Melawan Spoof dan SPAM dengan SPF (Sender Policy Framework)

Dalam konteks keamanan informasi dari perspektif penyerang, seorang hacker pasti akan melakukan berbagai cara untuk mendapatkan “si target”-nya (baca juga postingan: Hacking Anatomy). Untuk skenario khusus pada si target, katakanlah prosedur keamanan si target yang sudah comply dengan standar keamanan, teknologi keamanan perimeter (misalnya: firewall, IPS, antivirus) yang berlapis, maka salah satu celah keamanan yang bisa dimanfaatkan hacker adalah “the weakest chain in information security”, yaitu manusia.

The weakest chain is human
The weakest chain is human

Anti SPAM, Antivirus pada Mail Gateway, & Authentikasi Email

Salah satu cara untuk memanfaatkan kelengahan manusia adalah melalui spear phishing. Yaitu salah satu metode social engineering pengembangan dari SPAM serta teknik scam namun lebih tertarget. Beberapa metode dalam spear phishing yang umum ditemukan adalah mengirimkan email dengan kata sapaan menyebut nama target sehingga terlihat semakin meyakinkan, dan kemudian melancarkan “serangan” melalui “buaian-buaian” (-halah) body email berisi link phishing serta attachment yang mengandung malware. Pencegahan teknik ini bisa dengan menggunakan Anti SPAM & antivirus pada mail gateway. Sehingga ancaman spear phishing tersebut dapat diminimalisir.

Cara selanjutnya adalah dengan menggunakan autentikasi user & password dalam sistem pengiriman email sehingga tidak semua orang dapat menyalahgunakan sistem email tersebut untuk melakukan spoof. Bahasa lainnya adalah sistem email yang tidak open relay. Pada posting dahulu, saya sempat melakukan proof pada sistem email DPR yang open relay, sehingga bisa dimanfaatkan siapa saja untuk melakukan spoof email mengatasnamakan [email protected] yang bisa digunakan lebih jauh untuk spear phishing!

Untuk mencegah spear phishing melalui email, selain dengan Anti SPAM, antivirus, dan autentikasi di email, tentu diperlukan pula security awareness dari manusianya itu sendiri a.k.a si target. Sehingga diperlukan multi-layer security sebelum user meng-klik link pada email, membalas email, atau membuka attachment.

Keamanan Email bergantung hingga level "Human Awareness"
Keamanan Email bergantung hingga level “Human Awareness”

Sender Policy Framework (SPF)

SPF adalah suatu approach sederhana untuk melakukan validasi untuk mendeteksi email apakah berasal dari sumber yang legitimate atau tidak. Validasi pada SPF akan memanfaatkan TXT record DNS pada authoritative DNS dari domain yang bersangkutan. Misalnya untuk melakukan validasi pada domain tibandung.com, host mana saja yang berhak mengirimkan email yang berasal dari tibandung.com, di list pada record TXT tersebut. Sehingga ketika ada email spoof yang “mengatasnamakan” from [email protected], ketika dilakukan validasi sumber pengirim bukan berasal dari sumber yang sah akan di tolak.

Implementasi SPF sangat simple. Hanya dibutuhkan penambahan record TXT di authoritative DNS domain anda. Sebagai contoh untuk domain tibandung.com, pada record DNS server tibandung.com saya menambahkan syntax berikut

v=spf1 +a +mx +ip4:2.2.2.2 -all

Yang artinya adalah semua mail server di internet yang akan mendapatkan email yang mengaku-ngaku dari @tibandung.com jika sumber nya berasal dari:

+a: IP address tibandung.com
+mx: MX yang terdaftar di DNS tibandung.com
+ip4: atau server di internet dengan IP address 2.2.2.2
-all: selain dari kondisi di atas itu, adalah tidak valid dan diputuskan validasi = FAIL

Validasi SPF Contoh Kasus: Valid
Validasi SPF Contoh Kasus: Valid

Gambar di atas adalah kondisi jika validasi SPF valid, sedangkan gambar di bawah ini jika proses validasi SPF oleh inbound mail server-nya tidak valid:

Validasi SPF Contoh Kasus: Tidak Valid
Validasi SPF Contoh Kasus: Tidak Valid

Untuk lebih jelas tentang SPF, bisa baca RFC 7208 terkait Sender Policy Framework

Contoh Kasus: Spoof dari domain lain

Bagaimana Jika Ada yang melakukan Spoof menggunakan domain lain ke kita? Ada yang mengaku-ngaku dari Microsoft.com (microsoft.com juga sudah menerapkan SPF) misalnya, mengirimkan attachment yang berisi virus, dengan meyakinkan menyuruh user kita membuka email attachment-nya…

Maka yang harus dilakukan adalah mengaktifkan fungsi validasi SPF pada inbound mail server. Sehingga sistem email kita akan melakukan validasi dulu terhadap email yang mengaku dari microsoft.com tsb, apakah benar-benar dari sumber yang legitimate (benar dari MX microsoft.com).

Contoh Kasus: Ada virus dari email yang benar-benar dari Microsoft.com yang masuk ke inbox kita, karena verifikasi SPF-nya valid!!

Lah lah lah, kalau begini, balik lagi ke posting di atas tentang pentingnya peran anti SPAM dan antivirus di email gateway. Jangan salahkan SPF ya! hehehe.

Leave a Reply

Your email address will not be published. Required fields are marked *