수신 커넥터의 익명 릴레이를 허용하는 방법
적용 대상: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
마지막으로 수정된 항목: 2007-07-02
이 항목에서는 Exchange 관리 콘솔이나 Exchange 관리 셸을 사용하여 익명 릴레이를 허용하는 수신 커넥터를 만들고 구성하는 방법에 대해 설명합니다. 수신 커넥터는 Microsoft Exchange Server 2007 허브 전송 서버 역할이나 Edge 전송 서버 역할이 설치된 서버에서 구성됩니다.
릴레이는 SMTP 메시징 수신 서버가 메시지의 최종 대상이 아닐 때 한 SMTP(Simple Mail Transfer Protocol) 메시징 서버에서 다른 메시징 서버로 메시지를 전송하는 것을 말합니다. 인터넷 SMTP 메시징 서버의 익명 릴레이가 제한되지 않을 경우 원치 않는 상업성 전자 메일 보낸 사람 또는 스팸 발송자가 메시지 출처를 숨기는 수단으로 이용할 수 있는 심각한 보안 취약점이 됩니다. 따라서 인터넷 연결 메시징 서버가 허가되지 않은 대상으로 릴레이하지 않도록 제한해야 합니다.
Exchange 2007에서 릴레이는 일반적으로 허용 도메인을 사용하여 처리됩니다. 허용 도메인은 Edge 전송 서버나 허브 전송 서버에 구성됩니다. 이러한 허용 도메인은 추가적으로 내부 릴레이 도메인 또는 외부 릴레이 도메인으로 분류됩니다. 허용 도메인에 대한 자세한 내용은 허용 도메인 관리를 참조하십시오.
들어오는 메시지의 원본을 기반으로 익명 릴레이를 제한할 수도 있습니다. 이 방법은 인증되지 않은 응용 프로그램 또는 메시징 서버가 허브 전송 서버나 Edge 전송 서버를 릴레이 서버로 사용해야 할 때 유용합니다.
시작하기 전에
이 절차를 수행하려면 사용하는 계정이 다음 권한을 위임받아야 합니다.
- Exchange Server 관리자 역할 및 대상 서버에 대한 로컬 관리자 그룹 권한
Edge 전송 서버 역할이 설치되어 있는 컴퓨터에서 다음 절차를 수행하려면 해당 컴퓨터의 로컬 관리자 그룹에 속한 계정을 사용하여 로그온해야 합니다.
사용 권한, 역할 위임 및 Exchange 2007 관리에 필요한 권한에 대한 자세한 내용은 사용 권한 고려 사항을 참조하십시오.
특정 원본 IP 주소에 대해 익명 릴레이 권한을 부여하는 수신 커넥터 만들기
익명 릴레이를 허용하도록 구성된 수신 커넥터를 만들 때는 수신 커넥터에 다음 제한을 적용해야 합니다.
로컬 네트워크 설정 허브 전송 서버나 Edge 전송 서버의 해당 네트워크 어댑터에서만 수신하도록 수신 커넥터를 제한합니다.
원격 네트워크 설정 지정된 서버에서의 연결만 수락하도록 수신 커넥터를 제한합니다. 이러한 제한은 수신 케넉터가 익명 사용자로부터의 릴레이를 수락하도록 구성되기 때문에 필요합니다. 원본 서버를 IP 주소별로 제한하는 것은 이러한 수신 커넥터에서 유일하게 허용되는 보안 방법입니다.
수신 커넥터의 익명 사용자에게 릴레이 권한을 부여하려면 다음 섹션에 설명된 전략 중 하나를 사용할 수 있습니다. 각 전략에는 장단점이 있습니다.
익명 연결에 릴레이 권한 부여
이 전략에는 다음 작업이 포함됩니다.
사용 유형이
Custom으로 설정된 새 수신 커넥터를 만듭니다.익명 권한 그룹을 수신 커넥터에 추가합니다.
수신 커넥터의 익명 로그온 보안 주체에 릴레이 권한을 할당합니다.
익명 권한 그룹은 수신 커넥터의 익명 로그온 보안 주체에 다음 권한을 부여합니다.
Ms-Exch-Accept-Headers-Routing
Ms-Exch-SMTP-Accept-Any-Sender
Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
Ms-Exch-SMTP-Submit
그러나 이 수신 커넥터에서 익명 릴레이를 허용하려면 수신 커넥터의 익명 로그온 보안 주체에 다음 권한도 부여해야 합니다.
