CUSTOMER PROFILE : 디지털 감시용 카메라 제품 개발사인 (주)3R은 MS Exchange 서버로 들어오는 각종 스팸과 바이러스, 릴레이 메일을 익스체인지 서버 기반 그대로 차단할 수 있는 솔루션 도입 추진


기존 메일 시스템

방화벽과 마이크로소프트의 익스체인지 서버를 통한 메일 시스템 운영하고 있으나 엄청난 수량의 스팸과 릴레이를 효과적으로 차단하지 못해 메일 송수신의 신속성을 갖지 못하였으며 각종 블랙리스트 등록 등 피해가 속출하였습니다.

기존 익스체인지와의 병행

익스체인지의 다양한 기능을 지속하여 사용할 수 있으며, 메일 보안 정책을 쉽게 운영, 관리할 수 있는 필터링 소프트웨어를 도입하고자 함

사용자 삽입 이미지


스팸, 릴레이 차단

단순히 제목에 광고, [광, 고], 성인 등의 단어가 있는 메시지 등을 차단하고자 하였으나 메라크는 익스체인지 앞단에서 다양한 조건의 스팸 필터링, 컨텐트 필터링을 제공하여 광고성 메일, 폭력, 성인/포르노성 메시지 등을 포괄적으로 차단하게 되었으며 하루 수십만건의 릴레이 메일을 차단하는 등 생각 이상의 기능을 얻었습니다.


만족한 성능 및 낮은 가격

적은 투자비로 기존 메일을 변경하지 않고 다양한 보안 기능을 수행할 수 있어 직원들의 불편 없이 원하는 기능을 익스체인지 서버에 부가할 수 있어서 메라크 메일 서버는 매우 만족스럽습니다. - 시스템 관리자 오충욱

운영환경

방화벽, MS Exchange 서버, 메라크 메일 서버


블로그 이미지

ICEWARP 이메일서버 avastkorea

ICEWARP 글로벌 이메일 서버 플랫폼으로 한국내 3천여 고객사가 운영 중인 구축형 메일 서버 솔루션, 윈도우 및 리눅스 운영체제 지원, 가상화 엔진 탑재, 또는 SaaS용 메일 운영이 가능합니다.

댓글을 달아 주세요

메라크 메일서버나 다른 메일서버를 사용하는 중에 다량의 메일이 외부로 전송되는 오픈 릴레이 형태의 릴레이 공격을 당한 경험을 한 분들이 꽤 있을 것으로 봅니다.

오늘도 어떤 고객사에서 릴레이 공격을 당해 며칠 동안 고생하셨다는 연락을 받고 서버에 원격으로 접속해 보았습니다.

백도어나 웜을 의심해서 어베스트 서버용 백신을 설치하여 테스트해 보았지만 특별한 문제점을 찾지 못했습니다. 또한 릴레이 쪽 메뉴에서 릴레이가 개방되어 있는지 확인을 해 보았습니다만 역시 제대로 닫혀 있었습니다.

메일의 로그를 보니 분명 자체 서버에서 외부로 발송되어 나가고 있으며 외부에서 공격들어온 흔적이 없었습니다. 메라크 수신큐인 \merak\temp\ 폴더에도 아무런 과부하나 많은 파일들이 존재하지 않았습니다. 그래서 발송큐인 \merak\forward\를 살펴보았더니(참고로 8.5이후 부터는 \_outgoing\임) 많은 발송중인 스팸들을 볼 수 있었습니다. 파일을 열어 내용을 확인하니 모든 스팸이 자체 서버에서 발송되어 나가고 있습니다.

그래서 여러가지 원인을 체크해 본 결과 webmaster 계정으로 메일이 발송되는 것을 확인하였습니다. 이 고객사에서는 기본 도메인과 계정, 알리아스와 사용자계정에 대한 보안 관리를 전혀하고 있지 않았습니다.

