스팸 방지 및 바이러스 백신 메일 흐름 이해

  • 아티클

 

적용 대상: Exchange Server 2010 SP2, Exchange Server 2010 SP3

마지막으로 수정된 항목: 2016-11-28

외부 사용자가 스팸 방지 기능을 실행하는 Microsoft Exchange 서버로 전자 메일 메시지를 보내는 경우 스팸 방지 기능은 인바운드 메시지의 특성을 평가하여 스팸으로 의심되는 메시지를 필터링하거나 메시지가 스팸일 가능성에 따라 등급을 지정합니다. 이 등급은 메시지와 함께 SCL(스팸 지수) 등급이라는 메시지 속성으로 저장됩니다. 메시지를 다른 Exchange 서버로 보낼 때 이 등급이 메시지와 함께 유지됩니다.

다음 그림은 기본 스팸 방지 기능 및 Microsoft Forefront Protection for Exchange Server가 인터넷에서 들어오는 인바운드 메시지를 필터링하는 순서를 보여줍니다. 기본적으로 스팸 방지 및 바이러스 백신 기능은 리소스 필터링을 가장 적게 사용하는 필터를 먼저 사용하여 이와 같은 순서로 정렬되며, 리소스 필터링을 가장 많이 사용하는 필터는 마지막에 사용됩니다.

참고

다음 그림과 설명에서는 Microsoft Exchange Server 2010 Edge 전송 서버가 인바운드 메시지를 허용하는 첫 번째 SMTP 서버라고 가정합니다. 일부 조직에서는 타사 SMTP 서버 뒤에 Edge 전송 서버를 배포하기도 합니다. Exchange 2010 Edge 전송 서버가 타사 SMTP 게이트웨이 서버 뒤에 배포되면 Exchange 2010 Edge 전송 서버에는 추가 구성이 필요합니다. 특히 모든 SMTP 게이트웨이 서버가 TransportConfig 개체의 InternalSMTPServer 속성에 나열되는지 확인해야 합니다. 자세한 내용은 Set-TransportConfig를 참조하십시오.

추가적인 Exchange 스팸 방지 및 바이러스 백신 기능에 대한 자세한 내용은 Microsoft Forefront Protection 2010 for Exchange Server를 참조하십시오.

인터넷에서 들어오는 인바운드 메시지에 대한 바이러스 백신 필터링 기능이 포함된 기본 스팸 방지 기능

앞의 그림에 표시된 것과 같이 SMTP 서버가 Exchange 2010에 연결하여 SMTP 세션을 시작하면 Edge 전송 서버가 인터넷에 연결되었을 때 다음과 같은 순서로 필터가 적용됩니다.

  • 연결 필터링

  • 보낸 사람 필터링

  • 받는 사람 필터링

  • 보낸 사람 ID 필터링

  • 콘텐츠 필터링

  • 보낸 사람 신뢰도 필터링

  • 첨부 파일 필터링

  • 바이러스 백신 검사

  • Outlook 정크 메일 필터링

참고

연결 필터링은 서로 다른 두 이벤트에서 정보를 수집합니다. 첫 번째 이벤트에서는 연결 필터링이 연결로부터 IP 주소 정보를 수집합니다(앞의 그림 참조). 두 번째 이벤트에서는 보낸 사람 필터 에이전트가 메시지 헤더를 구문 분석하여 첫 번째 외부 IP 주소를 확인할 때 연결 필터링이 정보를 수집합니다(이 항목 뒷부분의 "보낸 사람 필터링" 그림 참조). 에이전트는 여러 이벤트를 모니터링할 수 있습니다. 앞의 그림에서는 에이전트가 적용되는 대략적인 순서를 자세히 보여줍니다. 이는 모든 에이전트가 사용 가능하도록 설정되어 있는 경우이며 메시지 흐름을 보여주기 위한 용도입니다. 특정 이벤트 및 에이전트가 모니터링하는 이벤트에 대한 자세한 내용은 전송 에이전트 이해를 참조하십시오.

