Email Security Kelompok 11 Ahmad Fauzi Andi Nur

Email Security Kelompok 11 Ahmad Fauzi Andi Nur Fitri Florenciano Hocky Dimas 118091013 118090030 118090032 118090034

Apa itu e-mail ?

e-Mail atau surat elektronik merupakan fenomena di era 80 an. Hal ini disebabkan email merubah perilaku banyak orang untuk berkoresponden satu sama lain. Kalau pada saat itu kartu pos, surat konvensional, telegram merupakan metode yang banyak digunakan. Saat ini, email merupakan pilihan yang tepat bagi orang untuk berkoresponden satu sama lain di seluruh dunia secara cepat.

Dengan email orang dapat berkirim pesan baik itu berbasis teks, gambar, atau bahkan dapat disisipkan komponen multimedia di dalamnya. Bahkan hampir seluruh perusahaan saat ini sudah mulai beralih menggunakan email untuk berkomunikasi dengan sesama perusahaan dengan pelanggan-pelanggan mereka. Dengan hadirnya email, maka proses bisnis perusahaan mulai bergeser. Saat ini mulai banyak bermunculan perusahaan-perusahaan yang menerapkan konsep virtual office, dimana perusahaan tersebut secara fisik tidak ada. Sehingga perusahaan yang termasuk kategori ini menggunakan website dan email sebagai media untuk berkomunikasi dengan pelanggannya dan dengan perusahaan-perusahaan lainnya. Disamping kelebihan yang ditawarkan oleh email, terdapat juga kelemahan-kelemahan di dalamnya. Salah satunya adalah isu keamanan email.

Email juga disebut sebagai -Aplikasi gabungan standar RFC 822 dan MIME Bagaimana e-mails bekerja ? -MUAs dan MTAs SMTP, POP 3 dan IMAP

Kenapa mempelajari security email?

ØSetelah browsing, e-mail adalah aplikasi yang paling sering dipergunakan. ØMail servers, selain web servers, merupakan server yang paling sering diserang ØLayanan basic e-mail ternyata tidak seaman perkiraan kita

RFC 822 E-mail adalah pesan yang terdiri atas kumpulan string ASCII dalam format RFC 822 (dikembangkan thn 1982). Terdiri atas dua bagian, yang dipisahkan baris kosong: Header: sender, recipient, date, subject, delivery path, … Body: isi pesan Bagaimana dengan pesan non ascii yang dilekatkan pada email, cth : attachment

Contoh Pesan RFC 822 From: fitri@eepis-its. edu To: agustina@sai. co. id Cc: kselmaa@hotmail. com Subject: RFC 822 example Date: Fri, 15 June 2007 13: 58: 49 Contoh RFC 822 pesan, berformat ASCII.

MIME = Multipurpose Internet Mail Extensions Menambah kapabilitas RFC 822 agar e -mail mampu membawa content non. ASCII. Menambahkan 5 header field pada email untuk spesifikasi MIME dan content : tipe, encoding, id, desc.

Contoh MIME Content-Type text - plain or enriched multipart message, image, video, audio application - postscript, x-zip-compressed, …

LAN MTA Internet MUA Sender LAN MUA Recipient MUA= Mail User Agent, aka Mail Client MTA=Mail Transport Agent, aka Mail Server

Simple Mail Transfer Protocol �Berdasarkan RFC 821 menangani, MUA-MTA MTA-MTA �SMTP dibawa lewat Internet dan tidak diproteksi. �Tanpa otentikasi, mudah sekali menipu asal email (walaupun pada mail header biasa dicantumkan source IP address).

Linux MTA Software �Sendmail Paling tua dan paling rawan buffer overflow �Postfix �Qmail

MTA to MUA �Sistem UNIX mentransfer e-mail dari MTA ke mesin user. Menggunakan elm, pine, xmail untuk membaca mail di mesin user Menggunaka username dan password untuk masuk ke mailbox user Amankah ? ?

Kelemahan email �Tidak adanya konfidensialitas dikirim lewat jaringan yg insecure �Tidak adanya integritas isi email dapat diubah �Tidak ada otentikasi asal/source email Apakah email benar-benar dari sumber? �Tidak adanya tanda terima dari tujuan Email yang dikirim belum tentu benar-benar sudah dikirim

E-mail Risks �Serangan terhadap e-mail berfokus pada : Pengiriman dan eksekusi malicious code (malcode) � Basic e-mail hanya berupa teks ASCII yang tidak dapat langsung dieksekusi � Serangan malcode (virus etc. ) dapat dilakukan dengan menggunakan attachment pada e-mail � Collaboration tool (seperti Microsoft Outlook) dapat langsung menjalankan malcode yang di-attach pada suatu e-mail Kebocoran informasi yang sensitif � E-mail dikirimkan sebagai clear text

Spam � Spam adalah e-mail yang tidak diinginkan untuk diterima A serious problem nowadays Dapat memunculkan serangan Do. S (Denial-of-Service Attack) � Spammer (pengirim spam) dapat mencari nafkah dengan cara mengirim ribuan atau jutaan e-mail Yang merespons secara positif jumlahnya memang hanya sedikit tapi sudah cukup untuk menangguk keuntungan � Bila dapat diketahui sumber pengirim spam maka spammer dapat dituntut (hukum di Indonesia belum ada yang mengatur ini? ) Jika spammer memiliki e-mail server sendiri, dia dapat merubah alamat yang ada di dalam field From � Dengan mengatur konfigurasi mail server (sendmail, postfix dsb. ) � Digunakan alamat palsu atau alamat orang lain Bisa pula menggunakan script PHP

Persyaratan Secure E-mail �Nondisclosure of the contents of the e- mail message (confidentiality) Menggunakan enkripsi �Message integrity Menggunakan hashing atau message digest algorithm �Verification of sender Menggunakan digital signature �Verification of recipient Menggunakan public key encryption