[Mdaemon-L] URL attachment pada webmail dapat digunakan untuk akses webmail

2025-11-04 Terurut Topik Syafril Hermansyah via Mdaemon-L 

On 10/28/25 15:17, Asep Yuliyana via Mdaemon-L wrote:
Lalu user-2 membuka lampirannya via webmail, dan diketahui link dari 
attachmentnya adalah seperti dibawah ini :


https://mail.kapalapi.co.id/WorldClient.dll? 
Session=K2KZDU7Y08JSO&View=OpenAttachment&Number=64&FolderID=0&Part=2&Filename=industry%204.0.docx 


nah link diatas jika dicopy lalu di paste di browser lain dan komputer 
lain (beda wan), kemudian View=OpenAttachment diganti menjadi view=main, 
maka dia akan diarahkan ke halaman webmail akun-2 (selama session akun-2 
ini aktif)



Saya sudah coba lagi ini di LAN saya, tidak berhasil reproduce.
Saat saya copy and paste URL link attachment di browser lain ataupun di 
PC lain atau di browser yang sama tetapi di private windows hasilnya 
error, tampil Webmail logon page dan ada error "Invalid cookie for the 
requested session."
Hanya berhasil jika di copy and paste di other tab di browser yang sama 
yang sedang dipakai.


Apakah di webmail Anda menu "Use cookies ..." tidak aktif?

https://mdaemon.dutaint.com/mdaemon/25.5.0/wc--web_server.html

[x] Use cookies to remember logon name, theme, and other properties





--
syafril

Syafril Hermansyah

MDaemon-L Moderator, run MDaemon 25.5.2 Beta A
Mohon tidak kirim private mail (atau cc:) untuk masalah MDaemon.

Friendship... is not something you learn in school. But if you haven't 
learned the meaning of friendship, you really haven't learned anything.

--- Muhammad Ali


--
--[mdaemon-l]--
Milis ini untuk Diskusi antar pengguna MDaemon Mail Server di Indonesia

Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette
Arsip: http://mdaemon-l.dutaint.com
Dokumentasi : http://mdaemon.dutaint.com
Berlangganan: Kirim mail ke [email protected]
Henti Langgan: Kirim mail ke [email protected]
Versi terakhir: MDaemon 25.5.1, SecurityGateway 11.0.3

[Mdaemon-L] URL attachment pada webmail dapat digunakan untuk akses webmail

2025-10-28 Terurut Topik Asep Yuliyana via Mdaemon-L 
> Bukan begitu kerja IP persistent check.
> Saat user akses Webmail dengan koneksi wireless broadband (selular)
> atau wired broadband (Fiber Optic) maka koneksi itu akan pakai koneksi 
> transparent proxy yang umumnya lebih dari 1 server/IP.
> Saat session Webmailnya idle, koneksi dari transparent proxy ini akan berubah
> sehingga IP yang digunakan user itu juga berubah.
> Akibat perubahaan IP ini akan membuat Webmail mendeteksi IP nya tidak 
> konsisten
> sehingga session expired dan user akan diminta login ulang
> 
> https://www.imperva.com/learn/ddos/transparent-proxy/

Oh noted Pak.

Terimakasih,
Asep. Y


--
--[mdaemon-l]--
Milis ini untuk Diskusi antar pengguna MDaemon Mail Server di Indonesia

Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette
Arsip: http://mdaemon-l.dutaint.com
Dokumentasi : http://mdaemon.dutaint.com
Berlangganan: Kirim mail ke [email protected]
Henti Langgan: Kirim mail ke [email protected]
Versi terakhir: MDaemon 25.5.1, SecurityGateway 11.0.3

[Mdaemon-L] URL attachment pada webmail dapat digunakan untuk akses webmail

2025-10-28 Terurut Topik Syafril Hermansyah via Mdaemon-L 

On 10/29/25 09:56, Asep Yuliyana via Mdaemon-L wrote:



Yang bisa dilakukan adalah dengan membuat secure session Webmailnya dengan

Opsi 1. Diaktifkan IP persistent check



Opsi 2. Idle session time out dipersingkat.