스팸 방지 및 바이러스 백신 기능과 관련된 관리 작업에 대한 자세한 내용은 스팸 방지 및 바이러스 백신 기능 관리를 참조하십시오.

목차

연결 필터링

보낸 사람 필터링

받는 사람 필터링

보낸 사람 ID 필터링

콘텐츠 필터링

보낸 사람 신뢰도 필터링

첨부 파일 필터링

바이러스 백신 검사

Outlook 정크 메일 필터링

연결 필터링

SMTP 세션 중에 Exchange 2010은 다음 그림에서와 같이 표시된 기준을 사용하여 연결 필터링을 적용합니다.

연결 필터링 메일 흐름

다음 프로세스가 적용됩니다.

  1. 연결 필터 에이전트는 관리자가 정의한 IP 허용 목록을 검사합니다. 보내는 서버의 IP 주소가 관리자가 정의한 IP 허용 목록에 있으면 보낸 사람 필터링에 의해 메시지가 처리됩니다.

  2. 연결 필터 에이전트는 로컬 IP 차단 목록을 검사합니다. 보내는 서버의 IP 주소가 로컬 IP 차단 목록에 있으면 메시지는 자동으로 거부되고 다른 필터는 적용되지 않습니다.

  3. 연결 필터 에이전트는 사용자가 보유한 모든 IP 허용 목록 공급자로부터 허용되는 IP 주소 목록을 검사합니다. 보내는 서버의 IP 주소가 IP 허용 목록 공급자가 허용한 IP 주소 목록에 있으면 보낸 사람 필터링에 의해 메시지가 처리됩니다.

  4. 연결 필터 에이전트는 사용자가 구성한 IP 차단 목록 공급자의 실시간 차단 목록을 검사합니다. 보내는 서버의 IP 주소가 실시간 차단 목록에 있으면 메시지는 거부되고 다른 필터는 적용되지 않습니다.

자세한 내용은 연결 필터링 이해를 참조하십시오.

참고

인터넷 연결된 다른 서버 뒤의 컴퓨터에 연결 필터 에이전트를 배포하는 경우 보낸 사람 필터링 및 받는 사람 필터링 등의 다른 필터가 연결 필터 에이전트보다 먼저 호출됩니다.

맨 위로 이동

보낸 사람 필터링

연결 필터링을 적용하고 나면 Exchange 2010에서는 다음 그림에서와 같이 보낸 사람 전자 메일 주소를 보낸 사람 필터링에서 구성한 수신 거부 목록과 비교하여 검사합니다.

보낸 사람 필터링 메일 흐름

그런 다음 보낸 사람 필터 에이전트는 메시지 봉투 및 메시지 헤더의 보낸 사람: 헤더 필드에 있는 보낸 사람의 전자 메일 주소를 확인합니다. 보낸 사람: 헤더 필드가 수신 거부 목록의 주소와 일치하는 경우 Exchange 2010은 프로토콜 수준에서 메시지를 거부하며 다른 필터는 적용되지 않습니다.

참고

조직의 받는 사람이 보낸 사람을 Microsoft Outlook 수신 허용 - 보낸 사람 목록에 추가한 경우에도 Edge 전송 서버의 보낸 사람 필터링은 받는 사람의 Outlook 설정을 무시하며 메시지는 거부됩니다.

보낸 사람 필터링에 대한 자세한 내용은 보낸 사람 필터링 이해을 참조하십시오.

메시지 봉투 및 메시지 머리글에 대한 자세한 내용은 Pickup 및 Replay 디렉터리 이해를 참조하십시오.

맨 위로 이동

받는 사람 필터링

보낸 사람 필터링에서 메시지를 거부하지 않은 경우 Exchange는 다시 연결 필터링을 실행합니다. Exchange는 그리고 다음 그림과 같이 받는 사람 필터링 에이전트를 적용합니다.

