스팸, UBE, 오남용 이메일은 하루에 약 900억통이 발생하고 모든 이메일 트래픽의 70% 이상을 차지합니다. Radicati 연구소의 예측에 따르면 스팸차단을 위한 어떤 노력에도 불구하고 2011년까지 스팸은 82%까지 증가한다고 합니다. 기업 이메일 트래픽의 3분의 2가 스팸 계정으로 도용되고 이를 처리하기 위한 자원과 비용이 추가되고 보안 위협에 노출될 것으로 보여집니다. 피싱(Phising)은 모든 이메일에서 밸생할 위협의 80%로 커지게 되고 바이러스와 같은 말웨어(Malware)가 급속히 퍼지게 될 것입니다.


이제 이런 스팸을 통제할 때가 되었습니다.

사용자 삽입 이미지

메라크의 스팸차단을 위한 안티스팸 내부 로직을 그린 플로우챠트입니다. 이는 모듈 설계로 새로운 스팸 엔진에 탑재되었습니다.


최첨단 기술

메라크 안티 스팸은 매우 높은 정확성을 유지하는 완벽한 스팸 차단 솔루션입니다. 메라크 안티 스팸은 가장 진보된 스팸 차단 시스템을 탑재하여 일일 업데이트되는 엔진을 통해 최신 스패머의 공략을 처리합니다. 새로운 규칙, 스팸 서명, 엔진 개선으로 스패머들이 새롭게 만들어 내는 스팸 공격 방법들에 대해 자동 업데이트 기술을 통해 신속히 업데이트합니다.

  • 평균적으로 97%의 정확성
  • 낮은 오류율
  • 20개가 넘는 스팸차단 기술 : 스팸어세신, 베이시안 필터, RBL, URIBL/SURBL 등
  • 자동업데이트
  • 복수의 스팸 관리 시나리오
  • 수동, 준자동, 사용자 선택의 처리
  • 복수의 스팸 처리 방식 : 거부, 삭제, 격리보관, 태그, 정렬

20개가 넘는 스팸 차단 기술

DNSBL, 침입탐지, 커맨드 모니터링 및 서비스 율 제어, 그레이리스트, 다중의 RBL 서버, SURBL, SRS 지원되는 SPF, 도메인키(domainKey), 블랙리스트, 화이트리스트, 바이패스, Razor2, 키워드 필터, 본문 필터, 금지 문자셋 필터, 스팸어세신, 자동학습 기능의 베이시안 필터, 학습 규칙, 격리보관, 시도응답, 스팸 트랩 등


사용자 삽입 이미지

메라크 관리자 단에서의 스팸관리


사용자 삽입 이미지

사용자의 스팸보고서를 통한 스팸관리




격리보관

안티 스팸 효율성을 줄이지 않고도 오인율(false positive)을 줄이기 위해, 알지못한 발송자가 보낸 명백하지 않은 스팸이나 햄(ham) 과 같은 메일을 격리보관할 수 있습니다. 수동 스팸 처리의 의미는 일반 사용자가 매일 보내온 스팸 보고서를 통해 격리보관된 메일을 관리할 수 있다는 것입니다. 간혹 정상 메일이 스팸으로 분리되어 격리보관 되는 경우에 대비하기 위해 격리보관된 메일에 대한 스팸 보고서를 사용자에게 보내줍니다.

준자동 처리란 격리보관된 메시지의 발송자에 대한 시도응답(challenge response)을 통해 발송한 사람이 인증되도록 하여 인증한 메일에 대하여 정상적으로 메일을 수신하도록 하는 것입니다.

  • 일일 격리보관 보고서를 메일로 전송
  • 제목, 보낸사람, 날짜를 포함한 상세한 내용
  • 어떤 HTML 지원의 메일 클라이언트와도 호환
  • 메시지 기반이 아닌 발송자 기반
  • 발신자 승인을 위한 처리 링크 포함, 보고서에서 메일삭제, 배달, 인증
  • 사용자가 웹메일에서 격리보관된 메일 검사 및 관리
  • 시동응답 기능을 통한 준-자동 관리
  • 격리보관 함에 남아있는 메일에 대한 일정시간 후의 삭제 기능
  • 승인된 발송자에 대해 항상 스팸차단되지 않도록 하는 화이트리스트 기능


자동 화이트리스트 기능

자동화된 화이트리스트는 중요한 메일에 대해 어떤 손실없이도 스팸 차단 기술을 통해 걸러지지 않고 완벽하게 수신자에게 배달되도록 합니다. 폐쇄된 작업 그룹에 있는 사람들은 어떤 노력없이도 100% 스팸 차단이 가능하도록 할 수도 있습니다. 거래처로 부터 수신된 메시지 들은 스팸으로 절대 분리되지 않고 수신되도록 거래처 목록이 자동으로 화이트리스트에 등록됩니다.