Untuk 4 opsi ini sepertinya saya akan coba aktifkan opsi 1 dan 2 Pak.


Kedua opsi itu akan mengurangi kenyamanan user memakai webmail.


Terkait opsi 1, disampaikan bahwa "This configuration is more secure
but could cause problems for users who may be using a proxy server
or Internet connection that dynamically assigns and changes IP
addresses"
Untuk ip yang dinamis, apakah jika ada user-1 yang menggunakan ip
isp yang dynamis, jika saat sesi login webmail dia menggunakan IP-A,
lalu log-out, ketika mau login lagi sudah mendapatkan IP-B. Apakah
user-1 ini bisa login dengan IP-B? atau tidak bisa login krn sudah
dicatat hanya bisa login menggunakan IP-A?


Bukan begitu kerja IP persistent check.
Saat user akses Webmail dengan koneksi wireless broadband (selular) atau 
wired broadband (Fiber Optic) maka koneksi itu akan pakai koneksi 
transparent proxy yang umumnya lebih dari 1 server/IP.
Saat session Webmailnya idle, koneksi dari transparent proxy ini akan 
berubah sehingga IP yang digunakan user itu juga berubah.
Akibat perubahaan IP ini akan membuat Webmail mendeteksi IP nya tidak 
konsisten sehingga session expired dan user akan diminta login ulang


https://www.imperva.com/learn/ddos/transparent-proxy/

--
syafril

Syafril Hermansyah

MDaemon-L Moderator, run MDaemon 25.5.1
Mohon tidak kirim private mail (atau cc:) untuk masalah MDaemon.

Anda tidak pernah akan menemukan diri Anda sampai Anda menghadapi kebenaran
-- Pearl Bailey


--
--[mdaemon-l]--
Milis ini untuk Diskusi antar pengguna MDaemon Mail Server di Indonesia

Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette
Arsip: http://mdaemon-l.dutaint.com
Dokumentasi : http://mdaemon.dutaint.com
Berlangganan: Kirim mail ke [email protected]
Henti Langgan: Kirim mail ke [email protected]
Versi terakhir: MDaemon 25.5.1, SecurityGateway 11.0.3

[Mdaemon-L] URL attachment pada webmail dapat digunakan untuk akses webmail

2025-10-28 Terurut Topik Asep Yuliyana via Mdaemon-L 
> Perhatikan soal session-ID ini.
> Jika user-2 sign out lalu login lagi ke Webmail maka session-ID webmailnya 
> akan berubah, maka saat itu link (hijack) itu tidak lagi bisa dipakai juga.
>
> Agar tahu URL link attachment itu harus dengan meminta user-2 menchecknya dan 
> kasih tahu, tidak bisa dengan hijack webmail session yang sedang digunakan 
> user-2.

Betul Pak, saya juga sudah sampaikan kepada pentester bahwa hal ini hanya bisa 
terjadi jika para penerima menyebarkan link nya dan session account pengirim 
masih aktif, jika sesi pengirim sudah log-out maka link sudah tidak bisa 
dipakai.


> Yang bisa dilakukan adalah dengan membuat secure session Webmailnya dengan
>
> Opsi 1. Diaktifkan IP persistent check
> https://mdaemon.dutaint.com/mdaemon/25.5.0/wc--web_server.html
> [x] Require IP persistence throughout Webmail session
>
> Opsi 2. Idle session time out dipersingkat.
> https://mdaemon.dutaint.com/mdaemon/25.5.0/wc--web_server.html
> LAN IP Sessions not composing a message expire after 15 inactive minutes LAN 
> IP Sessions composing a message expire after 100 inactive minutes
>
> Opsi 3. Webmail hanya bisa digunakan dari LAN (jaringan internal)
> https://mdaemon.dutaint.com/mdaemon/25.5.0/template-manager_web-services.html
> 
> [x] Enable Webmail access
>   [x] ...but only from LAN IPs
>
> 4. Minta semua user mengaktifkan 2FA (Two Factor Authentication)
> https://knowledge.mdaemon.com/enable-two-factor-authentication-webmail-remote-administration