받는 사람 필터링 메일 흐름

받는 사람 필터 에이전트는 받는 사람을 받는 사람 필터 에이전트 설정에 구성한 받는 사람 차단 목록과 비교하여 검사합니다. 받는 사람이 받는 사람 차단 목록에 있는 전자 메일 주소와 일치하면 Exchange 2010은 해당 받는 사람에 대한 메시지를 거부합니다. 또한 받는 사람 필터 에이전트는 받는 사람이 실제로 조직에 있는지도 확인합니다. 받는 사람이 조직에 없는 경우에는 Exchange에서 해당 받는 사람에 대한 메시지가 거부됩니다.

메시지에 받는 사람이 여러 명 나열되어 있는 경우 모든 받는 사람이 받는 사람 차단 목록에 없으면 메시지는 계속 처리됩니다. 그러나 메시지를 차단된 받는 사람 한 명에게만 보내는 경우 다른 필터는 적용되지 않습니다.

차단된 받는 사람이 포함된 메시지가 처리될 때 해당 차단된 받는 사람 집합이 메시지에서 제거되며 메시지는 조직에 계속 전송됩니다. 프로토콜 수준 SMTP 거부 응답은 차단된 각 받는 사람의 보낸 사람에게 전송됩니다. 보낸 사람 신뢰도 에이전트는 OnReject 이벤트를 모니터링하여 SRL(보낸 사람 신뢰도 수준)을 계산합니다.

자세한 내용은 받는 사람 필터링 이해를 참조하십시오.

맨 위로 이동

보낸 사람 ID 필터링

받는 사람 필터링이 적용된 후에 메시지에 올바른 받는 사람이 포함되어 있는 경우 Exchange 2010은 다음 그림에서와 같이 보낸 사람 ID 에이전트를 실행합니다.

보낸 사람 ID 필터링 메일 흐름

먼저 보낸 사람 ID 에이전트는 RFC 4407에 설명되어 있는 알고리즘을 사용하여 메시지의 PRA(Purported Responsible Address)를 확인합니다. 메시지를 보낸 사람을 정확하게 확인하려면 이 단계를 수행해야 합니다. PRA는 kim@contoso.com 같은 SMTP 주소입니다. 그런 다음 보낸 사람 ID 에이전트는 PRA의 도메인 부분에 대해 DNS(Domain Name System) 조회를 수행합니다. 해당 도메인에서 SPF(보낸 사람 정책 프레임워크) 레코드를 게시한 경우 에이전트에서는 해당 SPF 레코드를 사용하여 RFC 4408의 사양에 따라 메시지를 평가합니다. 이 평가 작업의 결과는 메시지의 스팸 방지 스탬프에 스탬프 처리됩니다. 해당 도메인에 게시된 SPF 레코드가 없으면 보낸 사람 ID 에이전트는 메시지에 보낸 사람 ID 결과를 "없음"으로 스탬프 처리합니다. 보낸 사람 ID 필터링에 사용되는 스탬프 유형에 대한 자세한 내용은 스팸 방지 스탬프 이해를 참조하십시오.

보낸 사람의 DNS가 차단된 도메인이나 주소에 포함되어 있으면 보낸 사람 ID 작업 구성에 따라 다음 작업이 수행될 수 있습니다.

  • 메시지 거부   보낸 사람 ID 동작이 메시지 거부로 설정되어 있으면 Exchange에서 해당 메시지를 거부하고 보내는 서버로 SMTP 오류 응답을 전송합니다. SMTP 오류 응답은 보낸 사람 ID 상태에 대한 텍스트를 포함하는 5xx 수준의 프로토콜 응답입니다.

