보낸 사람 신뢰도

적용 대상: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

마지막으로 수정된 항목: 2006-09-18

보낸 사람 신뢰도란 Microsoft Exchange Server 2007 Edge 전송 서버 역할이 설치된 컴퓨터에서 사용할 수 있는 일종의 스팸 방지 기능으로, 보낸 사람의 다양한 특성에 따라 메시지를 차단합니다. 보낸 사람 신뢰도는 보낸 사람에 대한 지속형 데이터를 사용하여 인바운드 메시지를 받을 때 취할 동작을 결정합니다.

스팸 방지 에이전트를 Edge 전송 서버에 구성하면 에이전트가 메시지에 점증적으로 작용하여 조직에서 받는 원치 않는 메시지의 수가 감소하게 됩니다. 스팸 방지 에이전트를 계획 및 배포하는 방법에 대한 자세한 내용은 스팸 방지 및 바이러스 백신 기능를 참조하십시오.

SRL(보낸 사람 신뢰도 수준) 계산

다음 통계를 이용하여 SRL을 계산합니다.

• HELO/EHLO 분석 HELO 및 EHLO SMTP는 보내는 SMTP 서버의 도메인 이름(예: Contoso.com)이나 IP 주소를 받는 SMTP 서버로 제공하기 위한 명령입니다. 악의적인 사용자나 스팸 발송자의 경우 종종 이러한 HELO/EHLO 문을 다양한 방법으로 위장합니다. 예를 들어 연결이 시작된 IP 주소와 일치하지 않는 IP 주소를 입력합니다. 또한 스팸 발송자는 조직에 있는 도메인인 것처럼 보이게 하려고 받는 서버에서 로컬 지원 대상으로 알려진 도메인을 HELO 문에 넣기도 합니다. 그 밖에 HELO 문에서 전달한 도메인을 변경하기도 합니다. 합법적인 사용자의 경우에는 서로 다르지만 상대적으로 일정한 도메인 집합을 HELO 문에 사용하는 것이 일반적입니다.

  따라서 보낸 사람을 기준으로 HELO/EHLO 문을 분석해 보면 보낸 사람이 스팸 발송자임을 거의 알 수 있습니다. 예를 들어 특정 기간에 서로 다른 고유한 HELO/EHLO 문을 대량으로 보내는 경우 스팸 발송자일 가능성이 매우 높습니다. 연결 필터 에이전트가 결정한 원래 IP 주소와 일치하지 않는 IP 주소를 HELO 문에 지속적으로 제공하며 메시지를 보낸 사람도 스팸 발송자일 가능성이 높으며, Edge 전송 서버와 동일한 조직에 있는 로컬 도메인 이름을 HELO 문에 지속적으로 제공하며 원격에서 메시지를 보낸 사람도 마찬가지입니다.

• 역방향 DNS 조회 보낸 사람 신뢰도는 메시지를 전송한 사람의 원래 IP 주소가 HELO나 EHLO SMTP 명령으로 전송한 등록 도메인 이름과 일치하는지 확인합니다.

  우선 원래 IP 주소를 DNS에 전송하여 역방향 DNS 쿼리를 수행합니다. DNS는 쿼리 결과로서 해당 IP 주소에 대해 도메인 명명 기관을 통해 등록된 도메인 이름을 반환합니다. 보낸 사람 신뢰도는 DNS가 반환한 도메인 이름과 보낸 사람이 HELO/EHLO SMTP 명령으로 전송한 도메인 이름을 비교합니다. 두 도메인 이름이 일치하지 않으면 메시지를 보낸 사람이 스팸 발송자일 가능성이 높으므로 이 사람에 대한 전반적인 SRL 등급이 하향 조정됩니다.

