Edge 전송 서버 새 영역 탐색
마지막으로 수정된 항목: 2007-06-06
작성자: Kate Follis
거의 실시간으로 통신을 하고 매우 중요한 메시지를 안전하게 배달하고 위조된 메시지를 즉시 식별하고 트로이 목마가 보안망을 결코 통과하지 못하는 미래가 있다고 상상해 보십시오. 이제 이 모든 것이 가능하므로 이러한 미래를 누리십시오. 지금부터 한 명의 대담한 메시징 관리자가 Microsoft Exchange Server 2007 Edge 전송 서버 배포의 이점을 발견한 방법에 대한 이야기를 공유하겠습니다.
관리자의 로그, 스타 데이트 Exchange 2007
오늘 마침내 본사의 무수한 요구 사항을 충족하고 내부 시스템 성능을 향상시키는 통신 솔루션을 배포했다. 이 혁신적인 제품으로 인해 전체 Northwind Traders 포리스트의 엔터프라이즈 관리자로 승진할 수 있을 것 같다.
모든 일은 오늘 아침에 시작되었다. 모닝 커피를 다 마시기도 전에 전화가 걸려 왔다. 본사에서 나를 Wide World Importers와의 거래 계약 협상 책임자로 결정했다는 소식이었다. 최근 들어 부쩍 엔지니어링 직원이 "관리자님, 스팸을 감당할 수가 없어요!"라고 하소연하긴 했지만 나는 현재 메시징 시스템에 부족함이 없다고 생각하고 있었다. 어쨌든 우리는 인터넷 연결 허브 전송 서버에 스팸 방지 기능을 설정하고 구성하여 Exchange 2007을 실행하고 있었다. 그러나 회사의 지시를 받은 후에 나는 추가 기능이 필요하다는 것을 깨닫게 되었다.
“관리자님, 이 일을 확실히 수행하실 수 있습니까?” Northwind Traders의 최고 홍보 책임자가 물었다.
“네. 물론입니다. 현재 Exchange 2007을 실행하고 있거든요”, 나는 확신에 차서 대답했다.
“네, 저도 그게 안전하다고 들었습니다.” 그가 대답했다. “메시징 예방 조치는 어떻습니까? 통신 포트에 익명 액세스를 허용하여 Tailspin Toys의 누군가가 감염된 첨부 파일을 들여오는 것만큼 골치 아픈 일이 없거든요."
“음,” “우리 구성을 확인하는 것이 좋겠어.”라는 생각이 들었다. 나는 우리 시스템은 최신이며 모든 통신 문제를 처리할 수 있다고 본사에 확실하게 말했다.
“다행입니다. Wide World Importers와는 매우 중요한 관계이므로, 그들과의 모든 통신은 인증되고 암호화되어야 합니다. 들어오는 통신이 내부 서버에서 처리되기 전에 본사의 정보 담당자에게 복사하여 전달되었으면 합니다. 그리고 이런 메시지는 차단되지 않아야 합니다. 매우 안 좋게 보일 수 있을 테니까요. 한 가지 더 당부할 것은 모든 통신이 Northwind Traders 본사 사무실에서 직접 들어온 것처럼 보이도록 해주세요. 엔터프라이즈의 내부 조직을 Wide World Importers에 공개할 필요는 없으니까요. 모두 가능하시겠습니까?”
“예, 우리 보안 시스템을 확인한 다음 협상을 시작하도록 하겠습니다. Wide World Importers와 관련된 모든 전송 내용을 복사해서 보내드리겠습니다.”
팀과의 통신
본사와의 대화가 끝나자마자 나는 디자인 및 엔지니어링 담당자에게 전자 메일을 보냈다. 그들과 주고받은 전체 내용은 다음과 같다.
----- 원본 메시지 -----
받는 사람: Design@enterprise.northwindtraders.com; Engineer@enterprise.northwindtraders.com
From: Administrator@enterprise.northwindtraders.com
제목: 추가 회사 규정
본사에서 Wide World Importers와의 협상 시작 업무를 위임했습니다. 그러나 전송을 시작하기 전에 우리의 메시징 시스템이 통신 요구 사항을 충족할 수 있는지 확인해야 합니다. 다음이 새로운 회사 지시 내용입니다.
