Meneruskan cerita sebelumnya tentang self hosting, kali ini saya ingin membahas lebih jauh lagi mengenai email. Sekarang ini email (dan nomor HP) menjadi “kunci” bagi banyak layanan. Kebanyakan layanan memerlukan email untuk login dan untuk fitur lupa password. Berbagai notifikasi transaksi keuangan juga masuk ke email. Jika kita kehilangan akses email, akibatnya cukup fatal.
Banyak layanan juga meminta verifikasi via email jika kita login di komputer baru atau IP yang baru. Jadi jika account email kita dihack atau diblokir, kita tidak bisa login. Email ini sangat penting, jika sampai kehilangan akses maka urusannya rumit, seperti jika kita kehilangan dompet. Sekarang setelah tahu betapa pentingnya email ini, kita perlu berusaha mengamankannya.
Email gratisan
Sebagian besar orang menggunakan dua jenis email ini: email kantor dan email gratisan dari berbagai provider (Google/Yahoo/Outlook dsb). Sebenarnya kemungkinan account kita tiba-tiba ditutup oleh Google atau berbagai perusahaan ini cukup kecil, tapi tetap ada. Bisa saja kita sudah taat peraturan, tapi ada kesalahan pada sistem yang membuat account diblokir. Selama lebih dari 14 tahun memakai Google, baru sekali saya mengalami masalah.
Selain Google sebenarnya ada banyak layanan email gratis lain, misalnya protonmail yang terenkripsi, outlook.com dari Microsoft, bahkan Yahoo juga masih memberikan email gratis. Tapi semua email gratisan ini agak mengkhawatirkan karena sebagai pengguna gratis, kita ini “bukan siapa-siapa” dan bisa ditendang kapan saja.
Tidak ada yang melarang kita mendaftarkan email di masing-masing penyedia layanan gratis ini supaya tidak semua layanan bergantung pada satu alamat email. Tapi harap berhati-hati, ada batasan tertentu dalam memiliki banyak account di satu layanan (misalnya punya banyak account @gmail.com), biasanya tidak apa-apa, tapi dalam kasus tertentu bisa dipermasalahkan.
Memakai domain sendiri
Jika ingin lebih aman dari blokir Google tapi masih mau memakai fitur Gmail, kita memakai domain sendiri, lalu membayar Google untuk account bisnis yang harganya mulai dari 5 USD per user per bulan. Dulu Google sempat memberikan fitur ini gratis dan yang beruntung masih dibolehkan meneruskan fitur gratis di domain yang dulu pernah didaftarkan (saya sendiri punya beberapa domain dengan G Suite gratis).
Bukan jaminan membayar Google akan mencegah account Anda diblokir. Masih ada kemungkinan blokir terjadi. Dan Andaikan ini terjadi, tapi domainnya adalah milik kita sendiri, kita hanya perlu mengubah setting MX Record supaya mengarah ke server lain, dan kita kembali bisa menerima email.
Harga dasar resmi domain .com saat ini 8.03 USD, tapi harganya bervariasi antar registrar, dan biasanya yang beda adalah di tahun pertama, banyak yang memberi diskon tahun pertama untuk membujuk orang agar mendaftar di situ. Jadi dengan 5 usd/bulan (atau jika bayar sekaligus setahun bisa 50 USD/tahun), plus nama domain, maka kita akan menghabiskan sekitar 60 USD/tahun untuk email saja.
Selain Google masih banyak provider lain yang menyediakan layanan email hosting. Registrar namecheap dan Gandi juga memberikan layanan email hosting berbayar. Registrar Gandi harga domainnya lebih mahal (sekitar 15.5 USD/tahun) tapi sudah menyediakan Mailbox gratis (jadi jika butuh email, ini jadi lebih murah).
Hosting email sendiri
Dengan nama domain terpisah dari layanan email, maka kita bisa merasa lebih aman dari blokir semena-mena. Tapi kita harus percaya pada layanan email yang kita pakai, karena email kita di email hosting tersebut tetap bisa diintip orang providernya. Perlu diingat juga betapa seringnya berbagai layanan online berhasil dijebol (sejauh ini sudah ada ratusan data breach, dengan milyaran account yang passwordnya muncul di publik).
Selesai menulis posting ini, saya menerima email dari Quora yang menyatakan bahwa mereka baru dihack (jadi saya tambahkan paragraf ini). Ini bukan jadi layanan pertama atau terakhir yang dihack. Seringkali hacker menargetkan situs jumlah penggunanya banyak dan jarang menargetkan situs kecil, kecuali masuknya sangat gampang (ada bug yang gampang dieksploitasi).
Langkah ekstrem berikutnya adalah hosting email sendiri. Kebanyakan orang menyarankan agar: jangan melakukan ini, karena sangat ribet. Beberapa masalah hosting email sendiri adalah:
- Menerima email dari luar sangat mudah, bahkan kadang terlalu mudah, akan ada banyak spam dan virus berdatangan dan bisa menghabiskan disk space
- Mengirim email keluar lebih sulit, kita harus mengirim dari alamat IP yang “bersih” (tidak masuk daftar spam), mensetup SPF, DKIM, DMARC.
Biasanya mengurus server email jadi pekerjaan yang melelahkan. Dalam kasus tertentu ini masih bisa dilakukan, apalagi sekarang ini sudah ada banyak paket server email. Ada yang memerlukan virtual machine (mail in a box) dan ada yang hanya butuh docker (contohnya: maillu.io, dan docker mailserver)
Paket yang saya maksud sudah berisi berbagai software yang dibutuhkan selain software utama. Biasanya ini meliputi antivirus (clamav), spam checker (spamassasin), blacklist (fail2ban), dan bahkan sebagian paket juga sudah memasukkan aplikasi webmail. Di dalam paket-paket tersebut biasanya ada skrip tambahan (atau bahkan webapp khusus) untuk memudahkan managemen account email.
