Oleh
MUHAMAD TAUFIK YUSUF (23216056)
DAFTAR ISI
1. PENDAHULUAN ................................................................................................ 2
2. LANDASAN TEORI ........................................................................................... 3
2.1. Arsitektur Email ............................................................................................. 3
2.1.1. Komponen dan Protokol..................................................................................................... 3
2.1.2. Prinsip Kerja ...................................................................................................................... 3
2.1.3. Format Standard ................................................................................................................ 4
2.1.4. Header ................................................................................................................................ 6
2.2. Spam .............................................................................................................. 8
2.2.1. Tipe dan Jenis .................................................................................................................... 8
2.2.2. Teknik Spamming ............................................................................................................... 9
2.2.3. Anti Spam ......................................................................................................................... 10
2.3. Forensic Readiness ....................................................................................... 11
2.4. SMTP Trace Header ..................................................................................... 11
2.4.1. Simple Mail Transfer Protocol (SMTP) ........................................................................... 11
2.4.2. Email Spoofing ................................................................................................................. 12
2.4.3. Trace Header ................................................................................................................... 12
DAFTAR GAMBAR
DAFTAR TABEL
Abstraksi
Kata kunci: Forensic Readiness, SMTP Trace Header, Digital Artefak, Deteksi Spam.
1. PENDAHULUAN
Email saat ini menjadi media yang paling popular untuk melakukan komunikasi
melalui internet. Karena kepopulerannya, komunikasi melalui email menjadi hal yang
menarik untuk di ekploitasi. Salah satu bentuk eksploitasi tersebut adalah spam. Pada
banyak kasus, spam menyebabkan masalah pada lalu lintas jaringan dan merugikan
perusahaan secara ekonomi. Spam juga mempengaruhi produktifitas para karyawan,
dimana banyak karyawan menghabiskan waktu kerjanya rata-rata 10 menit perhari
untuk memilah pesan email yang tidak diinginkan. Penerapan teknik penyaringan email
yang sudah ada seperti penerapan blacklist atau whitelist dan penyaringan konten, tidak
cukup mampu untuk mengidentifikasi spam. Hal ini karena para spammer menemukan
fitur pada header email yang dapat dimanipulasi untuk menghindari teknik penyaringan
email yang sudah ada. Teknik penyaringan tersebut hanya dapat mendeteksi email spam
menggunakan aturan atau keadaaan tertentu. Namun, akurasi pada teknik penyaringan
tersebut bisa menjadi false-positive atau false-negative yang disebabkan adanya
modifikasi informasi pada header email yang dilakukan oleh para spammer untuk
mengelabui teknik penyaringan tersebut. [1]
Header email menyediakan informasi yang berguna bagi kontennya.
Kebanyakan penelitian sekarang terfokus pada analisa tiap-tiap fitur yang terdapat pada
header untuk mengklasifikasikan email spam. Penelitian terbaru sudah dapat
mengidentifikasi beberapa fitur potensial pada header yang dapat digunakan untuk
mengklasifikasi spam. Penelitian tersebut mengusulkan beberapa fitur yang dapat
digunakan pada sistem pendeteksi untuk mandapatkan hasil yang efisien dalam
penyaringan terhadap email spam. Yahoo mail, Gmail and Hotmail adalah webmail
yang cukup popular memanfaatkan fitur yang tersedia pada masing-masing header-nya.
Setiap perubahan yang terjadi pada fitur-fitur tersebut dapat diasumsikan sebagai
perilaku spam. [2]
Ilmu forensik dijital berbasis pada metode yang terbukti ilmiah dalam
mengumpulkan dan menganalisa informasi digital atau artefak digital. Mengambil
teknik forensik dijital untuk mengumpulkan dan menganalisa informasi email,
menciptakan dimensi baru dalam melawan spam. Menambahkan konsep digital forensic
readiness pada email akan membuat pengumpulan artefak dijital menjadi lebih mudah.
Teknik forensik dijital dapat digunakan untuk memverifikasi informasi yang terkandung
dalam trace header pada email. Penambahan digital forensic readiness dilakukan pada
header “Receive:” yang merupakan bagian dari trace header pada SMTP. Dengan
memadukan forensik dijital, informasi trace header dapat digunakan untuk keperluan
lain seperti menciptakan mekanisme deteksi spam atau melacak asal spam tersebut.
Digital forensic readiness ditambahkan pada email envelope, jadi tidak ada pengaruh
kepada konten email. Sehingga konten tersebut tidak berubah.