Untuk 4 opsi ini sepertinya saya akan coba aktifkan opsi 1 dan 2 Pak.
Terkait opsi 1, disampaikan bahwa "This configuration is more secure but could 
cause problems for users who may be using a proxy server or Internet connection 
that dynamically assigns and changes IP addresses"
Untuk ip yang dinamis, apakah jika ada user-1 yang menggunakan ip isp yang 
dynamis, jika saat sesi login webmail dia menggunakan IP-A, lalu log-out, 
ketika mau login lagi sudah mendapatkan IP-B.
Apakah user-1 ini bisa login dengan IP-B? atau tidak bisa login krn sudah 
dicatat hanya bisa login menggunakan IP-A?

Terimakasih,
Asep. Y



--
--[mdaemon-l]--
Milis ini untuk Diskusi antar pengguna MDaemon Mail Server di Indonesia

Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette
Arsip: http://mdaemon-l.dutaint.com
Dokumentasi : http://mdaemon.dutaint.com
Berlangganan: Kirim mail ke [email protected]
Henti Langgan: Kirim mail ke [email protected]
Versi terakhir: MDaemon 25.5.1, SecurityGateway 11.0.3

[Mdaemon-L] URL attachment pada webmail dapat digunakan untuk akses webmail

2025-10-28 Terurut Topik Syafril Hermansyah via Mdaemon-L 

On 10/28/25 18:51, Asep Yuliyana via Mdaemon-L wrote:

Itu hanya bisa terjadi jika user-2 sedang login ke webmail.
Jika user-2 tidak login ke webmail mestinya tidak akan tampil lampiran filenya.

Betul pak, kondisi ini terjadi jika user-2 masih login dengan session yang sama 
(tidak logout/sign-out), jika user 2 sudah sing-out maka link nya sudah tidak 
bisa dipakai



Perhatikan soal session-ID ini.
Jika user-2 sign out lalu login lagi ke Webmail maka session-ID 
webmailnya akan berubah, maka saat itu link (hijack) itu tidak lagi bisa 
dipakai juga.




Jika yang coba akses adalah user-3, walaupun dia tahu URL linknya mestinya 
tidak akan tampil
(assumsi, akun-3 tidak ada dalam daftar cc:) Demikian pula jika kemudian user-2 
login kembali ke
webmail (setelah sebelumnya logout/sign-out) tidak akan tampil isian URL 
linknya, karena session (lama) nya sudah expired.

Jika user-2 ini belum log-out dari sesi pertama, siapapun yang memiliki url nya 
(tidak harus user-3), dan url nya di modifikasi menjadi view=main, maka halaman 
webmail akun-2 akan terbuka pak.


Agar tahu URL link attachment itu harus dengan meminta user-2 
menchecknya dan kasih tahu, tidak bisa dengan hijack webmail session 
yang sedang digunakan user-2.



apakah ada cara agar celah ini bisa ditutup pak?

Pastikan semua user selalu logout (sign out) setelah selesai menggunakan 
Webmail.

Artinya tidak ada opsi di setingan mdaemon untuk menanggulagi ini pada saat 
user-2 sedang aktif di session yang pertama itu ya pak?



Tidak, karena tidak perlu.
Selama webmail session tidak bisa dihijack atau username/password akun 
user-2 tidak compromise maka aman-aman saja.


