Exchange 2007 보안 가이드

  • 아티클

 

적용 대상: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

마지막으로 수정된 항목: 2007-09-17

이전에는 Microsoft Exchange Server의 각 버전에 대해 Exchange 팀이 사용 권한 및 보안 정보와 함께 독립 실행형 보안 강화 지침을 게시했습니다. 이 방법은 Exchange 설치가 실행된 후 서비스와 디렉터리 잠금에 도움이 됩니다. 그러나 서버 역할 기반 설치와 함께 Microsoft Exchange Server 2007에서 Microsoft Exchange는 설치 중인 서버 역할에 필요한 서비스만 사용하도록 설정합니다. Microsoft Exchange는 더 이상 설치되지 않으며 보안을 위해 강화됩니다. 기본 보안 상태를 유지하도록 설계되었습니다.

따라서 IT 관리자가 여러 절차를 수행하여 Exchange Server를 실행 중이던 서버를 잠궈야 하는 이전 버전의 Exchange Server와 달리 Exchange 2007에서는 잠그거나 강화하지 않아도 됩니다.

이 가이드에서 다루는 내용

이 가이드는 Exchange 2007 배포를 보안하는 IT 관리자용으로 작성되었습니다. 이 가이드는 IT 관리자가 Exchange가 설치된 전체 보안 환경을 이해하고 관리하는 데 도움을 주도록 설계되었습니다. 이 가이드에서는 다음 정보를 설명합니다.

  • Exchange 2007 보안 개발 수명 주기   이 섹션에서는 Exchange 2007이 개발된 방법에 대해 간략히 설명합니다.

  • Best Practices   이 섹션에서는 Exchange 2007의 보안 환경을 설정 및 유지 관리하는 모범 사례에 대해 설명합니다.

  • Protecting Exchange Data Paths   이 섹션에서는 Exchange 2007에서 사용된 모든 데이터 경로 및 네트워크 통신 경로에 대한 암호화 및 인증 사양에 대해 설명합니다.

  • Using the Security Configuration Wizard to Secure Windows for Exchange Server Roles   이 섹션에서는 Windows SCW(보안 구성 마법사)에 대해 Exchange 2007을 사용하도록 설정하는 방법을 설명합니다.

  • Appendix 1: Services and Port Executables Enabled by the Exchange 2007 SCW Registration Files   이 부록에서는 Exchange 2007 SCW 등록 파일에서 사용하도록 설정되는 서비스 및 포트 실행 파일에 대해 설명합니다.

  • Appendix 2: Additional Security-Related Exchange Documentation   이 부록에는 추가 보안 관련 Exchange 설명서로 연결되는 포인터가 있습니다.

Exchange 2007 보안 개발 수명 주기

2002년대 초에 Microsoft는 신뢰할 수 있는 컴퓨팅 이니셔티브를 소개했습니다. 신뢰할 수 있는 컴퓨팅이 소개된 이후 Microsoft 및 Exchange Server 팀의 개발 프로세스는 기본적으로 보호되는 소프트웨어를 개발하는 데 중점을 두었습니다. 자세한 내용은 신뢰할 수 있는 컴퓨팅을 참조하십시오.

Exchange 2007에서 신뢰할 수 있는 컴퓨팅은 다음 네 가지 핵심 영역에 구현되었습니다.

  • 디자인으로 보안   Exchange 2007은 신뢰할 수 있는 컴퓨팅 보안 개발 수명 주기를 준수하여 설계 및 개발되었습니다. 안전한 메시징 시스템을 만드는 첫 단계는 위협 모델을 디자인하고 디자인되었을 때의 각 기능을 테스트하는 것입니다. 여러 보안 관련 향상된 기능이 코딩 프로세스 및 사례에 기본 제공되었습니다. 빌드 시간에 도구는 코드가 최종 제품에 체크 인되기 전에 버퍼 오버런 및 기타 잠재적인 보안 위협을 검색합니다. 물론 알려지지 않은 모든 보안 위협에 대해 디자인할 수 없습니다. 시스템에서 완전한 보안을 보장할 수는 없습니다. 그러나 보안 디자인 원칙을 전체 디자인 프로세스에 포함하여 Exchange 2007은 이전 버전보다 훨씬 안전합니다.

  • 기본적으로 보안 유지   Exchange 2007의 한 가지 목표는 대부분의 네트워크 통신이 기본적으로 암호화되는 시스템을 개발하는 것입니다. SMB(서버 메시지 블록) 클러스터 통신 및 일부 UM(통합 메시징) 통신을 제외하고 이 목표를 충족했습니다. 자체 서명된 인증서, Kerberos 프로토콜, SSL(Secure Sockets Layer) 및 기타 업계 표준 암호화 기술을 사용하여 거의 모든 Exchange 2007 데이터가 네트워크에서 보호됩니다. 또한 역할 기반 설치를 통해 Exchange 2007을 설치할 수 있으므로 서비스 및 그러한 서비스 관련 사용 권한만 특정 및 적절한 서버 역할과 함께 설치됩니다. 이전 버전의 Exchange Server에서는 모든 기능에 대한 모든 서비스를 설치해야 했습니다. 

    참고

    SMB 및 UM 통신을 암호화하려면 IPsec(인터넷 프로토콜 보안)을 배포해야 합니다. 이 가이드의 이후 버전에는 SMB 및 UM 통신을 암호화하는 방법에 대한 정보가 포함될 수 있습니다.

  • 스팸 방지 및 바이러스 백신 기능   Exchange 2007에는 경계 네트워크에서 실행되는 스팸 방지 에이전트 제품군이 포함되어 있습니다. 바이러스 백신 기능은 Microsoft Forefront Security for Exchange Server를 Microsoft 솔루션으로 추가하여 향상되었습니다.

  • 배포 시 보안   Exchange 2007이 개발될 때 시험판 버전이 Microsoft IT 프로덕션 환경에서 배포되었습니다. 이 배포에서 얻은 데이터를 기준으로 Microsoft Exchange Best Practice Analyzer가 업데이트되어 실제 보안 구성을 검색하고 사전 배포 및 사후 배포 모범 사례가 Exchange 2007 도움말에 수록되었습니다. 

    이전에는 핵심 제품 설명서가 완료된 후에 사용 권한 관리가 문서화되고 전달되었습니다. 그러나 사용 권한 관리는 추가 기능 프로세스가 아닙니다. Exchange 2007 배포의 전체 계획 및 배포 단계에 포함되어 있어야 합니다. 따라서 관리자가 자신의 관리 모델을 계획하고 배포할 때 매끄러운 컨텍스트를 제공할 수 있게 사용 권한 문서를 간소화하고 핵심 설명서에 통합했습니다.

  • 통신   Exchange 2007이 발표되었으므로 Exchange 팀은 소프트웨어를 최신으로 유지하고 이에 대해 알려줄 것입니다. Microsoft Update를 사용하여 시스템을 최신으로 유지하면 최신 보안 업데이트가 조직에 설치됩니다. Exchange 2007에는 스팸 방지 업데이트도 포함되어 있습니다. 또한 Microsoft 기술 보안 통지에 가입하여 Exchange 2007의 최신 보안 문제를 놓치지 않을 수 있습니다.

Return to top

모범 사례

보다 안전한 환경을 만들고 유지 관리하는 데 도움이 되는 몇 가지 기본적인 모범 사례를 살펴보겠습니다. 일반적으로 소프트웨어와 바이러스 백신 서명 파일을 최신으로 유지하고 분석 도구를 정기적으로 실행하는 것이 Exchange 2007 보안 환경을 최적화하는 가장 효율적인 방법입니다. 

이 섹션에서는 Exchange 2007 환경에서 보안을 만들고 유지하는 몇 가지 모범 사례에 대해 설명합니다.

보안 만들기

다음 도구는 보안 환경을 만드는 것을 돕기 위해 Microsoft에서 제공합니다. Exchange 2007을 설치하기 전에 다음 도구를 실행합니다.

  • Microsoft Update

  • Exchange Best Practices Analyzer  

  • Microsoft Baseline Security Analyzer

  • Windows 2000 Server에서 업그레이드한 후에 Windows Server 2003을 실행하는 환경만을 위한 IIS(인터넷 정보 서비스) 잠금 도구 및 URLScan

  • SCW(보안 구성 마법사)의 Exchange 템플릿

Microsoft Update

Microsoft Update는 Windows Update와 동일한 다운로드에 다른 Microsoft 프로그램의 최신 업데이트를 추가하여 제공하는 새로운 서비스로, 컴퓨터를 보다 안전하게 유지하고 최상의 상태에서 수행할 수 있도록 합니다.

Microsoft Update의 주요 기능은 Windows 자동 업데이트입니다. 이 기능은 컴퓨터의 보안 및 안정성에 매우 중요한 우선 순위가 높은 업데이트를 자동으로 설치합니다. 이러한 보안 업데이트가 없을 경우 사용자의 컴퓨터가 침입자 및 악성 소프트웨어(또는 맬웨어)로부터 공격을 받을 수 있습니다.

Microsoft Update를 받는 가장 신뢰할 수 있는 방법은 Windows 자동 업데이트를 사용하여 업데이트가 컴퓨터에 자동으로 배달되도록 하는 것입니다. Microsoft Update에 등록할 때 자동 업데이트를 켭니다.

Windows는 현재와 이전의 우선 순위가 높은 업데이트에 대해 컴퓨터에 설치된 Microsoft 소프트웨어를 분석하고 필요하면 이러한 업데이트를 자동으로 다운로드하고 설치합니다. 이후에는 인터넷에 연결할 때마다 Windows는 우선 순위가 높은 새로운 업데이트에 대해 이 업데이트 프로세스를 반복합니다.

참고

자동 업데이트를 이미 사용하는 경우 Microsoft Update는 설정할 때처럼 계속 이를 작동합니다.

Microsoft Update를 사용하려면 Microsoft Update를 참조하십시오. 

Microsoft Update의 기본 모드를 사용하려면 자동 업데이트를 받을 수 있게 각 Exchange 컴퓨터가 인터넷에 연결되어 있어야 합니다. 인터넷에 연결되지 않은 서버를 실행 중인 경우 Windows Server Update Services(WSUS)를 설치하여 조직의 컴퓨터에 대한 업데이트 배포를 관리할 수 있습니다. 그런 다음 업데이트를 위해 내부 WSUS 서버를 연결하도록 내부 Exchange Server 컴퓨터에서 Microsoft Update를 구성할 수 있습니다. 자세한 내용은 Microsoft Windows Server Update Services 3.0을 참조하십시오. 

WSUS는 사용 가능한 유일한 Microsoft Update 관리 솔루션이 아닙니다. 사용자의 요구 사항을 가장 만족하는 Microsoft Update 관리 솔루션에 대한 자세한 내용은 MBSA, MU, WSUS, Essentials 2007 또는 SMS 2003?을 참조하십시오.

스팸 방지 업데이트

Exchange 2007은 또한 Microsoft Update 인프라를 사용하여 스팸 방지 필터를 최신으로 유지합니다. 기본적으로 수동 업데이트를 사용하는 경우 관리자는 Microsoft Update를 방문하여 콘텐츠 필터 업데이트를 다운로드하고 설치해야 합니다. 콘텐츠 필터 업데이트 데이터는 2주마다 업데이트되어 다운로드할 수 있습니다.

Microsoft Update에서 제공되는 수동 업데이트에는 Microsoft IP 신뢰도 서비스 또는 스팸 서명 데이터가 포함되지 않습니다. Microsoft IP 신뢰도 서비스 및 스팸 서명 데이터는 Forefront Security for Exchange Server 스팸 방지 자동 업데이트에만 사용할 수 있습니다.

참고

고급 기능인 Forefront 스팸 방지 자동 업데이트 기능을 사용하려면 각 사용자 사서함에 대한 Exchange Enterprise CAL(클라이언트 액세스 라이선스) 또는 Forefront Security for Exchange Server 라이선스가 필요합니다.