Pada makalah ini dibahas mengenai penambahan digital forensik readiness dan
menyoroti perubahan yang akan dibutuhkan untuk diimplementasikan pada trace
header SMTP. Sehingga pada akhirnya disimpulkan bahwa penambahan digital forensic
readiness meningkatkan level integritas pada trace header SMTP yang dapat digunakan
untuk menambah tingkat kepercayaan pengguna. [3]
2. LANDASAN TEORI
Pada gambar diatas, email akan dikirimkan dari Adam sebagai sumber kepada
Smith sebagai tujuan dengan proses sebagai berikut:
1) Adam membuat sebuah email yang ditujukan untuk alamat smith@b.com dan
mengirimkannya;
2) Mail server pengirim melihat bahwa email tertuju kepada domain b.com. mail
server kemudian menggunakan servis DNS dan menanyakan NS server tentang
MX record dari b.com. Dari MX record diketahui server yang bertugas untuk
menerima semua email dengan domain b.com adalah mail.b.com;
3) Email kemudian diarahkan supaya menuju mail server penerima mail.b.com;
4) Mail server penerima kemudian menempatkan email tersebut pada mailbox
penerima, yaitu mailbox Smith;
5) Smith memeriksa email untuk user smith@b.com menggunakan servis POP3.
Untuk bisa mengakses mailbox-nya, Smith harus berhasil melewati proses
otentikasi servis POP3;
6) Jika otentikasi berhasil, Smith dapat mengunduh email tersebut melalui mail
client miliknya.
email mengandung pesan yang sebenarnya. Pada body email terkandung juga berkas
lampiran dengan format MIME atau SMIME. [5]
Pada Blok header terkandung beberapa baris teks dimana tiap-tiap barisnya
menyatakan sintaks: “header title: value”. Bagian body email terpisah dari header oleh
baris kosong, dimana isinya mengandung informasi tekstual si pengirim. [4]
Standard email terbaru menggunakan RFC 5322 [6] yang diperbaharui pada
tahun 2008. Berdasarkan standard tersebut, email terdiri atas envelope dan konten.
Envelope merupakan bagian dari protokol SMTP yang dapat dianalogikan sebagai
wadah dari pesan. Envelope membawa informasi tentang dari siapa pesan tersebut
dikirim dan kepada siapa pesan tersebut ditujukan. Informasi tentang pengirim
diperlukan untuk memberitahu pengirim apabila terjadi kesalahan dalam pengiriman
pesan. Format email berdasarkan RFC 5322 dapat dilihat seperti pada gambar berikut
[4].
Envelope sendiri hanyalah wadah sementara yang dibuat mail server asal
sebelum pesan tiba di mail server tujuan. Ketika pesan sudah diterima oleh mail server
tujuan, envelope kemudian dihilangkan dan pesan masuk ke mailbox penerima. Tidak
ada hubungan yang melekat antara alamat penerima di envelope dengan alamat di
bagian header (seperti To:, Cc:, Bcc:) [4]. Namun demikian, berdasarkan RFC 5321 [7]
kolom header yang sesuai dapat digunakan untuk membentuk daftar penerima. Seperti
halnya surat yang dikirim dengan pos, ada alamat dituliskan di amplopnya. Tetapi pada
saat yang bersamaan, ada alamat lain yang dituliskan pada suratnya walaupun tidak
memungkinkan untuk dikirimkan. Itulah sebabnya mengapa kadangkala penerima
2.1.4. Header
Kolom header utama dirincikan pada (RFC 5322) [6] sebagaimana dapat dilihat
pada tabel berikut:
Pada gambar diatas, tampak bahwa email tersebut dikirim oleh enda karina
(baris ke-7) kepada alamat klepitom@yahoo.com (baris ke-8). Informasi server
pengirim terletak pada baris ke-4 dan informasi server penerima terletak pada baris ke-
3. Sedangkan kode pengenal “Message-Id:” tampak pada baris ke-5.
2.2. Spam
2.2.1. Tipe dan Jenis
Spam email atau biasa disebut email sampah didefinisikan sebagai kumpulan
email yang tidak diinginkan. Kebanyakan spam email berisi tentang iklan komersial.
Namun tidak jarang pula mengandung tautan ke situs yang kelihatannya familiar, tetapi
ternyata ke situs malware. Spam email sendiri bisa juga mengandung malware dalam
bentuk script atau file lampiran executeable. [9]
Tipe-tipe spam dapat digolongkan sebagai berikut:
1) Spamvertise,
Merupakan spam email yang mengandung URL ke sebuah situs iklan. Menurut
laporan cyberoam, paling banyak adalah email produk farmasi seperti Viagra.