Yang bisa dilakukan adalah dengan membuat secure session Webmailnya dengan

Opsi 1. Diaktifkan IP persistent check

https://mdaemon.dutaint.com/mdaemon/25.5.0/wc--web_server.html

[x] Require IP persistence throughout Webmail session

Opsi 2. Idle session time out dipersingkat.

https://mdaemon.dutaint.com/mdaemon/25.5.0/wc--web_server.html

LAN IP Sessions not composing a message expire after 15 inactive minutes
LAN IP Sessions composing a message expire after 100 inactive minutes

Opsi 3. Webmail hanya bisa digunakan dari LAN (jaringan internal)

https://mdaemon.dutaint.com/mdaemon/25.5.0/template-manager_web-services.html

[x] Enable Webmail access
[x] ...but only from LAN IPs

4. Minta semua user mengaktifkan 2FA (Two Factor Authentication)

https://knowledge.mdaemon.com/enable-two-factor-authentication-webmail-remote-administration



--
syafril

Syafril Hermansyah

MDaemon-L Moderator, run MDaemon 25.5.1
Mohon tidak kirim private mail (atau cc:) untuk masalah MDaemon.

A leader takes people where they want to go. A great leader takes people 
where they don't necessarily want to go but ought to be.

-- Rosalynn Carter


--
--[mdaemon-l]--
Milis ini untuk Diskusi antar pengguna MDaemon Mail Server di Indonesia

Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette
Arsip: http://mdaemon-l.dutaint.com
Dokumentasi : http://mdaemon.dutaint.com
Berlangganan: Kirim mail ke [email protected]
Henti Langgan: Kirim mail ke [email protected]
Versi terakhir: MDaemon 25.5.1, SecurityGateway 11.0.3

[Mdaemon-L] URL attachment pada webmail dapat digunakan untuk akses webmail

2025-10-28 Terurut Topik Asep Yuliyana via Mdaemon-L 
> Itu hanya bisa terjadi jika user-2 sedang login ke webmail.
> Jika user-2 tidak login ke webmail mestinya tidak akan tampil lampiran 
> filenya.

Betul pak, kondisi ini terjadi jika user-2 masih login dengan session yang sama 
(tidak logout/sign-out), jika user 2 sudah sing-out maka link nya sudah tidak 
bisa dipakai

> Jika yang coba akses adalah user-3, walaupun dia tahu URL linknya mestinya 
> tidak akan tampil
> (assumsi, akun-3 tidak ada dalam daftar cc:) Demikian pula jika kemudian 
> user-2 login kembali ke 
> webmail (setelah sebelumnya logout/sign-out) tidak akan tampil isian URL 
> linknya, karena session (lama) nya sudah expired.

Jika user-2 ini belum log-out dari sesi pertama, siapapun yang memiliki url nya 
(tidak harus user-3), dan url nya di modifikasi menjadi view=main, maka halaman 
webmail akun-2 akan terbuka pak.

>> apakah ada cara agar celah ini bisa ditutup pak?
>
> Pastikan semua user selalu logout (sign out) setelah selesai menggunakan 
> Webmail.

Artinya tidak ada opsi di setingan mdaemon untuk menanggulagi ini pada saat 
user-2 sedang aktif di session yang pertama itu ya pak?

Terimakasih,
Asep. Y


--
--[mdaemon-l]--
Milis ini untuk Diskusi antar pengguna MDaemon Mail Server di Indonesia

Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette
Arsip: http://mdaemon-l.dutaint.com
Dokumentasi : http://mdaemon.dutaint.com
Berlangganan: Kirim mail ke [email protected]
Henti Langgan: Kirim mail ke [email protected]
Versi terakhir: MDaemon 25.5.1, SecurityGateway 11.0.3

[Mdaemon-L] URL attachment pada webmail dapat digunakan untuk akses webmail

2025-10-28 Terurut Topik Syafril Hermansyah via Mdaemon-L 

On 10/28/25 15:17, Asep Yuliyana via Mdaemon-L wrote:

