Milter merupakan sebuah protokol yang diperkenalkan oleh Sendmail untuk memfilter email dari virus maupun spam maupun fungsi lain yang lebih kompleks. Antara MTA dengan milter ini komunikasi dilakukan dengan menggunakan API yang disediakan oleh library milter. Di Postfix, milter dibedakan dalam dua macam, yaitu SMTP milter (smtpd_milters) untuk memfilter email yang _hanya_ datang dari network, dan non-SMTP milter (non_smtpd_milters) untuk email yang datang dari local submission (a.k.a sendmail wrapper). Aplikasi milter dapat ‘berbicara’ dengan Postfix melalui unix-socket atau TCP. Contoh aplikasi milter adalah dkim-milter, sid-milter, dan SpamAssassin. Jika digambarkan posisi aplikasi milter dan Postfix kira-kira seperti ini:

DKIM di Zimbra

Untuk mengkonfigurasi Postfix DKIM Zimbra di Ubuntu, cukup dengan menginstall paket dkim-filter (yang otomatis akan menginstall paket libmilter0).

$ sudo aptitude install dkim-filter

Buat direktori untuk menyimpan file private key, misalnya /etc/mail :

$ sudo mkdir -p /etc/mail
$ cd /etc/mail

Buat key yang akan digunakan untuk mengsign email dengan utiliti dkim-genkey, misalnya untuk membuat 1024 bits key pada domain domain.tld dengan selector selector1 adalah:

$ sudo dkim-genkey -b 1024 -d domain.tld -s selector1

Maka kalau kita lihat perintah diatas akan membuat dua buah file  yaitu selector1.private yang berisi private key dan selector1.txt yang merupakan contoh record DNS yang berisi public key untuk domain domain.tld. Ubah DNS pada domain domain.tld seperti pada contoh file tersebut. Untuk memeriksanya bisa menggunakan perintah dig, misalnya :

$ dig -t txt +short selector1._domainkey.domain.tld

Ubah file /etc/dkim.filter pada bagian seperti dibawah ini :

Ubah kepemilikan file  /etc/mail/selector1.private menjadi file milik user yang akan menjalankan dkim-filter (default: dkim-filter):

$ sudo chown dkim-filter /etc/mail/selector1.private

Restart daemon dkim-filter :

$ sudo /etc/init.d/dkim-filter restart

Secara default, daemon dkim-filter akan listen di port 8891 di localhost bukan menggunakan unix-socket. Periksa daemon apakah sudah listen di port tersebut :

$ sudo lsof -i TCP:8891

COMMAND    PID        USER   FD   TYPE  DEVICE SIZE NODE NAME
dkim-filt 4752 dkim-filter    4u  IPv4 2728156       TCP localhost:8891 (LISTEN)

Sekarang kita beritahu Postfix untuk menggunakan filter tersebut dengan mengubah/menambahkan pada file /opt/zimbra/postfix/conf/master.cf.in menjadi :

-o milter_default_action=accept
-o smtpd_milters=inet:localhost:8891
-o non_smtpd_milters=inet:localhost:8891
-o disable_mime_output_conversion=yes

Pada milter_default_action diset accept agar jika suatu ketika milter tidak tersedia, email masih bisa diteruskan.

Restart Postfix di Zimbra :

$ sudo  su - zimbra
$ zmmtactl restart

Kemudian coba kirim email ke Yahoo atau Gmail dan melihat header lengkapnya untuk memeriksa status DKIM. Alternatif lain adalah dengan mengirimkan email test ke autorespond+dkim-relaxed @ dk.elandsys.com.

Contoh di Gmail :

Contoh di Yahoo:

Semoga bermanfaat.

Langkah yang paling mudah tapi sangat tidak dianjurkan adalah menghapus queue, misalnya dengan postsuper atau dengan menghapus/merename direktori queue Postfix. Alternatif lain adalah menjalankan Postfix dengan queue direktori yang berbeda. Dengan cara yang kedua ini, email masih bisa masuk dan keluar sambil kita membersihkan queue yang lama. Mari kita coba skenario yang kedua :)

Yang pertama kali dilakukan adalah memeriksa dari mana sumber virus/spam tersebut. Ambil salah satu sampel email dari mailq(1) dan kemudian lihat headernya dengan menggunakan postcat(1). Alternatif lain adalah dengan mengamati log transaksi Postfix, namun lebih rumit. Kalau sudah diketahui asalnya dan masih ada transaksi, sebaiknya aksesnya diblok dulu, bisa menggunakan access(5) di Postfix atau lebih baik tutup akses ke port 25-nya langsung.