Kedua tentang tawaran kerja dan ketiga tentang produk diet.
2) Scam,
Spam email yang berisi modus penipuan. Tujuan akhirnya adalah meminta uang
kepada korbannya.
3) Phising,
Spam email palsu yang menggiring calon korban untuk memasukkan data
pribadi kedalam situs palsu. Biasanya situs yang dipalsukan adalah situs milik
institusi perbankan.
Resikonya, teknik ini juga akan menolak email yang berasal dari server yang
menggunakan konfigurasi lawas.
6) Checksum,
Penyaringan berbasis checksum mengandalkan variasi antar pesan yang
dikodekan sebagai checksum. Asumsinya adalah spam pada umumnya terkirim
dalam bentuk yang berulang dan dalam jumlah yang banyak. Pesan yang
terkirim secara masal biasanya akan tampak identik dengan variasi yang sedikit.
Sehingga checksum mudah diidentifikasi. Keuntungan dari teknik ini, pengguna
biasa selain administrator dapat ikut menentukan pesan-pesan yang dianggap
spam. Jadi resistensi terhadap spam dapat lebih luas dan cepat. Kekurangannya,
para spammer dapat menyisipkan nilai-nilai unik pada tiap pesan spam mereka
yang akan menghasilkan nilai checksum yang berbeda-beda pula.
standard yang tidak digunakan secara regular, tidak dijabarkan pada dokumen RFC
terbaru namun tetap tersedia. [7]
SMTP dibuat dengan harapan menjadi protokol komunikasi yang ringan sebagai
standard komunikasi elektronik melalui internet. Sejak standardisasi SMTP pada 1982,
pemanfaatan komunikasi berbasis SMTP semakin meningkat. Hal itu disebabkan karena
kehandalan dan kemudahan penggunaan SMTP. Namun karena kemudahan tersebut,
protokol ini cenderung disalahgunakan. Perlindungan yang paling sering diterapkan
untuk melindungi pengguna dari spam adalah saringan anti spam yang melindungi
mailbox milik pengguna dari email yang tidak diinginkan.
agar trace header diwajibkan untuk semua server SMTP yang menerapkan standard
5321.
Penambahan pada trace header dibatasi untuk kolom “Received:” saja, sehingga
hanya received rule yang diberikan. Received rule dan received-token rule dapat dilihat
sebagaimana pada gambar berikut [7].
Received rule pada gambar diatas mengindikasikan bahwa trace header harus
diawali dengan kata “Received:” dan diikuti dengan daftar received-token. Daftar
received-token kemudian diikuti dengan stempel waktu dan karakter Carriage Return
Line Feed (CRLF) untuk menandakan akhir dari isi trace header. Sedangkan received-
token rule, menandakan bahwa received-token harus dimulai dengan kata “from” diikuti
dengan alamat host pengirim. Dan received-token diakhiri dengan kata “by” diikuti
dengan alamat host penerima.
23 Bersama ini Bapak Gubernur DKI Jakarta, Ir. Joko Widodo mengundang
Saudara untuk jamuan makan malam di balaikota Provinsi DKI Jakarta
pada:
Pada contoh email diatas, baris ke-1 sampai dengan ke-22 adalah header
sedangkan baris ke-23 adalah body. Berikut ini adalah potongan header dari baris ke-11
sampai dengan baris ke-14.
11 Received: by emkei.cz (Postfix, from userid 33)
id 901FFD60E5; Wed, 10 May 2017 11:15:53 +0200 (CEST)
12 To: muhamad.taufik.yusuf@student.itb.ac.id
13 Subject: Undangan makan malam di Balaikota
14 From: "Joko Widodo" <jokowi@yahoo.co.id>
Pada potongan header diatas, kolom “Receive:” berada pada baris ke-11 dan
diikuti kata “by” yang menandakan bahwa email tersebut diterima oleh mail server
postfix dengan domain emkei.cz. Sedangkan alamat email pengirim pada kolom
“From:” di baris ke-14 menandakan bahwa pengirim email tersebut adalah Joko
Widodo dengan alamat jokowi@yahoo.co.id. Berikut ini adalah potongan header dari
baris ke-1 sampai dengan baris ke-3 dan baris ke-9 sampai dengan baris ke-11.
