스팸 메일 필터링 및 제어 구성

마지막으로 수정된 항목: 2006-03-15

스팸 메일을 제어하는 것은 쉽지 않지만 다음과 같은 몇 가지 방법을 사용하여 스팸 메일을 줄일 수 있습니다.

• Exchange 2003 필터링 기능을 사용합니다.   Microsoft® Exchange Server 2003에서 제공하는 연결 필터링, 받는 사람 필터링 및 보낸 사람 필터링을 사용하면 조직의 사용자에게 전송되는 스팸 메일의 수를 줄일 수 있습니다.
• 스팸 메일에 응답하거나 스팸 메일을 전달하지 않도록 사용자를 교육합니다.   메일에 포함된 “제거” 링크가 때로는 주소를 확인하는 데 사용될 수 있으므로 이 링크를 클릭하지 않도록 사용자를 교육합니다.

Exchange Server 2003에서 SMTP 가상 서버의 필터링을 구성하고 활성화하여 가상 서버에 대한 액세스를 제한할 수 있습니다. 필터링은 Exchange System Manager의 전역 설정 아래 메시지 배달 속성에서 구성됩니다. 필터링은 전역 수준에서 구성되지만 각각의 개별 가상 서버에서 필터링을 활성화해야 합니다.

다음 필터링 방법을 통해 SMTP 가상 서버로 전송되는 받는 전자 메일 메시지를 차단합니다.

• 연결 필터링을 사용하면 연결 SMTP 서버의 IP 주소를 기반으로 조직에 전송되는 메시지를 차단할 수 있습니다. 항상 메시지를 수락하려는 IP 주소에 대해 전체 수락 목록을 구성하고 항상 거부하려는 IP 주소에 대해 전체 거부 목록을 구성할 수 있습니다. 또한 타사의 차단 목록 공급자에 가입하여 연결 IP 주소가 이 공급자의 차단된 IP 주소 목록에 있는지 확인할 수 있습니다.

  참고

  특정 IP 주소가 SMTP 가상 서버로 메시지를 보내지 못하도록 차단하려면 SMTP 가상 서버 속성의 액세스 탭에 있는 연결 단추를 사용하여 이 IP 주소를 추가합니다. 게이트웨이 SMTP 가상 서버에서 이 제한을 구성해야 합니다.

• 받는 사람 필터링을 사용하면 조직의 특정 받는 사람 주소로 전송되는 메시지를 차단할 수 있습니다.

• 보낸 사람 필터링을 사용하면 특정 보낸 사람이 보낸 메시지를 차단할 수 있습니다. 동일한 메일 주소로부터 반복해서 스팸 메일이 오는 경우 더 이상 조직으로 메일을 보내지 못하도록 보낸 사람을 차단할 수 있습니다.

연결 필터링

Exchange Server 2003에서는 차단 목록을 기반으로 하는 연결 필터링 기능을 사용할 수 있습니다. 연결 필터링은 IP 주소에 따라 스팸 메일의 알려진 출처, 전화 접속 사용자 계정 및 오픈 릴레이용 서버를 나열해 주는 외부 서비스를 활용합니다. 연결 필터링은 타사 콘텐츠 필터 제품을 보완합니다. 연결 필터링 기능을 사용하면 차단 목록 공급자의 목록과 필터링할 범주를 비교해 들어오는 IP주소를 검사할 수 있습니다. 또한 여러 연결 필터를 사용하고 각 필터가 적용되는 우선 순위를 지정할 수도 있습니다.

연결 필터링을 사용하여 다음과 같은 작업을 수행할 수도 있습니다.

• 전체 수락 목록과 거부 목록을 구성합니다.   전체 수락 목록은 메일을 항상 수락할 IP 주소의 목록이고 전체 거부 목록은 메일을 항상 거부할 IP 주소의 목록입니다. 차단 목록 서비스 공급자가 없어도 전체 수락 및 거부 목록을 사용할 수 있습니다.
• 모든 연결 필터링 규칙의 영향을 받지 않는 예외적인 받는 사람 주소를 구성합니다.   이 주소로 메일을 보내면 보낸 사람이 차단 목록에 들어 있더라도 메일이 자동으로 수락됩니다.

