스팸 방지 및 바이러스 백신 기능 이해

  • 아티클

 

적용 대상: Exchange Server 2010 SP2, Exchange Server 2010 SP3

마지막으로 수정된 항목: 2016-11-28

스팸 발송자 또는 악의적인 목적을 가진 보낸 사람은 다양한 기법을 사용하여 조직으로 스팸을 보냅니다. 하나의 도구나 절차로는 모든 스팸을 제거할 수 없습니다. Microsoft Exchange Server 2010은 Exchange Server 2007을 기반으로 구축되어 스팸 및 바이러스의 근절을 위한 계층화된 다양하고 다각적인 접근 방법을 제공합니다. Exchange 2010에는 조직으로 유입되는 스팸을 줄이기 위해 반복적으로 작동하도록 설계된 다양한 스팸 방지 및 바이러스 백신 기능이 포함되어 있습니다.

조직에 침입하는 전체 스팸 볼륨을 줄이는 경우 조직에서 malware라고도 하는 악의적인 소프트웨어에 의한 바이러스 감염 및 공격의 발생을 줄일 수 있습니다. Edge 전송 서버 역할이 설치되어 있는 컴퓨터에서 스팸의 양을 줄이면 메시지에 대해 바이러스 검사와 기타 malware 검사를 수행하는 동안 처리 리소스, 대역폭 및 저장소를 절약할 수 있습니다.

스팸을 줄이기 위한 레이어된 접근 방법은 지정된 순서로 인바운드 메시지를 필터링하는 여러 스팸 방지 및 바이러스 백신 기능의 구성을 참조합니다. 각 기능은 인바운드 메시지에 있는 특정 문자나 관련된 문자 집합을 필터링합니다.

다음 섹션에서는 각 기본 스팸 방지 및 바이러스 백신 기능에 대한 간략한 설명을 제공합니다.

전송 서버 관리와 관련된 관리 작업에 대한 자세한 내용은 전송 서버 관리를 참조하십시오.

목차

스팸 방지 및 바이러스 백신 필터

스팸 방지 스탬프

스팸 방지 서비스용 Microsoft Update

Exchange Hosted Services 사용

스팸 방지 방법용 전략

스팸 방지 및 바이러스 백신 필터

스팸 방지 및 바이러스 백신 필터는 특정 순서대로 적용됩니다. 자세한 내용은 스팸 방지 및 바이러스 백신 메일 흐름 이해를 참조하십시오. 다음 순서가 적용됩니다.

  1. 연결 필터링   연결 필터링은 메시지를 보내려고 시도하는 원격 서버의 IP 주소를 검사하여 인바운드 메시지를 받을 때 취할 작업을 결정합니다. 연결 필터 에이전트에서는 SMTP 세션에 필요한 기본 TCP/IP 연결의 결과로 원격 IP 주소를 사용할 수 있습니다. 연결 필터링은 IP 차단 공급자 서비스 또는 IP 허용 목록 공급자 서비스뿐만 아니라 다양한 IP 블록 목록, IP 허용 목록을 사용하여 특정 IP에서의 연결을 차단하거나 조직에서 허용해야 할지 여부를 결정합니다.

  2. 보낸 사람 필터링   보낸 사람 필터링 기능은 MAIL FROM: SMTP 명령의 보낸 사람을 조직에 메시지를 보내지 못하도록 차단된 관리자가 정의한 보낸 사람 또는 보낸 사람 도메인 목록에 비교하여 인바운드 메시지에 대해 취할 조치(있을 경우)를 결정합니다.

  3. 받는 사람 필터링   받는 사람 필터링 기능은 RCPT TO: SMTP 명령의 메시지 받는 사람을 관리자가 정의한 받는 사람 차단 목록에 비교합니다. 일치하는 항목이 있으면 메시지가 조직으로 이동되지 않습니다. 또한 받는 사람 필터는 인바운드 메시지의 받는 사람과 로컬 받는 사람 디렉터리를 비교하여 메시지를 유효한 받는 사람에게 전달할지 여부를 결정합니다. 메시지가 올바른 받는 사람에게 전송되지 않으면 조직의 네트워크 주변에서 메시지가 거부될 수 있습니다.

