Exchange 서버 보안

  • 아티클

 

마지막으로 수정된 항목: 2005-05-24

이 항목에서는 Microsoft® Exchange 서버의 보안을 유지하는 데 사용되는 여러 방법에 대해 설명합니다. 다음과 같은 작업을 수행하여 서버를 보호할 수 있습니다. 각 작업에 대해서는 다음 섹션에서 자세히 설명합니다.

  • 모든 SMTP 가상 서버에서 오픈 릴레이를 비활성화합니다.    기본 릴레이 제한은 인증되지 않은 사용자가 Exchange 서버를 사용하여 메일을 외부로 내보내지 못하도록 합니다. 릴레이를 위해 서버가 열려 있는 경우 인증되지 않은 사용자가 이 서버를 사용하여 스팸 메일을 보낼 수 있습니다. 이 경우 다른 조직에서 이 서버를 스팸 메일의 근원인 오픈 릴레이로 인식하여 합법적인 메일을 보내지 못하도록 차단할 수 있습니다.
  • 내부 SMTP 가상 서버와 IMAP/POP 클라이언트 전용 SMTP 가상 서버에서 익명 액세스를 차단합니다.   조직 내의 모든 Exchange 서버가 상호 인증하여 메일을 보내므로 내부 SMTP(Simple Mail Transfer Protocol) 가상 서버에서 익명 액세스를 활성화하지 않아도 됩니다. 또한 모든 POP(Post Office Protocol) 및 IMAP(Internet Message Access Protocol) 클라이언트가 SMTP 가상 서버의 인증을 받으므로 POP/IMAP 클라이언트 전용으로 사용되는 서버에서는 익명 액세스가 필요하지 않습니다. 이 서버에서 익명 액세스를 비활성화하면 인증되지 않은 사용자가 서버에 액세스할 수 없습니다.
  • 내부 SMTP 가상 서버에서 전송 및 릴레이 액세스를 제한합니다.    Microsoft Exchange Server 2003에서 표준 Microsoft Windows® 2000 Server 또는 Windows Server™ 2003 DACL(Discretionary Access Control List)을 통해 보안 원칙을 사용하여 SMTP 가상 서버에 대한 액세스를 더 제한할 수 있습니다. 이 기능을 사용하면 SMTP 가상 서버 사용을 허용하려는 사용자와 그룹에게 명시적인 권한을 부여할 수 있습니다.

모든 SMTP 가상 서버에서 오픈 릴레이 비활성화

릴레이 제한 설정에 설명된 대로 기본적으로 SMTP 가상 서버에서 익명 릴레이나 오픈 릴레이를 허용하지 말아야 합니다. 릴레이란 사용자가 Exchange 서버를 사용하여 메일을 외부 도메인으로 보내는 것을 의미합니다.

Exchange의 기본 구성에서는 인증된 사용자만이 메일을 릴레이할 수 있습니다. 즉, 인증된 사용자만이 Exchange를 사용하여 메일을 외부 도메인으로 보낼 수 있습니다. 인증되지 않은 사용자에게 릴레이를 허용하도록 기본 릴레이 설정을 변경하거나 커넥터를 통해 도메인에 오픈 릴레이를 허용한 경우, 인증되지 않은 사용자가 Exchange 서버를 사용하여 스팸 메일을 보낼 수 있습니다. 결과적으로 이 서버가 차단되어 올바른 원격 서버로 메일을 보내지 못하게 될 수 있습니다. 인증되지 않은 사용자가 Exchange 서버를 사용하여 메일을 릴레이하지 못하도록 하려면 반드시 기본 릴레이 제한을 사용해야 합니다.

참고

릴레이가 종종 스팸 메일로 혼동되기도 합니다. 릴레이 제어는 스팸 메일을 차단하지 않습니다. 스팸 메일 제어에 대한 자세한 내용은 스팸 메일 필터링 및 제어 구성를 참조하십시오.

릴레이 제어 방법에 대한 자세한 내용은 Microsoft 기술 자료 문서 304897, "XIMS: Microsoft SMTP Servers May Seem to Accept and Relay E-Mail Messages in Third-Party Tests"를 참조하십시오.