연결 필터링 규칙 작동 방법

연결 필터링 규칙을 만들면 SMTP는 규칙을 사용하여 타사 차단 목록 서비스가 제공한 목록에서 DNS 조회를 수행합니다. 이 과정에서 연결 필터는 들어오는 각 IP 주소를 타사 차단 목록의 IP 주소와 비교하며 차단 목록 공급자는 다음 두 가지 응답 중 하나를 생성합니다.

• 호스트를 찾을 수 없습니다.   IP 주소가 차단 목록에 없음을 나타냅니다.
• 127.0.0. x   IP 주소와 일치하는 주소가 차단 대상 목록에 있음을 나타내는 응답 상태 코드입니다. x 값은 차단 목록 공급자에 따라 달라질 수 있습니다.

들어오는 IP 주소가 차단 목록에 있으면 SMTP는 RCPT TO 명령(연결 서버에서 메시지의 받는 사람을 식별하기 위해 실행하는 SMTP 명령)에 대한 응답으로 5.x.x 오류를 반환합니다.

보낸 사람에게 반환되는 응답을 사용자 지정할 수 있습니다. 일반적으로 차단 목록 공급자마다 차단 대상 범주가 다르기 때문에 사용자는 거부하고자 하는 일치 항목을 직접 지정할 수 있습니다. 대부분의 차단 목록 공급자는 다음과 같은 세 가지 유형의 차단 대상을 선별합니다.

• 스팸 메일의 출처    이러한 목록은 원치 않는 상업성 전자 메일 메시지를 검색하여 해당 원본 주소를 목록에 추가하는 방법으로 만들어집니다.
• 알려진 오픈 릴레이 서버    이러한 목록은 오픈 릴레이 SMTP 서버를 인터넷에서 식별하여 만들어집니다. 일반적으로 오픈 릴레이 서버는 시스템 관리자가 서버를 잘못 구성했을 때 생깁니다.
• 전화 접속 사용자 목록    이러한 목록은 전화 접속 액세스를 사용하는 IP 주소가 포함된 기존 인터넷 서비스 공급자(ISP) 목록으로 만들어지거나 전화 접속 연결을 사용하는 것으로 생각되는 주소를 검사하여 만들어집니다.

차단 목록 공급자가 일치하는 공격 IP 주소를 찾는 방법

연결 필터를 설정한 후 전자 메일 메시지를 조직에 보내면 Exchange에서 차단 목록 공급자에게 연결합니다. 공급자는 DNS에서 A(호스트) 레코드가 있는지 확인합니다. Exchange에서는 이 정보를 특정 형식으로 쿼리합니다. 예를 들어 연결 주소가 192.168.5.1이고 차단 목록 공급자의 조직이 contoso.org인 경우 다음 레코드가 있는지 쿼리합니다.

<reverse IP address of the connecting server>.<dns name for the block list organization> IN A 127. 0.0.x

이 경우에는 다음과 같습니다.

1.5.168.192..contoso.org

이 IP 주소가 공급자 목록에 있으면 공급자는 공격 IP 주소 및 공격 유형을 나타내는 127.0.0.x 상태 코드를 반환합니다. 모든 차단 목록 공급자는 응답 코드 127.0.0.x를 반환합니다. x는 공격 유형을 나타냅니다. x 값은 차단 목록 공급자에 따라 달라집니다.

차단 목록 공급자 응답 코드에 대한 이해

앞에서 설명한 것처럼 차단 목록 공급자가 일치하는 항목을 찾으면 항상 상태 코드 127.0.0.x를 반환합니다. 상태 코드는 명시적 반환 코드이거나 비트 마스크(다기능 반환 코드)입니다. 차단 목록 공급자가 값을 반환하면 필터링할 값을 지정할 수 있습니다. 그러나 차단 목록 공급자가 비트 마스크를 반환하는 경우에는 비트 마스크가 필터링할 일치 항목을 지정하기 위해 어떻게 작동하는지 이해해야 합니다.

