연결 필터링 구성
적용 대상: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
마지막으로 수정된 항목: 2007-07-06
연결 필터링을 구성하는 방법에 대해 간략히 설명합니다. 사용자 지정 또는 보다 고급 구성의 경우 이 항목의 각 섹션에 나와 있는 링크를 참조하십시오. 연결 필터링의 작동 방식에 대한 자세한 내용은 연결 필터링를 참조하십시오.
참고
Edge 전송 서버 역할이 설치된 컴퓨터의 구성 가능한 구성 요소 관점에서 보면 연결 필터링 기능은 IP 차단 목록, IP 허용 목록, IP 차단 목록 공급자 및 IP 허용 목록 공급자의 모음을 의미합니다. 연결 필터링은 서버를 확장하는 데 사용됩니다.
연결 필터링을 구성하는 단계는 다음과 같습니다.
연결 필터링 구성 요소를 사용하도록 설정합니다.
IP 허용 목록 및 IP 차단 목록에 IP 주소를 추가합니다.
IP 허용 목록 공급자 및 IP 차단 목록 공급자를 구성합니다.
첫 번째 SMTP(Simple Mail Transfer Protocol) 진입점이 아닌 Edge 전송 서버에 대한 연결 필터링을 구성합니다.
IP 차단 및 IP 허용 기능을 테스트합니다.
중요
Exchange 관리 콘솔 또는 Exchange 관리 셸을 사용하여 연결 필터링에 수행한 구성 변경 내용은 Edge 전송 서버 역할이 설치된 로컬 컴퓨터에만 적용됩니다. 조직 내에서 Edge 전송 서버 역할의 인스턴스가 여러 개 실행되고 있는 경우 연결 필터링 구성 변경 내용을 각 컴퓨터에 적용해야 합니다.
연결 필터링 구성 요소 사용
기본적으로 연결 필터링은 인증되지 않은 인터넷에서 오는 인바운드 메시지를 위한 Edge 전송 서버에서 사용됩니다. 이러한 메시지는 외부 메시지로 처리됩니다. Exchange 관리 콘솔 또는 Exchange 관리 셸을 사용하여 각 컴퓨터 구성에서 필터를 사용하지 않도록 설정할 수 있습니다.
컴퓨터에 연결 필터링을 사용하도록 설정한 경우 연결 필터 에이전트는 해당 컴퓨터의 모든 수신 커넥터를 통해 들어오는 메시지를 모두 필터링합니다. 이 항목의 처음에서 설명했듯이 외부 출처에서 오는 메시지만 필터링됩니다. 외부 원본은 인증되지 않은 원본으로 정의되며 익명의 인터넷 원본으로 간주됩니다.
수신 커넥터 구성 방법과 메시지 원본 범주 확인 방법에 대한 자세한 내용은 수신 커넥터를 참조하십시오.
신뢰할 수 있는 파트너나 조직 내부에서 오는 메시지는 필터링하지 않는 것이 좋습니다. 스팸 방지 필터를 실행하면 언제나 메시지를 잘못 필터링할 가능성이 있습니다. 유효한 전자 메일 메시지가 잘못 처리될 확률을 줄이려면 신뢰할 수 없거나 알 수 없는 출처에서 오는 메시지에만 스팸 방지 에이전트를 사용하도록 설정해야 합니다. Exchange 관리 셸을 사용하여 출처에 상관없이 메시지에 연결 필터링을 사용하도록 설정하거나 사용하지 않도록 설정할 수 있습니다.
연결 필터링을 사용하도록 설정하는 방법에 대한 자세한 내용은 연결 필터링을 사용하도록 설정하는 방법을 참조하십시오.
차단 및 허용 목록에 IP 주소 추가
연결 필터링에 설명된 대로 IP 차단 목록과 IP 허용 목록은 연결 필터링이 작동되는 IP 주소 및 IP 주소 범위를 지정하는 관리자가 정의한 목록입니다. 원래 IP 주소가 IP 차단 목록의 IP 주소나 IP 주소 범위와 일치하면 연결 필터 에이전트는 메시지의 모든 RCPT TO: 헤더를 처리한 다음 MAIL FROM 명령 이후의 메시지를 거부합니다. 원래 IP 주소가 IP 허용 목록의 IP 주소나 IP 주소 범위와 일치하면 연결 필터 에이전트는 다른 스팸 방지 에이전트에 의한 추가적인 처리 없이 대상으로 메시지를 전송합니다. 스팸 방지 에이전트가 함께 작동하는 방식 및 적용 순서에 대한 자세한 내용은 스팸 방지 및 바이러스 백신 기능를 참조하십시오.