- Ms-Exchange-SMTP-Accept-Any-Recipient
이 전략의 장점은 지정된 원격 IP 주소로의 릴레이에 필요한 최소 사용 권한을 부여한다는 것입니다.
이 전략의 단점은 다음과 같습니다.
수신 커넥터를 만든 후에 별도의 단계를 통해서만 Exchange 관리 셸을 사용하여 수신 커넥터의 익명 로그온 계정에 릴레이 권한을 할당할 수 있습니다.
지정된 IP 주소에서 시작된 메시지는 익명 메시지로 취급됩니다. 따라서 해당 메시지는 스팸 방지 검사 및 메시지 크기 제한 검사를 무시할 수 없으며 익명 보낸 사람을 확인할 수 없습니다. 익명 보낸 사람을 확인하는 프로세스에서는 익명 보낸 사람의 전자 메일 주소와 전체 주소 목록에 나타나는 해당 표시 이름이 일치하는지 강제로 검사합니다.
참고
Windows Server 2008을 실행하는 컴퓨터에 Exchange 2007 SP1(서비스 팩 1)을 배포하는 경우에는 IPv4(Internet Protocol Version 4) 형식이나 IPv6(Internet Protocol Version 6) 형식 또는 두 형식으로 모두 IP 주소 및 IP 주소 범위를 입력할 수 있습니다. Windows Server 2008을 기본 설정으로 설치하면 IPv4 및 IPv6을 사용할 수 있습니다.
수신 커넥터가 알 수 없는 IPv6 주소로부터의 익명 연결을 허용하지 않도록 구성하는 것이 좋습니다. 수신 커넥터가 알 수 없는 IPv6 주소로부터의 익명 연결을 허용하도록 구성되면 조직에 들어오는 스팸의 양이 증가할 수 있습니다. 현재 IPv6 주소를 찾는 데 폭넓게 사용할 수 있는 업계 표준 프로토콜은 없습니다. 대부분의 IP 차단 목록 공급자는 IPv6 주소를 지원하지 않습니다. 따라서 수신 커넥터가 알 수 없는 IPv6 주소로부터의 익명 연결을 허용하도록 구성되면 스팸 발송자가 IP 차단 목록 공급자를 무시하고 조직에 스팸을 배달할 가능성이 높아집니다.
Exchange 2007 SP1의 IPv6 주소 지원에 대한 자세한 내용은 Exchange 2007 SP1 및 SP2에서 IPv6 지원을 참조하십시오. 연결 필터링, IP 허용 목록과 IP 차단 목록에 IP 주소를 추가하는 방법 및 IP 차단 목록 공급자 서비스와 IP 허용 목록 공급자 서비스를 구성하는 방법에 대한 자세한 내용은 연결 필터링 구성을 참조하십시오.
Exchange 관리 콘솔을 사용하여 익명 연결에 대해 릴레이 권한을 부여하는 새 수신 커넥터를 만들려면 다음을 수행합니다.
Exchange 관리 콘솔을 엽니다. 다음 단계 중 하나를 수행합니다.
Edge 전송 서버 역할이 설치된 컴퓨터에서 수신 커넥터를 만들려면 Edge 전송을 선택한 다음 작업 창에서 수신 커넥터 탭을 클릭합니다.
콘솔 트리의 허브 전송 서버 역할에서 수신 커넥터를 만들려면 서버 구성을 확장하고 허브 전송을 클릭합니다. 결과 창에서 커넥터를 만들 서버를 선택한 다음 수신 커넥터 탭을 클릭합니다.
작업 창에서 새 수신 커넥터를 클릭합니다. 새 SMTP 수신 커넥터 마법사가 시작됩니다.
소개 페이지에서 다음 단계를 수행합니다.
이름: 필드에 이 커넥터에 사용할 의미 있는 이름을 입력합니다. 이름은 커넥터를 식별하는 데 사용됩니다.
이 커넥터에 지정할 용도 선택: 필드에서 사용자 지정을 선택합니다.
다음을 클릭합니다.
로컬 네트워크 설정 페이지에서 다음 단계를 수행합니다.
기존 모두 사용 가능 항목을 선택한 다음
.gif "아이콘 제거")
을 클릭합니다.추가를 클릭합니다. 수신 커넥터 바인딩 추가 대화 상자에서 IP 주소 지정을 선택합니다. 원격 메시징 서버와 가장 잘 통신할 수 있는 로컬 서버의 네트워크 어댑터에 할당된 IP 주소를 입력합니다.