비트 마스크는 항목에 특정 비트가 설정되어 있는지 확인하는 데 사용됩니다. 비트 마스크는 특정 비트 값을 확인한다는 점에서 일반적인 마스크와 구별되며 값 범위를 확인하는 서브넷 마스크와 대조됩니다. 다음 예제를 살펴 보겠습니다.

차단 목록의 각 일치 항목에 대해 차단 목록 공급자가 다음 표 목록에 나열된 상태 코드를 반환한다고 가정합니다.

차단 목록 상태 코드의 예

그러나 IP 주소가 두 목록에 모두 들어 있으면 차단 목록 공급자는 끝에 있는 8진수 값을 더합니다. 따라서 IP 주소가 알려진 릴레이 서버 목록 및 스팸 메일 출처 목록에 있으면 차단 목록 공급자는 상태 코드 127.0.0.7을 반환합니다. 7은 원치 않는 상업성 전자 메일의 알려진 출처 상태 코드 및 알려진 릴레이 서버의 상태 코드에 대해 반환된 코드 끝에 있는 8진수 값을 더한 값입니다.

원치 않는 상업성 전자 메일의 알려진 출처에 대해서만 필터링하려면 비트 마스크 값 0.0.0.3을 입력합니다. 그러면 차단 목록에서 가능한 모든 값을 필터링합니다. 이 예제에서는 127.0.0.3, 127.0.0.5, 127.0.0.7 및 127.0.0.9를 필터링합니다.

다음 표는 각 예제 상태 코드에 관련된 비트 마스크 값의 목록입니다.

차단 목록 상태 코드와 해당 비트 마스크 값의 예

이 표의 마지막 범주(“알려진 릴레이 서버 및 전화 접속 사용자 계정”)에서 비트 마스크 0.0.0.6은 IP 주소가 알려진 릴레이 서버 및 전화 접속 사용자 계정 목록에 모두 나타날 경우에만 IP 주소의 일치 항목을 반환합니다. IP 주소가 두 목록 중 하나에만 나타날 경우에는 일치 항목을 반환하지 않습니다. 여러 목록에서 단일 일치 항목을 확인할 때는 비트 마스크를 사용할 수 없습니다.

연결 필터 규칙에 대한 예외 지정

차단 목록에 포함되었는지에 대한 여부와 상관없이 특정 받는 사람에 대해 메시지 배달을 허용할 수 있습니다. 이 예외는 합법적인 조직이 전자 메일 관리자 계정에 연결하여 관리자와 통신할 수 있게 하려는 경우 유용합니다. 예를 들어 합법적인 회사에 부주의로 오픈 릴레이를 허용하도록 구성된 서버가 있을 경우 이 회사에서 Exchange 서버 사용자에게 보낸 전자 메일 메시지는 차단됩니다. 그러나 조직의 전자 메일 관리자 계정에 메시지를 배달할 수 있도록 연결 필터링을 구성한 경우에는 차단된 회사의 관리자가 전자 메일 관리자 계정에 전자 메일을 보내 해당 상황을 설명하거나 전자 메일이 거부된 이유에 대해 문의할 수 있습니다.

연결 필터링 사용

연결 필터링을 사용하려면 다음 단계를 수행합니다.

1. 메시지 배달 속성 대화 상자의 연결 필터링 탭을 사용하여 연결 필터를 만듭니다. 자세한 내용은 받는 사람 필터 생성 방법을 참조하십시오.
2. SMTP 가상 서버 수준에서 필터를 적용합니다. 자세한 내용은 SMTP 가상 서버에 받는 사람 필터 적용 방법을 참조하십시오.

위의 각 단계는 다음 섹션에 자세히 설명되어 있습니다.

연결 필터링 구성

연결 필터링을 구성하려면 다음 작업을 수행합니다.

• 전체 수락 및 거부 목록을 만듭니다.
• 연결 필터 규칙을 만듭니다.
• 연결 필터 규칙에 대한 예외를 만듭니다.

전체 수락 목록 및 전체 거부 목록 만들기에 대한 자세한 지침은 다음 항목을 참조하십시오.