  4. 보낸 사람 ID   보낸 사람 ID는 전송 서버의 IP 주소와 보낸 사람의 PRA(Purported Responsible Address)를 사용하여 보낸 사람을 스푸핑할지 여부를 결정합니다. PRA는 다음 메시지 머리글을 기반으로 계산됩니다.

    • Resent-Sender:

    • Resent-From:

    • Sender:

    • From:

    PRA에 대한 자세한 내용은 보낸 사람 ID 이해 및 RFC 4407을 참조하십시오.

  5. 콘텐츠 필터링   콘텐츠 필터링은 Microsoft SmartScreen 기술을 사용하여 메시지의 내용을 평가합니다. 지능형 메시지 필터는 Exchange 콘텐츠 필터링의 기본 기술입니다. 지능형 메시지 필터는 Microsoft 연구소에서 개발하여 특허를 받은 컴퓨터 학습 기술을 기반으로 하고 있습니다. 개발 과정 동안 지능형 메시지 필터에 합법적인 전자 메일 메시지와 스팸을 구분하는 특성이 얻어졌습니다. Microsoft Exchange 스팸 방지 업데이트 서비스를 통해 업데이트를 정기적으로 수행하면 지능형 메시지 필터를 실행할 때 항상 최신 정보를 유지할 수 있습니다. 수많은 메시지의 특성에 기초하여 지능형 메시지 필터는 합법적인 메시지와 스팸 메시지 모두에 대한 표시기를 인식합니다. 지능형 메시지 필터는 인바운드 전자 메일 메시지가 합법적인 메시지인지 또는 스팸 메일인지 정확하게 평가할 수 있습니다.

    스팸 격리는 스팸으로 잘못 분류된 유효한 메시지 손실 위험을 줄이는 콘텐츠 필터 에이전트 기능입니다. 스팸 격리는 스팸으로 식별되어 조직 내부의 사용자 사서함으로 배달되서는 안 되는 메시지의 임시 저장소 위치를 제공합니다.

    또한 콘텐츠 필터링은 수신 허용 목록 집계 기능을 수행합니다. 수신 허용 목록 집계에서 스팸 방지 수신 허용 목록의 데이터를 수집하면 MicrosoftOutlook 및 Outlook Web App 사용자가 이 데이터를 구성하고 Exchange 2010에 Edge 전송 서버 역할이 설치되어 있는 컴퓨터의 콘텐츠 필터 에이전트에서 이 데이터를 사용합니다.

    Exchange 관리자가 수신 허용 목록 집계 기능을 사용하고 올바르게 구성하는 경우 콘텐츠 필터 에이전트는 추가 처리 작업 없이 수신 허용 전자 메일 메시지를 기업 사서함으로 전달합니다. Outlook 사용자가 Outlook 수신 허용 받는 사람 목록에 추가했거나 신뢰할 수 있는 연락처로부터 받는 전자 메일 메시지는 콘텐츠 필터 에이전트에 의해 안전한 메시지로 분류됩니다. 그 결과 안전한 것으로 식별된 이러한 메시지는 스팸으로 분류되지 않으며 실수로 메시징 시스템에서 필터링으로 제외되지 않습니다.

  6. 보낸 사람 신뢰도   보낸 사람 신뢰도는 전송 서버의 IP 주소에 대해 유지되는 데이터에 따라 인바운드 메시지를 받을 때 취할 작업을 결정합니다. 프로토콜 분석 에이전트는 보낸 사람 신뢰도 기능을 구현하는 기본 에이전트입니다. SRL(보낸 사람 신뢰도 수준)은 메시지 분석 및 외부 테스트에서 파생되는 보낸 사람의 여러 특성에 따라 계산됩니다.

    SRL이 구성 가능한 임계값을 초과하는 보낸 사람은 일시적으로 차단됩니다. 이러한 보낸 사람에 대해서는 향후 모든 연결이 최대 48시간 동안 거부됩니다.

    또한 로컬로 계산된 IP 신뢰도 이외에 Exchange 2010은 Microsoft Update를 통해 사용 가능한 IP 신뢰도 스팸 방지 업데이트를 사용하여 스팸을 보내는 것으로 알려진 IP 주소에 대한 보낸 사람 신뢰도 정보를 제공합니다.

