Mulai awal Januari 2014, pemerintah mewajibkan seluruh PNS (pegawai negeri sipil) untuk menggunakan email xxxx@pnsmail.go.id. Walau saya bukan PNS, saya tiba-tiba ingin melakukan sedikit assessment kecil pada mail server nya. Hanya ingin mengetahui saja apakah server nya sama dengan cerita saya di mail server DPR kemarin hehe. Saya rasa ini bukan untuk tujuan tidak baik. Justeru kalau bisa ditemukan kelemahan di mailserver pnsmail, saya bisa (setidaknya) membantu memberi informasi kepada sysadmin nya. Kalau bukan kita, siapa lagi yang peduli dengan keamanan infrastruktur negara kita sendiri? Seperti contoh sebelumnya di mail server DPR, bayangkan saja kalau mail server nya “open relay”, kemudian saya melakukan spoof pengiriman email dari angelina.sondakh@dpr.go.id ke anas.urbaningrum@dpr.go.id dengan isi pesan “I love you”? ‘Kan ini bisa menjadi fitnah. Padahal boro2 Mbak Angie suka sama Mas Anas (mungkin) haha.
Setelah jalan-jalan sekilas tersebut, saya simpulkan konfigurasinya lebih baik daripada waktu penemuan di mail server DPR itu hehe. Webserver menolak melakukan relay dengan alamat yang saya tentukan.
Baik hasil manual ataupun dengan skrip automasi test relay dari internet menyimpulkan pnsmail.go.id aman dari jenis serangan ini. Berikut ini hasil testing dari website relay checker RBL.JP. Bisa dilihat, dari 19 jenis test, tak satupun berhasil/diijinkan mail server.
Baiklah, sedikit lebih tenang untuk keamanan infrastruktur negara bidang per-email-an yang satu ini hahaha. Jangan sampai ada berita di televisi, saling nuduh menuduh, fitnah, dan terblowup jadi kasus besar, ternyata karena orang iseng melakukan spoof email2an…
Terakhir, ternyata setelah membuka milis keamanan informasi, ada seseorang yang sudah lebih dulu melakukan assessment. Mungkin sebelum saya test ini, pnsmail.go.id memang rentan, tetapi beliau yang menemukan ini bersama dengan admin pnsmail sudah melakukan mitigasi dan sejenisnya lah. Nah, inilah yang dibutuhkan negeri kita di jaman digital. Bukan angkat pedang lagi untuk menjadi seorang pahlawan!
Kang, kalau untuk pnsmail itu bisa pakai email klien bawaan android nggak? Kalau bisa, gimana settingnya?