Wide World Importers에서 온 메시지는 내부 서버로 처리하기 전에 본사로 복사해야 합니다.
Wide World Importers로 보낸 모든 메시지도 본사로 복사해야 합니다.
엔터프라이즈 전자 메일 주소를 위장하여 Northwind Traders 주소로 바꿔서 사용해야 합니다.
Wide World Importers와 보내고 받은 모든 메시지는 인증 및 암호화해야 하며 차단해서는 안 됩니다. 메시지를 허용하기 전에 Wide World Importers에서 온 메시지가 맞는지 확인할 수 있는 방법이 있습니까?
이렇게 할 경우 Tailspin Toys의 첨부 파일이 통신 포트에 들어올 수 있다는 것에 대해 약간 우려가 됩니다. Tailspin Toys 메시지와 관련된 바이러스가 발생되는 것으로 보이기 때문입니다.
----- 회신 -----
받는 사람: Administrator@enterprise.northwindtraders.com; Engineer@enterprise.northwindtraders.com
보낸 사람: Design@enterprise.northwindtraders.com
제목: Re: 추가 회사 규정
관리자님 말씀에 공감합니다. 네트워크 경계, 주소 다시 쓰기, 도메인 보안 및 첨부 파일 필터링에 적용하는 규칙을 구현해야 합니다. 네트워크 경계에 대한 익명 통신 포트 연결을 제한할 수 있다면 더욱 효과적일 것입니다. 저는 Edge 전송 서버를 배포할 것을 제안합니다.
----- 회신 -----
받는 사람: Administrator@enterprise.northwindtraders.com; Design@enterprise.northwindtraders.com
보낸 사람: Engineer@enterprise.northwindtraders.com
제목: Re: 추가 회사 규정
디자인 담당자님 의견에 동의합니다. 관리자님, Edge 전송 서버를 배포할 수 있다면 엔터프라이즈와 바운서 포트 25 주위로 스팸 방지 강제 필드를 갖는 것처럼 될 것입니다. Edge 전송 서버는 다른 모든 Exchange 2007 서버 역할과 같은 관리 인터페이스를 사용하기 때문에 이 방법을 즉시 배울 수 있을 것입니다. 이 구성을 진행할까요?
----- 회신 -----
받는 사람: Engineer@enterprise.northwindtraders.com; Design@enterprise.northwindtraders.com
보낸 사람: Administrator@enterprise.northwindtraders.com
제목: Re: 추가 회사 규정
1시간 후에 회의실에서 만나 이 문제를 의논하도록 합시다.
솔루션 설계
디자인 및 엔지니어링 담당자 모두 Edge 전송 서버를 사용하여 내가 제안한 모든 문제를 해결할 수 있다고 확신하는 듯 보였지만 내게는 아직 풀리지 않는 몇 가지 문제가 있었다. 두 담당자 모두 내게 필요한 모든 정보를 가지고 정시에 회의실로 왔다.
디자인 담당자는 허브 전송 및 Edge 전송 서버 역할에 대해 사용할 수 있는 다음과 같은 스팸 방지 및 바이러스 백신 기능의 행렬을 제공하였다. 나는 Exchange 2007 에이전트에서 내가 사용하려는 모든 기능을 구현할 수 있다는 것을 알게 되었다.