Forefront 스팸 방지 자동 업데이트를 사용하는 방법에 대한 자세한 내용은 스팸 방지 업데이트를 참조하십시오.

Microsoft Exchange 모범 사례 분석기

Exchange 모범 사례 분석기는 Exchange 환경이 안전한지 확인하기 위해 정기적으로 실행할 수 있는 가장 효율적인 도구 중 하나입니다. Exchange 모범 사례 분석기는 Microsoft Exchange 배포를 자동으로 검사하고 구성이 Microsoft의 모범 사례에 따라 설정되어 있는지 확인합니다. Microsoft .NET Framework 1.1을 실행 중인 클라이언트 컴퓨터에 Exchange 모범 사례 분석기를 설치할 수 있습니다. 적절한 네트워크 액세스를 통해 Exchange 모범 사례 분석기는 모든 Active Directory 디렉터리 서비스와 Exchange 서버를 검사합니다.

모범 사례를 비롯한 자세한 내용은 이 가이드의 뒷부분에 있는 "Exchange 모범 사례 분석기 실행" 섹션과 Microsoft Exchange 모범 사례 분석기 v2.8을 참조하십시오.

Microsoft Baseline Security Analyzer

Microsoft Baseline Security Analyzer(MBSA)는 IT 전문가를 위해 디자인된 도구로, 중소기업이 Microsoft 보안 권장 사항을 준수하여 자사의 보안 상태를 확인하는 것을 돕기 위한 것입니다. MBSA를 사용하여 컴퓨터 시스템에서 공통적인 보안 구성 오류 및 누락된 보안 업데이트를 검색하여 보안 관리 프로세스를 향상시킵니다. 

Microsoft Baseline Security Analyzer에서 MBSA를 다운로드할 수 있습니다.

IIS 잠금 도구 및 URLScan

기본적으로 IIS 버전 6.0 및 IIS 버전 7.0은 각각 Windows Server 및 Windows Server 2008과 함께 설치되며, IIS 잠금 도구에서 만든 설정과 비슷한 보안 관련 구성 설정을 포함합니다. 따라서 IIS 버전 6.0 또는 IIS 버전 7.0을 실행 중인 웹 서버에서 IIS 잠금 도구를 실행하지 않아도 됩니다. 그러나 이전 버전의 IIS에서 IIS 버전 6.0 또는 IIS 버전 7.0으로 업그레이드하는 경우 IIS 잠금 도구를 실행하여 웹 서버의 보안을 강화하는 것이 좋습니다. 

URLScan에서 제공하는 장점보다 구성 오류가 훨씬 많을 수 있으므로 IIS 버전 6.0 또는 IIS 버전 7.0에서 URLScan을 실행하지 않는 것이 좋습니다.

자세한 내용은 How To: IISLockdown.exe 사용을 참조하십시오.

보안 구성 마법사의 Exchange 2007 템플릿

SCW(보안 구성 마법사)는 Windows Server 2003 서비스 팩 1에서 소개된 도구입니다. SCW를 사용하면 Exchange 2007 서버 역할에 필요하지 않은 Windows 기능을 사용할 수 없게 설정하여 서버에서 공격에 취약한 부분을 줄일 수 있습니다. SCW는 서버에 대한 공격 영역을 줄이는 최상의 방법으로 보안을 자동화합니다. SCW는 역할 기반 메타포를 사용하여 서버에서 응용 프로그램에 필요한 서비스를 요청합니다. 이 도구는 보안상 취약한 부분을 개선하는 데 미치는 Windows 환경의 영향을 줄입니다.

SCW의 Exchange 2007 템플릿을 만드는 방법에 대한 자세한 내용은 이 가이드의 뒷부분에 있는 "보안 구성 마법사를 사용하여 Exchange 서버 역할의 Windows 보안" 섹션을 참조하십시오.

보안 유지

이 섹션에서는 Exchange 2007 환경을 안전하게 유지하기 위한 모범 사례 권장 사항을 제공합니다.

Exchange 모범 사례 분석기 실행

이전 섹션에서 언급했듯이 Exchange 모범 사례 분석기는 Exchange 환경이 안전한지 확인하기 위해 정기적으로 실행할 수 있는 가장 효율적인 도구 중 하나입니다.

대부분의 환경에서 분기마다 한 번씩 Exchange 모범 사례 분석기를 실행하는 것이 좋습니다. 그러나 Exchange Server가 설치되어 실행 중인 모든 서버에서 한 달에 한 번씩 실행하는 것이 좋습니다.

또한 다음 시나리오에서 Exchange 모범 사례 분석기를 실행해야 합니다.

  • Exchange 서버의 중요 구성 변경 시 실행합니다. 예를 들면 Edge 전송 서버에 EdgeSync 연결을 만들거나 커넥터를 추가 또는 제거한 후에 이 도구를 실행해야 합니다.

  • 새 Exchange 서버 역할을 설치하거나 Exchange 서버 역할을 제거한 직후에 실행합니다.

  • Windows 서비스 팩 또는 Exchange Server 서비스 팩을 설치한 후에 실행합니다.

  • Microsoft Exchange를 실행 중인 컴퓨터에서 타사 소프트웨어를 설치한 후에 실행합니다.

바이러스 백신 소프트웨어 실행

전자 메일 시스템에 의해 전송되는 바이러스, 웜 및 기타 해로운 콘텐츠는 대부분의 Microsoft Exchange 관리자가 직면하게 되는 파괴적인 존재입니다. 따라서 모든 메시징 시스템을 위한 방어형 바이러스 백신 배포를 개발해야 합니다. 이 섹션에서는 Exchange 2007 및 Microsoft Office Outlook 2007용 바이러스 백신 소프트웨어 배포에 대한 모범 사례 권장 사항을 제공합니다.

바이러스 백신 소프트웨어 공급업체를 선택할 때는 Exchange 2007의 두 가지 중요한 변경 내용에 유의해야 합니다.

  • Exchange 2007은 64비트 아키텍처를 기반으로 합니다.

  • 이 항목 뒷부분에서 보다 자세히 설명되는 것처럼 Exchange 2007에는 새로운 전송 에이전트 기능이 있습니다.

이러한 두 가지 변경 내용은 바이러스 백신 공급업체에서 Exchange 2007 관련 소프트웨어를 제공해야 함을 의미합니다. 이전 버전의 Exchange Server용으로 작성된 바이러스 백신 소프트웨어는 Exchange 2007에서 제대로 작동되지 않을 수 있습니다.

철저한 방어 방법을 채택하려면 사용자 데스크톱의 바이러스 백신 소프트웨어뿐 아니라 메시징 시스템에 사용하도록 만든 바이러스 백신 소프트웨어를 SMTP(Simple Mail Transfer Protocol) 게이트웨이 또는 사서함을 호스팅하는 Exchange 서버에 배포하는 것이 좋습니다.

감수할 비용과 예상 위험 부담 간의 적절한 균형을 찾아 사용할 바이러스 백신 소프트웨어 유형과 해당 소프트웨어를 배포할 위치를 결정합니다. 예를 들어, 일부 조직에서는 SMTP 게이트웨이에서 바이러스 백신 메시징 소프트웨어를 실행하고 Exchange 서버에서 파일 수준의 바이러스 백신 검색을 실행하고 사용자 데스크톱에서 바이러스 백신 클라이언트 소프트웨어를 실행합니다. 이 방법은 게이트웨이에서의 메시징별 보호, 메일 서버에서의 일반 파일 수준 보호 및 클라이언트에서의 보호를 제공합니다. 기타 조직에서는 높은 비용을 감수할 수 있으므로 Exchange 사서함 서버의 Exchange VSAPI(Virus Scanning Application Programming Interface) 2.5와 호환되는 바이러스 백신 소프트웨어와 함께 SMTP 게이트웨이에서 바이러스 백신 메시징 소프트웨어를 실행하고 Exchange 서버에서 파일 수준의 바이러스 백신 검색을 실행하고 사용자 데스크톱에서 바이러스 백신 클라이언트 소프트웨어를 실행하여 보안을 향상시킬 수 있습니다.

Edge 전송 서버 및 허브 전송 서버에서 바이러스 백신 소프트웨어 실행

메시징 바이러스 백신 소프트웨어를 실행할 가장 중요한 장소는 조직의 최전방 방어선일 것입니다. Exchange 2007에서 최전방 방어선은 Edge 전송 서버의 경계 네트워크입니다.

조직 내부의 바이러스 감염을 보다 강력히 차단하고 추가적인 방어선을 구축하려면 조직 내부의 허브 전송 서버에서 전송 기반 바이러스 백신 소프트웨어를 실행할 것을 권장합니다.

Exchange 2007에서 에이전트는 전송 이벤트로 사용되며 Microsoft Exchange 초기 버전의 이벤트 싱크와 매우 유사합니다. 타사 개발자는 사용자 지정 에이전트를 작성하여 강력한 전송 수준 바이러스 백신 검색을 위한 기본 Exchange MIME 구문 분석 엔진을 활용할 수 있습니다.

여러 타 소프트웨어 공급업체에서 Exchange 전송 MIME 구문 분석 엔진을 활용하는 Exchange 2007 관련 에이전트를 제공합니다. 자세한 내용은 바이러스 백신 공급업체에 문의하십시오.

또한 Microsoft Forefront Security for Exchange Server에도 Exchange 2007용 전송 바이러스 백신 에이전트가 포함되어 있습니다. Forefront Security for Exchange Server 바이러스 백신 에이전트의 설치 및 구성 방법에 대한 자세한 내용은 Microsoft Forefront Security for Exchange Server 사용자 가이드를 참조하십시오.

참고

사서함 서버에서만 검색될 수 있으며 전송을 통해 라우팅되지 않는 공용 폴더, 보낸 편지함, 일정 항목 등의 개체는 전송 전용 바이러스 검색으로는 보호되지 않습니다.

조직의 다른 컴퓨터에서 바이러스 백신 소프트웨어 실행

다음 두 가지 컴퓨터 클래스에서 파일 수준의 바이러스 검색을 실행할 수 있습니다.

  • 사용자 데스크톱

  • 서버

파일 수준의 바이러스 검색과 함께 Exchange 사서함 서버에서 Microsoft VSAPI 솔루션을 실행하는 것을 고려해 보십시오.

데스크톱 바이러스 검색

사용자는 최신 버전의 Outlook을 실행해야 합니다. 데스크톱에서 이전 버전의 전자 메일 클라이언트를 실행할 경우 이전 전자 메일 클라이언트의 개체 모델 및 첨부 파일 처리 작업 때문에 위험이 초래될 수 있습니다. 기본적으로 Microsoft Office Outlook 2003 및 Office Outlook 2007은 Exchange 2007이 연결을 수락하는 유일한 MAPI 클라이언트입니다. 이전 버전의 전자 메일 클라이언트 실행과 관련된 위험에 대한 자세한 내용은 Taking Steps to Secure Outlook을 참조하십시오.

Outlook 2003 또는 Outlook 2007로 업그레이드한 후에 모든 데스크톱 컴퓨터에 파일 수준의 바이러스 백신 소프트웨어 제품을 설치했는지 확인하십시오. 또한 다음 단계를 수행하십시오.

  • 바이러스 백신 서명 파일이 모든 데스크톱에서 자동으로 업데이트되도록 하는 계획을 개발합니다.

  • 바이러스 퇴치를 위해 조직에서 종단 간 업데이트 관리 솔루션을 개발하고 유지 관리합니다.

