Monitoring Protokol E-mail SMTP dengan Menggunakan Wireshark

 Electronic mail atau yang sering disingkat e-mail merupakan salah satu layanan jaringan yang sangat popular sekarang ini. E-mail adalah cara pengiriman pesan secara digital melalui internet. Ada tiga protokol yang umum digunakan dalam pengiriman dan penerimaan e-mail yaitu SMTP, POP3, dan IMAP.

Dari beberapa protokol e-mail tersebut, pada artikel ini akan ditunjukkan cara testing dan monitoring protokol pengiriman e-mail yaitu Simple Mail Transfer Protocol (SMTP). SMTP merupakan protokol standar untuk pengiriman e-mail di internet. SMTP hanya protokol yang melakukan “push”, artinya dia hanya bisa mengambil e-mail dari client tetapi tidak bisa melakukan “pull”, yaitu melayani pengambilan email di server oleh client. Sedangkan pengambilan pesan atau e-mail tersebut dilakukan dengan menggunakan protokol lain yaitu protokol POP3 (Post Office Protocol) atau IMAP (Internet Mail Access Protocol).

Untuk menguji dan memantau protokol SMTP dapat digunakan aplikasi E-Mail Bomber. Aplikasi E-Mail Bomber ini adalah aplikasi portable yang digunakan untuk mengirim e-mail secara terus-menerus ke alamat e-mail tujuan.

Berikut ini adalah langkah-langkah untuk testing dan monitoring protokol pengiriman e-mail SMTP.

1.        Download aplikasi E-Mail Bomber dan buka aplikasi tersebut. Tampilan aplikasi E-Mail Bomber adalah sebagai berikut.

2.        Kemudian masukkan subject dan pesan e-mail yang akan dikirimkan.

3.        Lalu masukkan alamat e-mail yang dituju (e-mail yang akan dikirimi pesan secara terus-menerus) pada Victims E-Mail. Kemudian masukkan alamat account e-mail gmail pengirim pada Your G-Mail, (jika belum memiliki account gmail sebaiknya buat account gmail terlebih dahulu). Lalu masukkan password account gmail tersebut, kemudian klik tombol Start untuk mulai mengirim email tersebut seperti ditunjukkan pada gambar berikut.

4.        Untuk mulai memonitor SMTP, buka aplikasi Network Protocol Analyzer Wireshark. Pilih Interface yang akan digunakan untuk meng-capture paket.

5.        Jika kita hanya ingin melihat protokol SMTP saja, pada Display Filter kita ketikkan SMTP, lalu klik tombol Apply atau tekan enter pada keyboard seperti pada gambar berikut.

6.        Lalu pada daftar paket dengan protokol SMTP yang berhasil di-capture akan terlihat seperti pada gambar berikut.

7.        Dari paket-paket yang berhasil di-capture tersebut kemudian dapat kita simpan kemudian dapat dianalisis.

8.        Sedangkan untuk berhenti mengirimkan e-mail dengan E-Mail Bomber tadi, klik pada tombol Stop. Kemudian pada bagian bawah akan ditunjukkan jumlah e-mail yang berhasil dikirimkan.

Analisis Paket dengan Protokol E-mail SMTP

E-mail dikirimkan oleh oleh klient (MUS, mail user agent) ke mail server (MSA, mail server agent) menggunakan SMTP pada TCP port 587. Dari MSA mengirim e-mail tersebut ke mail transfer agent (MTA). MTA batas harus menemukan host targetnya dengan menggunakan DNS untuk mencari catatan pertukaran e-mail (MX  record, mail exchanger record) untuk domain penerima. MX record yang kembali berisi nama dari host target.  MTA selanjutnya terhubung ke server pertukaran sebagai klien SMTP.

SMTP mendefinisikan transportasi pesan, bukan isi dari pesan. Dengan demikian, SMTP mendefinisikan amplop surat  dan parameternya seperti amplop pengirim, tetapi bukan header ataupun badan pesan itu sendiri.

Protokol SMTP mendefinisikan bagaimana perintah dan respon harus dikirimkan oleh MTA. Klien mengirim perintah ke server, dan server merespon dengan balasan kode numerik dan rangkaian huruf yang dapat dimengerti manusia.

Berikut adalah salah hasil monitoring yang berhasil di-capture oleh Wireshark.

Frame 1856

Dari frame yang 1856 yang berhasil di-capture oleh Wireshark dapat dilihat bahwa klien (pengirim SMTP) telah membuat koneksi dengan tujuan SMTP dan kemudian server mengirimkan pesan 220 Service Ready dengan panjang 105 bytes (840 bit). Pesan tersebut dikirim dari mail server dengan alamat IP 74.125.133.108 dan TCP port 587 ke klien dengan alamat IP 10.10.90.236 dan TCP port 4098.

Frame 1857

Setelah klien mengetahui bahwa tujuan telah siap untuk dikirimi pesan, klien mengirim perintah Hello yang digunakan oleh klien untuk mengidentifikasi dirinya sendiri dan memaksa penerima untuk mengidentifikasi dirinya dengan mengirimkan kembali nama domainnya, dalam monitoring ini yang dikirimkan adalah perintah EHLO (Extended Hello) dan parameter yang dikirimkan adalah siti-PC sebagai klien pengirim pesan dengan alamat IP 10.10.90.236 dan TCP port 4098 ke tujuan dengan alamat IP 74.125.133.108 dan TCP port 587.

Frame 1862

Pada frame 1857, klien telah mengirimkan perintah EHLO, lalu penerima SMTP merespon dengan mengirimkan beberapa baris pesan 250 OK. Dengan informasi pada pesan ini, pengirim SMTP dapat memverifikasi jika ia terkoneksi dengan tujuan yang benar. Dari monitoring protokol SMTP tersebut dapat dilihat bahwa server mx.google.com (IP = 118.97.25.2) telah siap menerima pesan dengan panjang pesan maksimal 35882577 octets (8 bits bytes) dan mendukung 8BITMIME yang mengizinkan file biner ditransmisikan hampir semudah plain text (protokol SMTP berbasis text ASCII sehingga kurang baik untuk file biner). Oleh karena itu standar Multipurpose Internet Mail Extensions (MIME) dikembangkan untuk mengkodekan file biner untuk ditransmisikan melalui SMTP.  Lalu respon STARTTLS yang merupakan extended hello dengan transport layer security, kemudian enhanced status codes. 

Frame 1863

Dari respon STARTTLS pada frame 1862 oleh server, maka pada frame 1863 ini, klien mengirimkan perintah STARTTLS yaitu memulai untuk mengirimkan pesan hello dengan transport layer security. TLS (Transport Layer Security) ini diperlukan karena SMTP bukan merupakan protokol yang aman. Pesan yang dikirimkan melalui internet itu tidak aman, maka berbagai bentuk enkripsi detrapkan dalam pengiriman pesan melalui internet itu, salah satunya TLS. 

Frame 1868

Setelah klien mengirim perintah STARTTLS, server merespon dengan mengirimkan pesan 220 ready to start TLS. Dengan begitu dapat diketahui bahwa klien berhak mengirim e-mail dan penerimanya adalah benar yang dituju oleh klien.

Dari analisis tersebut, dapat disimpulkkan bahwa :

1.      Protokol SMTP hanya digunakan saat pengiriman e-mail, sedangkan untuk mengakses/ mengambil pesan digunakan protokol lain (POP3 atau IMAP).

2.      Protokol SMTP menggunakan TCP port 587 atau 25 (traditional port).

3.      Pada saat pengiriman e-mail, klien harus memverifikasi bahwa ia terhubung dengan tujuan yang benar.