| 기능 | Edge 전송 서버에서 지원되는가? | 허브 전송 서버에서 지원되는가? |
|---|---|---|
첨부 파일 필터 첨부 파일 필터 에이전트를 사용하여 특정 첨부 파일 형식을 차단할 수 있습니다. 첨부 파일을 제거하되 전자 메일 메시지 배달은 허용하거나 첨부 파일과 전자 메일 메시지 모두 자동으로 삭제할 수 있습니다. |
예 |
아니요 |
연결 필터 연결 필터 에이전트를 사용하여 원본 IP 주소 또는 IP 주소 범위를 기반으로 연결을 필터링할 수 있습니다. 알려진 스팸 출처와의 연결을 차단할 수 있습니다. |
예 |
예 |
콘텐츠 필터 콘텐츠 필터 에이전트는 전자 메일의 스팸 가능성을 평가합니다. Exchange Enterprise CAL(클라이언트 액세스 라이선스)로 정규 콘텐츠 필터 업데이트를 받습니다. 여기에는 피싱 웹 사이트, Microsoft SmartScreen 스팸 추론 및 기타 지능형 메시지 필터 업데이트에 대한 업데이트된 데이터가 포함됩니다. |
예 |
예 |
받는 사람 필터링 받는 사람 필터 에이전트를 사용하여 올바른 받는 사람에게 보낸 전자 메일만 수락할 수 있습니다. |
예, Edge 구독 사용 |
예 |
보낸 사람 필터링 보낸 사람 필터 에이전트를 사용하여 특정 보낸 사람으로부터 받는 전자 메일을 차단할 수 있습니다. 예를 들어, 알려진 스팸 보낸 사람의 전자 메일을 차단할 수 있습니다. |
예 |
예 |
보낸 사람 ID 보낸 사람 ID 에이전트는 받은 전자 메일 메시지의 원래 IP 주소를 원본 도메인에 대해 등록된 IP 주소와 대조하여 확인합니다. |
예 |
예 |
수신 허용 목록 집계(Safelist Aggregation) 이 기능은 스팸 방지 수신 허용 받는 사람 목록 또는 수신 허용 - 보낸 사람 목록의 데이터와 Outlook 사용자가 구성하는 연락처 데이터를 수집한 다음 Edge 전송 서버 역할이 설치되어 있는 컴퓨터의 스팸 방지 에이전트에서 이 데이터를 사용할 수 있도록 만듭니다. 수신 허용 목록 집계는 Edge 전송 서버에서 수행되는 스팸 방지 필터링에서 가양성 사례를 줄이는 데 도움이 됩니다. Exchange 관리자가 수신 허용 목록 집계를 활성화하고 올바로 구성하면 콘텐츠 필터 에이전트는 안전한 전자 메일 메시지를 별도의 처리 없이 회사의 사서함으로 전달합니다. |
예 |
예 |
주소 다시 쓰기 주소 다시 쓰기 에이전트를 사용하여 내부 전자 메일 주소를 대체 주소로 다시 씀으로써 내부 도메인의 ID를 마스크할 수 있습니다. |
예 |
아니요 |
전송 규칙 전송 규칙을 사용하여 보내고 받은 전자 메일에 대한 작업을 수행할 수 있습니다. 허브 전송 서버에서 사용할 수 있는 것과 다른 조건자, 작업 및 예외를 Edge 전송 서버에서 사용할 수 있습니다. Edge 전송 규칙은 추가 스팸 방지 및 바이러스 백신 기능을 제공합니다. 허브 전송 규칙은 Exchange 2007 조직 내부에서 정책 적용을 가능하게 합니다. 자세한 내용은 전송 규칙 개요을 참조하십시오. |
예 |
예 |
도메인 보안 도메인 보안을 사용하여 트러스트된 도메인을 식별하고 해당 도메인과 전자 메일 통신을 위한 보안을 협상할 수 있습니다. |
예, Edge 구독 사용 |
아니요 |
디자인 담당자도 이러한 각 기능의 자세한 내용에 대한 링크를 제공하였다.
“좋습니다. Edge 전송 서버를 사용하여 Wide World Importers와의 통신을 위한 회사 규정을 충족하는 데 필요한 기능을 구현할 수 있을 것 같습니다. 그런데 엔지니어링 담당자는 어떻게 배포를 수행하고 내결함성을 제공할 계획이십니까?” 내가 물었다.
“모든 계획을 세워두었습니다, 관리자님.” 엔지니어링 담당자가 설명했다. “경계 네트워크에 두 개의 Edge 전송 서버를 배포할 계획입니다. 그리고 라운드 로빈 메커니즘을 사용하도록 DNS를 구성하여 인바운드 연결의 부하를 분산할 것입니다. 즉, 두 서버의 FQDN으로 인증서를 수동으로 만들어서 도메인 보안을 제공하는 것입니다. 이 프로시저의 링크는 여기에 있습니다. TLS에 대한 인증서 또는 인증서 요청 만들기.”