  • 메시지 삭제   보낸 사람 ID 작업이 메시지 삭제로 설정되어 있으면 Exchange가 보내는 서버에 삭제를 알리지 않은 채 메시지를 삭제합니다. 실제로 Edge 전송 서버 역할이 설치되어 있는 컴퓨터에서는 보내는 서버에 위장 "확인" SMTP 명령을 보낸 후 메시지를 삭제합니다. 보내는 서버에서 메시지를 보낸 것으로 가정하므로 동일한 세션에서 메시지 전송을 다시 시도하지 않습니다.

  • 보낸 사람 ID 결과로 메시지를 스탬프 처리하고 계속 진행   Exchange에서 보낸 사람 ID 결과가 메시지에 스탬프 처리되고 메시지가 계속 처리됩니다. 이 메타데이터는 SCL을 계산할 때 콘텐츠 필터 에이전트에서 평가합니다. 또한 보낸 사람 신뢰도는 메시지를 보낸 사람의 SRL을 계산할 때 메시지 메타데이터를 사용합니다.

자세한 내용은 보낸 사람 ID 이해를 참조하십시오.

맨 위로 이동

콘텐츠 필터링

Exchange 콘텐츠 필터링은 Exchange 지능형 메시지 필터를 호출하기 전에 보낸 사람 필터링을 다시 적용합니다. 그런 다음에는 다음 그림에서와 같이 Exchange 서버에서 콘텐츠 필터 에이전트를 적용합니다.

콘텐츠 필터링 메시지 흐름

콘텐츠 필터 에이전트는 메시지에서 다음 조건을 확인합니다. 다음 조건이 참인 경우 해당 메시지에 대한 콘텐츠 필터링 및 첨부 파일 필터링은 무시됩니다. 그러면 이러한 메시지는 처리를 위해 바이러스 백신 검사 단계로 이동합니다. 다음과 같은 조건이 확인됩니다.

  • 보낸 사람의 IP 주소가 연결 필터링에 대해 IP 허용 목록에 있습니다.

  • 모든 받는 사람이 콘텐츠 필터링에 대해 예외 목록에 있습니다.

  • AntiSpamBypassEnabled 매개 변수가 모든 받는 사람의 사서함에서 $True로 설정되어 있습니다.

  • 모든 받는 사람이 이 보낸 사람을 Outlook 수신 허용 - 보낸 사람 목록에 추가했습니다. 이 목록은 수신 허용 목록 집계를 사용하여 Edge 전송 서버로 업데이트됩니다.

  • 보낸 사람은 신뢰할 수 있는 파트너이며 필터링되지 않은 조직의 보낸 사람 목록에 있습니다.

나열된 조건 외에도, SMTP 세션을 신뢰할 수 있는 파트너로 인정했으며 관리자가 파트너에 대해 스팸 방지 무시(Ms-Exch-Bypass-Anti-Spam) 사용 권한을 부여한 경우에는 해당 세션 동안 메시지에 대해 스팸 방지 에이전트를 사용할 수 없게 됩니다. 스팸 방지 무시 사용 권한은 파트너에게 기본적으로 부여되지 않으며 관리자가 할당해야 합니다.

메시지가 설명된 조건을 충족하지 않는 경우에는 콘텐츠 필터링이 적용됩니다. 콘텐츠 필터링은 메시지에 SCL 등급을 할당합니다. 해당 SCL 등급에 따라 다음 작업 중 하나가 수행됩니다.

  • 메시지에 대한 SCL 등급이 SCL 삭제 임계값보다 크거나 같으며 SCL 삭제 임계값을 사용하는 경우 콘텐츠 필터 에이전트에서 메시지를 삭제합니다. 보내는 시스템이나 보낸 사람에게 메시지가 삭제되었음을 알리는 프로토콜 수준의 통신이 없습니다. SCL 등급이 SCL 삭제 임계값보다 작은 경우 콘텐츠 필터 에이전트는 메시지를 삭제하지 않습니다. 대신 SCL 값과 SCL 거부 임계값을 비교합니다.