참고
Windows Server 2008을 실행하는 컴퓨터에 Microsoft Exchange Server 2007 SP1(서비스 팩 1)을 배포하고 해당 컴퓨터에서 IPv6 및 IPv4(Internet Protocol Version 4)를 모두 사용할 수 있으며 네트워크에서 두 가지 IP 주소 버전 모두 지원하는 경우에만 IPv6(Internet Protocol Version 6) 주소 및 IP 주소 범위의 사용이 지원됩니다. 이러한 구성으로 Exchange 2007 SP1이 배포된 경우 모든 서버 역할은 IPv6 주소를 사용하는 장치, 서버 및 클라이언트와 데이터를 주고받을 수 있습니다. Windows Server 2008을 기본 설정으로 설치하면 IPv4 및 IPv6을 사용할 수 있습니다. Exchange 2007 SP1이 Windows Server 2003에 설치되어 있으면 IPv6 주소가 지원되지 않습니다. Exchange 2007 SP1의 IPv6 주소 지원에 대한 자세한 내용은 Exchange 2007 SP1 및 SP2에서 IPv6 지원을 참조하십시오.
IP 차단 목록 및 IP 허용 목록에 IP 주소를 추가하는 방법에 대한 자세한 내용은 IP 주소를 IP 허용 목록 및 IP 차단 목록에 추가하는 방법을 참조하십시오.
IP 차단 목록 공급자 및 IP 허용 목록 공급자 구성
IP 차단 목록 및 IP 허용 목록 공급자 서비스는 Edge 전송 서버에서 스팸을 줄이고 전체적인 메시지 처리를 향상시키는 데 도움이 됩니다. 여러 IP 차단 목록 공급자 서비스 및 IP 허용 목록 공급자 서비스를 구성하는 것도 고려해야 합니다.
참고
여러 IP 차단 목록 공급자 서비스는 RBL(실시간 차단 목록) 서비스라고도 합니다. IP 허용 목록 공급자 서비스는 수신 허용 목록 서비스라고도 합니다.
구성한 각 IP 차단 목록 공급자 서비스에 대해 보낸 사람 IP 주소가 IP 차단 목록 공급자 서비스와 일치할 경우 연결 필터 에이전트에 의해 차단될 때 보낸 사람에게 반환되는 SMTP 550 오류를 사용자 지정할 수 있습니다. 보낸 사람이 차단된 IP 주소로 식별되는 IP 차단 목록 공급자 서비스를 식별하도록 SMTP 오류를 사용자 지정하는 것이 가장 좋습니다. 이렇게 하면 합법적인 발신자가 IP 차단 목록 공급자 서비스에 접촉할 경우 IP 차단 목록 공급자 서비스의 IP 차단 목록에서 제거되도록 할 수 있습니다.
메시지를 전송하는 원격 서버의 IP 주소가 IP 차단 목록 공급자 서비스의 IP 차단 목록의 IP 주소와 일치할 경우 서로 다른 IP 차단 목록 공급자 서비스에서 다양한 코드를 반환할 수 있습니다. 대부분의 IP 차단 목록 공급자 서비스에서는 비트 마스크 또는 절대값 데이터 형식 중 하나를 반환합니다. 이러한 데이터 형식 내에 제출된 IP 주소가 있는 목록의 유형을 나타내는 값이 여러 개 있을 수 있습니다.
비트 마스크 예
이 섹션에서는 대부분의 차단 목록 공급자가 반환하는 상태 코드의 예를 보여줍니다. 특정 공급자가 반환하는 상태 코드에 대해 알아보려면 해당 공급자의 설명서를 참조하십시오.
비트 마스크 데이터 형식의 경우 IP 차단 목록 공급자 서비스는 상태 코드인 127.0.0.x를 반환합니다. 여기서 정수 x는 다음 표에 나와 있는 값 중 하나입니다.
비트 마스크 데이터 형식의 값 및 상태 코드
| 값 | 상태 코드 |
|---|---|
1 |
IP 주소가 IP 차단 목록에 있습니다. |
2 |
SMTP 서버가 오픈 릴레이 역할을 하도록 구성되어 있습니다. |
4 |
IP 주소가 전화 접속 IP 주소를 지원합니다. |
절대값 형식의 경우 IP 차단 목록 공급자 서비스는 IP 주소를 차단한 이유에 따라 명시적인 응답을 반환합니다. 다음 표에서는 절대값과 명시적 응답의 몇 가지 예를 보여줍니다.