예를들면 메라크 메일서버 최초설치시 merakdemo.com 도메인과 admin, users 등의 메일주소가 기본포함되고 관리자 계정의 알리아스로 postmaster, webmaster 등이 있는데 이를 삭제하지 않고 사용하고 있었습니다. 더욱이 모든 계정의 아이디와 비밀번호가 동일하여 아무나 메일주소만 알면 메일을 발송할 수 있는 상황이었습니다.

webmaster 계정의 비밀번호가 webmaster로 아이디와 동일하여 쉽게 외부 스팸발송자로 부터 도용을 당해 며칠 동안 해당 메일서버가 스팸서버로 전락하여 메일 운영 뿐만아니라 네트워크에 까지 악영향을 주게되어 업무에 큰 불편을 겪게 된 것으로 확인되었습니다.

다시 한번 말씀드리면 메일서버의 기본 보안 정책은 아이디와 비밀번호가 쉽게 도용되지 않도록 적절한 단어를 조합하여 만드는 것이 중요하며 비밀번호의 경우 6자리 이상의 영문,숫자 조합을 사용하고 연속된 단어를 사용하지 않아야 합니다.

이런 기본적인 고려를 하지 않는다면 우리 메일서버는 스패머의 손에 들어가게 되는 결과를 얻게 됩니다.

다시한번 말씀드리면, 여러분의 메일서버에 등록된 메일아이디와 비밀번호가 동일한 것이 있는지 확인해 보시고, 알지 못하는 이상의 아이디가 운영되고 있는지 바로 확인해 보십시오. 요즘 스패머는 한 서버당 분당 서너통 스팸을 발송하므로서 관리자가 이를 눈치채지 못하게 하는 재치를 발휘합니다.

오봉근이었습니다.
블로그 이미지

비회원

ICEWARP 글로벌 이메일 서버 플랫폼으로 한국내 3천여 고객사가 운영 중인 구축형 메일 서버 솔루션, 윈도우 및 리눅스 운영체제 지원, 가상화 엔진 탑재, 또는 SaaS용 메일 운영이 가능합니다.

댓글을 달아 주세요

정크메일의 제거


소개 (Introducing)

어떤 ISP의 메일 시스템 관리자에게 사용자와 고객의 불만 사항 중에 첫 번째 원인이 무엇인가를 질문하여 본다면, 모든 대답은 당연히 스팸(spam) 때문이라고 말할 것이다. 온라인 사회로 빠르게 확산되고 있는 환경에서 원치 않는 정크 e-mail(스팸)은 2가지 중요한 점에서 ISP에 특히 곤란한 문제를 제기한다:

·  고객 불만족
정크 e-mail 을 반복적으로 수신하여 성가시거나 화가 나는 고객들은 그들의 메일박스를 쉽게 취소하거나 때때로 메일을 사용하기 위해 ISP 를 바꾸기도 한다. 가입자의 혜택을 못 받는 결과 때문에.

·  시스템 전체비용(System overhead)의 증가
계속해서 증가하는 벌크 메일(bulk e-mail)의 수를 처리하는 것은 수용 가능한 서비스를 유지하기 위해, ISP 메일 시스템의 자원상에 아주 큰 부담을 주어 단순하게는 시스템 추가 비용을 요구하도록 한다. 이것은 격렬하게 경쟁하는 시장에서 그들의 하드웨어 예산을 가장 효과적으로 사용하여야 하는 중소형 ISP 에게는 심각한 위협이 된다.


월드 와이드 웹의 상업화 증가에 따른 피할 수 없는 부산물인 정크 메일러(Junk emailers)는 합법적인 e-mail 로부터 스팸을 제거하기 어렵도록 인터넷 공개 표준 및 프로토콜을 침해하고 있다. 스팸을 완전히 제거하기 위한 기술이 존재하지 않는 동안, 전략과 기술은 일반적인 스팸 침투의 원천을 방어하고 그것이 발생되었을 때 시스템 운영에서 스팸의 충격을 최소화하도록 관리자를 돕기 위해서만 존재한다고 볼 수 있다.

ISP 들의 독특한 메시징 요구사항을 완벽히 성공적으로 이행하는 단 하나의 회사로서, Software.com 은 스팸에 관련된 이슈들을 광범위하게 연구하였고, 산업 선도 메시징 서버로서 효과적인 방어가 가능하도록 통합해 왔다 :

·  인트라넷과 중소형 ISP를 위한 메일서버
·  대규모 ISP와 통신업체를 위한 대규모 통신사용을 위한 메일서버


이런 전문적인 기술과 다음의 토론은 증가하는 병충해의 분류와 기초적인 원천(직접적인 스팸 공격, 메일 릴레이)을 검토하기 위한 것이며 이것들에 대한 효과적인 증명된 전략을 확인해 보고자 하는 것이다. 이들 고려사항과 전략은 향후 구축할 메일 서버를 평가하는데 사용될 수 있다.