  7. **첨부 파일 필터링   **첨부 파일 필터링 기능은 첨부 파일 이름, 파일 이름 확장명 또는 파일 MIME 콘텐츠 형식을 기준으로 메시지를 필터링합니다. 첨부 파일 필터링을 구성하면 메시지와 첨부 파일을 차단하거나 첨부 파일을 제거하거나 메시지의 전달을 허용하거나 메시지와 첨부 파일을 자동으로 삭제할 수 있습니다.

  8. **Microsoft Forefront Protection 2010 for Exchange Server   ** FPE(Forefront Protection 2010 for Exchange Server)는 Exchange 2010과 완전히 통합된 바이러스 백신 소프트웨어 패키지이며 Exchange 환경에 대한 바이러스 백신 보호 기능을 제공합니다. FPE에 의해 제공된 바이러스 백신 보호 기능은 언어에 상관없이 적용할 수 있습니다. 그러나 설치, 제품 관리 및 최종 사용자 알림은 11가지 서버 언어로 제공됩니다. 자세한 내용은 Microsoft Forefront Protection 2010 for Exchange Server(영문)를 참조하십시오.

  9. Outlook 정크 메일 필터   Outlook 정크 메일 필터는 최신 기술을 사용하여 메시지를 보낸 시간, 메시지 콘텐츠 및 구조 Exchange Server 스팸 방지 필터에 의해 수집된 메타데이터와 같은 여러 요소를 기반으로 메시지를 정크 메일 메시지로 취급할지 여부를 평가합니다. 필터에 의해 수집된 메시지는 받는 사람이 나중에 액세스할 수 있도록 특정 정크 메일 폴더로 이동됩니다.

맨 위로 이동

스팸 방지 스탬프

스팸 방지 스탬프를 사용하면 보낸 사람별 정보, 퍼즐 유효성 검사 결과 및 콘텐츠 필터링 결과와 같은 진단 메타데이터 또는 스탬프를 인터넷에서 인바운드 메시지를 필터링하는 스팸 방지 기능을 통과하는 메시지에 적용함으로써 스팸 관련 문제를 진단할 수 있습니다. 이러한 스탬프는 최종 사용자 메일 클라이언트에게 표시되고 보낸 사람별 정보, 스팸 필터 정의 파일 버전, Outlook 퍼즐 유효성 검사 결과 및 콘텐츠 필터링 결과를 인코딩합니다.

맨 위로 이동

스팸 방지 서비스용 Microsoft Update

Exchange 2010은 추가 서비스를 제공하여 입증된 Microsoft Update 인프라를 활용하여 스팸 방지 구성 요소를 최신 상태로 유지하는 데 도움을 줍니다.

MicrosoftExchange 2010 표준 스팸 방지 필터 업데이트는 Microsoft Update를 통해 2주마다 스팸 방지 업데이트를 제공합니다.

Forefront Security for Exchange Server 스팸 방지 업데이트 서비스는 Microsoft Update를 통해 콘텐츠 필터를 매일 업데이트하는 고급 서비스입니다. 또한 프리미엄 서비스에는 필요에 따라 하루에 여러 차례 사용할 수 있는 스팸 서명 및 IP 신뢰도 서비스 업데이트가 포함되어 있습니다. 스팸 서명 업데이트는 최신 스팸 캠페인을 식별합니다. IP 신뢰도 서비스 업데이트는 스팸을 보내는 것으로 알려진 IP 주소에 대한 보낸 사람 신뢰도 정보를 제공합니다.

참고

고급 서비스를 사용하려면 Exchange Enterprise CAL(클라이언트 액세스 라이선스)이 있어야 합니다.

맨 위로 이동

Exchange Hosted Services 사용

스팸 필터링은 MicrosoftExchange Hosted Services에 의해 향상되며 이것의 서비스로 사용될 수도 있습니다.

Exchange Hosted Services는 다음과 같은 네 개의 고유한 호스팅된 서비스 집합입니다.