로컬 네트워크 설정 페이지의 포트 필드에 25를 입력한 다음 확인을 클릭합니다.
다음을 클릭합니다.
원격 네트워크 설정 페이지에서 다음 단계를 수행합니다.
기존 0.0.0.0 - 255.255.255.255 항목을 선택한 다음
을 클릭합니다.추가 또는 추가 옆에 있는 드롭다운 화살표를 클릭한 다음 해당 서버에서의 메일 릴레이를 허용하는 서버 또는 원격 메시징 서버의 IP 주소 또는 IP 주소 범위를 입력합니다. IP 주소 입력이 끝나면 확인을 클릭합니다.
다음을 클릭합니다.
새 커넥터 페이지에서 해당 커넥터의 구성 요약을 검토합니다. 설정을 수정하려면 뒤로를 클릭합니다. 구성 요약에 있는 설정을 사용하여 수신 커넥터를 만들려면 새로 만들기를 클릭합니다.
완료 페이지에서 마침을 클릭합니다.
만든 수신 커넥터를 작업 창에서 선택합니다.
작업 창에서 수신 커넥터 이름 아래의 속성을 클릭하여 속성 페이지를 엽니다.
사용 권한 그룹 탭을 클릭합니다. 익명 사용자를 선택합니다.
확인을 클릭하여 변경 내용을 저장하고 속성 페이지를 종료합니다.
Exchange 관리 셸을 엽니다.
1-11단계에서 만든 수신 커넥터의 이름을 사용하여 다음 명령을 실행하십시오.
Get-ReceiveConnector "Receive Connector Name" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"
Exchange 관리 셸을 사용하여 익명 연결에 대해 릴레이 권한을 부여하는 새 수신 커넥터를 만들려면 다음을 수행합니다.
다음 명령을 실행합니다.
New-ReceiveConnector -Name <Name> -Usage Custom -PermissionGroups AnonymousUsers -Bindings <LocalIPAddress:25> -RemoteIpRanges <SourceServer>예를 들어 IP 주소 192.168.5.77의 원본 서버에서 포트 25의 로컬 IP 주소 10.2.3.4를 통해 수신하는 "익명 릴레이"라는 새 수신 커넥터를 만들려면 다음 명령을 실행하십시오.
New-ReceiveConnector -Name "Anonymous Relay" -Usage Custom -PermissionGroups AnonymousUsers -Bindings 10.2.3.4:25 -RemoteIpRanges 192.168.5.771단계에서 만든 수신 커넥터의 이름을 사용하여 다음 명령을 실행하십시오.
Get-ReceiveConnector "Anonymous Relay" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"
수신 커넥터를 외부 보안으로 구성
이 전략에는 다음 작업이 포함됩니다.
사용 유형이
Custom으로 설정된 새 수신 커넥터를 만듭니다.ExchangeServers 사용 권한 그룹을 수신 커넥터에 추가합니다.
ExternalAuthoritative인증 메커니즘을 수신 커넥터에 추가합니다.
ExternalAuthoritative 인증 메커니즘을 선택할 때는 ExchangeServers 사용 권한 그룹이 필요합니다. 이와 같은 인증 방법 및 사용 권한 그룹 조합은 수신 커넥터에서 허용된 모든 들어오는 연결에 대해 다음 사용 권한을 부여합니다.
Ms-Exch-Accept-Headers-Routing
Ms-Exch-SMTP-Accept-Any-Sender
Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
Ms-Exch-SMTP-Submit
Ms-Exch-Accept-Exch50
Ms-Exch-Bypass-Anti-Spam
Ms-Exch-Bypass-Message-Size-Limit
Ms-Exch-SMTP-Accept-Any-Recipient
Ms-Exch-SMTP-Accept-Authentication-Flag
이 전략의 장점은 다음과 같습니다.
쉬운 구성
지정된 IP 주소에서 시작된 메시지는 인증된 메시지로 취급됩니다. 해당 메시지는 스팸 방지 검사와 메시지 크기 제한 검사를 무시하고 익명 보낸 사람을 인증할 수 있습니다.