스팸 블락킹 및 필터링 (Spam Blocking and Filtering)
사용자의 메일박스 계정을 어지럽히는 스팸의 괴로움으로부터 내부 사용자를 보호하는 것은 메일 시스템 관리자의 중요한 책임이다. 메일 방어의 목적은 내부 메일 도메인 사용자에게 전송되는 메시지의 전달을 거절하기 위한 것이다. 즉, 내부 사용자에게 불필요한 정크 메일의 전송을 보호하는 것이다.

스팸 방어 전략 (Spam Blocking Strategies)
효과적인 메일 방어 능력은 발신자의 이름이나, 도메인, 완전한 주소로 지정된 발신자의 "블랙리스트" 기준에서 서버가 접속을 끊거나 메일을 거절하도록 만드는 것이다. 그리고 이상적으로는 필터링의 각각을 수정할 수 있어야 한다 : 특정한 도메인에 있는 발신자에서 개별 계정에 이르기까지.

메일 방어는 지정된 IP 주소와 IP 네트워크로부터 모든 네트워크의 접속을 거절할 수 있어야 한다. 또한, 이러한 블랙리스트 시스템으로부터 메일의 허락을 방지하는 것이다. 이것은 관리자가 다른 시스템으로부터 접속을 거절할 목적으로 시스템에서 많은 SMTP 접속을 열기위한 악의 있는 "서비스 거부(denial of service)" 공격을 방어하기 위한 것이다.

메일 방어(blocking)는 차단된 시스템과/또는 사용자로부터 합법적인 메일을 포함한 모든 메시지의 전송을 막기 때문에, 이들 특징은 알려진 공격자에 대항하기 위한 특수한 경우에 사용하는 것을 추천한다.


메일서버에서의 스팸 방어 (Spam Blocking)

메일서버는 블랙리스트를 위한 발신자 주소를 지정할 수 있는 유연성 있는 분류 옵션을 제공한다. 특정한 발신자 주소(주소를 통한 SMTP 메일)는 메시지의 거절이나 접속 해제를 하기 위하여 블락킹 규칙과 정확한 일치 여부를 비교한다.

메일서버는 메일을 차단하기 위한 4 가지 다른 분류의 사용을 허락한다: IP 주소, e-mail 주소, 도메인, 사용자 이름. 이들 옵션은 메일 시스템 관리자가 반-스팸 차단을 위해 각각의 내용을 조정할 수 있다.

·  IP 주소에 의한 방어.

IP 주소로 정의된 특정 컴퓨터나 네트워크로부터 메라크에 모든 SMTP 네트워크 접속을 방어하도록 허락한다. 네트워크 접속이 인정될 때, 메라크는 이 필드에 있는 트정 IP 주소 목록에서 접속 시스템의 IP를 검사한다. 만약 접속 시스템의 IP 주소가 목록에 있다면, Post.Office는 접속을 거절한다. 합법적인 사용자 접속을 저해하기 위한 ISP 서버에 공개된 많은 SMTP 접속을 하는 "서비스 거절 (Denial of Service)"의 공격을 방어하는데 유용하다.

·  E-mail 주소에 의한 방어.

회신 주소로 설정되어 있는 수신 메일(incoming mail)의 차단을 허락한다. 메시지를 수신할 때, 메라크는 블랙리스트에 있는 e-mail 주소의 목록에서 각각의 메시지 에 붙어 있는 회신 주소를 검사한다; 만약 회신 주소가 목록에 있다면, 메라크는 메시지의 수신 주소가 존재하지 않는다는 것으로 발신자 시스템에 경고를 알려주고 그 메시지를 거절한다.

·  도메인에 의한 방어.