Kami menggunakan Mdaemon versi 25.0.1

Kami menemukan issue di sisi url attachment

Jadi user-1 mengirimkan email dengan attachment kepada user 2 via webmail

Lalu user-2 membuka lampirannya via webmail, dan diketahui link dari 
attachmentnya adalah seperti dibawah ini :


https://mail.kapalapi.co.id/WorldClient.dll? 
Session=K2KZDU7Y08JSO&View=OpenAttachment&Number=64&FolderID=0&Part=2&Filename=industry%204.0.docx 


nah link diatas jika dicopy lalu di paste di browser lain dan komputer 
lain (beda wan), kemudian View=OpenAttachment diganti menjadi view=main, 
maka dia akan diarahkan ke halaman webmail akun-2 (selama session akun-2 
ini aktif)



Itu hanya bisa terjadi jika user-2 sedang login ke webmail.
Jika user-2 tidak login ke webmail mestinya tidak akan tampil lampiran 
filenya.


Jika yang coba akses adalah user-3, walaupun dia tahu URL linknya 
mestinya tidak akan tampil (assumsi, akun-3 tidak ada dalam daftar cc:)
Demikian pula jika kemudian user-2 login kembali ke webmail (setelah 
sebelumnya logout/sign-out) tidak akan tampil isian URL linknya, karena 
session (lama) nya sudah expired.




apakah ada cara agar celah ini bisa ditutup pak?


Pastikan semua user selalu logout (sign out) setelah selesai menggunakan 
Webmail.


https://mdaemon.dutaint.com/wc/25.5.0/navigation.html

Sign Out

Click Sign Out to sign out of Webmail. You should always sign out and 
close your browser when you are finished working with your mail. This 
will aid in making sure that your mail is secure at all times. The Sign 
Out option is located on the drop-down menu that appears when you click 
your account name in the top right corner.



--
syafril

Syafril Hermansyah

MDaemon-L Moderator, run MDaemon 25.5.1
Mohon tidak kirim private mail (atau cc:) untuk masalah MDaemon.

Menularkan pesimisme cuma perlu modal gombal. Tapi membangun harapan 
harus dengan kerja keras dan hasil nyata.

-- Dahlan Iskan


--
--[mdaemon-l]--
Milis ini untuk Diskusi antar pengguna MDaemon Mail Server di Indonesia

Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette
Arsip: http://mdaemon-l.dutaint.com
Dokumentasi : http://mdaemon.dutaint.com
Berlangganan: Kirim mail ke [email protected]
Henti Langgan: Kirim mail ke [email protected]
Versi terakhir: MDaemon 25.5.1, SecurityGateway 11.0.3

[Mdaemon-L] URL attachment pada webmail dapat digunakan untuk akses webmail

2025-10-28 Terurut Topik Asep Yuliyana via Mdaemon-L 
Dear Pak Syafril,

 

Kami menggunakan Mdaemon versi 25.0.1

Kami menemukan issue di sisi url attachment

Jadi user-1 mengirimkan email dengan attachment kepada user 2 via webmail

Lalu user-2 membuka lampirannya via webmail, dan diketahui link dari
attachmentnya adalah seperti dibawah ini :

https://mail.kapalapi.co.id/WorldClient.dll?Session=K2KZDU7Y08JSO

&View=OpenAttachment&Number=64&FolderID=0&Part=2&Filename=industry%204.0.doc
x

 

nah link diatas jika dicopy lalu di paste di browser lain dan komputer lain
(beda wan), kemudian View=OpenAttachment diganti menjadi view=main, maka dia
akan diarahkan ke halaman webmail akun-2 (selama session akun-2 ini aktif)

 

apakah ada cara agar celah ini bisa ditutup pak?

 

Terimakasih,

Asep. Y


-- 
--[mdaemon-l]--
Milis ini untuk Diskusi antar pengguna MDaemon Mail Server di Indonesia

Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette
Arsip: http://mdaemon-l.dutaint.com
Dokumentasi : http://mdaemon.dutaint.com
Berlangganan: Kirim mail ke [email protected]
Henti Langgan: Kirim mail ke [email protected]
Versi terakhir: MDaemon 25.5.1, SecurityGateway 11.0.3