서버 바이러스 검색

일반 정책을 채택하여 조직의 모든 데스크톱 및 서버 컴퓨터에서 파일 수준의 검색을 실행할 것을 고려해 보십시오. 따라서 모든 Exchange Server 컴퓨터에서 특정 형식의 파일 수준 바이러스 백신 검색이 실행되어야 합니다. 특정 디렉터리, 파일 형식 및 프로세스가 검색되지 않도록 각 서버 역할에 대해 파일 수준의 검색에 대한 추가 구성을 수행해야 합니다. 예를 들어, Exchange 저장소 데이터베이스에 대해서는 파일 수준의 바이러스 백신 소프트웨어를 실행하지 말아야 합니다. 특정 구성 정보를 보려면 Exchange 2007의 파일 수준 바이러스 백신 검색을 참조하십시오.

VSAPI를 사용하여 사서함 데이터베이스 검색

Microsoft VSAPI(바이러스 검색 API) 검색 솔루션은 대부분 조직의 중요 방어 계층일 수 있습니다. 다음 조건 중 하나라도 해당하는 경우 VSAPI 바이러스 백신 솔루션을 실행하는 것을 고려해야 합니다.

  • 조직에 완전하고 믿을 수 있는 데스크톱 바이러스 백신 검색 제품이 배포되어 있지 않은 경우

  • 저장소 검색을 통해 제공될 수 있는 추가 보호가 조직에 필요한 경우

  • 조직이 Exchange 데이터베이스에 프로그래밍 방식으로 액세스할 수 있는 사용자 지정 응용 프로그램을 개발한 경우

  • 사용자 커뮤니티가 자주 메시지를 공용 폴더에 게시하는 경우

Exchange VSAPI를 사용하는 바이러스 백신 솔루션은 Exchange 정보 저장소 프로세스 내에서 직접 실행됩니다. VSAPI 솔루션은 표준 클라이언트와 전송 검색을 무시하면서 감염된 콘텐츠를 Exchange 정보 저장소 내에 배치하는 공격 벡터로부터 보호할 수 있는 유일한 솔루션이라고 할 수 있습니다. 예를 들어, VSAPI는 CDO(Collaboration Data Objects), WebDAV 및 Exchange 웹 서비스를 통해 데이터베이스에 전송된 데이터를 검색하는 유일한 솔루션입니다.

또한 바이러스에 감염된 경우 대부분의 VSAPI 바이러스 백신 솔루션은 감염된 메일 저장소에서 바이러스를 가장 빠르게 제거할 수 있는 방법을 제공합니다.

VSAPI 검색 엔진에 포함된 Forefront Security for Exchange Server를 실행하는 방법에 대한 자세한 내용은 Microsoft Forefront Security for Exchange Server를 사용하여 Microsoft Exchange 조직 보호를 참조하십시오.

Exchange Hosted Services 사용

스팸 및 바이러스 필터링은 Microsoft Exchange Hosted Services에 의해 향상되며 Microsoft Exchange Hosted Services를 통해 서비스로 사용할 수도 있습니다. Exchange Hosted Services는 다음과 같은 네 개의 고유한 호스팅된 서비스 집합입니다.

  • 전자 메일을 통한 맬웨어로부터 조직을 보호할 수 있게 하는 호스팅된 필터링

  • 조직에서 규정 준수를 위한 보존 요구 사항을 충족할 수 있게 하는 호스팅된 보관

  • 조직에서 기밀성을 유지하기 위해 데이터를 암호화할 수 있게 하는 호스팅된 암호화

  • 조직에서 응급 상황 도중 및 이후에 전자 메일에 대한 액세스를 유지할 수 있게 하는 호스팅된 연속성

이러한 서비스는 내부에서 관리되는 모든 사내 Exchange 서버 또는 서비스 공급자를 통해 제공되는 호스팅된 Exchange 전자 메일 서비스와 통합됩니다. Exchange Hosted Services에 대한 자세한 내용은 Microsoft Exchange Hosted Services를 참조하십시오.

추가 바이러스 백신 정보

MSIT에서 Exchange 2007 서버 바이러스 백신 솔루션을 배포한 방법에 대한 자세한 백서는 Microsoft Exchange Server 2007 Edge 전송 및 메시징 보호를 참조하십시오.

Forefront Security for Exchange Server는 Exchange 전송 서버 역할에 대한 여러 검색 엔진 바이러스 백신 솔루션과 Exchange 사서함 서버에 대한 VSAPI 솔루션을 제공합니다. 종단 간 바이러스 백신 솔루션에 대한 모범 사례에 대해서는 Microsoft Forefront Security for Exchange Server로 Microsoft Exchange 조직 보호를 참조하십시오.

소프트웨어를 최신으로 유지

앞부분에서 언급했듯이 Microsoft Update를 실행하는 것이 가장 좋습니다. 모든 서버에서 Microsoft Update를 실행하는 것 외에도 모든 클라이언트 컴퓨터를 최신 상태로 유지하고 조직의 모든 컴퓨터에서 바이러스 백신 업데이트를 유지 관리하는 것이 좋습니다.

Microsoft 소프트웨어 외에 조직에서 실행 중인 모든 소프트웨어에 대해 최신 업데이트를 실행합니다.

레거시 Outlook 클라이언트 차단

기존 버전의 Outlook에는 바이러스 전파를 확대할 수 있는 취약점이 있었습니다. 가장 좋은 방법은 Exchange 2007이 Outlook 2007, Outlook 2003 및 Outlook 2002 클라이언트에서 MAPI 연결만 수락하도록 해야 합니다. Exchange에 연결할 수 있는 Outlook 클라이언트의 버전을 제한하여 바이러스 및 기타 맬웨어 공격 위험을 줄일 수 있습니다. 가장 좋은 방법은 조직에서 실행되는 소프트웨어 버전을 줄이고 표준하는 것이 좋습니다.

Exchange 2007에 액세스하는 Outlook 클라이언트를 제거하는 방법에 대한 자세한 내용은 모든 버전의 Outlook에서 서버에 액세스할 수 있습니다.를 참조하십시오.

첨부 파일 필터링 실행

Exchange 2007에서 첨부 파일 필터링을 통해 서버 수준에서 필터를 적용하여 사용자가 받는 첨부 파일을 제어할 수 있습니다. 많은 첨부 파일에는 중요한 문서를 훼손시키거나 민감한 정보를 노출시킴으로써 사용자 컴퓨터, 또는 조직 전체에 큰 피해를 일으킬 수 있는 유해한 바이러스 또는 부적절한 자료가 포함되어 있기 때문에 첨부 파일 필터링의 중요성이 점차 커지고 있습니다.

참고

디지털 서명, 암호화 또는 권한 보호 전자 메일 메시지의 첨부 파일은 제거하지 않는 것이 가장 좋은 방법입니다. 이러한 메시지의 첨부 파일을 제거하면 디지털 서명 메시지는 무효화되고 암호화 및 권한 보호된 메시지는 읽을 수 없게 됩니다.

Exchange 2007의 첨부 파일 필터링 유형

다음 유형과 같은 첨부 파일 필터링을 사용하여 조직이 받거나 보내는 첨부 파일을 제어할 수 있습니다.

  • 파일 이름 또는 파일 이름 확장명 기반 필터링   필터링할 정확한 파일 이름이나 파일 이름 확장명을 지정하여 첨부 파일을 필터링할 수 있습니다. 예를 들면 BadFilename.exe는 정확한 파일 이름 필터이고 *.exe는 파일 이름 확장명 필터입니다.

  • MIME 콘텐츠 형식 기반 필터링   필터링할 MIME 콘텐츠 형식을 지정하여 첨부 파일을 필터링할 수도 있습니다. MIME 콘텐츠 형식은 첨부 파일의 형식(JPEG 이미지 파일, 실행 파일, Microsoft Office Excel 2003 파일 또는 그 밖의 파일 형식)을 나타냅니다. 콘텐츠 형식은 type/subtype으로 표시됩니다. 예를 들어, JPEG 이미지 콘텐츠 형식은 image/jpeg로 표시됩니다.

    첨부 파일 필터링에서 필터링할 수 있는 모든 확장명 및 콘텐츠 형식의 전체 목록을 보려면 다음 명령을 실행합니다.

    Get-AttachmentFilterEntry | FL

    도메인에 가입된 컴퓨터에서 Get-AttachmentFilterEntry cmdlet를 실행하려면 사용하는 계정이 Exchange 보기 권한만 있는 관리자 역할을 위임받아야 합니다.

    Edge 전송 서버 역할이 설치된 컴퓨터에서 Get-AttachmentFilterEntry cmdlet를 실행하려면 해당 컴퓨터의 로컬 관리자 그룹에 속한 계정을 사용하여 로그온해야 합니다.

    사용 권한, 역할 위임 및 Exchange 2007 관리에 필요한 권한에 대한 자세한 내용은 사용 권한 고려 사항을 참조하십시오.

첨부 파일이 위와 같은 필터링 조건 중 하나와 일치하는 경우 첨부 파일에 대해 다음 작업을 수행하도록 구성할 수 있습니다.

  • 전체 메시지 및 첨부 파일 차단   첨부 파일 필터에 일치하는 첨부 파일과 함께 이 첨부 파일을 포함하는 전체 전자 메일 메시지가 메시징 시스템에 들어오지 못하도록 차단합니다. 첨부 파일과 전자 메일 메시지가 차단되면 보낸 사람은 메시지에 수락할 수 없는 첨부 파일 이름이 포함되어 있다는 DSN(배달 상태 알림) 메시지를 받습니다.

  • 첨부 파일 제거 후 메시지 통과 허용   첨부 파일 필터에 일치하는 첨부 파일은 제거하되 해당 전자 메일 메시지 및 필터에 일치하지 않는 다른 첨부 파일은 통과시킵니다. 첨부 파일이 제거되면 첨부 파일을 제거한 이유를 설명하는 텍스트 파일이 대신 전달됩니다. 이 작업이 기본 설정입니다.

  • 알림 없이 메시지 및 첨부 파일 삭제   첨부 파일 필터에 일치하는 첨부 파일과 함께 이 첨부 파일을 포함하는 전체 전자 메일 메시지가 메시징 시스템에 들어오지 못하도록 차단합니다. 첨부 파일과 전자 메일 메시지를 차단한 경우에도 보낸 사람이나 받는 사람 모두 알림을 받지 않습니다.

    경고

    사용자는 차단된 전자 메일 메시지 및 첨부 파일, 또는 제거된 첨부 파일을 검색할 수 없습니다. 첨부 파일 필터를 구성할 때는 가능한 모든 파일 이름 일치를 신중히 검토하여 합법적인 첨부 파일이 필터에서 차단되지 않도록 해야 합니다.

자세한 내용은 첨부 파일 필터링 구성 방법을 참조하십시오.

Exchange 서버용 Forefront Security를 사용하여 파일 필터링

Forefront Security for Exchange Server에서 제공되는 파일 필터링 기능에는 Exchange Server 2007 Standard Edition에 포함되어 있는 기본 첨부 파일 필터 에이전트에서는 사용할 수 없는 고급 기능이 포함되어 있습니다.

예를 들면 다른 파일을 포함하는 파일인 컨테이너 파일에서 잘못된 파일 형식을 검색할 수 있습니다. Forefront Security for Exchange Server 필터링은 다음 컨테이너 파일을 검색하고 포함된 파일에 수행할 수 있습니다.

  • PKZip(.zip)

  • GNU Zip(.gzip)

  • 자동 압축 풀기 ZIP 보관 파일

  • Zip 파일(.zip)

  • Java 보관 파일(.jar)

  • TNEF(winmail.dat)

  • 구조적 저장소(.doc, .xls, .ppt 등)

  • MIME(.eml)

  • SMIME(.eml)

  • UUEncode(.uue)

  • Unix 테이프 보관 파일(.tar)

  • RAR 보관 파일(.rar)

  • MACBinary(.bin)

참고

Exchange 2007 Standard Edition에 포함된 기본 첨부 파일 필터 에이전트는 이름이 바뀌어도 파일 형식을 검색합니다. 첨부 파일 필터링은 또한 파일 이름 확장명을 압축된 Zip 또는 LZH 파일의 파일과 비교하여 압축된 Zip 및 LZH 파일에 차단된 첨부 파일이 없는지 확인합니다. Forefront Security for Exchange Server 파일 필터링에는 차단된 첨부 파일이 컨테이너 파일 내에서 이름이 바뀌었는지 확인하는 추가 기능이 있습니다.