Selanjutnya, buatlah sebuah direktori yang akan digunakan sebagai queue sementara, misalnya /var/spool/postfix2. Salin direktori /etc/postfix ke /etc/postfix2:

$ cp -pr /etc/postfix /etc/postfix2

Edit file main.cf pada /etc/postfix2, tambahkan atau ubah queue_directory menjadi:

queue_directory = /var/spool/postfix2

Tips dari mas Ronald, untuk Postfix yang di chroot, setup terlebih dahulu konfigurasi chrootnya di direktori spool yang baru, dan tambahkan :

alternate_config_directories = /etc/postfix2/

Jalankan postfix check untuk membuat sub-sub direktori pada /var/spool/postfix2:

$ postfix -c /etc/postfix2 check

Maka akan dibuat direktori sebagai berikut :

$ ls -l /var/spool/postfix2
total 56
drwx------ 2 postfix root     4096 2009-10-03 09:02 active
drwx------ 2 postfix root     4096 2009-10-03 09:02 bounce
drwx------ 2 postfix root     4096 2009-10-03 09:02 corrupt
drwx------ 2 postfix root     4096 2009-10-03 09:02 defer
drwx------ 2 postfix root     4096 2009-10-03 09:02 deferred
drwx------ 2 postfix root     4096 2009-10-03 09:02 flush
drwx------ 2 postfix root     4096 2009-10-03 09:02 hold
drwx------ 2 postfix root     4096 2009-10-03 09:02 incoming
drwx-wx--- 2 postfix postdrop 4096 2009-10-03 09:02 maildrop
drwxr-xr-x 2 root    root     4096 2009-10-03 09:02 pid
drwx------ 2 postfix root     4096 2009-10-03 09:02 private
drwx--x--- 2 postfix postdrop 4096 2009-10-03 09:02 public
drwx------ 2 postfix root     4096 2009-10-03 09:02 saved
drwx------ 2 postfix root     4096 2009-10-03 09:02 trace

Direktori queue yang baru siap dipakai dan Postfix siap untuk dijalankan :

$ postfix -c /etc/postfix2/ start

Maka akan tampil di log seperti berikut ini :

$ tail -f /var/log/mail.info
Oct  3 09:05:37 gatotkoco postfix/postfix-script[1803]: starting the Postfix mail system
Oct  3 09:05:37 gatotkoco postfix/master[1804]: daemon started -- version 2.5.1, configuration /etc/postfix2/

Postfix sudah berjalan dengan menggunakan direktori queue alternatif dan queue yang lama bisa mulai dibersihkan. Tool untuk melihat queue di Postfix favorit saya adalah mailqfmt oleh Matthias Andreee.

Untuk mengelola Postfix default, bisa menggunakan perintah seperti biasa seperti mailq, postcat, postsuper dan sebagainya. Sedangkan untuk mengelola Postfix alternatif ini, gunakan perintah dengan menambahkan argumen -c /etc/postfix2. Khusus untuk mengelola queue alternatif, export enviroment MAIL_CONFIG ke direktori queue alternatif seperti contoh berikut ini :

$ export MAIL_CONFIG=/etc/postfix2
$ mailq
Mail queue is empty

Kembali ke queue default (/etc/postfix) :

$ unset MAIL_CONFIG
$ mailq
postqueue: warning: Mail system is down -- accessing queue directly
-Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient-------
9FDB21B4282     4710 Sat Oct  3 23:57:58  backup
                                         notifications@localhost
F0FEC1B4429    11590 Sun Oct  4 23:03:44  backup
                                         notifications@localhost
-- 65 Kbytes in 2 Requests.

Semoga bermanfaat.