  • 어떤 사용자에게 발송한 이메일 주소를 자동 등록
  • 시동응답에서 승인된 발송자
  • 사용자나 관리자가 격리보관에서 승인한 발송자
  • 웹메일 주소록과 아웃룩 공유 주소록에 있는 연락처
  • 메신저 클라이언트의 친구목록에 있는 Jabber ID
  • 웹메일에서 화이트리스트 필터 폴더로 이동시킨 발송자
  • 자동학습 규칙에 의해 특정 화이트리스트 주소로 발송한 발송자

화이트리스트에 등록된 주소에서 온 메일은 곧장 사용자의 메일박스로 배달되고 안티스팸 엔진으로 부터 바이패스 됩니다.



통합의 장점

  • 멀티-레이어 보호 : 프로토콜에서 사용자 수준까지
  • 안 장소에서 관리와 유지 가능
  • 어떤 별도의 통합작업 없이도 즉시 안티스팸 사용
  • 다른 고가의 스팸차단 어플라이언스 장비에 비해 월등하게 낮은 투자비용
  • 메시지 배달에 영향이 없이 MDA 처리 필터는 수천개의 메일을 처리
  • 특정 언어나 개별 요구에 맞는 커스터마이징 가능
  • 자동화이트리스트는 어떤 미들웨어 제품도 불필요




블로그 이미지

ICEWARP 이메일서버 avastkorea

ICEWARP 글로벌 이메일 서버 플랫폼으로 한국내 3천여 고객사가 운영 중인 구축형 메일 서버 솔루션, 윈도우 및 리눅스 운영체제 지원, 가상화 엔진 탑재, 또는 SaaS용 메일 운영이 가능합니다.

댓글을 달아 주세요

스팸 메일 및 바이러스 메일을 차단하고 순수한 진성 메일만을 받아 볼 수 있으면 얼마나 좋을까?


배경


최근에는 기업에서 스팸메일 차단 솔루션을 거의 모두 도입하였거나 도입을 고려하고 있다고 보면 틀린 말이 아닐 것입니다. 회사나 조직, 관공서 등에서는 메일서버 앞단에 스팸메일을 걸러주는 안티스팸 솔루션을 어플라이언스 형태나 소프트웨어 형태로 많이 도입하였고 이를 통해 많은 트래픽을 감소시키고 있습니다. 개인적으로는 PC용 (혹은 데스크탑용) 스팸 소프트웨어를 설치하는 형태가 보편적인데 이는 이번 글에서는 제외하도록 하겠습니다.


스팸메일을 차단하여야 하는 이유

스팸메일을 차단하고자 하는 이유는 너무나 자명합니다. 얼마전까지만 해도 스팸메일은 단순히 스팸이기 때문에 회사내에 많은 트래픽을 유발하여 시스템이나 회선 비용이 증대되는 폐해나 직원들이 스팸메일을 처리하는데 소요되는 시간을 절감하기 위한 목적으로 차단하였습니다. 그러나 최근의 스팸은 해커의 시스템 장악과 스팸메일의 발송을 원격에서 조정, 웜의 재배포를 위해 좀비형(웜이 내장된 스팸메일) 스팸메일로 지능적으로 악용되어 있어 꼭 막아야 하는 것으로 바뀌고 있습니다.




그럼, 회사에서 어떠한 방법으로 스팸메일을 차단할 수 있을까요?

  • 첫번째는 스팸엔진이 탑재된 메일서버를 도입하는 것입니다.
  • 둘째는 스팸차단 어플라이언스를 메일서버 앞단에 설치하는 것입니다.
  • 세째는 스팸차단 소프트웨어를 메일서버에 탑재하는 것입니다.
  • 넷째는 스팸차단 서비스를 이용하는 것입니다.


1. 스팸엔진이 탑재된 메일서버의 도입


기존에 회사에서 운영하는 메일서버가 최신버전이 아니거나 안티스팸 기능이 없을때 스팸메일과 대응하기 위해 메일서버를 바꾸어 스팸과의 전쟁에 이길 수 있습니다.

기존 메일서버를 바꾸므로서 스팸메일에 대하여 효과적으로 대응할 수 있도록 조치하면 됩니다. 그러나 이 경우 메일서버를 바꾸게 되므로서 기존시스템으로 부터의 이전에 다소 비용과 노고가 필요합니다. 하지만 최근 메일서버의 판매동향을 보면 많은 업체들이 기존 메일서버를 버리고 새로운 메일서버로 교체하는 것이 메일시장의 대다수를 차지하고 있어 현실적인 대안으로 기업들은 생각하고 있는 것 같습니다. 소프트메일에서 메라크 메일서버 판매의 70% 이상이 기존 메일서버 대체용 제품으로 판매되고 있습니다.

저희가 제시하는 방법으로는 메라크 프로페셔널 슈트 제품(메일+안티스팸+안티바이러스가 포함된 제품)으로 메일서버를 교체하면 새로 발생되는 스팸이나 바이러스 메일로 부터 95% 정도의 스팸을 차단할 수 있습니다.