절대값 데이터 형식에 대한 값 및 상태 코드
| 값 | 명시적 응답 |
|---|---|
127.0.0.2 |
이 IP 주소는 직접 스팸 출처입니다. |
127.0.0.4 |
이 IP 주소는 벌크 메일 발송 주소입니다. |
127.0.0.5 |
메시지를 전송하는 원격 서버는 다단계 오픈 릴레이를 지원하는 것으로 알려져 있습니다. |
IP 허용 목록 공급자 및 IP 차단 목록 공급자를 구성하는 방법에 대한 자세한 내용은 IP 허용 목록 및 IP 차단 목록 공급자를 구성하는 방법을 참조하십시오.
첫 번째 SMTP 진입점이 아닌 Edge 전송 서버에 대해 연결 필터링 구성
어떤 조직에서는 인터넷에서 직접 SMTP 요청을 처리하지 않는 컴퓨터에 Edge 전송 서버 역할이 설치됩니다. 이러한 경우 Edge 전송 서버는 인터넷으로부터 인바운드 메시지를 직접 처리하는 다른 프런트 엔드 SMTP 서버 뒤에 있습니다. 이때 연결 필터 에이전트는 메시지에서 올바른 원래 IP 주소를 추출할 수 있어야 합니다. 원래 IP 주소를 추출하여 평가하려면 연결 필터 에이전트에서는 메시지에서 Received 헤더를 구문 분석하고 경계 네트워크의 알려진 SMTP 서버와 이러한 헤더를 비교해야 합니다.
RFC 호환 SMTP 서버에서 메시지를 수신하면 메시지의 Received 헤더를 보낸 사람의 도메인 이름과 IP 주소로 업데이트합니다. 그러므로 원래 보낸 사람과 Edge 전송 서버 사이에 있는 각 SMTP 서버에서는 Received 헤더 항목을 추가합니다.
경계 네트워크에서 Microsoft Exchange Server 2007을 지원하도록 구성할 경우 경계 네트워크의 SMTP 서버에 대한 모든 IP 주소를 지정해야 합니다. IP 주소 데이터는 EdgeSync에 의해 Edge 전송 서버로 복제됩니다. 연결 필터 에이전트를 실행하는 컴퓨터에 메시지가 수신될 경우 경계 네트워크의 STMP 서버 IP 주소와 일치하지 않는 Received 헤더의 IP 주소가 원래 IP 주소인 것으로 간주됩니다.
Active Directory 포리스트의 전송 구성 개체에 대한 내부 SMTP 서버를 모두 지정한 다음 연결 필터링을 실행해야 합니다. Set-TransportConfig cmdlet의 InternalSMTPServers 매개 변수를 사용하여 내부 SMTP 서버를 지정하십시오.
IP 차단 목록 및 IP 허용 목록 기능 테스트
IP 차단 목록 공급자 서비스 또는 IP 허용 목록 공급자 서비스를 구성한 후에 연결 필터링이 특정 서비스에 대해 올바르게 구성되었는지 테스트할 수 있습니다. 대부분의 IP 차단 목록 공급자 서비스 또는 IP 허용 목록 공급자 서비스에서는 해당 서비스를 테스트하는 데 사용할 수 있는 테스트 IP 주소를 제공합니다. IP 차단 목록 공급자 서비스 또는 IP 허용 목록 공급자 서비스에 대한 테스트를 실행할 때 연결 필터 에이전트는 특정 응답을 보여야 하는 RBL(실시간 차단 목록) IP 주소를 기준으로 하는 DNS(Domain Name System) 쿼리를 실행합니다. RBL 서비스에 대한 자세한 내용은 연결 필터링을 참조하십시오. IP 차단 목록 공급자 서비스 또는 IP 허용 목록 공급자 서비스의 IP 주소를 테스트하는 방법에 대한 자세한 내용은 Test-IPAllowListProvider 및 Test-IPBlockListProvider를 참조하십시오.
자세한 내용
Exchange 관리 콘솔을 사용하여 연결 필터링을 구성하는 방법에 대한 자세한 내용은 다음 항목을 참조하십시오.
Exchange 관리 셸을 사용하여 연결 필터링을 구성하는 방법에 대한 자세한 내용은 다음 항목을 참조하십시오.