  보낸 사람 ID 에이전트에서도 이와 유사한 작업을 수행하지만 이 작업이 성공하려면 합법적인 보낸 사람이 조직 내 전자 메일을 보내는 모든 SMTP 서버를 식별할 수 있도록 DNS 인프라를 업데이트해야 합니다. 역방향 DNS 조회를 수행하면 잠재적인 스팸 발송자를 식별하는 데 도움이 됩니다.

• 특정인이 보낸 메시지에 대한 SCL 등급 분석   콘텐츠 필터 에이전트에서 메시지 처리 시 메시지에 SCL(스팸 지수) 등급을 지정합니다. 이 SCL 등급은 0에서 9까지의 숫자로서 이 숫자가 높을수록 메시지가 스팸일 가능성이 높다는 뜻입니다. 각 보낸 사람 및 해당 메시지의 SCL 등급에 대한 데이터는 보낸 사람 신뢰도에서 수행하는 분석을 위해 계속 보관됩니다. 이 보낸 사람 신뢰도에서는 과거에 SCL 등급이 낮았던 사람이 보낸 모든 메시지와 SCL 등급이 높았던 사람이 보낸 모든 메시지 간 비율에 따라 보낸 사람에 대한 통계를 계산합니다. 이와 함께 마지막 날에 보낸 SCL 등급이 높은 메시지 수를 전체 SRL에 적용합니다.

• 보낸 사람 개방형 프록시 테스트 개방형 프록시란 장소에 관계없이 모든 사람의 연결 요청을 받아들여 마치 로컬 호스트에서 보낸 것처럼 트래픽을 전달하는 프록시 서버입니다. 프록시 서버가 방화벽 호스트를 통해 TCP 트래픽을 릴레이함으로써 사용자 응용 프로그램은 마치 방화벽이 없는 것처럼 액세스할 수 있습니다. 프록시 프로토콜은 간단하고 사용자 응용 프로그램 프로토콜의 영향을 받지 않으므로 다양한 서비스에서 사용할 수 있습니다. 또한 단일 인터넷 연결을 여러 호스트가 공유할 때도 사용할 수 있습니다. 프록시를 설정할 때는 일반적으로 방화벽 내 트러스트된 호스트만 프록시를 통과할 수 있도록 합니다.

  다음과 같은 조건에서 개방형 프록시가 생길 수 있습니다.

  • 실수로 잘못된 구성

  • 악의적인 트로이 목마 프로그램. 트로이 목마 프로그램은 정보를 받기 위해 다른 일반 프로그램으로 가장하는 프로그램입니다.

  대부분 로깅 기능이 부족한 개방형 프록시는 악의적인 사용자가 본인의 실제 ID를 숨기고 DoS(서비스 거부) 공격을 시작하거나 스팸을 보낼 수 있는 가장 좋은 수단으로 이용됩니다. "기본적으로 개방" 상태로 구성하는 프록시 서버가 많아질수록 개방형 프록시가 점점 일반화됩니다. 또한 악의적인 사용자는 여러 개방형 프록시를 함께 사용하여 보낸 사람의 원래 IP 주소를 숨길 수 있습니다.

  보낸 사람 신뢰도에서는 개방형 프록시에서 Edge 전송 서버로 다시 연결하기 위해 SMTP 요청에 서식을 지정하여 개방형 프록시 테스트를 수행합니다. 프록시에서 SMTP 요청을 받은 경우 보낸 사람 신뢰도에서는 개방형 프록시인지 여부를 확인하고 보낸 사람에 대한 개방형 프록시 테스트 통계를 업데이트합니다.

보낸 사람 신뢰도에서는 이러한 각 통계에 가중치를 부여하고 각 보낸 사람에 대해 SRL을 계산합니다. SRL은 0에서 9까지의 숫자로서 이를 통해 메시지를 보낸 특정인이 스팸 발송자인지 아니면 악의적인 사용자인지 그 확률을 예측할 수 있습니다. 값이 0이면 보낸 사람이 스팸 발송자일 가능성이 거의 없음을 나타냅니다. 값이 9이면 보낸 사람이 스팸 발송자일 수 있음을 나타냅니다.

