On 10/28/25 18:51, Asep Yuliyana via Mdaemon-L wrote:
Itu hanya bisa terjadi jika user-2 sedang login ke webmail.
Jika user-2 tidak login ke webmail mestinya tidak akan tampil lampiran filenya.
Betul pak, kondisi ini terjadi jika user-2 masih login dengan session yang sama
(tidak logout/sign-out), jika user 2 sudah sing-out maka link nya sudah tidak
bisa dipakai
Perhatikan soal session-ID ini.
Jika user-2 sign out lalu login lagi ke Webmail maka session-ID
webmailnya akan berubah, maka saat itu link (hijack) itu tidak lagi bisa
dipakai juga.
Jika yang coba akses adalah user-3, walaupun dia tahu URL linknya mestinya
tidak akan tampil
(assumsi, akun-3 tidak ada dalam daftar cc:) Demikian pula jika kemudian user-2
login kembali ke
webmail (setelah sebelumnya logout/sign-out) tidak akan tampil isian URL
linknya, karena session (lama) nya sudah expired.
Jika user-2 ini belum log-out dari sesi pertama, siapapun yang memiliki url nya
(tidak harus user-3), dan url nya di modifikasi menjadi view=main, maka halaman
webmail akun-2 akan terbuka pak.
Agar tahu URL link attachment itu harus dengan meminta user-2
menchecknya dan kasih tahu, tidak bisa dengan hijack webmail session
yang sedang digunakan user-2.
apakah ada cara agar celah ini bisa ditutup pak?
Pastikan semua user selalu logout (sign out) setelah selesai menggunakan
Webmail.
Artinya tidak ada opsi di setingan mdaemon untuk menanggulagi ini pada saat
user-2 sedang aktif di session yang pertama itu ya pak?
Tidak, karena tidak perlu.
Selama webmail session tidak bisa dihijack atau username/password akun
user-2 tidak compromise maka aman-aman saja.
Yang bisa dilakukan adalah dengan membuat secure session Webmailnya dengan
Opsi 1. Diaktifkan IP persistent check
https://mdaemon.dutaint.com/mdaemon/25.5.0/wc--web_server.html
[x] Require IP persistence throughout Webmail session
Opsi 2. Idle session time out dipersingkat.
https://mdaemon.dutaint.com/mdaemon/25.5.0/wc--web_server.html
LAN IP Sessions not composing a message expire after 15 inactive minutes
LAN IP Sessions composing a message expire after 100 inactive minutes
Opsi 3. Webmail hanya bisa digunakan dari LAN (jaringan internal)
https://mdaemon.dutaint.com/mdaemon/25.5.0/template-manager_web-services.html
[x] Enable Webmail access
[x] ...but only from LAN IPs
4. Minta semua user mengaktifkan 2FA (Two Factor Authentication)
https://knowledge.mdaemon.com/enable-two-factor-authentication-webmail-remote-administration
--
syafril
--------
Syafril Hermansyah
MDaemon-L Moderator, run MDaemon 25.5.1
Mohon tidak kirim private mail (atau cc:) untuk masalah MDaemon.
A leader takes people where they want to go. A great leader takes people
where they don't necessarily want to go but ought to be.
-- Rosalynn Carter
--
--[mdaemon-l]----------------------------------------------------------
Milis ini untuk Diskusi antar pengguna MDaemon Mail Server di Indonesia
Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette
Arsip: http://mdaemon-l.dutaint.com
Dokumentasi : http://mdaemon.dutaint.com
Berlangganan: Kirim mail ke [email protected]
Henti Langgan: Kirim mail ke [email protected]
Versi terakhir: MDaemon 25.5.1, SecurityGateway 11.0.3