파일 크기를 기준으로 필터링할 수도 있습니다. 또한 필터링된 파일을 격리하거나 파일 필터 일치 항목을 기준으로 전자 메일 알림을 보내도록 Forefront Security for Exchange Server를 구성할 수 있습니다.

자세한 내용은 Microsoft Forefront Security for Exchange Server를 사용하여 Microsoft Exchange 조직 보호를 참조하십시오.

조직에 강력한 암호 지정

대부분의 사용자는 키보드로 입력된 사용자 이름과 암호 조합을 사용하여 자신의 로컬 컴퓨터와 원격 컴퓨터에 로그온합니다. 생체 인식, 스마트 카드 및 1회용 암호와 같은 인증 대체 기술을 여러 운영 체제에 사용할 수 있지만 대부분의 조직에서는 전통적인 암호를 사용하고 있으며 앞으로도 몇 년 계속 유지될 것입니다. 따라서 조직이 자신의 컴퓨터에 대한 암호 정책을 정의하고 강화하는 것이 중요합니다. 여기에는 강력한 암호 사용 지시가 포함됩니다. 강력한 암호는 공격자가 확인하기 어렵게 하는 여러 가지 복잡한 요구 사항을 만족합니다. 이러한 요구 사항 중에는 암호 길이와 문자 범주에 대한 요구 사항이 있습니다. 조직에 강력한 암호 정책을 설정하여 공격자가 사용자를 가장하지 않도록 할 수 있으므로 중요한 정보가 손실, 노출 또는 손상되지 않게 할 수 있습니다.

자세한 내용은 조직 전체에 강력한 암호 사용 지정을 참조하십시오.

Windows 사용자 이름 및 SMTP 주소 분리

기본적으로 사용자에 대한 사서함을 만드는 경우 해당 사용자에 대한 결과 SMTP 주소는 username@contoso.com입니다. 여기서, username은 Windows 사용자 계정 이름입니다.

악의적인 사용자가 Windows 사용자 이름을 알기 어렵게 하기 위해 사용자에 대한 새 SMTP 주소를 만드는 것이 좋습니다.

예를 들면 Windows 사용자 이름이 KwekuA인 사용자 Kweku Ako-Adjei를 고려합니다. Windows 사용자 이름을 알기 어렵게 만들기 위해 관리자가 SMTP 주소 Kweku.Ako-Adjei@contoso.com을 만들 수 있습니다.

별도의 SMTP 주소를 사용하는 것은 강력한 보안 수단이 되지 않습니다. 그러나 알려진 사용자 이름을 사용하여 조직에 해킹을 시도할 수 있는 악의적인 사용자에게 하나 이상의 장애물이 만들어집니다.

기존 사용자에 대한 SMTP 주소를 추가하는 방법에 대해서는 전자 메일 주소 정책을 만드는 방법을 참조하십시오.

클라이언트 액세스 보안 관리

클라이언트 액세스 서버 역할은 Microsoft Outlook Web Access, Microsoft Exchange ActiveSync, Outlook Anywhere, POP3(Post Office Protocol version 3) 및 IMAP4(Internet Message Access Protocol version 4rev1)에 대한 액세스를 제공합니다. 또한 자동 검색 서비스 및 가용성 서비스를 지원합니다. 이러한 프로토콜 및 서비스마다 고유한 보안 요구 사항이 필요합니다.

인증 관리

클라이언트 액세스 서버 역할에 대해 수행할 수 있는 가장 중요한 보안 관련 작업 중 하나는 인증 방법을 구성하는 것입니다. 클라이언트 액세스 서버 역할은 기본 자체 서명 디지털 인증서와 함께 설치됩니다. 디지털 인증서는 다음 두 가지 사항을 수행합니다.

  • 인증서 소유자가 요청하는 사용자 또는 대상과 일치함을 인증합니다.

  • 온라인으로 교환되는 데이터의 도용 또는 변조로부터 보호합니다.

Exchange ActiveSync 및 Outlook Web Access에 대해 자체 서명된 기본 인증서가 지원되지만 가장 안전한 인증 방법은 아닙니다. 또한 Outlook Anywhere에 대해서는 지원되지 않습니다. 추가 보안을 위해 타사 상업용 인증 기관(CA) 또는 신뢰할 수 있는 Windows PKI(공개 키 구조) CA의 신뢰할 수 있는 인증서를 사용하도록 Exchange 2007 클라이언트 액세스 서버 구성을 고려합니다. Exchange ActiveSync, Outlook Web Access, Outlook Anywhere, POP3 및 IMAP4에 대해 별도로 인증을 구성할 수 있습니다.

인증을 구성하는 방법에 대한 자세한 내용은 다음 항목을 참조하십시오.

클라이언트 액세스 서버 및 기타 서버 간에 보안 통신 강화

클라이언트 및 Exchange 2007 서버 간에 통신 보안을 최적화한 후 조직의 Exchange 2007 서버 및 기타 서버 간에 통신 보안을 최적화해야 합니다. 클라이언트 액세스 서버와 사서함 서버 역할이 설치되어 있는 Exchange 2007 서버, 도메인 컨트롤러 및 글로벌 카탈로그 서버와 같은 기타 서버 간의 HTTP, Exchange ActiveSync, POP3 및 IMAP4 통신은 기본적으로 암호화됩니다.

클라이언트 액세스 서버의 다양한 구성 요소에 대한 보안을 관리하는 방법에 대한 자세한 내용은 다음 항목을 참조하십시오.

Return to top

도메인 보안 이해

Exchange 2007에는 "도메인 보안"이라고 하는 새로운 기능이 있습니다. 도메인 보안은 S/MIME 또는 기타 메시지 수준 보안 솔루션을 대체하는 상대적으로 저렴한 솔루션을 제공하는 Exchange 2007 및 Outlook 2007의 기능 집합을 나타냅니다. 도메인 보안 기능 집합의 목적은 인터넷을 통한 비즈니스 파트너와의 보안된 메시지 경로를 관리하는 방법을 관리자에게 제공하는 것입니다. 이러한 보안된 메시지 경로가 구성된 후 인증된 보낸 사람으로부터 보안된 경로를 통해 전달된 메시지는 Outlook 및 Outlook Web Access 인터페이스에서 "Domain Secured"로 사용자에게 표시됩니다.

도메인 보안은 상호 인증이 포함된 TLS(전송 계층 보안)를 사용하여 세션 기반 인증과 암호화를 제공합니다. 상호 인증을 사용하는 TLS는 TLS와 달리 일반적으로 구현됩니다. 일반적으로 TLS가 구현되면 클라이언트는 지정한 서버의 인증서를 확인하여 해당 서버에 안전하게 연결되었는지 확인합니다. 이것을 TLS 협상의 일부로 받습니다. 이 시나리오에서 클라이언트는 데이터를 전송하기 전에 서버를 인증합니다. 그러나 서버는 클라이언트와 세션을 인증하지 않습니다.

상호 TLS 인증을 사용하면 각 서버는 다른 서버에서 제공한 인증서를 확인하여 다른 서버와의 연결을 확인합니다. 이 시나리오에서는 Exchange 2007 환경에서 확인된 연결을 통해 외부 도메인으로부터 메시지를 받으며 Outlook 2007에 "도메인 보안" 아이콘이 표시됩니다.

조직에 도메인 보안을 계획하고 배포하는 방법에 대한 자세한 내용은 백서: Exchange 2007의 도메인 보안을 참조하십시오.

Return to top

Exchange 데이터 경로 보호

기본적으로 Exchange 2007에서 사용하는 거의 모든 데이터 경로가 보호됩니다. 이 섹션에서는 Exchange 2007에서 사용되는 모든 데이터 경로에 대한 포트, 인증 및 암호화 정보를 제공합니다. 각 표 다음에 나오는 참고 사항 섹션에서는 비표준 인증 또는 암호화 방법을 설명하거나 정의합니다.

전송 서버

다음 표에서는 허브 전송 서버와 Edge 전송 서버 간의 데이터 경로와 다른 Exchange 2007 서버 및 서비스 와의 데이터 경로에 대한 포트, 인증 및 암호화 정보를 제공합니다.

전송 서버 데이터 경로

데이터 경로 필요한 포트 기본 인증 지원되는 인증 암호화 지원 여부 암호화 작업 기본 수행 여부

허브 전송 서버에서 허브 전송 서버로

25/TCP(SSL(Secure Sockets Layer)), 587/TCP(SSL)

Kerberos

Kerberos

예(TLS)

허브 전송 서버에서 Edge 전송 서버로

25/TCP(SSL)

직접 신뢰

직접 신뢰

예(TLS)

Edge 전송 서버에서 허브 전송 서버로

25/TCP(SSL)

직접 신뢰

직접 신뢰

예(TLS)

Edge 전송 서버에서 Edge 전송 서버로

25/TCP(SSL), 389/TCP/UDP 및 80/TCP(인증서 인증)

익명, 인증서

익명, 인증서

예(TLS)

아니요

Microsoft Exchange Mail Submission Service를 통해 사서함 서버에서 허브 전송 서버로

135/TCP(RPC)

NTLM. 서비스 계정(로컬)을 사용하여 연결하는 경우에는 Kerberos가 사용됩니다.

NTLM/Kerberos

예(RPC 암호화)

MAPI를 통해 허브 전송 서버에서 사서함 서버로

135/TCP(RPC)

NTLM. 서비스 계정(로컬)을 사용하여 연결하는 경우에는 Kerberos가 사용됩니다.

NTLM/Kerberos

예(RPC 암호화)

Microsoft Exchange EdgeSync Service

50636/TCP(SSL), 50389/TCP(SSL 없음)

기본

기본

예(LDAPS)

Edge 전송 서버의 ADAM(Active Directory Application Mode) 디렉터리 서비스

50389/TCP(SSL 없음)

NTLM/Kerberos

NTLM/Kerberos

아니요

아니요

허브 전송 서버에서 Active Directory 디렉터리 서비스 액세스

389/TCP/UDP(LDAP), 3268/TCP(LDAP GC), 88/TCP/UDP(Kerberos), 53/TCP/UDP(DNS), 135/TCP(RPC netlogon)

Kerberos

Kerberos

예(Kerberos 암호화)

전송 서버 참고 사항

허브 전송 서버 간의 모든 트래픽은 Exchange 2007 설치 프로그램에서 기본적으로 설치되는 자체 서명 인증서와 TLS를 사용하여 암호화됩니다.

Edge 전송 서버와 허브 전송 서버 간의 모든 트래픽은 인증 및 암호화됩니다. 기본 인증 및 암호화 메커니즘은 상호 TLS입니다. Exchange 2007에서는 X.509 유효성 검사 대신 직접 신뢰를 사용하여 인증서를 인증합니다. 직접 신뢰란 Active Directory 또는 ADAM에 보관된 인증서의 존재 여부로 인증서의 유효성을 검사하는 것입니다. Active Directory는 신뢰할 수 있는 저장소 메커니즘으로 간주됩니다. 직접 신뢰를 사용하는 경우 인증서가 자체 서명한 것인지 아니면 인증 기관에서 서명한 것인지는 관계가 없습니다. Exchange 조직에서 Edge 전송 서버를 구독하는 경우 해당 Edge 구독에서는 유효성을 검사할 허브 전송 서버에 대해 Active Directory에 Edge 전송 서버 인증서를 게시합니다. Microsoft Exchange Edgesync 서비스에서는 유효성을 검사할 Edge 전송 서버에 대해 허브 전송 서버 인증서 집합을 사용하여 ADAM을 업데이트합니다.