Saya sendiri sudah mencoba beberapa dan akhirnya memakai docker-mailserver. Ini hanya saya gunakan untuk email yang penting saja. Untuk email kurang penting, saya tidak terlalu peduli jika aksesnya hilang. Untuk memastikan saya bisa mengirim email ke luar dengan baik, saya memakai mail-tester.com. Layanan ini akan mengecek banyak hal:
- apakah IP kita ada di blacklist
- apakah setting SPF/DKIM/DMARC sudah benar
- apakah konten pesan kita dianggap spam
Perlu dicatat bahwa meskipun semuanya sudah “bersih” tidak berarti email kita akan selalu dianggap bukan spam. Kadang isi pesan dalam email kita yang mentrigger anti spam, kadang nama domain tertentu dianggap spam oleh pihak penerima (misalnya bukan TLD umum seperti .com/.net/.org), jadi memakai email ini untuk korespondensi sehari-hari tidak terlalu terjamin. Saya sendiri sudah mencoba memakai mail server sendiri untuk mengirim ke beberapa alamat email saya dan Risna, dan semuanya sampai di Inbox tanpa dianggap spam, dan saya bisa menerima balasan semuanya dengan baik.
Untuk email yang sering dipakai untuk menerima notifikasi (misalnya notifikasi login, forgot password), untuk login berbagai layanan online, dan jarang dipakai untuk mengirim email, maka membuat mail server sendiri menurut saya masih masuk akal. Ini juga berguna untuk komunikasi pribadi yang terjamin kerahasiannya (tentunya jika ditambah dengan enkripsi S/MIME atau PGP).
Tapi jika ingin dipakai untuk banyak mengirim email keluar, maka hosting email sendiri akan sangat merepotkan. Dengan banyaknya email keluar, kemungkinan pesan kita dianggap sebagai spam akan semakin besar. Jika ada banyak yang melaporkan IP kita sebagai sumber spam, maka lama-lama IP kita akan masuk blacklist. Bahkan kadang pihak tertentu memblokir karena jumlah pesan masuk yang terlalu banyak dari IP yang sama. Jika nekat masih ingin memanage server mail sendiri yang akan banyak mengirim email keluar, sebaiknya bacalah: M3AAWG Sender Best Common Practices.
Jika mail server juga dipakai untuk hosting website, jangan sampai websitenya kena hack dan mengirim spam, nanti IP yang bersih tersebut juga akan masuk daftar spam. Di salah satu server saya dulu, pernah ada situs wordpress yang kebobolah karena plugin lawas dan dipakai untuk mengirim spam. Saya baru tahu ketika mendapatkan peringatan dari provider bahwa IP-nya masuk blacklist. Untungnya waktu itu saya belum hosting email saya sendiri. Sekarang ini demi keamanan, saya memblokir semua email keluar dari semua docker container untuk hosting WordPress.
Penutup
Saya memakai kombinasi email gratisan, email dengan domain sendiri dan punya mail server sendiri. Saya masih memakai email gratisan untuk pemakaian sehari-hari (hal-hal yang kurang penting), punya email dengan domain sendiri di Gandi (cadangan andaikan account Google terblokir), dan juga menghosting sendiri mail server untuk account yang menurut saya sangat penting. Saya merasa yang saya lakukan ini tidak terlalu berlebihan mengingat saya sering posting mengenai hal-hal yang berhubungan dengan security dan ini kadang berbahaya (dalam arti rawan dilaporkan). Pembuat nmap pernah dilaporkan dan domainnya dimatikan karena membongkar bug MySpace.
Untuk Anda pengguna biasa yang tidak mengundang masalah maka tidak perlu terlalu khawatir masalah email akan diblokir (kecuali ada bug di sistem provider emailnya). Contoh kelakuan yang mengundang masalah adalah dengan banyak posting konten negatif atau kontroversial di Internet (bisa mengundang orang melaporkan konten Anda), sengaja mengakali layanan (misalnya mengakali Adsense) dsb. Supaya aman, akan lebih baik jika Anda memiliki lebih dari satu alamat email dari lebih dari satu penyedia layanan online.
Mungkin Anda berpikir: kalau saya bandel di blogspot, hanya blog saya yang dihapus, email saya akan aman (atau bandel di layanan lain, misalnya Youtube). Tapi tidak selalu demikian, misalnya contoh kasus penulis Dennis Cooper yang tanpa peringatan blognya dan account emailnya dihapus oleh Google setelah memakai emailnya selama 10 tahun. Jika Anda punya pengacara dan diliput banyak media, maka ada kemungkinan data Anda bisa dikembalikan, tapi jika tidak, ya ucapkan selamat tinggal pada seluruh data Anda.
hai om, mau nanya yang G Suite gratis. Apakah punya om sampai saat ini masih bisa digunakan dengan normal? Saya juga punya dulu G Suite gratis, waktu saya tau G Suite mulai berbayar akun saya masih bisa beberapa kali di buka dan normal tapi makin kesini makin ribet dan akhirnya saya relakan saja hehe
dan tentang mail server, apa sudah pernah coba juga https://mailcow.email/ ? Kalo sudah, minta semacam perbandingan/saran/benchmark/apa dari beberapa paket mail server tersebut.
Terima kasih.
G-Suite saya semua masih normal. Sekarang minimal perlu login setahun sekali, kalo nggak ya direlakan aja.
Yang mailcow sempat coba, tapi begitu liat ada 6 volume docker yg perlu dimaintain (redis, database, dsb), kayanya agak berlebihan buat pemakaian pemakaian personal saya. jadi saya nggak teruskan pake itu.