회신 주소로 동봉된 도메인에 근거한 수신 메일차단을 허락한다. 메시지를 수신할 때, 메라크는 블랙리스트 도메인의 목록에서 각각의 메시지 상에 있는 회신 주소 도메인을 검사한다; 만약 회신 주소의 도메인이 목록에 있다면, 메라크는 메시지를 거절하고 보낸 메일이 최종 주소에 보내지는 것이 허락되지 않았다고 발신자에게 알려준다.

·  사용자 이름에 의한 방어.

한 개 이상의 특정한 사용자 이름(사용자 이름은 e-mail 주소의 @ 심볼 왼쪽에 있는
부분)을 포함한 e-mail 주소로 메일 수신을 차단하는 것을 허락한다. 머 사이에 일반적인 스팸 발신 연습을 위해 다른 여러 개의 도메인에서 사용하여 메시지를 발신하는 정크 메일을 배포하는 사람들로부터 유용하다. 메시지를 수신할 때, 메라크는 블랙리스트 사용자의 메시지의 회신 주소 사용자 이름이 있는지를 검사한다; 만약 이름이 목록에 있다면, 메라크는 메시지를 거절하고 보낸 보내지는 것이 허락되지 않았다고 발신자에게 알려준다.


메일 릴레이 예방 (Mail Relay Prevention)

메일 릴레이는 내부 메일 도메인의 하나에 주소가 없는 메시지가 메일 서버로 전송될 때 발생한다. 이것은 메일 서버의 가장 일반적인 행동이며, 사용자가 어떤 e-mail을 원거리 메일 도메인에 있는 사용자에게 보낼 때마다 발생된다. 그러나, 원거리 서버를 통한 릴레이 메일은 정크 메일을 배포하는 사람에 의해 일반적 전술로 사용되며 목표 메일 서버의 처리능력을 저하시키는 원인을 제공한다.

메일 릴레이는 SMTP 프로토콜의 개방 표준에 의해 만들어 질 수 있다. 설계에 의해, SMTP 서버는 메일 클라이언트로부터의 네트워크 접속, 네트워크(또는 인터넷)상의 어디에서의 메dlf 서버의 접속, 그리고 접속 시스템으로부터 e-mail 메시지를 수신하는 것을 허락한다. 만약 이런 메시지들이 내부 사용자 주소로 보내진다면, 서버는 정확히 그들을 배달할 것이다.

(예를 들면, POP3 메일박스로) 그러나, 메시지가 내부 사용자가 아닌 사람에게 전송된다면(수신 메일 서버에 의해 관리되지 않는 도메인에서) 전송을 위해 적합한 메일 서버로 메시지를 반드시 재전송(릴레이)할 것이다.

이 처리과정은 다른 인터넷 호스트 사이에서의 모든 e-mail 트래픽을 처리하는 백본(backbone) 이라고 할 수 있다. 예로써, Bob 의 메일 클라이언트를 메라크와 같은 시스템 메일 서버로 운영하는 myisp.com 호스트 SMTP 서버 (outgoing mail)로 사용할 때 무엇이 일어날지 생각해보자. 만약 Bob 이 mary@otherisp.com 의 Mary 에게 e-mail 을 보낸다면, 그의 메일 클라이언트는 라우팅 헤더를 검사하기 위해 myisp.com 에 SMTP 접속을 열어 메시지가 다른 otherisp.com 으로 가야할지를 결정하고, 그런 후 그 메시지를 보내기 위한 호스트로 접속을 열게 된다. Myisp.com 에 사용자의 주소가 지정되지 않았기 때문에, 그 호스트 상에 있는 Post.Office 는 마지막 행선지에 메시지를 간단히 릴레이 한다; 만약 갖고 있지 않다면, Bob 의 e-mail 은 Mary 에게 전혀 배달되지 않는다.

메일 릴레이가 메일 서버의 운영에서 필수적이고, 가장 일반적이고 대부분이 사용하지만, 이런 기능이 악용된다면 ISP 에 큰 문제를 발생시킬 것이다. 가장 일반적인 악용의 형태는 도메인 밖으로부터 사용자가 그들의 SMTP 서버를 도메인 메일서버로 사용하여 벌크 메시지를 릴이할 때 발생된다.