서로 다른 조직에 있는 Edge 전송 서버 간의 트래픽은 기본적으로 암호화됩니다. 기본적으로 Exchange 2007 설치 프로그램에서 자체 서명 인증서가 만들어지며 TLS를 사용하도록 설정됩니다. 이를 통해 모든 보내는 시스템에서 Microsoft Exchange로의 인바운드 SMTP 세션을 암호화할 수 있습니다. 또한 기본적으로 Exchange 2007에서도 모든 원격 연결에 대해 TLS를 시도합니다.

허브 전송 서버 역할과 사서함 서버 역할이 같은 컴퓨터에 설치되어 있는 경우에는 허브 전송 서버와 사서함 서버 간의 트래픽을 인증하는 방법이 달라집니다. 메일 전송을 로컬에서 수행하는 경우 Kerberos 인증이 사용되고 원격에서 수행하는 경우에는 NTLM 인증이 사용됩니다.

Exchange 2007에서는 도메인 보안도 지원됩니다. 도메인 보안은 비교적 저렴한 가격으로 S/MIME 또는 기타 메시지 수준 인터넷 보안 솔루션을 대체할 수 있는 Exchange 2007 및 Outlook 2007의 기능 집합을 의미합니다. 도메인 보안 기능 집합의 목적은 인터넷을 통한 도메인 간의 보안된 메시지 경로를 관리하는 방법을 관리자에게 제공하는 것입니다. 이러한 보안된 메시지 경로가 구성된 후 인증된 보낸 사람으로부터 보안된 경로를 통해 전달된 메시지는 Outlook 및 Outlook Web Access 인터페이스에서 "Domain Secured"로 사용자에게 표시됩니다. 자세한 내용은 도메인 보안 계획을 참조하십시오.

허브 전송 서버와 Edge 전송 서버에서는 여러 에이전트를 실행할 수 있습니다. 일반적으로 스팸 방지 에이전트는 해당 에이전트가 실행되는 컴퓨터에 로컬로 저장된 정보를 사용합니다. 그러므로 원격 컴퓨터와의 통신이 거의 필요하지 않습니다. 그러나 받는 사람 필터링의 경우는 예외입니다. 이 작업을 수행하려면 ADAM 또는 Active Directory를 호출해야 합니다. 받는 사람 필터링은 Edge 전송 서버에서 실행하는 것이 가장 효율적입니다. 이렇게 하면 ADAM 디렉터리와 Edge 전송 서버가 같은 컴퓨터에 있게 되므로 원격 통신이 필요하지 않습니다. 받는 사람 필터링을 허브 전송 서버에서 설치 및 구성한 경우 받는 사람 필터링 과정에서 Active Directory에 액세스하게 됩니다.

Exchange 2007의 보낸 사람 신뢰도 기능에서는 프로토콜 분석 에이전트를 사용합니다. 또한 이 에이전트는 외부 프록시 서버와의 다양한 연결을 통해 의심되는 연결에 대한 인바운드 메시지 경로를 확인합니다.

다른 모든 스팸 방지 기능은 로컬 컴퓨터에서만 수집, 저장 및 액세스되는 데이터를 사용합니다. 받는 사람 필터링용 받는 사람 데이터나 수신 허용 목록 집계와 같은 데이터는 Microsoft Exchange EdgeSync Service를 통해 로컬 ADAM 디렉터리로 자주 전달됩니다.

저널링 및 메시지 분류는 허브 전송 서버에서 실행되며 Active Directory 데이터를 사용하여 작동합니다.

사서함 서버

사서함 서버 역할 컨텍스트에서 NTLM 또는 Kerberos 중 실제로 사용될 인증은 Exchange 비즈니스 논리 계층 소비자를 실행하는 프로세스 컨텍스트나 사용자에 따라 달라집니다. 이러한 컨텍스트에서 볼 때 소비자는 Exchange 비즈니스 논리 계층을 사용하는 모든 응용 프로그램 또는 프로세스입니다. 이 섹션에 있는 "사서함 서버 데이터 경로" 표에서 대부분의 "기본 인증" 셀에는 인증이 "NTLM/Kerberos"로 표기되어 있습니다.

Exchange 비즈니스 논리 계층은 Exchange 저장소와의 액세스 및 통신에 사용됩니다. 또한 외부 응용 프로그램 및 프로세스와 통신할 때도 Exchange 저장소에서 Exchange 비즈니스 논리 계층을 호출합니다.

Exchange 비즈니스 논리 계층 소비자가 로컬 시스템으로 실행 중인 경우 소비자에서 Exchange 저장소로의 인증 방법은 항상 Kerberos가 됩니다. 로컬 시스템 컴퓨터 계정을 사용하여 소비자를 인증해야 하며 양방향으로 인증된 신뢰 관계가 있어야 하므로 Kerberos가 사용되는 것입니다.

Exchange 비즈니스 논리 계층 소비자가 로컬 시스템으로 실행되고 있지 않으면 인증 방법은 NTLM이 됩니다. 예를 들어, 관리자가 Exchange 비즈니스 논리 계층을 사용하는 Exchange 관리 셸 cmdlet를 실행할 때는 NTLM이 사용됩니다.

RPC 트래픽은 항상 암호화됩니다.

다음 표에서는 사서함 서버간의 데이터 경로에 대한 포트, 인증 및 암호화 정보를 제공합니다.

사서함 서버 데이터 경로

데이터 경로 필요한 포트 기본 인증 지원되는 인증 암호화 지원 여부 암호화 작업 기본 수행 여부

로그 전달(로컬 연속 복제 및 클러스터 연속 복제)

445/임의의 포트(시드)

NTLM/Kerberos

NTLM/Kerberos

예(IPsec)

아니요

VSS(볼륨 섀도 복사본 서비스) 백업

로컬 메시지 블록(SMB)l

NTLM/Kerberos

NTLM/Kerberos

아니요

아니요

레거시 백업/시드

임의의 포트

NTLM/Kerberos

NTLM/Kerberos

예(IPsec)

아니요

클러스터링

135/TCP(RPC), 이 표 다음에 나오는 "사서함 서버 참고 사항" 참조

NTLM/Kerberos

NTLM/Kerberos

예(IPsec)

아니요

MAPI 액세스

135/TCP(RPC)

NTLM/Kerberos

NTLM/Kerberos

예(RPC 암호화)

사서함 도우미

135/TCP(RPC)

NTLM/Kerberos

NTLM/Kerberos

아니요

아니요

가용성 웹 서비스(사서함으로의 클라이언트 액세스)

135/TCP(RPC)

NTLM/Kerberos

NTLM/Kerberos

예(RPC 암호화)

Active Directory 액세스

389/TCP/UDP(LDAP), 3268/TCP(LDAP GC), 88/TCP/UDP(Kerberos), 53/TCP/UDP(DNS), 135/TCP(RPC netlogon)

Kerberos

Kerberos

예(Kerberos 암호화)

콘텐츠 인덱싱

135/TCP(RPC)

NTLM/Kerberos

NTLM/Kerberos

예(RPC 암호화)

관리자 원격 액세스(원격 레지스트리)

135/TCP(RPC)

NTLM/Kerberos

NTLM/Kerberos

예(IPsec)

아니요

관리자 원격 액세스(SMB/파일)

445/TCP(SMB)

NTLM/Kerberos

NTLM/Kerberos

예(IPsec)

아니요

받는 사람 업데이트 서비스 RPC 액세스

135/TCP(RPC)

Kerberos

Kerberos

예(RPC 암호화)

Microsoft Exchange Active Directory 토폴로지 서비스 액세스

135/TCP(RPC)

NTLM/Kerberos

NTLM/Kerberos

예(RPC 암호화)

Microsoft Exchange System Attendant 서비스 레거시 액세스(요청 수신 대기)

135/TCP(RPC)

NTLM/Kerberos

NTLM/Kerberos

아니요

아니요

Active Directory로의 Microsoft Exchange System Attendant 서비스 레거시 액세스

389/TCP/UDP(LDAP), 3268/TCP(LDAP GC), 88/TCP/UDP(Kerberos), 53/TCP/UDP(DNS), 135/TCP(RPC netlogon)

Kerberos

Kerberos

예(Kerberos 암호화)

Microsoft Exchange System Attendant 서비스 레거시 액세스(MAPI 클라이언트로 액세스)

135/TCP(RPC)

NTLM/Kerberos

NTLM/Kerberos

예(RPC 암호화)

OAB(오프라인 주소록)의 Active Directory 액세스

135/TCP(RPC)

Kerberos

Kerberos

예(RPC 암호화)

Active Directory에 대한 받는 사람 업데이트

389/TCP/UDP(LDAP), 3268/TCP(LDAP GC), 88/TCP/UDP(Kerberos), 53/TCP/UDP(DNS), 135/TCP(RPC netlogon)

Kerberos

Kerberos

예(Kerberos 암호화)

Active Directory로의 DSAccess

389/TCP/UDP(LDAP), 3268/TCP(LDAP GC), 88/TCP/UDP(Kerberos), 53/TCP/UDP(DNS), 135/TCP(RPC netlogon)

Kerberos

Kerberos

예(Kerberos 암호화)

Outlook의 OAB(오프라인 주소록) 액세스

80/TCP, 443/TCP(SSL)

NTLM/Kerberos

NTLM/Kerberos

예(HTTPS)

아니요

WebDav

80/TCP, 443/TCP(SSL)

기본, NTLM, 협상

기본, NTLM, 협상

예(HTTPS)

사서함 서버 참고 사항

"협상" 항목이 있는 HTTP 인증의 경우 Kerberos가 먼저 시도된 후에 NTLM이 시도됩니다.

노드 내 통신의 경우 클러스터 노드는 UDP(사용자 데이터그램 프로토콜) 3343 포트를 통해 통신합니다. 클러스터의 각 노드는 클러스터에 있는 다른 노드와 순차화된 유니캐스트 UDP 데이터그램을 주기적으로 교환합니다. 이러한 교환 작업은 모든 노드가 제대로 실행되고 있는지를 확인하고 네트워크 링크의 상태를 모니터링하기 위한 것입니다.

WebDav 응용 프로그램 또는 클라이언트는 80/TCP 또는 443/TCP를 사용하여 사서함 서버에 연결할 수 있지만 대부분의 경우 이러한 응용 프로그램 또는 클라이언트는 클라이언트 액세스 서버에 연결됩니다. 그러면 클라이언트 액세스 서버가 80/TCP 또는 443/TCP를 통해 사서함 서버에 연결됩니다.

이 섹션의 "사서함 서버 데이터 경로" 표에 나와 있는 클러스터링 데이터 경로는 동적 RPC(TCP)를 사용하여 서로 다른 클러스터 노드 간에 클러스터 상태 및 작업을 교환합니다. 클러스터 서비스(ClusSvc.exe)도 UDP/3343 및 임의로 할당된 높은 TCP 포트를 사용하여 각 클러스터 노드와 통신합니다.

클라이언트 액세스 서버

별도로 명시된 경우가 아니면 Office Outlook Web Access, POP3 또는 IMAP4와 같은 클라이언트 액세스 기술은 클라이언트 응용 프로그램에서 클라이언트 액세스 서버로의 인증 및 암호화를 통해 설명됩니다.

다음 표에서는 클라이언트 액세스 서버와 다른 서버 및 클라이언트 간의 데이터 경로에 대한 포트, 인증 및 암호화 정보를 제공합니다.

