>> 기술지원 비용 안내 <<

티스토리 뷰

UTM를 사용하여 스팸메일을 걸러내기


UTM
메일 시스템은 모든 메일에 Halon-UTM-Scan 태그를 붙여 메일의 헤더를 추가하고 이 헤더는 메일을 분류한 정보를 담고 있습니다. Scan-Prefix를 설정하면 메일 서버나 메일 클라이언트에서 사용자 규칙(필터)을 만들어야 합니다. 아래 예제에는 POP3 필터링을 위한 특정 헤더를 표시하였습니다. SMTP 프록시 서버를 사용하여 메일을 검사하려고 하면, 필터에 포함되는 서비스 대신에 반드시 끝에 “/SMTP”를 사용하여야 합니다.


어떻게 해서든지 "Passed" 로 표시된 메일들은 일단은 가능한 빨리 메일을 읽어보셔야 합니다. 이들은 귀하의 메일박스로 바로 디렉션되어집니다. “Not-Scanned”라는 하위 분류는 어떤 이유로 일부 메일이 검사되지 못할 때 사용됩니다. 예를들면, 메일이 너무 크거나 연결문제나 라이센스 만료 때문에 스팸 분류 서버에 접속하지 못하는 경우에 발생합니다.

Halon-UTM-Scan: prefix-Passed/POP3
Halon-UTM-Scan: prefix-Passed:Not-Scanned/POP3
Halon-UTM-Scan: prefix-Passed:Whitelist/POP3


아래처럼 스팸 폴더로 이동시키거나, 때때로 재검토를 하기 위하여 예제와 같이 특별한 처리를 위해서 메일을 표시하는 것은 좋은 방법이 될 것입니다.


Halon-UTM-Scan: prefix-Phishing/POP3
Halon-UTM-Scan: prefix-Virus/POP3
Halon-UTM-Scan: prefix-Spam/POP3
Halon-UTM-Scan: prefix-Bulk/POP3
Halon-UTM-Scan: prefix-Suspect/POP3


아래 예제처럼 여러 개의 태그를 자주 표시하는 것은 피하는 것이 좋습니다. 그러나 복수 태그 사용은 가능합니다.


Halon-UTM-Scan: prefix-Virus,prefix-Bulk/POP3


그러나 이를 처리할 수 있도록 필터를 만들어야 합니다. 따라서 나중에 문제가 되지 않기 위해서는 미리 클라이언트를 설정해서 사용할 필요가 있습니다.


 

화이트리스트(White listing)


메일 주소와 발송자의 IP 주소(SMTP에만 해당)를 화이트리스트에 등록할 수 있어 스팸성 여부를 검사하지 않도록 우회시킬 수 있습니다. 화이트리스트는 “pop3-whitelist.txt”“smtp-whitelist.txt” 파일로 저장되며 하론 장비에 ftp로 접속하면 utm/ 폴더에 저장되어 있습니다. 이 파일에서 화이트리스트를 등록하고자 하면 한줄에 하나씩 입력하면 됩니다. 웹 인터페이스에서 화이트리스트를 수정할 수 있습니다. 웹 인터페이스는 utm/setting에 있습니다. 화이트리스트에 등록된 메일들은 다음처럼 표시됩니다:


Halon-UTM-Scan: prefix-Passed:Whitelist/POP3

 

제목: 태그 및 접두사


메일의 제목에 선택적으로 태그를 붙일 수 있습니다. Halon-UTM-Scan 헤더와 같이 데이터 및 조합과 동일하게 사용할 수 있지만 서비스는 제목에 추가되지 않습니다. “Passed” 또는 “Passed:Whitelist”로 표시된 메일은 제목이 바뀌지 않습니다.  CLI를 사용할 때 POP3를 위한 이 명령어를 사용하여 제목 라인을 커스터마이징해야 하고 도메인마다 SMTP 서비스 제목을 커스터마이징해야 합니다.


halon(office1)# mail option set pop3_subject "[UTM: %REASON%]"


접두사(prefix)의 목적은 헤더에 대해 필터를 지원하지 못하는 메일 클라이언트를 위해 필터링하기 위한 독립키를  만들어 줍니다. 접두사는 pop3_prefix smtp_prefix 변수를 바꾸어 세팅하여야 합니다.

halon(office1)# mail option set pop3_prefix "Halon-"

 

halon(office1)# mail option set smtp_prefix "Halon-"

 


로깅


스팸으로 표시된 메일은 발신자, 수신자, 위에서 스팸으로 표시된 이유를 로그로 기록합니다. 어떤 하위-분류가 없는 “Passed”로 표시된 메일은 로그에 기록되지 않습니다. 이 정보는 쓰래스홀드 레벨 3을 사용하여 보고서 시스템에 의해 메일로 발송됩니다. 하론 원격관리자를 사용하여 실시간으로 이 정보를 조회할 수 있습니다.

 

댓글