1 Return-Path: jokowi@yahoo.co.id
2 Received: from students.itb.ac.id (LHLO students.itb.ac.id)
(167.205.23.24)
by students.itb.ac.id with LMTP; Wed, 10 May 2017 16:16:14 +0700
(WIB)
3 Received: from localhost (localhost [127.0.0.1])
by students.itb.ac.id (Postfix) with ESMTP id 462887CA150D
for <muhamad.taufik.yusuf@students.itb.ac.id>; Wed, 10 May
2017 16:15:56 +0700 (WIB)
…………………………………………………………………………………………………………………………………………………………
9 Received: from students.itb.ac.id ([127.0.0.1])
by localhost (students.itb.ac.id [127.0.0.1]) (amavisd-
new, port 10024)
with ESMTP id lIVBvgeeiV10
for <muhamad.taufik.yusuf@students.itb.ac.id>;
Wed, 10 May 2017 16:15:55 +0700 (WIB)
10 Received: from emkei.cz (emkei.cz [46.167.245.71])
by students.itb.ac.id (Postfix) with ESMTPS id
AB6737CA16A0
for <muhamad.taufik.yusuf@student.itb.ac.id>; Wed, 10 May
2017 16:15:55 +0700 (WIB)
11 Received: by emkei.cz (Postfix, from userid 33)
id 901FFD60E5; Wed, 10 May 2017 11:15:53 +0200 (CEST)
Pada potongan header diatas, kolom “Receive:” pada baris ke-10 diikuti kata
“from” dan “by”. Artinya email diterima oleh mail server students.itb.ac.id dari mail
server emkei.cz yang alamat IP nya adalah 46.167.245.71. Jika email tersebut adalah
spam, maka mail server ini kemungkinan adalah Servis SMTP yang digunakan untuk
mengirim spam. Kolom ‘Receive:” berikutnya terletak pada baris ke-9 yang
menandakan bahwa email diterima oleh mail server localhost dengan alamat IP
127.0.0.1 pada domain students.itb.ac.id. Pada baris ini terlihat mail server
student.itb.ac.id mengirimkan email tersebut kepada amavisd-new yang merupakan
program perantara untuk diteruskan kepada program antivirus. Pada baris ke-3 email
diterima kembali oleh postfix mail server student.itb.ac.id dari localhost. Tampak pada
baris tersebut email ditujukan kepada muhamad.taufik.yusuf@students.itb.ac.id. Dan
pada baris ke-2 email diterima dari mail server students.itb.ac.id dengan alamat IP
167.205.23.24. Jika di amati, perjalanan email tersebut adalah sebagai berikut: emkei.cz
(Postfix) students.itb.ac.id (Postfix) localhost (students.itb.ac.id - amavisd-new)
students.itb.ac.id (Postfix) muhamad.taufik.yusuf@students.itb.ac.id.
Berikut ini adalah potongan header dari baris ke-1, baris ke-11, baris ke-14 dan
baris ke-21 sampai dengan baris ke-22.
1 Return-Path: jokowi@yahoo.co.id
…………………………………………………………………………………………………………………………………………………………
11 Received: by emkei.cz (Postfix, from userid 33)
id 901FFD60E5; Wed, 10 May 2017 11:15:53 +0200 (CEST)
14 From: "Joko Widodo" <jokowi@yahoo.co.id>
…………………………………………………………………………………………………………………………………………………………
21 Message-Id: <20170510091553.901FFD60E5@emkei.cz>
22 Date: Wed, 10 May 2017 11:15:53 +0200 (CEST)
Pada potongan header diatas, isi kolom “From:” pada baris ke-14 sama dengan
kolom “Return-Path:” pada baris ke-1. Jika kedua baris tersebut tidak sama, bisa jadi
email tersebut adalah spam. Pada baris ke-21 terdapat kolom “Message-Id:” yang
merupakan kode pengenal unik yang dibangkitkan dari mail server pengirim. Jika
domain pada kolom “Message-Id:” dengan domain pada kolom “Received:” diatasnya,
yaitu pada baris ke-11 tidak sama, bisa jadi email tersebut juga spam. Parameter lain
yang bisa dilihat adalah nama domain pada kolom “From:” seharusnya sama dengan
nama domain pada kolom “Message-Id:” kecuali jika Servis SMTP pada mail server
tersebut digunakan untuk mengirim spam.
