[Mdaemon-L] Missing Security Headers - Webmail
> Ikut nimbrung Pak, ini web server nya pakai default MD atau pakai yg lain spt > IIS ? Kalau yang kami pakai bawaan MD Pak Ivan. > Tidak semua, hanya yang penting-penting saja yang diaktifkan saat instalasi. > > https://knowledge.mdaemon.com/setup-hsts-webmail-remote-admin > > Sementara untuk menambah (custom) header caranya seperti ini > > https://knowledge.mdaemon.com/recommended-http-response-headers Mantap, noted Pak Syafril terimakasih. Salam, Asep. Y -- --[mdaemon-l]-- Milis ini untuk Diskusi antar pengguna MDaemon Mail Server di Indonesia Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette Arsip: http://mdaemon-l.dutaint.com Dokumentasi : http://mdaemon.dutaint.com Berlangganan: Kirim mail ke [email protected] Henti Langgan: Kirim mail ke [email protected] Versi terakhir: MDaemon 25.5.1, SecurityGateway 11.0.3
[Mdaemon-L] Missing Security Headers - Webmail
On 11/11/25 10:38, Asep Yuliyana via Mdaemon-L wrote: Pentester melakukan pengecekan terhadap security header pada webmail mengunakan tools shcheck, dan ditemukan beberapa security header yang belum di implementasikan sehingga dinilai rentan terhadap serangan seperti XSS, MiTM, dan lainnya. Adapun security header yang belum di implementasikan, antara lain : 1. Strict-Transport-Security: max-age=63072000; includeSubDomain; preload 2. Content-Security-Policy: default-src ‘self’ 3. X-Frame-Option: DENY 4. X-XSS-Protection: 0 5. X-Content-Type-Options: nosniff 6. Referrer-Policy: strict-origin-when-cross-origin 7. Permission-Policy: geolocation=(), camera=(), microphone=() 8. Cross-Origin Resource Sharing (CROS): https://yoursite.com 9. Cache-Control: no-store Apakah pada webmail Mdaemon dapat mengaktifkan 9 HTTP Security Headers diatas Pak? Tidak semua, hanya yang penting-penting saja yang diaktifkan saat instalasi. https://knowledge.mdaemon.com/setup-hsts-webmail-remote-admin Sementara untuk menambah (custom) header caranya seperti ini https://knowledge.mdaemon.com/recommended-http-response-headers Kalau ingin lebih secure lagi, maka run Webmail under IIS Web engine https://knowledge.mdaemon.com/setup-mdaemon-iis -- syafril Syafril Hermansyah MDaemon-L Moderator, run MDaemon 25.5.2 Beta A Mohon tidak kirim private mail (atau cc:) untuk masalah MDaemon. Wisdom comes not from age, but from education and learning. --- Anton Chekhov -- --[mdaemon-l]-- Milis ini untuk Diskusi antar pengguna MDaemon Mail Server di Indonesia Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette Arsip: http://mdaemon-l.dutaint.com Dokumentasi : http://mdaemon.dutaint.com Berlangganan: Kirim mail ke [email protected] Henti Langgan: Kirim mail ke [email protected] Versi terakhir: MDaemon 25.5.1, SecurityGateway 11.0.3
[Mdaemon-L] Missing Security Headers - Webmail
Ikut nimbrung Pak, ini web server nya pakai default MD atau pakai yg lain spt IIS ? 9 point ini settingnya di sisi webserver nya ya ? apakah MD ada di belakang Firewall/security gateway ? dan jika ya apakah di gateway sudah aktif IPS ? saya penasaran juga apakah 9 point ini lolos dari security gateway ? Rgds, On 11/11/2025 10:38, Asep Yuliyana via Mdaemon-L wrote: Dear Pak Syafril, Pentester melakukan pengecekan terhadap security header pada webmail mengunakan tools shcheck, dan ditemukan beberapa security header yang belum di implementasikan sehingga dinilai rentan terhadap serangan seperti XSS, MiTM, dan lainnya. Adapun security header yang belum di implementasikan, antara lain : 1. Strict-Transport-Security: max-age=63072000; includeSubDomain; preload 2. Content-Security-Policy: default-src ‘self’ 3. X-Frame-Option: DENY 4. X-XSS-Protection: 0 5. X-Content-Type-Options: nosniff 6. Referrer-Policy: strict-origin-when-cross-origin 7. Permission-Policy: geolocation=(), camera=(), microphone=() 8. Cross-Origin Resource Sharing (CROS): https://yoursite.com 9. Cache-Control: no-store Apakah pada webmail Mdaemon dapat mengaktifkan 9 HTTP Security Headers diatas Pak? Terimakasih, Asep. Y -- --[mdaemon-l]-- Milis ini untuk Diskusi antar pengguna MDaemon Mail Server di Indonesia Netiket:https://wiki.openstack.org/wiki/MailingListEtiquette Arsip:http://mdaemon-l.dutaint.com Dokumentasi :http://mdaemon.dutaint.com Berlangganan: Kirim mail [email protected] Henti Langgan: Kirim mail [email protected] Versi terakhir: MDaemon 25.5.1, SecurityGateway 11.0.3 -- --[mdaemon-l]-- Milis ini untuk Diskusi antar pengguna MDaemon Mail Server di Indonesia Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette Arsip: http://mdaemon-l.dutaint.com Dokumentasi : http://mdaemon.dutaint.com Berlangganan: Kirim mail ke [email protected] Henti Langgan: Kirim mail ke [email protected] Versi terakhir: MDaemon 25.5.1, SecurityGateway 11.0.3
[Mdaemon-L] Missing Security Headers - Webmail
Dear Pak Syafril, Pentester melakukan pengecekan terhadap security header pada webmail mengunakan tools shcheck, dan ditemukan beberapa security header yang belum di implementasikan sehingga dinilai rentan terhadap serangan seperti XSS, MiTM, dan lainnya. Adapun security header yang belum di implementasikan, antara lain : 1. Strict-Transport-Security: max-age=63072000; includeSubDomain; preload 2. Content-Security-Policy: default-src 'self' 3. X-Frame-Option: DENY 4. X-XSS-Protection: 0 5. X-Content-Type-Options: nosniff 6. Referrer-Policy: strict-origin-when-cross-origin 7. Permission-Policy: geolocation=(), camera=(), microphone=() 8. Cross-Origin Resource Sharing (CROS): https://yoursite.com 9. Cache-Control: no-store Apakah pada webmail Mdaemon dapat mengaktifkan 9 HTTP Security Headers diatas Pak? Terimakasih, Asep. Y -- --[mdaemon-l]-- Milis ini untuk Diskusi antar pengguna MDaemon Mail Server di Indonesia Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette Arsip: http://mdaemon-l.dutaint.com Dokumentasi : http://mdaemon.dutaint.com Berlangganan: Kirim mail ke [email protected] Henti Langgan: Kirim mail ke [email protected] Versi terakhir: MDaemon 25.5.1, SecurityGateway 11.0.3