이 전략의 단점은 원격 IP 주소가 완전히 신뢰할 수 있는 것으로 간주된다는 것입니다. 원격 IP 주소에 부여된 사용 권한은 원격 메시징 서버가 마치 Exchange 조직의 내부 보낸 사람이 만든 것처럼 메시지를 전송할 수 있도록 합니다.
Exchange 관리 콘솔을 사용하여 외부 보안으로 구성된 새 수신 커넥터를 만들려면 다음을 수행합니다.
Exchange 관리 콘솔을 엽니다. 다음 단계 중 하나를 수행합니다.
Edge 전송 서버 역할이 설치된 컴퓨터에서 수신 커넥터를 만들려면 Edge 전송을 선택한 다음 작업 창에서 수신 커넥터 탭을 클릭합니다.
콘솔 트리의 허브 전송 서버 역할에서 수신 커넥터를 만들려면 서버 구성을 확장하고 허브 전송을 클릭합니다. 결과 창에서 커넥터를 만들 서버를 선택한 다음 수신 커넥터 탭을 클릭합니다.
작업 창에서 새 수신 커넥터를 클릭합니다. 새 SMTP 수신 커넥터 마법사가 시작됩니다.
소개 페이지에서 다음 단계를 수행합니다.
이름: 필드에 이 커넥터에 사용할 의미 있는 이름을 입력합니다. 이름은 커넥터를 식별하는 데 사용됩니다.
이 커넥터에 지정할 용도 선택: 필드에서 사용자 지정을 선택합니다.
다음을 클릭합니다.
로컬 네트워크 설정 페이지에서 다음 단계를 수행합니다.
기존 모두 사용 가능 항목을 선택한 다음
을 클릭합니다.추가를 클릭합니다. 수신 커넥터 바인딩 추가 대화 상자에서 IP 주소 지정을 선택합니다. 원격 메시징 서버와 가장 잘 통신할 수 있는 로컬 서버의 네트워크 어댑터에 할당된 IP 주소를 입력합니다.
로컬 네트워크 설정 페이지의 포트 필드에 25를 입력한 다음 확인을 클릭합니다.
다음을 클릭합니다.
원격 네트워크 설정 페이지에서 다음 단계를 수행합니다.
기존 0.0.0.0 - 255.255.255.255 항목을 선택한 다음
을 클릭합니다.추가 또는 추가 옆에 있는 드롭다운 화살표를 클릭한 다음 해당 서버에서의 메일 릴레이를 허용하는 서버 또는 원격 메시징 서버의 IP 주소 또는 IP 주소 범위를 입력합니다. IP 주소 입력이 끝나면 확인을 클릭합니다.
다음을 클릭합니다.
새 커넥터 페이지에서 해당 커넥터의 구성 요약을 검토합니다. 설정을 수정하려면 뒤로를 클릭합니다. 구성 요약에 있는 설정을 사용하여 수신 커넥터를 만들려면 새로 만들기를 클릭합니다.
완료 페이지에서 마침을 클릭합니다.
만든 수신 커넥터를 작업 창에서 선택합니다.
작업 창에서 수신 커넥터 이름 아래의 속성을 클릭하여 속성 페이지를 엽니다.
사용 권한 그룹 탭을 클릭합니다. Exchange 서버를 선택합니다.
인증 탭을 클릭합니다. **외부 보안(예: IPsec 사용)**을 선택합니다.
확인을 클릭하여 변경 내용을 저장하고 속성 페이지를 종료합니다.
Exchange 관리 콘솔을 사용하여 외부 보안으로 구성된 새 수신 커넥터를 만들려면 다음을 수행합니다.
다음 명령을 실행합니다.
New-ReceiveConnector -Name <Name> -Usage Custom -AuthMechanism ExternalAuthoritative -PermissionGroups ExchangeServers -Bindings <LocalIPAddress:25> -RemoteIpRanges <SourceServer>예를 들어 IP 주소 192.168.5.77의 원본 서버에서 포트 25의 로컬 IP 주소 10.2.3.4를 통해 수신하는 "익명 릴레이"라는 새 수신 커넥터를 만들려면 다음 명령을 실행하십시오.
New-ReceiveConnector -Name "Anonymous Relay" -Usage Custom -AuthMechanism ExternalAuthoritative -PermissionGroups ExchangeServers -Bindings 10.2.3.4:25 -RemoteIpRanges 192.168.5.77
자세한 내용
자세한 내용은 다음 항목을 참조하십시오.