2017. 7. 4. 12:51ㆍ스팸블록 이메일 보안
이메일 서버를 회사에서 직접 운영하다보면, 이메일 보안 솔루션을 배치한 일부 수신처에서 메일을 받을 수 없거나 차단한다는 리턴 메일을 종종 받는 경우가 있습니다. 이러한 경우 회사의 메일을 차단하고 있는 스팸 필터 개발사에 화이트리스트를 요청하여 차단되는 메일을 해제하면 되지만, 곧 다른 스팸 필터 개발사에서 회사의 메일서버 또는 특정 계정을 블랙리스트로 등록하여 업무상 중요한 이메일을 주고받지 못해 당혹스러운 경험이 한 번쯤 있을 것입니다.
이러한 경우 이메일 서버의 보안 취약점으로 회사 메일 서버가 이메일 보안 감시 단체에 블랙리스트로 등록되어 나타나는 현상이 대부분입니다. 따라서 평소 이메일 서버의 고유 기능인 커뮤니케이션 환경을 최적화함으로써 원활한 업무가 지속될 수 있도록 이메일 보안 강화에 많은 관심을 갖어야 할 것입니다.
이번 포스트에서는 회사에서 발송된 이메일이 차단되는 원인과 현상 그리고 대응방안을 발신처 유형에 따라 크게 3가지로 구분하여 알아보도록 하겠으며, 메일 내용이 전달과정 중간에 유출될 수 있는 보안 방안에 대하여는 다음에 설명하도록 하겠습니다.
1. 내부 도메인에 등록된 이메일 계정을 이용하여 내부 이메일서버로 대량의 스팸 또는 악성코드 이메일이 발송될 때 :
내부 도메인에 등록된 이메일 계정이 해킹되어 스패머들에게 도용된 사례입니다.
> 원인 :
대부분 내부 도메인에 등록된 이메일 계정의 암호 복잡도가 낮아, 해커들이 무차별 대입법(Brute force)이나 사회 공학(social engineering)적 공격으로 쉽게 암호를 알아내어 이메일 계정과 이메일 서버를 도용한 것입니다. 또는 메일 서버에 악성코드가 침입하여 내부 계정의 권한을 획득한 후 메일서버와 계정을 도용하기도 합니다.
> 현상 :
이러한 방식으로 도용되면 회사 내부 메일서버에 많은 부하가 걸리면서 업무적으로 보내야할 정상적인 메일의 발송이 지연되고, 곧, 특정 사이트에서는 회사 메일서버가 발송한 메시지를 차단하게 됩니다.
> 대응방안 :
1) 내부 도메인에 등록된 모든 계정의 암호를 복잡한 수준으로 변경합니다.
2) 메일 서버와 메일 서버에 접속하는 모든 클라이언트 PC에 백신 프로그램을 설치하여 계정이 탈취되지 않도록 신경써야 합니다.
3) 메일 서버에서 도메인 또는 계정당 하루 발송 메일수를 제한하여 대량의 메일이 발송되지 않도록 해야 합니다.
4) 스팸 차단 시스템을 구축하여 인바운드 이메일을 통해 전달되는 계정 탈취 악성코드 메일을 차단합니다.
5) 스팸 차단 시스템을 구축하여 내부 이메일 서버에서 허용되지 않은 대량의 스팸 메일이 발송되는 것을 차단합니다.
2. 내부 이메일 서버를 통해 외부 도메인 계정으로 대량의 스팸 또는 악성코드 이메일이 발송될 때 :
내부 이메일 서버를 중계하여 메시지를 전달하는 방법으로 내부 이메일 서버의 자원을 도용한 사례입니다.
> 원인 :
외부에서 보내는 메시지를 내부 메일서버가 받아 수신자에게 전달하도록 허용한 경우입니다. 대부분 회사 내부에서 이메일 서버와 연동하여 그룹웨어 등과 같은 외부 애플리케이션을 이용할 때, 허용 범위를 너무 넓게 지정하여 발생된 이슈입니다.
> 현상 :
발신자 도메인만 다를 뿐 내부 메일서버를 통해 대량의 스팸 또는 악성코드 메일이 발송되기때문에 메일서버에 일시적 부하가 발생되고, 이메일 보안 감시자들은 즉시 내부 메일서버 IP를 블랙리스트로 등록합니다.
> 대응방안 :
1) 내부 메일서버의 릴레이 허용 정책을 수립할 때, 연동할 외부 애플리케이션이 설치된 시스템의 IP에 대해서만 허용합니다.
2) 내부 도메인외 외부 다른 도메인 계정으로는 메일서버에 접속이 이루어지지 않도록 정책을 수립합니다.
3) 스팸 차단 시스템을 구축하여 내부 이메일 서버에서 허용되지 않은 대량의 스팸 메일이 발송되는 것을 차단합니다.
3. 외부 이메일 서버에서 내부 도메인에 등록되지 않은 불특정 계정으로 대량의 스팸 또는 악성코드 이메일이 발송될 때 :
> 원인 :
해커나 스패머가 내부 도메인만 도용하여 자신들이 생성한 불특정 계정으로 외부의 메일서버를 이용하기 때문에 마치 신뢰성 있는 내부 도메인에 해커가 생성한 불특정 계정의 사용자가 실제 존재하는 것처럼 속이는(Spoofing) 방법입니다. 이는 내부 도메인에 대한 인증 체계를 구축하지 않아 발생된 이슈입니다.
> 현상 :
이러한 경우는 내부 메일서버를 이용하지 않기때문에 스패머들이 도메인을 도용하여 스팸메일을 대량으로 보낼때는 내부 메일서버에서 어떠한 특이 현상도 발견할 수 없습니다. 하지만 어느날 갑자기 영문도 모른채 내부 메일서버에서 발송한 메일이 특정 거래처로부터 차단되는 경우가 있고, 내부 메일서버에 등록되지 않은 내부 도메인의 계정으로부터 메일을 받는 경우도 있습니다. 이러한 경우 도메인 인증 필터를 구축한 수신처에서는 내부 도메인을 사용한 메일을 차단하게 됩니다.
> 대응방안 :
1) DNS서버에 SPF 레코드를 추가하여 허용된 IP주소에서 발송한 내부 도메인의 메일만 신뢰할만한 메일임을 인증하도록 합니다.
2) 이메일서버에서 발행한 사설키를 이용하여 DNS서버에 Domainkey 레코드를 추가함으로써 내부 도메인에 대한 인증 신뢰도를 확보합니다.
3) DNS서버에 DMARC 레코드를 추가하여 도메인과 허용된 IP에 대한 신뢰도 인증을 강화합니다.