SMTP 가상 서버와 IMAP/POP 클라이언트 전용 SMTP 가상 서버에서 익명 액세스 차단

보안 향상을 위해 내부 SMTP 가상 서버 및 원격 IMAP/POP 사용자가 보낸 받는 메일을 수락하는 데 사용되는 전용 SMTP 가상 서버에서 익명 액세스를 차단할 수 있습니다. 내부 메일을 보내면 Exchange 서버가 자동으로 인증을 합니다. 따라서 내부 서버에서 익명 액세스가 차단되어 메일 흐름이 중단되지 않으며 내부 SMTP 가상 서버에 보안 레이어가 추가됩니다.

마찬가지로 SMTP 가상 서버로 메일을 보내기 전에 IMAP/POP 클라이언트에서는 인증을 거칩니다. 따라서 IMAP/POP 클라이언트 전용 SMTP 가상 서버를 사용하는 경우 이 서버가 인증된 액세스만을 허용하도록 구성해야 합니다. 익명 액세스를 차단하려면 SMTP 가상 서버 속성의 액세스 탭에서 인증을 클릭한 다음 익명 액세스 확인란의 선택을 해제합니다. 익명 액세스 방지 방법에 대한 단계별 지침은 액세스 제어 및 인증 방법 구성 방법을 참조하십시오.

중요

인터넷 브리지헤드 SMTP 가상 서버에서는 익명 액세스를 활성화해야 합니다. 인터넷에서 들어오는 메일을 수락하는 SMTP 가상 서버는 익명 액세스를 허용해야 합니다.

메일 그룹 및 사용자에 대한 전송 제한

Exchange 2003에서는 개별 사용자나 메일 그룹에 전자 메일 메시지를 보낼 수 있는 사람을 제한할 수 있습니다. 메일 그룹에 대한 전송을 제한하면 인증되지 않은 인터넷 사용자와 같이 신뢰할 수 없는 보낸 사람은 내부 전용 메일 그룹에 메일을 보낼 수 없습니다. 예를 들어 All Employees 메일 그룹은 회사 외부 사람이 스푸핑 등의 방법으로 사용할 수 없어야 합니다.

참고

제한된 메일 그룹 및 사용자에 대한 전송 제한은 Exchange Server 2003을 실행하는 브리지헤드 서버나 SMTP 게이트웨이 서버에서만 작동합니다.

정규 직원 및 기타 내부 그룹과 관련된 내부 메일 그룹에 전송 제한을 설정하는 방안을 고려해 보십시오. 이렇게 하면 이 메일 그룹의 사용자가 스팸 메일을 받지 않도록 보호하고 익명의 사용자가 이 메일 그룹으로 메일을 보내지 못하도록 제한할 수 있습니다.

사용자와 메일 그룹에 전송 제한을 설정하는 방법에 대한 자세한 지침은 사용자에 대한 제한 설정 방법메일 그룹에 대한 제한 설정 방법을 참조하십시오.

내부 SMTP 가상 서버에서 전송 및 릴레이 권한 제한

Exchange Server 2003에서는 표준 Windows 2000 Server 또는 Windows Server 2003 DACL(Discretionary Access Control List)을 통해 SMTP 가상 서버의 전송 및 릴레이 권한을 한정된 수의 사용자나 그룹으로 제한할 수 있습니다. 이렇게 하면 가상 서버에서 메일을 전송하거나 릴레이할 수 있는 사용자 그룹을 지정할 수 있습니다.

SMTP 가상 서버에 대한 전송 제한

SMTP 가상 서버에 대한 전송 제한은 특정 사용자가 특정 가상 서버로 인터넷 메일을 보낼 수 있게 하려는 경우에 유용합니다. 이 사용자나 그룹에게만 SMTP 가상 서버로 메일을 전송할 수 있는 액세스 권한을 부여할 수 있습니다.

참고

인터넷 메일을 받는 SMTP 가상 서버에서 전송을 제한하지 마십시오.

자세한 내용은 보안 그룹을 기준으로 SMTP 서버에 대한 전송을 제한하는 방법을 참조하십시오.

SMTP 가상 서버에서 릴레이 제한

가상 서버의 릴레이 제한 기능은 한 사용자 그룹에게는 인터넷 메일 릴레이를 허용하고 다른 그룹에게는 릴레이 권한을 거부하려는 경우에 유용합니다.

자세한 내용은 보안 그룹을 기준으로 릴레이 제한 방법을 참조하십시오.