  • 메시지에 대한 SCL 등급이 SCL 거부 임계값보다 크거나 같으며 SCL 거부 임계값을 사용하는 경우 콘텐츠 필터 에이전트에서 메시지를 거부하고 보내는 시스템에 대해 거부 응답을 발송합니다. 거부 응답을 사용자 지정할 수 있습니다. 경우에 따라 NDR(배달 못 함 보고서)을 메시지를 처음 보낸 사람에게 보냅니다. SCL 등급이 SCL 거부 임계값보다 작은 경우 콘텐츠 필터 에이전트는 메시지를 거부하지 않습니다. 대신 SCL 값과 SCL 격리 임계값을 비교합니다.

  • 메시지에 대한 SCL 등급이 SCL 격리 임계값보다 크거나 같으며 SCL 격리 임계값을 사용하는 경우 콘텐츠 필터 에이전트에서 해당 메시지를 스팸 격리 사서함을 보냅니다. 스팸 격리 사서함을 관리하는 방법에 대한 자세한 내용은 콘텐츠 필터링 이해를 참조하십시오. 그런 다음 메시지에 대해 계속해서 첨부 파일 필터링이 수행됩니다.

자세한 내용은 다음 항목을 참조하십시오.

맨 위로 이동

보낸 사람 신뢰도 필터링

콘텐츠 필터링이 적용된 후에 Exchange는 다음 그림에서와 같이 보낸 사람 신뢰도 필터링을 적용합니다.

보낸 사람 신뢰도 메시지 흐름

보낸 사람 신뢰도는 다음 각 메시지 통계에 가중치를 부여하고 각 보낸 사람에 대해 SRL을 계산합니다.

  • HELO/EHLO 분석

  • 역방향 DNS 조회

  • 특정 보낸 사람이 보낸 메시지에 대한 SCL 등급 분석

  • 보낸 사람 오픈 프록시 테스트

SRL은 0에서 9까지의 숫자로서 이를 통해 메시지를 보낸 특정인이 스패머인지 아니면 악의적인 사용자인지 그 확률을 예측할 수 있습니다. 값이 0이면 보낸 사람이 스패머일 가능성이 거의 없음을 나타냅니다. 값이 9이면 보낸 사람이 스패머일 수 있음을 나타냅니다.

0에서 9까지의 SRL 차단 임계값을 구성하면 이 임계값에 따라 보낸 사람 신뢰도가 보낸 사람 필터 에이전트에 요청을 발행하여 보낸 사람이 조직에 메시지를 보내지 못하게 할 수 있습니다. 보낸 사람을 차단하는 경우 이 사람은 구성 가능한 일정 기간 동안 수신 거부 목록에 추가됩니다. 차단된 메시지에 대한 처리 방법은 보낸 사람 필터 에이전트의 구성에 따라 다릅니다. 다음 동작은 차단된 메시지를 처리하는 옵션입니다.

  • 거부

  • 삭제 및 보관

  • 수락 및 수신 거부로 표시

보낸 사람이 IP 차단 목록 또는 Microsoft IP 신뢰도 서비스에 포함된 경우 보낸 사람 신뢰도 에이전트는 보낸 사람 필터 에이전트에 즉시 요청을 발행하여 보낸 사람을 차단합니다. 이 기능을 이용하려면 Microsoft Exchange 스팸 방지 업데이트 서비스를 사용하도록 설정하고 구성해야 합니다.

기본적으로 Edge 전송 서버는 분석한 적이 없는 보낸 사람에 대해 등급 0을 설정합니다. 보낸 사람이 메시지를 20개 이상 보낸 후에는 보낸 사람 신뢰도가 앞에 나열된 통계를 기반으로 하여 SRL을 계산합니다.

자세한 내용은 다음 항목을 참조하십시오.

맨 위로 이동

첨부 파일 필터링

보낸 사람 신뢰도 필터링이 적용된 후에 Exchange는 다음 그림에서와 같이 첨부 파일 필터링을 적용합니다.

