On 11/11/25 10:38, Asep Yuliyana via Mdaemon-L wrote:
Pentester melakukan pengecekan terhadap security header pada webmail
mengunakan tools shcheck, dan ditemukan beberapa security header yang
belum di implementasikan sehingga dinilai rentan terhadap serangan
seperti XSS, MiTM, dan lainnya.
Adapun security header yang belum di implementasikan, antara lain :
1. Strict-Transport-Security: max-age=63072000; includeSubDomain; preload
2. Content-Security-Policy: default-src ‘self’
3. X-Frame-Option: DENY
4. X-XSS-Protection: 0
5. X-Content-Type-Options: nosniff
6. Referrer-Policy: strict-origin-when-cross-origin
7. Permission-Policy: geolocation=(), camera=(), microphone=()
8. Cross-Origin Resource Sharing (CROS): https://yoursite.com <https://
yoursite.com>
9. Cache-Control: no-store
Apakah pada webmail Mdaemon dapat mengaktifkan 9 HTTP Security Headers
diatas Pak?
Tidak semua, hanya yang penting-penting saja yang diaktifkan saat instalasi.
https://knowledge.mdaemon.com/setup-hsts-webmail-remote-admin
Sementara untuk menambah (custom) header caranya seperti ini
https://knowledge.mdaemon.com/recommended-http-response-headers
Kalau ingin lebih secure lagi, maka run Webmail under IIS Web engine
https://knowledge.mdaemon.com/setup-mdaemon-iis
--
syafril
--------
Syafril Hermansyah
MDaemon-L Moderator, run MDaemon 25.5.2 Beta A
Mohon tidak kirim private mail (atau cc:) untuk masalah MDaemon.
Wisdom.... comes not from age, but from education and learning.
--- Anton Chekhov
--
--[mdaemon-l]----------------------------------------------------------
Milis ini untuk Diskusi antar pengguna MDaemon Mail Server di Indonesia
Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette
Arsip: http://mdaemon-l.dutaint.com
Dokumentasi : http://mdaemon.dutaint.com
Berlangganan: Kirim mail ke [email protected]
Henti Langgan: Kirim mail ke [email protected]
Versi terakhir: MDaemon 25.5.1, SecurityGateway 11.0.3