·  모욕적인 내용을 가진 릴레이는 순수한 사용자에게 쉽게 전송될 수 있고 메시지의 원본 추적을 종종 어렵게 할 수도 있다. 2가지 방법에서 목표된 메일 서버에 반대의 영향을 줄 수도 있다 : 메일 서버는 반드시 모든 스팸 메시지(수 천건)를 재전송하고 처리 하기 때문에, 그들의 e-mail을 위한 이 서버에 의존적인 사용자들 의 메시지를 전송하거나 수신하기 위해 일시적으로 사용이 불가능 해질 수도 있다.

·  릴레이 메일 서버는 결과적으로 인터넷 사회에서 받을 가치가 없는 나쁜 광고의 스팸으로 인해 실수를 하게 될 수도 있다. 그러므로 메일 릴레이를 제한하는 것은 스팸을 방지하기 위한 메일 시스템 관리자에게 있어 매우 중요한 이슈가 된다.


릴레이 예방 전략 (Relay Prevention Strategies)

강한 메일 서버는 특별한 시스템이나 도메인으로부터 메일 릴레이를 제한할 수 있을 뿐만 아니라 예외적인 시스템이나 도메인을 제외한 모든 릴레이를 허락하지 않는 반-릴레이 시설을 갖고 있어야 한다. 또한 이상적으로는 메일 시스템의 관리자가 제한된 릴레이 메일을 전송할 수 있도록 환경 설정을 정의할 수 있어야 한다.

이런 규칙에 있어서의 예외는 IP 주소(특정 호스트의 릴레이 허락이나 제한)와 도메인(특정도메인에 있는 모든 사용자의 릴레이 허락이나 제한)에 의해 정해질 수 있다. 어떤 도메인을 포함한 메일 클라이언트의 반송 메일 주소를 사용자가 쉽게 수정할 수 있기 때문에, IP 주소로 릴레이를 제한하는 것은 일반적으로 더욱 정확한 전략이다.

제한은 반드시 예방(prevent)을 의미하는 것은 아니라는 것을 명심하기 바란다. 최대의 유연성을 위해, 위 규칙을 가진 릴레이 메일의 제한은 처리와 전송을 위해 허락된 상태를 계속해서 유지하여야 한다. 릴레이 예방과 관련한 두 번째 규칙 조합은 제한된 릴레이 메일을 수신하는데 있어 도메인을 정하기 위해 필요하다. (예를 들면, 다른 도메인을 위한 백업으로서 메일서버가 사용되는 경우에서).


블로그 이미지

비회원

ICEWARP 글로벌 이메일 서버 플랫폼으로 한국내 3천여 고객사가 운영 중인 구축형 메일 서버 솔루션, 윈도우 및 리눅스 운영체제 지원, 가상화 엔진 탑재, 또는 SaaS용 메일 운영이 가능합니다.

댓글을 달아 주세요

기본적으로 메라크 메일 서버에서는 릴레이(relay)를 허용하고 있지 않습니다.

하지만, 세팅상의 실수로 인해 릴레이를 허용하는 경우가 가끔 있습니다.

다음의 주소에서 메일 서버의 릴레이 여부를 판단할 수 있으니, 참고하시기 바랍니다.

http://www.abuse.net/relay.html

메일 서버의 IP 주소를 입력하고 잠시 기다리면, 17가지 테스트를 통해 릴레이 여부를 자세히 알려 줍니다.

아래 내용은 스팸 릴레이테스트를 하는 과정을 보여줍니다.


코드:
Connecting to mail.softmail.co.kr for anonymous test ... 
<<< 220 MailTOP.net ESMTP server ready Fri, 25 Oct 2002 19:43:27 +0900
>>> HELO www.abuse.net
<<< 250 mta0.kpost.com


Relay test 1
>>> RSET
<<< 250 Ok resetting state
>>> MAIL FROM:
<<< 250 Sender Ok
>>> RCPT TO:
<<< 550 이 도메인은 릴레이가 허락되지 않습니다. relaying mail to abuse.net is not allowed

Relay test 2
>>> RSET
<<< 250 Ok resetting state
>>> MAIL FROM:
<<< 550 Sender address is missing a domain

Relay test 3
>>> RSET
<<< 250 Ok resetting state
>>> MAIL FROM:<>
<<< 250 Sender <> Ok
>>> RCPT TO:
<<< 550 이 도메인은 릴레이가 허락되지 않습니다. relaying mail to abuse.net is not allowed

