Mengatasi Pengguna Windows XP Tidak Dapat Koneksi ke Protokol POP3 Zimbra

Saya kerap kali mendapat pertanyaan, di email, milis atau grup Telegram Zimbra Indonesia. Di mana ada beberapa klien yang menggunakan Windows XP dengan Outlook versi jadul (2011 kebawah. Mungkin) bisa mengirim email namun tidak dapat menarik email yang diterima di server. Pesan errornya kurang lebih kalau di Outlook itu encryption is not supported by your email server. Saya lupa pastinya, tapi kurang lebih itu.

Waktu pertama kali nyari agak mumet, karena di server ini gak ada pesan error apa-apa. zimbra log aman. mailbox log aman. Ternyata masalahnya ada di Cipher SSL nya si Proxy. Ada salah satu protokol namanya 3DES (Triple DES). Ini salah satu protokol yang masih dibutuhkan di Outlook/Windows XP jadul. Sementara di zimbra versi terbaru protokol tersebut sudah dihapus dari dukungan Zimbra karena dapat menimbulkan celah keamanan.

Sebenarnya, solusi baiknya adalah memperbaharui sistem operasi yang digunakan, lagian hari gini masih ada yang pake Windows XP, kebangetan :-P. Supaya lebih aman. Karena protokol 3DES ini di beberapa project open source lain juga sudah tidak digunakan. Karena bisa menimbulkan ancaman keamanan lewat serangan sweet32.

Tapi kalo kekeh tetep untuk supaya bisa dan males upgrade. Ada solusinya, hanya saja tidak rekomendasi karena bisa menimbulkan celah keamanan diatas. Anda bisa memperbolehkan protokol 3DES pada Zimbra Anda. Cukup jalankan perintah berikut :

su - zimbra
zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4:3DES'
zmproxyctl restart

Sudah, ini saja. Simple kan?

Tapi ini tidak rekomendasi, seperti saran diatas. Tapi ini semua sesuai keputusan Anda 🙂

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.