[Mdaemon-L] URL attachment pada webmail dapat digunakan untuk akses webmail

[Syafril Hermansyah via Mdaemon-L]

On 10/28/25 15:17, Asep Yuliyana via Mdaemon-L wrote:
Kami menggunakan Mdaemon versi 25.0.1
Kami menemukan issue di sisi url attachment

Jadi user-1 mengirimkan email dengan attachment kepada user 2 via webmail

Lalu user-2 membuka lampirannya via webmail, dan diketahui link dari 
attachmentnya adalah seperti dibawah ini :

https://mail.kapalapi.co.id/WorldClient.dll? 
Session=K2KZDU7Y08JSO&View=OpenAttachment&Number=64&FolderID=0&Part=2&Filename=industry%204.0.docx <https://mail.kapalapi.co.id/WorldClient.dll?Session=K2KZDU7Y08JSO&View=OpenAttachment&Number=64&FolderID=0&Part=2&Filename=industry%204.0.docx>

nah link diatas jika dicopy lalu di paste di browser lain dan komputer 
lain (beda wan), kemudian View=OpenAttachment diganti menjadi view=main, 
maka dia akan diarahkan ke halaman webmail akun-2 (selama session akun-2 
ini aktif)


Itu hanya bisa terjadi jika user-2 sedang login ke webmail.
Jika user-2 tidak login ke webmail mestinya tidak akan tampil lampiran 
filenya.

Jika yang coba akses adalah user-3, walaupun dia tahu URL linknya 
mestinya tidak akan tampil (assumsi, akun-3 tidak ada dalam daftar cc:)
Demikian pula jika kemudian user-2 login kembali ke webmail (setelah 
sebelumnya logout/sign-out) tidak akan tampil isian URL linknya, karena 
session (lama) nya sudah expired.


apakah ada cara agar celah ini bisa ditutup pak?

Pastikan semua user selalu logout (sign out) setelah selesai menggunakan 
Webmail.

https://mdaemon.dutaint.com/wc/25.5.0/navigation.html

Sign Out

Click Sign Out to sign out of Webmail. You should always sign out and 
close your browser when you are finished working with your mail. This 
will aid in making sure that your mail is secure at all times. The Sign 
Out option is located on the drop-down menu that appears when you click 
your account name in the top right corner.


--
syafril
--------
Syafril Hermansyah

MDaemon-L Moderator, run MDaemon 25.5.1
Mohon tidak kirim private mail (atau cc:) untuk masalah MDaemon.

Menularkan pesimisme cuma perlu modal gombal. Tapi membangun harapan 
harus dengan kerja keras dan hasil nyata.
        -- Dahlan Iskan


--
--[mdaemon-l]----------------------------------------------------------
Milis ini untuk Diskusi antar pengguna MDaemon Mail Server di Indonesia

Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette
Arsip: http://mdaemon-l.dutaint.com
Dokumentasi : http://mdaemon.dutaint.com
Berlangganan: Kirim mail ke mdaemon-l-subscr...@dutaint.com
Henti Langgan: Kirim mail ke mdaemon-l-unsubscr...@dutaint.com
Versi terakhir: MDaemon 25.5.1, SecurityGateway 11.0.3