클라이언트 액세스 서버 데이터 경로

데이터 경로 필요한 포트 기본 인증 지원되는 인증 암호화 지원 여부 암호화 작업 기본 수행 여부

Autodiscover 서비스

80/TCP, 443/TCP(SSL)

기본/Windows 통합 인증(협상)

기본, 다이제스트, NTLM, 협상(Kerberos)

예(HTTPS)

가용성 서비스

80/TCP, 443/TCP(SSL)

NTLM/Kerberos

NTLM, Kerberos

예(HTTPS)

Outlook Web Access

80/TCP, 443/TCP(SSL)

폼 기반 인증

기본, 다이제스트, 폼 기반 인증, NTLM(v2 전용), Kerberos, 인증서

예(HTTPS)

예(자체 서명 인증서 사용)

POP3

110/TCP(TLS), 995/TCP(SSL)

기본, NTLM, Kerberos

기본, NTLM, Kerberos

예(SSL, TLS)

IMAP4

143/TCP(TLS), 993/TCP(SSL)

기본, NTLM, Kerberos

기본, NTLM, Kerberos

예(SSL, TLS)

외부에서 Outlook 사용(이전의 RPC over HTTP)

80/TCP, 443/TCP(SSL)

기본

기본 또는 NTLM

예(HTTPS)

Exchange ActiveSync 응용 프로그램

80/TCP, 443/TCP(SSL)

기본

기본, 인증서

예(HTTPS)

클라이언트 액세스 서버에서 통합 메시징 서버로

5060/TCP, 5061/TCP, 5062/TCP, 동적 포트

IP 주소별

IP 주소별

예(TLS를 통한 SIP(Session Initiation Protocol))

클라이언트 액세스 서버에서 이전 버전의 Exchange Server를 실행 중인 사서함 서버로

80/TCP, 443/TCP(SSL)

NTLM/Kerberos

협상(Kerberos, NTLM 또는 기본(옵션)으로 대체), POP/IMAP 일반 텍스트

예(IPsec)

아니요

클라이언트 액세스 서버에서 Exchange 2007 사서함 서버로

RPC. 이 표 다음에 나오는 "클라이언트 액세스 서버 참고 사항" 참조

Kerberos

NTLM/Kerberos

예(RPC 암호화)

클라이언트 액세스 서버에서 클라이언트 액세스 서버로(Exchange ActiveSync)

80/TCP, 443/TCP(SSL)

Kerberos

Kerberos, 인증서

예(HTTPS)

예(자체 서명 인증서 사용)

클라이언트 액세스 서버에서 클라이언트 액세스 서버로(Outlook Web Access)

80/TCP, 443/TCP(SSL)

Kerberos

Kerberos

예(HTTPS)

WebDAV

80/TCP, 443/TCP(SSL)

HTTP 기본 또는 Outlook Web Access 폼 기반 인증

기본, Outlook Web Access 폼 기반 인증

예(HTTPS)

클라이언트 액세스 서버 참고 사항

클라이언트 액세스 서버는 사서함 서버와 통신할 때 여러 포트를 사용합니다. 몇 가지 예외를 제외하면 사용되는 포트는 RPC 서비스에서 결정하며 변동될 수 있습니다.

"협상" 항목이 있는 HTTP 인증의 경우 Kerberos가 먼저 시도된 후에 NTLM이 시도됩니다.

Exchange 2007 클라이언트 액세스 서버가 Exchange Server 2003을 실행하는 사서함 서버와 통신하는 경우에는 NTLM 인증과 기본 인증을 사용하지 않도록 설정하고 Kerberos를 사용하는 것이 좋습니다. 또한 신뢰할 수 있는 인증서로 폼 기반 인증을 사용하도록 Outlook Web Access를 구성하는 것이 좋습니다. Exchange ActiveSync 클라이언트가 Exchange 2007 클라이언트 액세스 서버를 통해 Exchange 2003 백 엔드 서버와 통신하려면 Windows 통합 인증을 Exchange 2003 백 엔드 서버의 Microsoft-Server-ActiveSync 가상 디렉터리에서 사용하도록 설정해야 합니다. Exchange 2003 서버에서 Exchange System Manager를 사용하여 Exchange 2003 가상 디렉터리에서 인증을 관리하려면 Microsoft 기술 자료 문서 937301, 모바일 장치가 Exchange 2007 server에 연결되어 Exchange 2003 백 엔드 서버의 사서함을 액세스하는 경우 CAS 역활이 실행 중인 Exchange 2007 server에 이벤트 ID 1036이 기록됩니다.에서 참조한 핫픽스를 다운로드하고 설치합니다. 

자세한 내용은 클라이언트 액세스 보안 관리을 참조하십시오.

통합 메시징 서버

IP 게이트웨이는 SIP(Session Initiation Protocol)/TCP 연결용 상호 TLS 및 IP 기반 인증을 사용하는 인증서 기반 인증만 지원합니다. IP 게이트웨이에서는 NTLM 또는 Kerberos 인증이 지원되지 않습니다. 그러므로 IP 기반 인증을 사용하는 경우에는 연결되는 IP 주소를 사용하여 암호화되지 않은 TCP 연결에 인증 메커니즘을 제공하게 됩니다. 통합 메시징에 IP 기반 인증을 사용하는 경우 통합 메시징 서버에서 해당 IP 주소에 대한 연결이 허용되는지를 확인합니다. IP 주소는 IP 게이트웨이 또는 IP PBX에서 구성됩니다.

다음 표에서는 통합 메시징 서버와 다른 서버 간의 데이터 경로에 대한 포트, 인증 및 암호화 정보를 제공합니다.

통합 메시징 서버 데이터 경로

데이터 경로 필요한 포트 기본 인증 지원되는 인증 암호화 지원 여부 암호화 작업 기본 수행 여부

통합 메시징 팩스

5060/TCP, 5061/TCP, 5062/TCP, 동적 포트

IP 주소별

IP 주소별

SIP를 통한 TLS(미디어는 암호화되지 않음)

예(SIP의 경우)

통합 메시징 전화 상호 작용(PBX)

5060/TCP, 5061/TCP, 5062/TCP, 동적 포트

IP 주소별

IP 주소별

SIP를 통한 TLS(미디어는 암호화되지 않음)

예(SIP의 경우)

통합 메시징 웹 서비스

80/TCP, 443/TCP(SSL)

Windows 통합 인증(협상)

기본, 다이제스트, NTLM, 협상(Kerberos)

예(SSL)

통합 메시징에서 허브 서버로

25/TCP(SSL)

Kerberos

Kerberos

예(TLS)

통합 메시징 서버에서 사서함 서버로

135/TCP(RPC)

NTLM/Kerberos

NTLM/Kerberos

예(RPC 암호화)

통합 메시징 서버 참고 사항

Active Directory에서 UM(통합 메시징) IP 게이트웨이 개체를 만들 때는 실제 IP 게이트웨이 또는 IP PBX(Private Branch eXchange)의 IP 주소를 정의해야 합니다. UM IP 게이트웨이 개체에 IP 주소를 정의하면 통합 메시징 서버가 통신하도록 허용된 유효한 IP 게이트웨이 목록에 해당 IP 주소가 추가됩니다. UM IP 게이트웨이를 만들면 UM 다이얼 플랜과 연결됩니다. UM IP 게이트웨이를 다이얼 플랜과 연결하면 해당 다이얼 플랜과 연결된 통합 메시징 서버가 IP 기반 인증을 사용하여 IP 게이트웨이와 통신할 수 있습니다. UM IP 게이트웨이를 만들지 않았거나 올바른 IP 주소를 사용하도록 게이트웨이를 구성하지 않은 경우에는 인증이 실패하고 통합 메시징 서버는 해당 IP 게이트웨이 IP 주소로부터의 연결을 수락하지 않습니다.

Exchange 2007의 RTM(Release To Manufacturing) 버전을 사용하면 통합 메시징 서버는 보안되지 않은 포트 5060/TCP 또는 보안된 포트 5061/TCP에서 통신할 수 있지만 이 두 포트에서 통신할 수 없습니다. Exchange 2007 SP1(서비스 팩 1)을 사용하면 통합 메시징 서버는 포트 5060/TCP 및 포트 5061/TCP에서 동시에 수신합니다.

자세한 내용은 통합 메시징 VoIP 보안 이해통합 메시징의 프로토콜, 포트 및 서비스 이해를 참조하십시오.

Return to top

보안 구성 마법사를 사용하여 Exchange 서버 역할의 Windows 보안

이 섹션에서는 SCW(보안 구성 마법사)를 사용하여 Exchange 2007 서버 역할에 필요하지 않은 Windows 기능을 사용하지 않도록 설정함으로써 서버에서 공격에 취약한 부분을 줄이는 방법을 설명합니다.

보안 구성 마법사 사용

Exchange 2007은 각 Exchange 2007 서버 역할에 대한 SCW 템플릿을 제공합니다. SCW와 함께 이 템플릿을 사용하면 Windows 운영 체제를 구성하여 각 Exchange 서버 역할에 필요하지 않은 서비스와 포트를 잠글 수 있습니다. SCW를 실행하면 사용자 환경에 맞는 사용자 지정 보안 정책이 만들어집니다. 사용자 지정 정책을 조직 내 모든 Exchange 서버에 적용할 수 있습니다. SCW를 사용하여 다음과 같은 기능을 구성할 수 있습니다.

  • 서버 역할 SCW는 서버 역할 정보를 사용하여 서비스를 사용 설정하고 로컬 방화벽에서 포트를 엽니다.

  • 클라이언트 기능 서버가 다른 서버에 대한 클라이언트로 작동합니다. 이 경우 사용자 환경에 필요한 클라이언트 기능만 선택합니다.

  • 관리자 옵션 백업 및 오류 보고와 같이 사용자 환경에 필요한 옵션을 선택합니다.

  • 서비스 서버에 필요한 서비스를 선택하고 정책에서 지정하지 않는 서비스에 대해 시작 모드를 설정합니다. 지정되지 않은 서비스는 선택한 서버에 설치되지 않고 보안 구성 데이터베이스에도 나열되지 않습니다. 구성한 보안 정책은 해당 정책이 만들어진 서버와는 다른 서비스를 실행하는 서버에도 적용될 수 있습니다. 이 정책을 적용한 서버에서 지정되지 않은 서비스가 발견되는 경우 수행할 작업을 결정하는 정책 설정을 선택할 수 있습니다. 서비스의 시작 모드를 변경하지 않거나 해당 서비스를 사용하지 않도록 작업을 설정할 수 있습니다.

  • 네트워크 보안 각 네트워크 인터페이스에 대해 열 포트를 선택합니다. 로컬 네트워크 인터페이스 또는 원격 IP 주소 및 서브넷에 따라 포트 액세스를 제한할 수 있습니다.

  • 레지스트리 설정 레지스트리 설정을 사용하여 다른 컴퓨터와 통신하는 데 사용하는 프로토콜을 구성합니다.

  • 감사 정책 감사 정책은 로깅할 성공 및 오류 이벤트와 감사할 파일 시스템 개체를 결정합니다.

Exchange Server 2007 SCW 템플릿 사용

Exchange 서버 역할을 설치한 후 SCW를 사용하여 보안 정책을 구성하려면 다음 단계를 따르십시오.

  1. SCW를 설치합니다.

  2. SCW 확장을 등록합니다.

  3. 사용자 지정 보안 정책을 만들어 로컬 서버에 적용합니다.

  4. 제공된 역할을 실행하는 조직에 두 개 이상의 Exchange 서버가 있는 경우 사용자 지정 보안 정책을 각 Exchange 서버에 적용할 수 있습니다.

다음 섹션에서는 이전의 각 단계에 대한 절차를 설명합니다.

다음 절차를 수행하려면 사용하는 계정이 다음을 위임받아야 합니다.

  • Exchange Server 관리자 역할 및 대상 서버에 대한 로컬 관리자 그룹

Edge 전송 서버 역할이 설치된 컴퓨터에서 다음 절차를 수행하려면 해당 컴퓨터의 로컬 관리자 그룹에 속한 계정을 사용하여 로그온해야 합니다.

사용 권한, 역할 위임 및 Exchange 2007 관리에 필요한 권한에 대한 자세한 내용은 사용 권한 고려 사항을 참조하십시오.

보안 구성 마법사 설치

SCW를 사용하여 SCW 보안 정책을 적용할 각 Exchange 2007 서버에서 이 절차를 수행해야 합니다.