“음. 그렇다면 서버 간에 구성의 일관성은 어떻게 유지합니까? 그리고 아웃바운드 연결에 대한 부하 분산과 내결함성은 어떻게 됩니까?” 내가 물었다.
“복제된 구성을 사용하여 서버 간에 구성을 일관되게 유지하려고 합니다. 그런 다음에 두 서버에 대해 Edge 구독을 만들 것입니다. 이렇게 하면 수신 허용 목록 집계(Safelist Aggregation)를 비롯한 Edge 전송 서버의 모든 기능을 사용할 수 있고 Wide World Importers 메시지를 차단하지 않을 수 있게 될 것입니다. Edge 구독에서 우리에게 필요한 모든 송신 커넥터도 만들 것입니다. 두 개의 Edge 전송 서버는 아웃바운드 송신 커넥터에 대해 원본 서버로 나열될 것이고, 이로써 아웃바운드 연결에 대한 부하 분산과 내결함성도 얻을 수 있게 됩니다.” 그의 설명을 듣고 있자니 엔지니어링 담당자가 이 솔루션을 한동안 준비한 듯 느껴졌다. 복제된 구성에 대한 자세한 내용을 다음에서 확인할 수 있었다. Edge 전송 서버 복제된 구성 사용.
“그런데 이것이 보안에 어떤 영향을 줄지 좀 걱정이 되네요. 추가 하드웨어에 대한 비용도 정당화해야 하고요.” 내가 엔지니어링 담당자의 열의를 가라앉히며 말했다.
“음, 관리자님," 엔지니어링 담당자가 대답했다, "Edge 전송 서버를 배포하게 되면 허브 전송 서버의 수신 커넥터에 설정한 익명 액세스를 해제할 수 있습니다. Active Directory 디렉터리 서비스와 같은 내부 리소스를 보다 안전하게 보호할 수 있게 되는 것이지요. 스팸과 바이러스는 가능한 한 초기 단계에서 차단될 것입니다. 따라서 SMTP 계층에서 외부 위협, 디렉터리 하비스트 공격, 서비스 거부 공격에 대해 보다 안전하게 방어할 수 있습니다. 스팸 방지 기능을 경계로 이동함으로써 내부 메시징 서버에 대한 처리 오버헤드를 줄일 수도 있습니다. 철저한 방어 전략을 구축하기 위해 허브 전송 서버에서 내부 바이러스 백신 검사를 계속 수행할 것입니다. 스팸 방지 부하를 줄이려고 허브 전송 서버를 추가할 계획이었기 때문에 하드웨어는 이미 준비되어 있습니다.”
“잠시만요. Edge 전송 서버에서 Active Directory를 어떻게 보호합니까? Active Directory에서 조회하지 않는다면 받는 사람 조회를 어떻게 수행할 수 있나요?” 내가 물었다.
“아, 그 문제는 Edge 구독에서 처리합니다." 엔지니어링 담당자가 설명했다. "Edge 전송 서버를 작업 그룹에 배포하면 Microsoft Exchange EdgeSync Service에서 받는 사람을 Edge 전송 서버에 암호화된 개체로 복제하고 Edge 전송 서버는 ADAM(Active Directory Application Mode) 디렉터리 서비스에 데이터를 저장할 것입니다. 여기 리소스에 대한 링크를 보시면 이 기술을 쉽게 이해할 수 있을 것입니다. Edge 구독 이해.”
디자인 담당자는 엔지니어링 담당자의 설명에 동의하였다. “관리자님,” 디자인 담당자가 말했다. “제 의견도 엔지니어링 담당자님의 계획과 같습니다. 이것이야말로 본사에서 요구하는 기능을 제공할 수 있는 가장 논리적인 리소스입니다.”
“아주 좋습니다,” “배포하도록 합시다,” 나는 결론을 내렸다.
솔루션 구현
엔지니어링 담당자는 하드웨어를 즉시 작동시켰고 우리는 본사의 요구 사항에 맞게 Edge 전송 서버 역할의 구성을 시작할 준비가 되어 있었다.