• 전체 수락 목록 생성 방법
• 전체 거부 목록 생성 방법

연결 필터 규칙의 예외 만들기에 대한 자세한 지침은 다음 항목을 참조하십시오.

• 연결 필터 생성 방법
• 연결 규칙에 대한 예외 지정 방법

해당 SMTP 가상 서버에 연결 필터 적용

연결 필터를 만들고 이 필터의 예외를 만든 후 해당 SMTP 가상 서버에 적용해야 합니다. 일반적으로 인바운드 인터넷 전자 메일 메시지를 수락하는 게이트웨이 서버상의 SMTP 가상 서버에 연결 필터를 적용합니다. 다음 절차를 사용하여 SMTP 가상 서버에 연결 필터를 적용합니다.

자세한 내용은 SMTP 가상 서버에 연결 필터 적용 방법을 참조하십시오.

받는 사람 필터링

받는 사람 필터링을 사용하면 조직에 없는 받는 사람에게 전송되는 메시지를 필터링할 수 있으며 스팸 메일 보낸 사람의 대상이 되는 특정 받는 사람 주소를 추가할 수 있습니다.

받는 사람 필터링 사용

받는 사람 필터링을 사용하려면 다음 단계를 수행합니다.

1. 메시지 배달 속성 대화 상자의 받는 사람 필터링 탭을 사용하여 받는 사람 필터를 만듭니다.
2. SMTP 가상 서버 수준에서 필터를 적용합니다.

위의 각 단계는 다음 섹션에 자세히 설명되어 있습니다.

보낸 사람 필터링

보낸 사람 필터링은 Exchange 2000 Server에서와 마찬가지로 Exchange Server 2003에서도 동일하게 동작합니다. 이 필터링을 사용하여 특정 보낸 사람이 보낸 메시지를 필터링할 수 있습니다. 또한 도메인의 모든 사용자나 특정 보낸 사람이 보낸 메시지를 차단할 수 있습니다.

보낸 사람 필터링 사용

보낸 사람 필터링을 사용하려면 다음 단계를 수행합니다.

1. 전역 설정에서 메시지 배달 속성 대화 상자의 보낸 사람 필터링 탭을 사용하여 보낸 사람 필터를 만듭니다.
2. SMTP 가상 서버 수준에서 필터를 적용합니다.

활성화된 필터와 IP 제한을 적용하는 방법 이해

Exchange 2003에서는 다음과 같은 필터와 IP 제한을 지원합니다.

• 연결 필터링
• 받는 사람 필터링
• 보낸 사람 필터링
• 가상 서버 기반의 IP 제한

연결 필터링, 받는 사람 필터링 및 보낸 사람 필터링은 모두 메시지 배달 속성에서 구성되지만 각 SMTP 가상 서버마다 이 속성을 사용하도록 설정해야 합니다. 이와 달리 IP 제한은 각 SMTP 가상 서버에서 직접 구성됩니다.

이 섹션에서는 이러한 필터와 IP 제한이 구성 및 설정될 때 SMTP 세션 동안 확인되는 순서를 보여 줍니다.