0과 9 사이에 차단 임계값을 구성하면 이 임계값에 따라 보낸 사람 신뢰도가 보낸 사람 필터 에이전트에 요청을 발행하여 메시지를 보낸 사람을 조직에서 차단할 수 있습니다. 보낸 사람을 차단하는 경우 이 사람은 구성 가능한 일정 기간 동안 차단할 보낸 사람 목록에 추가됩니다. 차단된 메시지에 대한 처리 방법은 보낸 사람 필터 에이전트의 구성에 따라 다릅니다. 다음 동작은 차단된 메시지를 처리하는 옵션입니다.

• 거부

• 삭제 및 보관

• 수락 및 차단할 보낸 사람으로 표시

보낸 사람이 Microsoft 차단 목록 또는 IP 신뢰도 서비스에 포함된 경우 보낸 사람 신뢰도에서는 보낸 사람 필터 에이전트에 즉시 요청을 발행하여 보낸 사람을 차단합니다. 이 기능을 이용하려면 Microsoft Exchange 스팸 방지 업데이트 서비스를 사용하도록 설정하고 구성해야 합니다.

기본적으로 Edge 전송 서버에서는 메시지를 보낸 사람 중 아직까지 분석한 적이 없는 사람에게 등급 0을 설정합니다. 20개 이상의 메시지를 보낸 후에는 보낸 사람 신뢰도가 이 항목의 앞부분에 설명된 통계를 기반으로 SRL을 계산합니다.

SRL 사용

보낸 사람 신뢰도는 SMTP 세션의 다음 두 단계 동안 메시지에 작용합니다.

• MAIL FROM: SMTP 명령 단계 메시지가 차단된 경우에만 보낸 사람 신뢰도가 메시지에 작용하며 그 외의 경우에는 연결 필터 에이전트, 보낸 사람 필터 에이전트, 받는 사람 필터 에이전트 또는 보낸 사람 ID 에이전트가 작용합니다. 이 경우 보낸 사람 신뢰도는 Edge 전송 데이터베이스에 있는 보낸 사람에 대한 지속형 데이터인 보낸 사람 프로필에서 현재 SRL 등급을 검색합니다. 등급 검색 및 평가를 마친 후 Edge 전송 서버 구성의 차단 임계값에 따라 특정 연결에 다양한 동작이 발생합니다.

• "데이터 끝" SMTP 명령 이후 단계   실제 메시지 데이터를 모두 보낸 경우 데이터 전송 끝(_EOD) SMTP 명령이 지정됩니다. SMTP 세션의 이 시점에서는 이미 대부분의 스팸 방지 에이전트가 메시지를 처리한 상태이며 그 결과 보낸 사람 신뢰도가 사용하는 통계가 업데이트됩니다. 따라서 보낸 사람 신뢰도는 이 데이터를 사용하여 보낸 사람의 SRL 등급을 계산하거나 다시 계산합니다.

자세한 내용은 보낸 사람 신뢰도 구성을 참조하십시오.

자세한 내용

Outlook 2007의 스팸 방지 기능에 대한 자세한 내용은 다음 항목을 참조하십시오.

• 스팸 방지 및 바이러스 백신 기능

• 스팸 방지 및 바이러스 백신 기능 관리

보낸 사람 신뢰도를 구성하는 방법에 대한 자세한 내용은 다음 항목을 참조하십시오.

• 보낸 사람 신뢰도 구성

• 보낸 사람 신뢰도를 사용하도록 설정하는 방법

• 보낸 사람 신뢰도 수준 차단 임계값을 설정하는 방법

• 보낸 사람 신뢰도에 대해 개방형 프록시 서버 검색을 사용하도록 설정하거나 사용하지 않도록 설정하는 방법

• 보낸 사람 신뢰도의 개방형 프록시 서버 검색을 위한 아웃바운드 액세스를 구성하는 방법