  • Hosted Filtering - 전자 메일을 통해 전파되는 맬웨어로부터 조직을 보호하도록 지원

  • Hosted Archive - 조직에서 규정에 대한 보존 요구 사항을 충족하도록 지원

  • Hosted Encryption - 조직에서 데이터를 암호화하여 기밀을 유지할 수 있도록 지원

  • Hosted Continuity - 조직에서 긴급 상황 시 및 긴급 상황 이후에 계속해서 전자 메일에 액세스할 수 있도록 지원

이러한 서비스는 서비스 공급자를 통해 제공되는 내부 Exchange 전자 메일 서비스 또는 호스팅된 Exchange 전자 메일 서비스에서 관리되는 구내 Exchange 서버와 통합됩니다. Exchange Hosted Services에 대한 자세한 내용은 Microsoft Exchange Hosted Services를 참조하십시오.

맨 위로 이동

스팸 방지 방법용 전략

스팸 방지 기능을 구성하고 스팸 방지 에이전트 설정의 적극성을 설정하는 방법에 대한 전략을 세울 때에는 신중하게 계획하고 계산해야 합니다. 가장 적극적인 수준으로 모든 스팸 방지 필터를 설정하고 의심이 되는 메시지는 모두 거부하도록 모든 스팸 방지 기능을 구성하는 경우 스팸이 아닌 메시지도 거부할 가능성이 있습니다. 반면 스팸 방지 필터를 적극적인 수준으로 설정하지 않고 SCL(스팸 지수) 임계값을 낮게 설정하지 않으면 조직으로 침입하는 스팸의 양이 줄어들지 않을 가능성이 있습니다.

Exchange에서 연결 필터 에이전트, 받는 사람 필터 에이전트 또는 보낸 사람 필터 에이전트를 통해 잘못된 메시지를 검색한 경우 메시지를 거부하는 것이 가장 좋습니다. 해당 메시지를 격리하거나 해당 메시지에 스팸 방지 스탬프와 같은 메타데이터를 할당하는 것보다 이 방법이 더 좋습니다. 연결 필터 에이전트 및 받는 사람 필터 에이전트는 각 필터에서 식별하는 메시지를 자동으로 차단합니다. 보낸 사람 필터 에이전트는 구성 가능합니다.

연결 필터링, 받는 사람 필터링 또는 보낸 사람 필터링의 기본 SCL이 상대적으로 높기 때문에 이러한 최적의 방법을 사용하는 것이 좋습니다. 예를 들어 관리자가 특정 보낸 사람을 차단하도록 구성하는 보낸 사람 필터링에서는 보낸 사람 필터링 데이터를 해당 메시지에 할당하고 이러한 메시지를 계속 처리할 이유가 없습니다. 대부분의 조직에서는 차단된 메시지를 거부해야 합니다. (메시지가 거부되기를 원하지 않는 경우 수신 거부 목록에 메시지를 두지 않아야 합니다.)

기본 신뢰 수준이 IP 차단 목록만큼 높지는 않지만 실시간 차단 목록 서비스 및 받는 사람 필터링에 동일한 논리가 적용됩니다. 스팸 방지 기능은 더 많은 변수를 평가하므로 메시지가 전송되는 메일 흐름 경로가 더 길수록 잘못 판정할 가능성이 더 커집니다. 따라서 보다 적극적으로 스팸 방지 체인에 여러 스팸 방지 기능을 구성하여 대부분의 스팸을 줄이고 따라서 처리 리소스와 대역폭 및 디스크 리소스를 절약하여 보다 모호한 메시지를 처리할 수 있습니다.

궁극적으로 스팸 방지 기능의 전체적인 영향을 모니터링해야 합니다. 신중하게 모니터링할 경우 환경에 적합하도록 스팸 방지 기능을 계속 조정해 나갈 수 있습니다. 이러한 방법을 사용할 때에는 시작할 때 스팸 방지 기능을 적극적이지 않은 구성으로 계획해야 합니다. 그러면 잘못 판정할 가능성을 최소화할 수 있습니다. 스팸 방지 기능을 모니터링하고 조정해 갈수록 조직은 발생하는 스팸 및 스팸 공격의 유형에 대해 보다 적극적으로 대처할 수 있습니다.

맨 위로 이동

 © 2010 Microsoft Corporation. 모든 권리 보유.