1. SMTP 클라이언트는 SMTP 가상 서버에 연결을 시도합니다.
2. 연결 클라이언트의 IP 주소에 SMTP 가상 서버의 IP 제한(SMTP 가상 서버 속성의 액세스 탭에 있는 연결 단추에서 구성)이 설정되어 있는지 확인합니다.
   • 연결 IP 주소가 제한 IP 목록에 있으면 바로 연결이 끊깁니다.
   • 연결 IP 주소가 제한 IP 목록에 없으면 연결이 허용됩니다.
3. SMTP 클라이언트는 EHLO 또는 HELO 명령을 보냅니다.
4. SMTP 클라이언트는 다음과 같은 MAIL FROM: 명령을 보냅니다.
   MAIL FROM: ted@contoso.com
5. 그런 다음 전체 수락 목록(메시지 배달 속성 대화 상자의 연결 필터링 탭에 있는 Exchange System Manager에서 구성)에서 SMTP 클라이언트의 IP 주소를 확인합니다.
   • 연결 IP 주소가 전체 수락 목록에 있으면 전체 거부 목록을 확인하지 않습니다. 이 프로세스에서는 6단계를 건너뛰어 7단계로 이동합니다.
   • 연결 IP 주소가 전체 수락 목록에 없으면 6단계 및 7단계를 수행합니다.
6. 전체 거부 목록(메시지 배달 속성 대화 상자의 연결 필터링 탭에 있는 Exchange System Manager에서 구성)에 대해 SMTP 클라이언트의 IP 주소를 확인합니다.
   • SMTP 클라이언트의 IP 주소가 전체 거부 목록에 있으면 연결이 끊깁니다.
   • SMTP 클라이언트의 IP 주소가 전체 거부 목록에 없으면 세션이 계속됩니다.
7. 보낸 사람 필터링을 사용하여 차단할 보낸 사람 목록(메시지 배달 속성 대화 상자의 보낸 사람 필터링 탭에 있는 Exchange System Manager에서 구성)에서 MAIL FROM 명령으로 지정된 보낸 사람을 확인합니다.
   • 보낸 사람이 차단할 보낸 사람 목록에 있으면 보낸 사람 필터링이 구성된 방법에 따라 다음 두 작업 중 하나가 발생합니다.
     - 보낸 사람 필터링이 연결을 끊도록 구성되어 있으면 연결이 끊깁니다.
     - 보낸 사람에게 알리지 않고 메시지를 수락하도록 보낸 사람 필터링을 구성하면 세션은 계속되지만 메일은 Badmail 디렉터리로 보내지고 의도한 받는 사람에게는 전달되지 않습니다.
   • 보낸 사람이 보낸 사람 필터링 목록에 없으면 SMTP 가상 서버에서는 다음과 같은 응답을 내보냅니다.
     250 2.1.0 ted@contoso.com...Sender OK
8. 연결 SMTP 서버는 다음과 같은 RCPT TO 명령을 보냅니다.
   RCPT TO: kim@example.com
9. 연결 필터 규칙은 차단 목록 서비스 공급자가 제공하는 모든 차단 목록에서 연결 IP 주소를 확인합니다.
   • SMTP 클라이언트의 IP 주소가 수락 목록에 있으면 연결 필터 규칙이 무시됩니다. 이 프로세스에서는 10단계로 이동합니다.
   • 연결 필터링은 연결 필터링에 구성된 순서대로 각 서비스 공급자의 차단 목록을 검사합니다. 연결 필터링이 공급자의 차단 목록에서 일치하는 항목을 찾으면 SMTP 가상 서버가 오류 코드를 반환하고 그 다음 연결 필터 규칙에 맞게 구성된 사용자 지정 오류 메시지를 보냅니다. 일치하는 항목을 찾으면 다른 서비스 공급자 목록을 검사하지 않습니다.
   • SMTP 클라이언트의 IP 주소가 차단 목록 서비스 공급자의 차단 목록에 없으면 세션이 계속됩니다.
10. 연결 필터링은 의도한 받는 사람이 연결 필터링 예외 목록에 있는지 확인합니다.
    • 받는 사람이 이 목록에 있으면 통신이 수락되고 더 이상 RCPT TO 명령에 다른 확인을 적용하지 않습니다. 이 프로세스에서는 11단계와 12단계를 건너뛰어 13단계로 이동합니다.
    • 받는 사람이 예외 목록에 없으면 다른 필터와 대조하여 확인됩니다.
11. 받는 사람이 연결 필터링에서 구성된 예외 목록에 없으면 받는 사람 필터링에서 구성된 모든 차단할 받는 사람과 대조하여 확인됩니다.
    • 받는 사람이 차단할 받는 사람이면 SMTP 가상 서버가 잘못된 받는 사람 오류를 반환합니다.
    • 받는 사람이 차단할 받는 사람이 아니면 세션이 계속됩니다.
12. 받는 사람이 차단할 받는 사람이 아니면 의도한 받는 사람이 Active Directory에 있는지 확인합니다.
    • 의도한 받는 사람이 Active Directory에 있는 올바른 받는 사람이 아니면 SMTP 가상 서버가 잘못된 받는 사람 오류를 반환합니다.
    • 받는 사람이 Active Directory에 있는 올바른 받는 사람이면 세션이 계속됩니다.
13. RCPT TO 명령에서 지정한 각 받는 사람에 대해 10-12단계를 적용합니다.
14. 그러면 연결 서버가 다음과 같은 DATA 명령을 보냅니다.
    DATA
    To: Kim Akers
    From: ted@contoso.com<Ted Bremer>
    Subject: Mail Message
15. 그런 다음 보낸 사람 필터링을 통해 From 주소가 차단할 보낸 사람과 일치하지 않는지 확인합니다.
    • DATA 명령에 지정된 보낸 사람이 차단할 보낸 사람이면 다음 두 동작 중 하나가 발생합니다.
      - 받는 사람 필터링이 연결을 끊도록 구성되어 있으면 SMTP 가상 서버에서는 5.1.0 Sender Denied 오류를 반환하고 연결을 끊습니다.
      - 보낸 사람에게 알리지 않고 메시지를 수락하도록 보낸 사람 필터링을 구성하면 세션은 계속되지만 메일은 Badmail 디렉터리로 보내지고 의도한 받는 사람에게는 전달되지 않습니다.
    • DATA 명령에 지정된 보낸 사람이 차단할 보낸 사람이 아니면 메시지가 수락되고 배달 큐에 배치됩니다.

