On 11/12/25 16:03, Asep Yuliyana via Mdaemon-L wrote:
Selama penetration testing, ditemukan adanya metode Options yang bisa
digunakan pada request di halaman webmail.
Pakai cara apa?
Mereka tidak sampaikan caranya, hanya menyampaikan penguji memasukan metode
OPTIONS untuk melihat metode request apa saja yang bisa digunakan pada aplikasi
website
Lalu melampirkan capturean nya saja seperti terlampir
Screenshot OPTIONS.jpg
Kelihatannya tidak ada yang aneh atau error, mungkin karena beberapa
security header sudah diaktifkan (?).
Apakah dengan mode Webmail run using buil-in MDaemon web server ada
konfigurasi yang dapat dilakukan agar webmail ini dibatasi hanya
metode umum seperti POST atau GET saja yang dapat dijalankan ketikan
memberikan request?
Tidak.
Memang apa manfaat dan keburukkannya membatasi itu?
Mereka sampaikan meskipun OPTIONS sendiri bukan metode yang langsung
berbahaya, dalam beberapa kasus, informasi yang dikembalikan dapat
membantu penyerang dalam enumerasi endpoint dan menganalisis
kelemahan keamanan pada server.
Remediasi yang bisa dilakukan natara lain :
- Membatasi hanya metode umum seperti POST atau GET saja yang dapat dijalankan
ketika memberikan request.
- Konfigurasi server untuk memberikan respons 403 atau 405 ketika ada OPTIONS
request.
Inikan webmail bukan Web site sehingga serangan dan proteksinya berbeda.
Dari Gemini AI
How Security is Typically Achieved
Instead of a blanket restriction, webmail security focuses on:
Web Server Configuration: Web servers (like Apache, Nginx, or IIS)
are typically configured to disable less common and unnecessary HTTP
methods (such as OPTIONS, PUT, DELETE, TRACE, HEAD, etc.) to
mitigate "HTTP Verb Tampering" attacks, but GET and POST are almost
always required.
There is no publicly known or recently reported CVE specifically for an
HTTP Verb Tampering vulnerability in MDaemon Webmail
The search results show several other vulnerabilities, primarily
Cross-Site Scripting (XSS) issues (e.g., CVE-2025-3929, CVE-2024-11182,
CVE-2021-27182, CVE-2019-8984) and Cross-Site Request Forgery (CSRF)
issues that have been patched over time.
Spam and Malware Filtering: Blocking unsafe file types at the
firewall and using robust antivirus solutions helps prevent malware
infections spread via email attachments.
Unsafe file type tidak terjadi di MDaemon Webmail yang sudah diproteksi
oleh MDaemon Antivirus.
File lampiran di scan baik saat upload maupun saat kirim lewat SMTP service.
Lalu dengan mode yang sama apakah bisa dikonfigurasi untuk memberikan
respons 403 atau 405 ketika ada OPTIONS request?
Tidak ada.
Memang apa manfaatnya?
Sepertinya respon 403 dan 405 ini untuk memblokir akses yang tidak diperlukan
Pak.
Jika memang tidak opsi dengan mode buil-in mdaemaon, tidak apa-apa Pak.
Mestinya sih ada, hanya saja di hardcode (level program).
--
syafril
--------
Syafril Hermansyah
MDaemon-L Moderator, run MDaemon 25.5.2 Beta A
Mohon tidak kirim private mail (atau cc:) untuk masalah MDaemon.
If your actions inspire others to dream more, learn more, do more and
become more, you are a leader.
--- John Quincy Adams
--
--[mdaemon-l]----------------------------------------------------------
Milis ini untuk Diskusi antar pengguna MDaemon Mail Server di Indonesia
Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette
Arsip: http://mdaemon-l.dutaint.com
Dokumentasi : http://mdaemon.dutaint.com
Berlangganan: Kirim mail ke [email protected]
Henti Langgan: Kirim mail ke [email protected]
Versi terakhir: MDaemon 25.5.1, SecurityGateway 11.0.3