보안 구성 마법사를 설치하려면 다음을 수행합니다.

  1. 제어판에서 프로그램 추가/제거를 클릭합니다.

  2. Windows 구성 요소 추가/제거를 클릭하여 Windows 구성 요소 마법사를 시작합니다.

  3. Windows 구성 요소 대화 상자에서 보안 구성 마법사 확인란을 선택한 후 다음을 클릭합니다.

  4. 설치가 완료될 때까지 기다린 다음 마침을 클릭합니다.

이 절차를 수행한 후 SCW를 열려면 시작을 클릭하고 모든 프로그램, 관리 도구를 차례로 가리킨 다음 보안 구성 마법사를 클릭합니다.

Exchange Server 역할 SCW 확장 등록

Exchange Server 역할 확장을 사용하면 SCW를 사용하여 각 Microsoft Exchange 서버 역할에 필요한 기능에 대한 보안 정책을 만들 수 있습니다. Exchange 2007과 함께 제공되는 확장을 등록해야 사용자 지정 보안 정책을 만들 수 있습니다.

이 등록 절차는 SCW 보안 정책을 적용할 각 Exchange 2007 서버에서 수행해야 합니다. 다양한 Exchange 2007 서버 역할에는 두 개의 다른 확장 파일이 필요합니다. 사서함, 허브 전송, 통합 메시징 및 클라이언트 액세스 서버 역할의 경우 Exchange2007.xml 확장 파일을 등록합니다. Edge 전송 서버 역할의 경우에는 Exchange2007Edge.xml 확장 파일을 등록합니다.

참고

Exchange 2007 SCW 확장 파일은 %Exchange%\Scripts 디렉터리에 있습니다. 기본 Exchange 설치 디렉터리는 Program Files\Microsoft\Exchange Server입니다. 이 디렉터리 위치는 서버를 설치하는 동안 사용자 지정 디렉터리 위치를 선택하면 달라질 수 있습니다.

중요

Exchange 2007을 사용자 지정 설치 디렉터리에 설치한 경우 SCW 등록이 계속 작동합니다. 그러나 SCW를 사용하려면 수동 해결 방법을 수행하여 사용자 지정 설치 디렉터리를 인식해야 합니다. 자세한 내용은 Microsoft 기술 자료 문서 896742, Windows Server 2003 SP1에서 보안 구성 마법사를 실행한 후 Outlook 사용자가 계정에 연결할 수 없다를 참조하십시오.

사서함, 허브 전송, 통합 메시징 또는 클라이언트 액세스 서버 역할을 실행 중인 컴퓨터에서 보안 구성 마법사 확장을 등록하려면 다음을 수행합니다.

  1. 명령 프롬프트 창을 엽니다. 다음 명령을 입력하여 SCW 명령줄 도구를 사용하여 로컬 보안 구성 데이터베이스에 Exchange 2007 확장을 등록합니다.

    scwcmd register /kbname:Ex2007KB /kbfile:"%programfiles%\Microsoft\Exchange Server\scripts\Exchange2007.xml"

  2. 명령이 제대로 완료되었는지 확인하려면 %windir%\security\msscw\logs 디렉터리에 SCWRegistrar_log.xml 파일이 있는지 봅니다.

Edge 전송 서버 역할을 실행 중인 컴퓨터에서 보안 구성 마법사 확장을 등록하려면 다음을 수행합니다.

  1. 명령 프롬프트 창을 엽니다. 다음 명령을 입력하여 SCW 명령줄 도구를 사용하여 로컬 보안 구성 데이터베이스에 Exchange 2007 확장을 등록합니다.

    scwcmd register /kbname:Ex2007EdgeKB /kbfile:"%programfiles%\Microsoft\Exchange Server\scripts\ Exchange2007Edge.xml"

  2. 명령이 제대로 완료되었는지 확인하려면 %windir%\security\msscw\logs 디렉터리에 SCWRegistrar_log.xml 파일이 있는지 봅니다.

새 Exchange Server 역할 SCW 정책 만들기

이 절차를 사용하여 특정 환경을 위한 사용자 지정 보안 정책을 만듭니다. 사용자 지정 정책을 만든 다음, 해당 정책을 사용하여 조직 내에서 동일한 서버 역할을 실행하는각 Exchange 2007 서버에 동일한 보안 수준을 적용합니다.

참고

다음 절차의 일부 단계에서는 보안 구성 마법사의 모든 페이지에 대한 특정 구성 정보를 제공하지 않습니다. 이러한 경우 사용할 수 있는 서비스 또는 기능이 확실하지 않으면 기본 선택 항목을 그대로 유지하는 것이 좋습니다. Exchange 2007 도움말 파일의 모든 콘텐츠와 마찬가지로 Exchange 2007에서 SCW를 사용하는 방법에 대한 최신 정보는 Exchange Server TechCenter에서 찾을 수 있습니다.

보안 구성 마법사를 사용하여 사용자 지정 보안 정책을 만들려면 다음을 수행합니다.

  1. 시작을 클릭하고 모든 프로그램, 관리자 도구를 차례로 가리킨 다음 보안 구성 마법사를 클릭하여 도구를 시작합니다. 시작 페이지에서 다음을 클릭합니다.

  2. 구성 작업 페이지에서 새 보안 정책 만들기를 선택하고 다음을 클릭합니다.

  3. 서버 선택 페이지에서 서버(DNS 이름, NetBIOS 이름 또는 IP 주소 사용): 필드에 올바른 서버 이름이 나타나는지 확인합니다. 다음을 클릭합니다.

  4. 보안 구성 데이터베이스 처리 중 페이지에서 진행률 표시줄이 완료될 때까지 기다린 후 다음을 클릭합니다.

  5. 역할 단위 서비스 구성 페이지에서 다음을 클릭합니다.

  6. 서버 역할 선택 페이지에서 컴퓨터에 설치한 Exchange 2007 역할을 선택하고 다음을 클릭합니다.

  7. 클라이언트 기능 선택 페이지에서 Exchange 서버에 필요한 각 클라이언트 기능을 선택하고 다음을 클릭합니다.

  8. 관리 및 기타 옵션 선택 페이지에서 Exchange 서버에 필요한 각 관리 기능을 선택하고 다음을 클릭합니다.

  9. 추가 서비스 선택 페이지에서, Exchange 서버에서 사용해야 하는 각 서비스를 선택하고 다음을 클릭합니다.

  10. 지정하지 않은 서비스 처리 페이지에서 현재 로컬 서버에 설치되지 않은 서비스가 발견될 때 수행할 작업을 선택합니다. 아무 작업도 수행하지 않으려면 서비스의 시작 모드를 변경 안 함을 선택하거나 서비스 사용 안 함을 선택하여 해당 서비스가 자동으로 비활성화되도록 할 수 있습니다. 다음을 클릭합니다.

  11. 서비스 변경 확인 페이지에서 이 정책이 현재 서비스 구성에 영향을 미칠 변경을 확인합니다. 다음을 클릭합니다.

  12. 네트워크 보안 페이지에서 현재 영역 건너뛰기가 선택되지 않았는지 확인하고 다음을 클릭합니다.

  13. 포트 열기 및 응용 프로그램 허용 페이지에서 SCW를 Edge 전송 서버에서 실행하는 경우, LDAP 통신용 포트 두 개를 ADAM(Active Directory Application Mode)에 추가해야 합니다.

    1. 추가를 클릭합니다. 포트 또는 응용 프로그램 추가 페이지에서 포트 번호: 필드에 50389을 입력합니다. TCP 확인란을 선택한 다음 확인을 클릭합니다.

    2. 추가를 클릭합니다. 포트 또는 응용 프로그램 추가 페이지에서 포트 번호: 필드에 50636을 입력합니다. TCP 확인란을 선택한 다음 확인을 클릭합니다.

  14. (Edge 전송 서버의 경우에만) 포트 열기 및 응용 프로그램 허용 페이지에서 각 네트워크 어댑터에 사용할 포트를 구성해야 합니다.

    1. Port 25을 선택한 다음 고급을 클릭합니다. 포트 제한 페이지에서 로컬 인터페이스 제한 탭을 클릭합니다. **아래의 로컬 인터페이스:**를 선택하고 내부 네트워크 어댑터와 외부 네트워크 어댑터 확인란을 모두 선택한 다음 확인을 클릭합니다.

    2. Port 50389을 선택한 다음 고급을 클릭합니다. 포트 제한 페이지에서 로컬 인터페이스 제한 탭을 클릭합니다. **아래의 로컬 인터페이스 :**를 선택하고 내부 네트워크 어댑터 확인란만 선택한 다음 확인을 선택합니다.

    3. Port 50636을 선택한 다음 고급을 클릭합니다. 포트 제한 페이지에서 로컬 인터페이스 제한 탭을 클릭합니다. **아래의 로컬 인터페이스 :**를 선택하고 내부 네트워크 어댑터 확인란만 선택한 다음 확인을 선택합니다.

    참고

    각 포트에 사용할 원격 주소 제한을 구성할 수도 있습니다.

  15. 포트 열기 및 응용 프로그램 허용 페이지에서 다음을 클릭합니다.

  16. 포트 구성확인 페이지에서 들어오는 포트 구성이 올바른지 확인하고 다음을 클릭합니다.

  17. 레지스트리 설정 페이지에서 현재 영역 건너뛰기 확인란을 선택하고 다음을 클릭합니다.

  18. 감사 정책 페이지에서 현재 영역 건너뛰기 확인란을 선택하고 다음을 클릭합니다.

  19. IIS(인터넷 정보 서비스) 페이지에서 현재 영역 건너뛰기 확인란을 선택하고 다음을 클릭합니다.

  20. 보안 정책 저장 페이지에서 다음을 클릭합니다.

  21. 보안 정책 파일 이름 페이지에서 보안 정책에 사용할 파일 이름과 설명(옵션)을 입력합니다. 다음을 클릭합니다. 정책이 적용된 후에 서버를 다시 시작해야 할 경우 대화 상자가 나타납니다. 확인을 클릭하여 대화 상자를 닫습니다.

  22. 보안 정책 적용 페이지에서 나중에 적용이나 지금 적용을 선택하고 다음을 클릭합니다.

  23. 보안 구성 마법사 완료 페이지에서 마침을 클릭합니다.

기존 SCW 정책을 Exchange 서버 역할에 적용하는 방법

정책을 만든 후에 조직에서 같은 역할을 실행하는 여러 컴퓨터에 적용할 수 있습니다.

보안 구성 마법사를 사용하여 기존 정책을 적용하려면 다음을 수행합니다.

  1. 시작을 클릭하고 모든 프로그램, 관리자 도구를 차례로 가리킨 다음 보안 구성 마법사를 클릭하여 도구를 시작합니다. 시작 페이지에서 다음을 클릭합니다.

  2. 구성 작업 페이지에서 기존 보안 정책 적용을 선택합니다. 찾아보기클릭하여 정책에 대한 XML 파일을 선택한 다음 열기를 클릭합니다. 다음을 클릭합니다.

  3. 서버 선택 페이지에서 서버(DNS 이름, NetBIOS 이름 또는 IP 주소 사용): 필드에 올바른 서버 이름이 나타나는지 확인합니다. 다음을 클릭합니다.

  4. 보안 정책 적용 페이지에서 정책 자세히를 보려면 보안 정책 보기를 클릭하고 다음을 클릭합니다.

  5. 보안 정책 적용 페이지에서 진행률 표시줄에 정책 적용 완료가 나타날 때까지 기다린 후 다음을 클릭합니다.

  6. 보안 구성 마법사 완료 페이지에서 마침을 클릭합니다.