첨부 파일 필터링 메일 흐름

첨부 파일의 MIME 콘텐츠 형식, 파일 이름 또는 파일 이름 확장명에 따라 첨부 파일을 차단하도록 첨부 파일 필터링을 구성할 수 있습니다. 첨부 파일 필터링에서 차단된 콘텐츠 유형 또는 파일 이름을 발견하는 경우 첨부 파일 필터링 설정에 따라 다음 작업 중 하나가 수행됩니다.

  • 거부   동작 설정을 거부로 지정하면 전자 메일 메시지와 첨부 파일이 모두 받는 사람에게 배달되지 않으며 시스템에서 보낸 사람에 대해 DSN(배달 상태 알림) 오류 메시지를 생성합니다. 거부 응답을 사용자 지정할 수 있습니다.

  • 자동 삭제   작업 설정을 자동 삭제로 지정한 경우 전자 메일 메시지와 첨부 파일이 모두 받는 사람에게 배달되지 않습니다. 보낸 사람에게 전자 메일 메시지와 첨부 파일이 차단되었다는 알림을 반환하지 않습니다.

  • 삭제   작업 설정을 삭제로 지정한 경우 첨부 파일이 전자 메일 메시지에서 삭제됩니다. 이 값을 사용하면 첨부 파일 차단 목록의 항목과 일치하지 않는 메시지와 기타 첨부 파일을 받는 사람에게 배달할 수 있습니다. 첨부 파일이 차단되었다는 알림이 받는 사람의 전자 메일 메시지에 추가됩니다.

메시지가 거부 또는 삭제되지 않았거나 첨부 파일 필터링에서 차단된 첨부 파일 형식을 찾지 못하면 메시지에 대해 바이러스 검사를 수행합니다.

자세한 내용은 첨부 파일 필터링 구성을 참조하십시오.

맨 위로 이동

바이러스 백신 검사

첨부 파일 필터링이 적용된 후 또는 콘텐츠 필터링에서 받는 사람이 무시된 경우에는 다음 그림에서와 같이 Forefront Protection for Exchange Server 바이러스 백신 검사가 적용됩니다.

Forefront Protection for Exchange Server 바이러스 백신 검사 메일 흐름

Forefront Protection for Exchange Server는 Exchange 2010과 긴밀하게 통합되어 있으며 Exchange 환경에 추가적인 바이러스 백신 보호 기능을 제공하는 바이러스 백신 소프트웨어 패키지입니다. Forefront Protection for Exchange Server가 바이러스가 포함된 것으로 보이는 메시지를 발견하면 시스템에서 해당 메시지를 삭제하고 알림 메시지를 생성한 다음 받는 사람의 사서함으로 알림을 보냅니다.

자세한 내용은 Microsoft Forefront Protection 2010 for Exchange Server를 참조하십시오.

맨 위로 이동

Outlook 정크 메일 필터링

모든 필터를 적용하고 메시지에 대해 바이러스 검사를 수행한 후에는 다음 그림에서와 같이 메시지가 받는 사람의 사서함으로 발송되며 정크 메일 필터링이 적용됩니다.

Outlook 정크 메일 필터링 메일 흐름

메시지에 대한 SCL 등급이 SCL 정크 메일 폴더 임계값보다 크거나 같고 SCL 정크 메일 폴더 임계값을 사용하는 경우 사서함 서버는 Outlook 사용자의 정크 메일 폴더로 메시지를 보냅니다. 메시지에 대한 SCL 값이 SCL 삭제, 거부, 격리 및 정크 메일 폴더 임계값보다 작은 경우 사서함 서버는 사용자의 받은 편지함으로 메시지를 보냅니다. SCL 임계값에 대한 자세한 내용은 스팸 지수 임계값 이해을 참조하십시오.

맨 위로 이동

 © 2010 Microsoft Corporation. 모든 권리 보유.