위장된 메일 식별

위장된 메일을 식별하는 방법을 사용자에게 교육할 수 있습니다. Exchange 2000과 달리 Exchange 2003은 익명의 전자 메일 메시지를 기본 구성에 있는 표시 이름으로 확인하지 않습니다. 따라서 위조된 주소에서 메일을 보내면 Exchange 2003은 보낸 사람의 전자 메일 주소를 전체 주소 목록에 있는 표시 이름으로 확인하지 않습니다.

Exchange 2003이 스푸핑 메일을 차단하는 방법을 이해하기 위해 Ted Bremer라는 내부 사용자가 있고 이 사람이 example.com 도메인에서 내부적으로 메일을 보낸다고 가정해 보겠습니다. 전자 메일 메시지에 Ted의 보내는 주소는 Active Directory에 구성된 ted@example.com에 대한 표시 이름인 Ted Bremer로 나타납니다. 이렇게 나타나는 이유는 Ted Bremer가 인증된 사용자로서 메일을 보내기 때문입니다. 그 다음 Exchange는 Ted Bremer가 자신의 자격 증명에 “Send As” 권한을 보유하고 있는지 확인한 다음 자신의 전자 메일 주소를 Active Directory의 표시 이름으로 확인합니다. 스푸핑은 인증되지 않은 사용자가 이 주소를 위조하여 Ted Bremer로 가장한 다음 도메인의 다른 사용자에게 메일을 보낼 때 발생합니다.

Exchange 2003은 외부에서 들어온 전자 메일 주소를 확인하지 않습니다. 따라서 익명 사용자가 Ted의 ID를 스푸핑하여 메일을 보내려고 시도하면 Exchange는 From 줄의 보내는 주소를 표시 이름으로 확인하지 않을 것입니다. 그 대신 전자 메일의 From 줄에 ted@example.com이 나타날 것입니다. 사용자가 이러한 차이를 이해한다면 적어도 위장된 메일은 식별할 수 있을 것입니다.

그러나 Exchange 2000 서버는 기본적으로 익명 전자 메일을 확인하지 않습니다. 조직에 Exchange 2000 서버가 있는 경우 이 서버가 익명 전자 메일 메시지를 확인하여 Exchange 2003 서버로 보낸다면 해당 주소가 GAL의 표시 이름으로 변환됩니다. 이를 예방하기 위해 익명 메일을 확인하지 않도록 Exchange 2000 서버를 구성해야 합니다.

자세한 내용은 익명 메일을 확인하지 않도록 Exchange 2003 구성 여부 확인 방법 및 외부 전자 메일 주소를 확인하지 않도록 Exchange 2000 구성 방법을 참조하십시오.