Implementasi DKIM di Postfix kalau saya lihat bisa menggunakan dua metode. Yang pertama adalah dengan menggunakan teknologi milter(nya Sendmail) dan menggunakan proxy (sebelum atau sesudah queue). Yang terakhir ini yang saya gunakan untuk menge-sign email yang keluar saja yaitu DKIMproxy.Bikin user terlebih dahulu misalnya dkim, kemudian instal modul perl berikut ini:

Crypt::OpenSSL::RSA
Digest::SHA
Digest::SHA1
Error
Mail::Address
MIME::Base64
Net::DNS
Net::Server
Mail::DKIM

Download DKIMproxy dari sini http://dkimproxy.sourceforge.net/, kemudian lakukan ./configure dengan menentukan direktori dimana program ini akan disimpan, misalnya adalah /usr/local/dkimproxy/:

./configure --prefix=/usr/local/dkimproxy
make install

openssl genrsa -out private.key 1024
openssl rsa -in private.key -pubout -out public.key

selector1._domainkey IN TXT "k=rsa; t=s; p=MHwwDQYJK ... OprwIDAQAB"

dkimproxy.out --user=dkim --group=dkim --keyfile=/usr/local/dkimproxy/private.key
--selector=selector1 --domain=example.org --method=relaxed
127.0.0.1:10027 127.0.0.1:10028

Feb 26 11:22:11 smtp01 dkimproxy.out[15418]: DKIM signing - signed;
message-id=<47C3942E.4080802@example.org> signer=<@example.org>
from=

Pada umumnya untuk menggunakan sebuah SMTP server, maka yang kita lakukan adalah dengan mengisikan nama host yang sudah disediakan oleh ISP atau kita sendiri. Dengan catatan bahwa IP address tetap atau network yang kita gunakan sudah ‘didaftarkan’ di SMTP tersebut untuk bisa menggunakan sevicenya. Lalu bagaimana jika ada pengguna yang sifatnya mobile atau istilah bekennya Road Warrior, yang selalu gonta-ganti ISP yang selalu mendapatkan IP dinamis? Solusinya adalah denga menggunakan metode SMTPAuth. Yaitu suatu mekanisme dimana pengguna diminta untuk memasukkan username dan password agar bisa menggunakan service suatu SMTP server.

Install Cyrus SASL

Langkah pertama adalah menginstall Cyrus-SASL jika belum, jika Anda memilih Postfix pada waktu instalasi awal, maka biasanya Cyrus-SASL sudah otomatis diinstall, paket-paketnya adalah sebagai berikut:

• cyrus-sasl-md5-2.1.19-14
• cyrus-sasl-sql-2.1.19-14
• cyrus-sasl-devel-2.1.19-14
• cyrus-sasl-2.1.19-14
• cyrus-sasl-plain-2.1.19-14

Silakan disesuaikan dengan distro Anda, yang penting adalah paket cyrus-sasl, cyrus-sasl-devel, cyrus-sasl -sql, cyrus-sasl-plain harus ada.

Edit file /usr/lib/sasl2/smtpd.conf, kemudian ganti dengan konfigurasi berikut ini :

pwcheck_method: auxprop
auxprop_plugin: sql
sql_engine: mysql
mech_list: sql plain login
sql_hostnames: localhost
sql_user: vpopmail
sql_passwd: mautauajah
sql_database: vpopmail
sql_statement: SELECT pw_clear_passwd FROM vpopmail WHERE pw_name = '%u' AND pw_domain = '%r'
sql_verbose: yes

Sesuaikan dengan konfigurasi MySQL ditempat Anda. Untuk parameter sql_statement tersebut adalah satu baris. Kemudian untuk statemen SQLnya saya ambil contoh dari tabel vpopmail dengan menggunakan backend MySQL, silakan dicocokkan dengan struktu tabel pada database yang Anda pakai dengan memanfaatkan magic string ‘%u’ yang akan diganti dengan local part (biasanya username) dan ‘%r’ atau realm yang biasanya diganti dengan nama domain.

