuan ini dengan severity low Pak, namun rekomendasi / saran
yang diberikan adalah menghapus diskusi-diskusi tersebut.
Spammer melakukan harvest terhadap alamat email yang akan di hijack atau
dikirimi phising spam (untuk tahu password akunnya) umumnya tidak dari
mailing list (discussion list) tetapi dari distribution list (mail dari
sender ke multi TO/CC address) atau dari Portal Web macam dark web, porn
web, judi online, market place.
Username/logon name menggunakan email address sengaja digunakan MDaemon
agar bisa (mendukung) multi domain.
Account Password menjadi penting di hijak sekarang ini sejak banyak
domain menerapkan domain authentication (SPF/DKIM/DMARC) agar bisa
digunakan mereka untuk kirim spam via account compromise (account
Hijacked) tersebut.
Itu sebabnya password di MDaemon variasinya berkembang terus, mulai dari
Plain Password, MD5 encryption, Strong password dan non-reversible
encryption (bycrypt) password.
https://mdaemon.dutaint.com/mdaemon/25.5.0/passwords.html
[x] Store mailbox passwords using non-reversible encryption
Check this box if you want MDaemon to store passwords using non-
reversible encryption. This protects the passwords from being
decrypted by MDaemon, the administrator, or a possible attacker. To
do this, MDaemon uses the bcrypt password hashing function, which
allows for longer passwords (up to 72 characters), and for passwords
to be preserved yet not revealed when exporting and importing
accounts. Some features, however, are not compatible with this
option, such as weak password detection and APOP & CRAM-MD5
authentication, because they depend on MDaemon being able to decrypt
passwords. Non-reversible passwords is enabled by default.
Bahkan yang ingin lebih secure lagi bisa mengaktifkan 2FA (2 factor
authentication) atau App Password atau memaksa semua user mengganti
password secara periodik.
2FA umumnya direkomendasikan oleh public domain (gmail.com, yahoo.com,
outlook.com, facebook.com dls) untuk menjaga agar account tidak
compromise (hijacked).
[x] Force weak passwords to change
Click this button if you wish to force all accounts with a weak
password to change their passwords. This will lock out every account
with a weak password until the password is changed. The password can
be changed by an administrator via the MDaemon interface, or a
locked out user can change the password via Webmail or the remote
administration interface. When the user attempts to log in using the
old password, he or she will be required to create a new one before
proceeding. Note: This option is not available when using the "Store
mailbox passwords using non-reversible encryption" option below.
Bahkan saat ini MDaemon menyediakan geolocation filter dan dynamic
screening mail firewall agar user-user lama yang masih ingin tetap pakai
password lama (plain and short password) tetap terhindar dari account
hijacking.
Sebenarnya saya juga sudah jelaskan manfaat dari forum ini, kenapa saya
join, dan kenapa detail log perlu disampaikan.
Salah satu tujuannya adalah unk berbagi dan agar solusi yang diberikan tepat
sasaran, namun dari pihak pentester ingin mendapatkan tanggapan juga dari
management milis ini.
Milis ini dibuat sejak tahun 2000 yang lalu dan diarsip di online public
archive (https://mail-archive.com), akan tetapi tampilan arsip terus
berkembang, misalkan tidak lagi menampilkan email address yang diposting
di milis ini, bahkan lampiran dengan format non plain text tidak
ditampilkan.
Juga MDaemon terus berkembang, tampilan password di log tidak lagi
menampilkan hash code, tetapi dot code (.... atau *****).
Jadi selama sudah pakai MDaemon versi terkini, posting log tidak ada
masalah karena log itu memang diperlukan untuk kemudahan mendiagnosis
masalah.
Tetapi kalau memang ingin lebih nyaman, boleh saja menanyakan problem
teknis MDaemon ke [email protected] di hari/jam kerja (Senin-Jumat,
08.00-17.00) atau ke MDaemon.com https://mdaemon.com/pages/support-options
------------------------------------------------------------------------
--
syafril
--------
Syafril Hermansyah
MDaemon-L Moderator, run MDaemon 25.5.2 Beta A
Mohon tidak kirim private mail (atau cc:) untuk masalah MDaemon.
Every action of a manager rests upon assumtions about what has happened
and upon conjectures about what will happen: that is to say it rest upon
theory.
-- Dereck Pugh
--
--[mdaemon-l]----------------------------------------------------------
Milis ini untuk Diskusi antar pengguna MDaemon Mail Server di Indonesia
Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette
Arsip: http://mdaemon-l.dutaint.com
Dokumentasi : http://mdaemon.dutaint.com
Berlangganan: Kirim mail ke [email protected]
Henti Langgan: Kirim mail ke [email protected]
Versi terakhir: MDaemon 25.5.1, SecurityGateway 11.0.3