첫 번째 작업은 엔터프라이즈 하위 도메인의 ID를 위장하기 이해 주소 다시 쓰기를 구현하는 것이었다. 우리는 이 항목의 하위 도메인의 모든 전자 메일 메시지를 다시 쓰는 방법 절차에 따라 작업을 수행했다. 나는 Exchange 관리 셸의 사용이 그토록 쉬운 것에 놀랐다. 이제 우리의 enterprise.NorthwindTraders.com에서 보낸 모든 전자 메일이 NorthwindTraders.com에서 직접 들어온 것으로 표시된다.
도메인 보안 구성은 약간 복잡해 보였다. 그러나 도메인 보안을 위한 Mutual TLS를 구성하는 방법 항목의 설명에 따라 프로세스를 쉽게 수행할 수 있었다. 우리는 허브 전송 서버의 Set-TransportConfig cmdlet를 사용하여 WideWorldImporters 도메인을 TLSReceiveDomainSecureList 및 TLSSendDomainSecureList 특성에 추가하였다. 그러자 Microsoft Exchange EdgeSync Service에서 해당 정보를 새 Edge 전송 서버로 복제하였다.
Wide World Importers에서 오는 전자 메일이 차단되지 않도록 하기 위해 WideWorldImporters 도메인을 Outlook의 내 수신 허용 - 보낸 사람 목록에 추가하였다. 우리는 Update-Safelist cmdlet를 사용하여 Outlook 사용자에 대한 수신 허용 목록 정보를 업데이트한 다음 Microsoft Exchange EdgeSync Service에서 이 데이터를 복제하고 해당 콘텐츠 필터링이 Edge 전송 서버에서 사용되도록 설정되었는지 확인하였다. 누락된 작업이 있는지 확인하기 위해 수신 허용 목록 집계 구성 방법의 단계를 수행하였다.
기업 본사에서 Wide World Importers와 주고받는 모든 메일을 본사의 정보 담당자에게 복사해달라고 했기 때문에 이를 위해 Edge 전송 서버에 두 개의 전송 규칙을 만들었다. 새 전송 규칙을 만드는 방법의 지시에 따라 조직 내부에서 보낸 메시지의 받는 사람 주소에서 "WideWorldImporters" 단어를 찾은 다음 메시지 복사본을 정보 담당자에게 보내는 첫 번째 규칙을 구성하였다. 그런 다음 조직 외부에서 보낸 메시지의 보낸 사람 주소에서 "WideWorldImporters" 단어를 찾은 다음 복사본을 정보 담당자에게 보내는 두 번째 규칙을 만들었다.
엔지니어링 담당자는 우리 엔터프라이즈로 들어오지 못하도록 차단해야 하는 첨부 파일 이름과 확장명 목록을 첨부 파일 필터링 구성 방법의 절차에 따라 만들고 있다. 이제 나는 Tailspin Toys에서 우리에게 바이러스 첨부 파일을 보내는 것에 대한 걱정에서 완전히 해방되었다.
에필로그
우리의 엔터프라이즈를 원활하게 운영하는 것은 늘 어려운 일이지만 오늘 나는 차세대용으로도 손색이 없는 메시징 솔루션을 구현할 수 있었다. Wide World Importers와의 협상은 잘 진행되고 있고 본사에서는 메시지에 확신과 신뢰를 갖고 있으며 내가 제공한 문서 내역에 흡족해하고 있다.
참고
용례에 사용된 회사, 기관, 제품, 도메인 이름, 전자 메일 주소, 로고, 사람, 장소 및 이벤트 등은 실제 데이터가 아닙니다. 어떠한 실제 회사, 기관, 제품, 도메인 이름, 전자 메일 주소, 로고, 사람, 장소 또는 이벤트와도 연관시킬 의도가 없으며 그렇게 유추해서도 안 됩니다.
자세한 내용
Edge 전송 서버 배포의 이점을 경험하신 경우 자신의 성공 사례를 써주십시오. 자세한 내용은 다음 리소스를 참조하십시오.
.jpg "a2a2b2cd-23e4-4ae8-99b6-1eb3cb5d522a")
Kate Follis - Microsoft Exchange Server 선임 테크니컬 라이터