Sebagai gambaran, struktur tabel vpopmail dengan menggunakan single tabel untuk multi domain adalah sebagai berikut ini:

mysql> describe vpopmail;
+-----------------+-----------+------+-----+---------+-------+
| Field           | Type      | Null | Key | Default | Extra |
+-----------------+-----------+------+-----+---------+-------+
| pw_name         | char(32)  | NO   | PRI |         |       |
| pw_domain       | char(64)  | NO   | PRI |         |       |
| pw_passwd       | char(40)  | YES  |     | NULL    |       |
| pw_uid          | int(11)   | YES  |     | NULL    |       |
| pw_gid          | int(11)   | YES  |     | NULL    |       |
| pw_gecos        | char(48)  | YES  |     | NULL    |       |
| pw_dir          | char(160) | YES  |     | NULL    |       |
| pw_shell        | char(20)  | YES  |     | NULL    |       |
| pw_clear_passwd | char(16)  | YES  |     | NULL    |       |
+-----------------+-----------+------+-----+---------+-------+
9 rows in set (0.00 sec)

Anda bisa menyesuaikan dengan field username, password dan domain jika Anda menggunakan struktur tabel yang berbeda.

Install Postfix dengan TLS dan SASL support

Anda bisa menggunakan paket RPM yang sudah support TLS dan SASL atau bisa mengkompilasi sendiri. Untuk kompilasi sendiri kira-kira begini langkah-langkahnya:

Hapus Postfix yang sudah terinstall, sebelumnya ada baiknya direktori /etc/postfix dibackup terlebih dahulu :

cp -r /etc/postfix /etc/postfix.bak
yum -y remove postfix (atau rpm -e --nodeps postfix)

Download dan install Postfix :

wget ftp://mirror.cbn.net.id/pub/postfix-release/official/postfix-2.4.6.tar.gz
tar xzvf postfix-2.4.6.tar.gz
cd postfix-2.4.6
make makefiles CCARGS="-DUSE_TLS -DUSE_SASL_AUTH -DUSE_CYRUS_SASL -I/usr/include/sasl" AUXLIBS="-L/usr/lib/sasl2 -lsasl2 -lssl -lcrypto"
make
make install (atau make upgrade jika upgrade)

Kemudian edit file /etc/postfix/main.cf sesuaikan dengan konfigurasi Anda sebelumnya, lalu jalankan perintah berikut ini untuk menjalankan Postfix :

postfix start

Semestinya akan muncul di syslog Anda (biasanya file /var/log/maillog atau /var/log/mail/info dlsb) kurang lebih seperti ini :

Dec 28 16:09:51 palestine postfix/postfix-script[13515]: starting the Postfix mail system
Dec 28 16:09:52 palestine postfix/master[13516]: daemon started — version 2.4.6, configuration /etc/postfix

Aktifkan SASL

Ok, kelihatannya berjalan sesuai dengan harapan. Sekarang edit file main.cf kemudian aktifkan SASL, dengan menambahkan :

broken_sasl_auth_clients = yes
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_sasl_exceptions_networks = $mynetworks
smtpd_recipient_restrictions =
permit_mynetworks
permit_sasl_authenticated
reject_unauth_destination

Kemudian silakan dicoba untuk menggunakan SMTP Auth ke server Anda. Ingat, untuk mencobanya harus dari IP address yang tidak terdaftar di parameter mynetworks. Anda bisa saja menggunakan network lain, atau menggunakan salah satu dari network yang ada sekarang namun memberikan pengecualian untuk satu IP. Caranya cukup mudah, yaitu cukup menambahkan negasi (exclamation mark/tanda seru) di konfigurasi di mynetworks. Misalnya untuk meng-exclude IP 10.126.10.112 dari network 10.126.10.0/24 adalah :

mynetworks = 127.0.0.0/8, !10.126.10.112/32, 10.126.10.0/24

Jika berhasil, kira-kira akan muncul log seperti ini :

Dec 28 16:39:36 palestine postfix/smtpd[22197]: 33E53E4010: client=unknown[10.126.10.112], sasl_method=PLAIN, sasl_username=asfik@domain.tld

Perhatikan pada kata yang dicetak tebal diatas, hal tersebut menujukkan bahwa user asfik@domain.tld sukses melakukan authentikasi dengan metode PLAIN (yang akan kita amankan sebentar lagi).

