IceWarp 이메일 서버 자세히보기

아이스워프 메일서버

메라크 해킹사례 : 메라크 계정관리 소홀로 인한 릴레이

알 수 없는 사용자 2007. 3. 30. 18:52
메라크 메일서버나 다른 메일서버를 사용하는 중에 다량의 메일이 외부로 전송되는 오픈 릴레이 형태의 릴레이 공격을 당한 경험을 한 분들이 꽤 있을 것으로 봅니다.

오늘도 어떤 고객사에서 릴레이 공격을 당해 며칠 동안 고생하셨다는 연락을 받고 서버에 원격으로 접속해 보았습니다.

백도어나 웜을 의심해서 어베스트 서버용 백신을 설치하여 테스트해 보았지만 특별한 문제점을 찾지 못했습니다. 또한 릴레이 쪽 메뉴에서 릴레이가 개방되어 있는지 확인을 해 보았습니다만 역시 제대로 닫혀 있었습니다.

메일의 로그를 보니 분명 자체 서버에서 외부로 발송되어 나가고 있으며 외부에서 공격들어온 흔적이 없었습니다. 메라크 수신큐인 \merak\temp\ 폴더에도 아무런 과부하나 많은 파일들이 존재하지 않았습니다. 그래서 발송큐인 \merak\forward\를 살펴보았더니(참고로 8.5이후 부터는 \_outgoing\임) 많은 발송중인 스팸들을 볼 수 있었습니다. 파일을 열어 내용을 확인하니 모든 스팸이 자체 서버에서 발송되어 나가고 있습니다.

그래서 여러가지 원인을 체크해 본 결과 webmaster 계정으로 메일이 발송되는 것을 확인하였습니다. 이 고객사에서는 기본 도메인과 계정, 알리아스와 사용자계정에 대한 보안 관리를 전혀하고 있지 않았습니다.

예를들면 메라크 메일서버 최초설치시 merakdemo.com 도메인과 admin, users 등의 메일주소가 기본포함되고 관리자 계정의 알리아스로 postmaster, webmaster 등이 있는데 이를 삭제하지 않고 사용하고 있었습니다. 더욱이 모든 계정의 아이디와 비밀번호가 동일하여 아무나 메일주소만 알면 메일을 발송할 수 있는 상황이었습니다.

webmaster 계정의 비밀번호가 webmaster로 아이디와 동일하여 쉽게 외부 스팸발송자로 부터 도용을 당해 며칠 동안 해당 메일서버가 스팸서버로 전락하여 메일 운영 뿐만아니라 네트워크에 까지 악영향을 주게되어 업무에 큰 불편을 겪게 된 것으로 확인되었습니다.

다시 한번 말씀드리면 메일서버의 기본 보안 정책은 아이디와 비밀번호가 쉽게 도용되지 않도록 적절한 단어를 조합하여 만드는 것이 중요하며 비밀번호의 경우 6자리 이상의 영문,숫자 조합을 사용하고 연속된 단어를 사용하지 않아야 합니다.

이런 기본적인 고려를 하지 않는다면 우리 메일서버는 스패머의 손에 들어가게 되는 결과를 얻게 됩니다.

다시한번 말씀드리면, 여러분의 메일서버에 등록된 메일아이디와 비밀번호가 동일한 것이 있는지 확인해 보시고, 알지 못하는 이상의 아이디가 운영되고 있는지 바로 확인해 보십시오. 요즘 스패머는 한 서버당 분당 서너통 스팸을 발송하므로서 관리자가 이를 눈치채지 못하게 하는 재치를 발휘합니다.

오봉근이었습니다.