Return to top

부록 1: Exchange 2007 SCW 등록 파일에 의해 사용하도록 설정되는 서비스 및 포트 실행 파일

SCW(보안 구성 마법사)에서는 XML 등록 파일을 사용하여 Windows 운영 체제가 다른 응용 프로그램과 함께 작동하도록 구성할 수 있습니다. SCW가 사용하는 등록 파일은 특정 응용 프로그램을 작동하기 위해 필요한 보안 구성을 정의합니다. 최소한 보안 구성은 특정 응용 프로그램에 필요한 서비스 및 포트를 정의합니다.

이 항목에서는 기본 Exchange 2007 등록 파일과 함께 SCW를 실행할 경우 각 Exchange 2007 서버 역할에 대해 사용하도록 설정할 수 있는 서비스 및 포트를 설명합니다.

등록 파일

Exchange 2007에는 두 개의 SCW용 등록 파일이 포함됩니다. 일반 Exchange 2007 등록 파일을 Exchange2007.xml이라고 합니다. 이는 Edge 전송 서버 역할을 제외한 모든 Microsoft Exchange 서버 역할에 대한 보안 구성을 정의합니다. Edge 전송 서버 역할에 대한 등록 파일은 Exchange2007Edge.xml이라 합니다. 이는 Edge 전송 서버의 보안 구성을 정의합니다.

등록 파일은 Exchange 2007 설치 시 %Programfiles%\Microsoft\Exchange Server\Scripts 디렉터리에 설치됩니다.

사용하도록 설정된 서비스는 서비스 시작 값을 자동 또는 수동 중 하나로 설정합니다.

사용하도록 설정된 포트는 특정 응용 프로그램에 대해 포트를 열도록 Windows 방화벽에 의해 트러스트되는 실행 파일(.exe)을 지정합니다.

SCW에서 사용되는 Exchange 2007 등록 파일은 기본 위치에 따라 포트 실행 파일을 지정합니다. 대부분의 경우 기본 위치는 %Programfiles%\Microsoft\Exchange Server\bin입니다. Exchange를 다른 위치에 설치할 경우 설치된 올바른 위치를 나타내도록 Exchange 2007 등록 파일의 <포트> 섹션에서 <경로> 값을 편집해야 합니다.

사서함 서버 역할

다음 서비스는 사서함 서버 역할의 Exchange 2007 등록 파일(Exchange2007.xml)에 의해 사용하도록 설정되어 있습니다.

Microsoft 검색(Exchange Server) 서비스 및 Microsoft Exchange Monitoring은 수동으로 시작하도록 설정되어 있습니다. 다른 모든 서비스는 자동으로 시작되도록 설정되어 있습니다.

서비스 약식 이름 서비스 이름

MSExchangeIS

Microsoft Exchange Information Store

MSExchangeADTopology

Microsoft Exchange Active Directory 토폴로지

MSExchangeRepl

Microsoft Exchange Replication Service

MSExchangeMailboxAssistants

Microsoft Exchange 사서함 도우미

MSExchangeSearch

Microsoft Exchange Search Indexer

MSExchangeServiceHost

Microsoft Exchange Service Host

MSExchangeMonitoring

Microsoft Exchange Monitoring

MSExchangeSA

Microsoft Exchange System Attendant

MSExchangeMailSubmission

Microsoft Exchange Mail Submission Service

msftesql-Exchange

Microsoft 검색(Exchange Server)

다음은 사용하도록 설정된 포트입니다.

포트 이름 연결된 실행 파일

MSExchangeADTopologyPorts

MSExchangeADTopologyService.exe

MSExchangeISPorts

Store.exe

MSExchangeReplPorts

Microsoft.Exchange.Cluster.ReplayService.exe

MSExchangeMailboxAssistantsPorts

MSExchangeMailboxAssistants.exe

MSExchangeSearchPorts

Microsoft.Exchange.Search.ExSearch.exe

MSExchangeServiceHostPorts

Microsoft.Exchange.ServiceHost.exe

MSExchangeMonitoringPorts

Microsoft.Exchange.Monitoring.exe

MSExchangeSAPorts

Mad.exe

MSExchangeMailSubmissionPorts

MSExchangeMailSubmission.exe

msftesql-ExchangePorts

Msftesql.exe

MSExchangeTransportLogSearchPorts

MSExchangeTransportLogSearch.exe

클러스터된 사서함 서버 역할

사서함 서버 역할에서 사용하도록 설정되어 있고 이 항목 이전의 사서함 서버 역할 섹션에 설명되어 있는 서비스 및 포트는 클러스터된 사서함 서버 역할에서 사용하도록 설정되어 있습니다.

또한 Microsoft Cluster 서비스가 자동으로 시작되도록 설정되어 있습니다.

서비스 약식 이름 서비스 이름

ClusSvc

Microsoft Cluster 서비스

다음 역시 사용하도록 설정된 포트입니다.

참고

클러스터 특정의 실행 파일에 대한 기본 경로는 %windir%\Cluster입니다. Powershell.exe의 기본 경로는 %windir%\system32\windowspowershell\v1.0입니다.

포트 이름 연결된 실행 파일

ExSetupPorts

ExSetup.exe

clussvcPorts

Clussvc.exe

CluAdminPorts

CluAdmin.exe

resrcmonPorts

Resrcmon.exe

msftefdPorts

Msftefd.exe

powershellPorts

Powershell.exe

허브 전송 서버 역할

다음 서비스는 허브 전송 서버 역할의 Exchange 2007 등록 파일(Exchange2007.xml)에 의해 사용하도록 설정되어 있습니다.

Microsoft Exchange Monitoring은 수동으로 시작되도록 설정되어 있습니다. 다른 모든 서비스는 자동으로 시작되도록 설정되어 있습니다.

서비스 약식 이름 서비스 이름

MSExchangeADTopology

Microsoft Exchange Active Directory 토폴로지 서비스

MSExchangeTransport

Microsoft Exchange Transport Service

MSExchangeAntispamUpdate

Microsoft Exchange Anti-spam Update Service

MSExchangeEdgeSync

Microsoft Exchange EdgeSync Service

MSExchangeTransportLogSearch

Microsoft Exchange Transport Log Search Service

MSExchangeMonitoring

Microsoft Exchange Monitoring

다음은 사용하도록 설정된 포트입니다.

포트 이름 연결된 실행 파일

MSExchangeADTopologyPorts

MSExchangeADTopologyService.exe

MSExchangeTransportPorts

MSExchangeTransport.exe

EdgeTransportPorts

EdgeTransport.exe

MSExchangeAntispamUpdatePorts

Microsoft.Exchange.AntispamUpdateSvc.exe

MSExchangeEdgeSyncPorts

Microsoft.Exchange.EdgeSyncSvc.exe

MSExchangeTransportLogSearchPorts

MSExchangeTransportLogSearch.exe

MSExchangeMonitoringPorts

Microsoft.Exchange.Monitoring.exe

Edge 전송 서버 역할

다음 서비스는 Edge 전송 서버 역할의 등록 파일(Exchange2007Edge.xml)에 의해 사용하도록 설정되어 있습니다.

Microsoft Exchange Monitoring 및 Microsoft Exchange Transport Log Search Service는 수동으로 시작하도록 설정되어 있습니다. 다른 모든 서비스는 자동으로 시작되도록 설정되어 있습니다.

서비스 약식 이름 서비스 이름

MSExchangeTransport

Microsoft Exchange Transport Service

MSExchangeAntispamUpdate

Microsoft Exchange Anti-spam Update Service

ADAM_MSExchange

Microsoft Exchange ADAM

EdgeCredentialSvc

Microsoft Exchange Credential Service

MSExchangeTransportLogSearch

Microsoft Exchange Transport Log Search Service

MSExchangeMonitoring

Microsoft Exchange Monitoring

다음은 사용하도록 설정된 포트입니다.

참고

Dsadmin.exe의 기본 경로는 %windir%\ADAM입니다.

포트 이름 연결된 실행 파일

MSExchangeTransportPorts

MSExchangeTransport.exe

EdgeTransportPorts

EdgeTransport.exe

MSExchangeAntispamUpdatePorts

Microsoft.Exchange.AntispamUpdateSvc.exe

ADAM_MSExchangePorts

Dsamain.exe

EdgeCredentialSvcPorts

EdgeCredentialSvc.exe

MSExchangeTransportLogSearchPorts

MSExchangeTransportLogSearch.exe

MSExchangeMonitoringPorts

Microsoft.Exchange.Monitoring.exe

클라이언트 액세스 서버 역할

다음 서비스는 클라이언트 액세스 서버 역할의 Exchange 2007 등록 파일(Exchange2007.xml)에 의해 사용하도록 설정되어 있습니다.

Microsoft Exchange Monitoring, Microsoft Exchange POP3 서비스 및 Microsoft Exchange IMAP4 서비스는 수동으로 시작되도록 설정되어 있습니다. 다른 모든 서비스는 자동으로 시작되도록 설정되어 있습니다.

서비스 약식 이름 서비스 이름

MSExchangeADTopology

Microsoft Exchange Active Directory 토폴로지 서비스

MSExchangePOP3

Microsoft Exchange POP3 서비스

MSExchangeIMAP4

Microsoft Exchange IMAP4 서비스

MSExchangeFDS

Microsoft Exchange 파일 배포 서비스

MSExchangeServiceHost

Microsoft Exchange Service Host

MSExchangeMonitoring

Microsoft Exchange Monitoring

다음은 사용하도록 설정된 포트입니다.

참고

Pop3Service.exe 및 Imap4Service.exe 파일의 기본 경로는 %Programfiles%\Microsoft\Exchange Server\ClientAccess\PopImap입니다.

포트 이름 연결된 실행 파일

MSExchangeADTopologyPorts

MSExchangeADTopologyService.exe

MSExchangePOP3Ports

Microsoft.Exchange.Pop3Service.exe

MSExchangeIMAP4Ports

Microsoft.Exchange.Imap4Service.exe

MSExchangeFDSPorts

MSExchangeFDS.exe

MSExchangeServiceHostPorts

Microsoft.Exchange.ServiceHost.exe

MSExchangeMonitoringPorts

Microsoft.Exchange.Monitoring.exe

통합 메시징 서버 역할

다음 서비스는 통합 메시징 서버 역할의 Exchange 2007 등록 파일(Exchange2007.xml)에 의해 사용하도록 설정되어 있습니다.

Microsoft Exchange Monitoring은 수동으로 시작되도록 설정되어 있습니다. 다른 모든 서비스는 자동으로 시작되도록 설정되어 있습니다.

서비스 이름 이름

MSExchangeADTopology

Microsoft Exchange Active Directory 토폴로지 서비스

MSSpeechService

Microsoft Exchange Speech Engine

MSExchangeUM

Microsoft Exchange 통합 메시징 서비스

MSExchangeFDS

Microsoft Exchange 파일 배포 서비스

MSExchangeMonitoring

Microsoft Exchange Monitoring

다음은 사용하도록 설정된 포트입니다.

참고

SpeechService.exe 파일의 기본 경로는 %Programfiles%\Microsoft\Exchange Server\UnifiedMessaging입니다.

포트 이름 연결된 실행 파일

MSExchangeADTopologyPorts

MSExchangeADTopologyService.exe

MSSPorts

SpeechService.exe

MSExchangeUMPorts

umservice.exe

UMWorkerProcessPorts

UMWorkerProcess.exe

MSExchangeFDSPorts

MSExchangeFDS.exe

MSExchangeMonitoringPorts

Microsoft.Exchange.Monitoring.exe

Return to top

부록 2: 추가 보안 관련 Exchange 설명서

이 섹션에는 추가 보안 관련 Exchange 설명서에 대한 링크가 들어 있습니다. 보안 관련 내용의 최신 목록에 대해서는 보안 및 보호를 참조하십시오.

스팸 방지 및 바이러스 백신 기능

클라이언트 인증 및 액세스 보안

Microsoft Office Outlook Web Access

Outlook Anywhere

POP3 및 IMAP4

사용 권한

메일 흐름 보호

Return to top