Pada gambar diatas, terdapat penambahan 2 (dua) nilai hash. Nilai hash pertama
setelah kata “from” yang merupakan nilai hash dari nama domain pengirim dan alamat
IP hasil DNS lookup dari nama domain pengirim. Nilai hash kedua setelah kata “by”
yang merupakan nilai hash dari nama domain host penerima dan alamat IP hasil DNS
lookup dari nama domain host penerima. Fungsi hash yang dipakai adalah SHA-1 atau
algoritma lain yang sejenis untuk menjaga integritas dari received-token. Perubahan
received rule dapat dilihat seperti gambar berikut [3].
Pada gambar diatas, received rule yang tadinya “*” dirubah menjadi “1*1” yang
artinya paling tidak ada satu dan hanya satu saja entri received-token. Artinya kolom
“Received:” paling tidak ada satu received-token, sehingga informasi forensik dijital
selalu tersedia. Dan kolom “Received:” hanya ada satu entri received-token maksudnya
adalah untuk memudahkan proses ekstraksi informasi menggunakan algoritma deteksi
kesenjangan.
Pada akhirnya tercipta dua daftar: daftar terbukti yang memperlihatkan host
yang menerapkan tambahan kolom “Receive:” dan daftar kesenjangan yang
memperlihatkan host yang diketahui terakhir kali tidak menerapkan penambahan pada
kolom “Receive:”.
Jika tidak ada kesenjangan yang terdeteksi pada email, informasi pada daftar
yang berkaitan dengan email tersebut dapat digunakan sebagai jejak forensik dijital
dengan mengikuti pasangan send-receive yang benar pada kolom “Receive:”. Meskipun
informasi forensik dijital ditambahkan pada kolom “Receive:”, namun headernya
sendiri tetap disimpan dalam bentuk teks terbaca dan tetap dapat diedit oleh spammer.
Oleh karenanya, hanya pada kondisi tidak ada kesenjangan pada kolom “Receive:”, lah
pasangan send-receive dapat digunakan untuk melacak jejak asal email spam.
5. KESIMPULAN
7. REFERENSI
[1] S. Hinde, "Spam, scams, chains, hoaxes and other junk mail," Computers &
Security, vol. 21, pp. 592 - 606, 2002.
[2] S. Bin Abd Razak and A. F. Bin Mohamad, "Identification of spam email based on
information from email header," International Conference on Intellient Systems
Design and Applications, vol. 13th, pp. 347-353, 2013.
[3] F. R. Van Staden and H. S. Venter, "Adding digital forensic readiness to the email
trace header," in 2010 Information Security for South Africa, Sandton,
Johannesburg, 2010.
[4] A. Adamov, "Internet technologies in depth. the technique of spam recognition
based on header investigating," International Conference on Application of
Information and Communication Technologies (AICT), vol. 5th, pp. 1-4, 2011.
[5] H. Guo, B. Jin and W. Qian, "Analysis of Email Header for Forensics Purpose,"
International Conference on Communication Systems and Network Technologies,
pp. 340-344, 2013.
[6] P. Resnick, "RFC 5322 : Internet Message Format," Oktober 2008. [Online].
Available: https://www.ietf.org/rfc/rfc5322.txt. [Accessed 01 Mei 2017].
[7] J. Klensin, "RFC 5321 : Simple Mail Transfer Protocol," Oktober 2008. [Online].
Available: https://tools.ietf.org/pdf/rfc5321.pdf. [Accessed 01 Mei 2017].
[8] A. Jayan and S. Dija, "Detection of spoofed mails," in 2015 IEEE International
Conference on Computational Intelligence and Computing Research (ICCIC),
Madurai, 2015.
[9] Wikipedia, "Email Spam," [Online]. Available:
https://en.wikipedia.org/wiki/Email_spam. [Accessed 24 April 2017].
[10] Wikipedia, "Teknik Anti Spam," [Online]. Available:
https://en.wikipedia.org/wiki/Anti-spam_techniques. [Accessed 24 April 2017].
[11] G. Palmer, "Road Map for Digital Forensic Research," [Electronic Publication] s.l.
: Digital Forensic Research Workshop (DFRWS), 2002.
[12] R. Rowlingson, "A Ten Step Process for Forensic Readiness," International
Journal of Digital Evidence, vol. II, no. 3, 2004.
[13] J. Lyon and M. Wong, "Sender ID: Authenticating E-Mail," RFC 4406. s.l. :
Internet Engineering Task Force (2006), April 2006.
[14] M. Wong and W. Schlitt, "Sender Policy Framework (SPF) for Authorizing Use of
Domains in E-Mail, Version 1," RFC 4408. s.l. : Internet Engineering Task Force
(2006), April 2006.