Kalau kita periksa header di email yang kita terima, maka akan terdapat beberapa tambahan :

Return-Path: <asfik@domain.tld>
Delivered-To: asfik@domain.tld
Received: from [10.126.10.112]
(Authenticated sender: asfik@domain.tld)
by palestine.domain.tld (Postfix) with ESMTP id 33E53E4010
for <asfik@domain.tld>; Fri, 28 Dec 2007 16:39:36 +0700 (WIT)
Message-ID: <4774BE3B.7050308@domain.tld>
Date: Fri, 28 Dec 2007 16:13:31 +0700
From: Asfihani <asfik@domain.tld>
User-Agent: Thunderbird 2.0.0.6 (X11/20071022)
MIME-Version: 1.0
To: Asfihani <asfik@domain.tld>
Subject: test
Content-Type: text/plain; charset=ISO-8859-1; format=flowed
Content-Transfer-Encoding: 7bit

test

Kata yang dicetak tebal tersebut dihasilkan dari hasil authentikasi, jika Anda ingin menonaktifkan fitur ini, ubah di main.cf menjadi :

smtpd_sasl_authenticated_header = no

Aktifkan TLS

Langkah berikutnya adalah mengamankan transaksi yang dikirim ke SMTP server dengan menambahkan satu layer security yaitu TLS. Karena username dan password sangat rentan dibajak ditengah jalan, pada saat ini penggunaan TLS untuk SMTP Auth (SASL) merupakan suatu kewajiban bukan kebutuhan :-)

Anda bisa menggunakan sertifikat yang sudah ada (misalnya perusahaan anda), atau untuk percobaan bisa menggunakan self-signed certificate. Apa bedanya? Ya kalau menggunakan tipe yang terakhir akan muncul warning warning (yang nantinya bisa disave agar tidak muncul lagi) yang kurang asik saja :-).

Mari kita membuat sertifikat beserta private keynya, pastikan bahwa Common Name yang diisikan sesuai dengan hostname SMTP server dan passphrase yang dimasukkan selalu diingat:

mkdir -p /etc/postfix/ssl/
cd /etc/postfix/ssl/
openssl genrsa -des3 -rand /etc/hosts -out smtpd.key 1024
chmod 600 smtpd.key
openssl req -new -key smtpd.key -out smtpd.csr
openssl x509 -req -days 3650 -in smtpd.csr -signkey smtpd.key -out smtpd.crt
openssl rsa -in smtpd.key -out smtpd.key.unencrypted
mv -f smtpd.key.unencrypted smtpd.key
openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -days 3650

Aktifkan TLS di Postfix dengan menambahkan konfigurasi berikut ini di file main.cf :

smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt
smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key
smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem
smtpd_use_tls = yes
smtpd_tls_received_header = yes
smtpd_tls_loglevel = 1
tls_random_source = dev:/dev/urandom
smtpd_tls_session_cache_timeout = 3600s

Test dengan menggunakan mail user agent favorit Anda, pastikan opsi TLS dipilih. Jika sukses, Anda akan melihat log seperti ini di Postfix :

Dec 31 09:25:25 palestine postfix/smtpd[11419]: TLS connection established from unknown[10.126.10.112]: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
Dec 31 09:25:25 palestine postfix/smtpd[11419]: 3624BE4010: client=unknown[10.126.10.112], sasl_method=PLAIN, sasl_username=asfik@domain.tld

Demikian tutorial ini dibuat semoga bermanfaat. Ada kekurangan/kesalahan adalah murni dari saya sendiri.

cid:000d01c6ff20$a1411070$c49c7e52@eneryxS1

Kalau ditampilkan akan menjadi seperti gambar seperti ini:

Setelah beberapa mendapatkan sampel email spam, dan melihat source dari email tersebut bahwa ada pola tertentu yang bisa dimasukkan sebagai body_checks di Postfix dengan menggunakan PCRE. Rulenya adalah sebagai berikut (didapatkan dari mailing list postfix-users@postfix.org):

/\bsrc\s*=(?:3D)?\s*"?cid:/ REJECT Sorry, emails with embedded images are blocked for security reasons

Setelah dua hari dipasang… :

grep images /var/log/mail.info | wc -l
12

Lumayan lah untuk mengurangi spam :-)