Relay test 4
>>> RSET
<<< 250 Ok resetting state
>>> MAIL FROM:
<<< 250 Sender Ok
>>> RCPT TO:
<<< 550 이 도메인은 릴레이가 허락되지 않습니다. relaying mail to abuse.net is not allowed

Relay test 5
>>> RSET
<<< 250 Ok resetting state
>>> MAIL FROM:
<<< 550 IP addresses are not accepted

Relay test 6
>>> RSET
<<< 250 Ok resetting state
>>> MAIL FROM:
<<< 250 Sender Ok
>>> RCPT TO:
<<< 550 이 도메인은 릴레이가 허락되지 않습니다. relaying mail to mail.softmail.co.kr is not allowed

Relay test 7
>>> RSET
<<< 250 Ok resetting state
>>> MAIL FROM:
<<< 250 Sender Ok
>>> RCPT TO:
<<< 550 이 도메인은 릴레이가 허락되지 않습니다. relaying mail to [211.117.63.131] is not allowed

Relay test 8
>>> RSET
<<< 250 Ok resetting state
>>> MAIL FROM:
<<< 250 Sender Ok
>>> RCPT TO:<"relaytest@abuse.net">
<<< 550 Invalid recipient: <"relaytest@abuse.net">

Relay test 9
>>> RSET
<<< 250 Ok resetting state
>>> MAIL FROM:
<<< 250 Sender Ok
>>> RCPT TO:<"relaytest%abuse.net">
<<< 550 Invalid recipient: <"relaytest%abuse.net">

Relay test 10
>>> RSET
<<< 250 Ok resetting state
>>> MAIL FROM:
<<< 250 Sender Ok
>>> RCPT TO:
<<< 553 Invalid address syntax

Relay test 11
>>> RSET
<<< 250 Ok resetting state
>>> MAIL FROM:
<<< 250 Sender Ok
>>> RCPT TO:<"relaytest@abuse.net"@mail.softmail.co.kr>
<<< 550 이 도메인은 릴레이가 허락되지 않습니다. relaying mail to mail.softmail.co.kr is not allowed

Relay test 12
>>> RSET
<<< 250 Ok resetting state
>>> MAIL FROM:
<<< 250 Sender Ok
>>> RCPT TO:
<<< 553 Invalid address syntax

Relay test 13
>>> RSET
<<< 250 Ok resetting state
>>> MAIL FROM:
<<< 250 Sender Ok
>>> RCPT TO:<@mail.softmail.co.kr:relaytest@abuse.net>
<<< 550 이 도메인은 릴레이가 허락되지 않습니다. relaying mail to abuse.net is not allowed

Relay test 14
>>> RSET
<<< 250 Ok resetting state
>>> MAIL FROM:
<<< 250 Sender Ok
>>> RCPT TO:<@[211.117.63.131]:relaytest@abuse.net>
<<< 550 이 도메인은 릴레이가 허락되지 않습니다. relaying mail to abuse.net is not allowed

Relay test 15
>>> RSET
<<< 250 Ok resetting state
>>> MAIL FROM:
<<< 250 Sender Ok
>>> RCPT TO:
<<< 550 Invalid recipient:

Relay test 16
>>> RSET
<<< 250 Ok resetting state
>>> MAIL FROM:
<<< 250 Sender Ok
>>> RCPT TO:
<<< 550 이 도메인은 릴레이가 허락되지 않습니다. relaying mail to mail.softmail.co.kr is not allowed

Relay test 17
>>> RSET
<<< 250 Ok resetting state
>>> MAIL FROM:
<<< 250 Sender Ok
>>> RCPT TO:
<<< 550 이 도메인은 릴레이가 허락되지 않습니다. relaying mail to [211.117.63.131] is not allowed
블로그 이미지

비회원

ICEWARP 글로벌 이메일 서버 플랫폼으로 한국내 3천여 고객사가 운영 중인 구축형 메일 서버 솔루션, 윈도우 및 리눅스 운영체제 지원, 가상화 엔진 탑재, 또는 SaaS용 메일 운영이 가능합니다.

댓글을 달아 주세요