2. 스팸차단 어플라이언스 설치

또다른 방법으로는 기존에 사용하고 있는 익스체인지와 같은 메일서버를 바꾸지 않고 스팸차단 시스템을 메일서버 앞단에 설치하는 방법입니다.

이 방법은 메일 시스템을 바꾸지 않고 앞단에 스팸장비를 설치하므로서 메일서버 이전에 대한 위험과 노력이 그만큼 절감됩니다. 스팸 차단 시스템으로는 지란지교의 스팸스나이퍼, 테라스테크놀로지의 스팸프리, 모비젠의 크레디쉴드, 스팸아웃과 같이 제품들이 있으며 소프트메일은 하론 SX-50, SX-101 과 같은 통합보안시스템 제품을 통해 스팸메일을 차단하는 어플라이언스를 제공합니다.

당사의 UTM 장비인 SX-50 제품을 사용하면 스팸차단, 바이러스 메일차단 등을 메일서버 앞단에서 걸러주며 방화벽과 침입탐지 기능을 동시에 사용하여 서버 보안에도 매우 중요한 역할을 합니다.


아래 이미지들은 메일서버가 IDC에 있고 사내 네트워크에 하론 SX-50 UTM 장비를 설치하였을 때 사용자가 아웃룩에서 pop3로 메일을 가져올때 UTM 이 스팸을 필터링하는 과정에 대한 스크린샷입니다.

사용자 삽입 이미지

SX-50의 스팸차단 UTM/POP3


사용자 삽입 이미지

아웃룩에서 스팸으로 분류된 스팸메일, 제목에 [utm]태그가 붙었다. 태그는


사용자 삽입 이미지

스팸으로 분류된 메일의 헤더정보. Halon-UTM 검사한



3. 스팸차단 소프트웨어

소프차단 소프트웨어로 스팸차단 기능을 포함한 게이트웨이형 바이러스 백신, 스팸 게이트웨이 등의 소프트웨어를 메일서버에 설치합니다.

이 경우 기존 메일서버의 SMTP 포트를 25번에서 26번과 같이 포트를 변경하고 스팸서버의 SMTP를 25번으로 설정하여 메일이 수신될때 스팸서버가 받아 필터링하고 메일서버로 전달하는 형태로 사용합니다.

이 역시 기존 메일서버을 교체하지 않으므로 이전에 대한 부담은 덜 수 있습니다만, 스팸메일의 많은 트래픽이 고스란히 메일 시스템으로 모두 다 넘어오므로 트래픽 절감이나 시스템 보안 상에는 크게 좋은 방법은 아닌 것 같습니다. 하지만 소규모 메일서버의 경우 이 방법 역시 스팸 메일을 줄이게 되므로 사용자 입장에서 보면 스팸메일이 많이 절감될 수 있습니다.


4. 스팸 차단 서비스를 이용

많은 스팸차단 솔루션을 공급하는 업체들은 시스템을 판매하는 것 외에도 스팸차단을 위한 ASP 서비스를 구축하고 있습니다. 이런 서비스를 이용하면 기존 메일서버 변경없이도 네트워크 상에 다른 시스템을 설치하지 않고도 쉽게 스팸메일을 차단할 수 있습니다.

기존의 MX 레코드의 우선순의를 ASP 업체에 부여하고 낮은 우선순위를 기존 메일서버로 설정하여 스팸서비스 업체의 메일서버를 거쳐 진성메일만을 우리 메일서버로 전달해 주는 형태입니다.

이 경우 낮은 비용으로 월 이용료를 지불하므로서 쉽게 스팸을 걸러낼 수는 있지만 해외 거래처와의 중요 메일을 빈번히 사용하는 업체들에게는 권하기 어려운 모델이라고 봅니다. 스팸차단 정책을 회사 나름대로 설정하기 어렵고 스팸서비스 업체의 정책을 사용하다보면 중요 메일 들을 송수신하는데 적잔히 어려움이 발생할 가능성이 많습니다. 저희 경험상으로 볼때 업체들에게 자주 이런 문제가 발생하고 있습니다.

또한 MX 레코드만을 변경하기 때문에 회사 내에 있는 메일서버로 직접 공격하는 스팸이나 웜에 의한 스팸발송, 회사 내부의 좀비 PC에서 발송되는, 그리고 다른 네트워크 상에 있는 좀비 서버가 발송하는 스팸 등은 걸러낼 수 없는 취약점이 있습니다.



결론

이와 같이 회사에 스팸메일 차단을 위한 시스템을 갖추어야 하는 이유와 구축할 수 있는 종류를 간단하게 열거해 보았습니다.

현재 우리회사가 바이러스 백신도 있고 방화벽도 있어 안전하다고만 생각하면 되지 않을 것 같습니다. 보다 안전한 사내 네트워크를 구성하고 관리하고자 한다면 UTM 장비의 도입이 가장 필요할 것이라고 생각합니다. 물론 UTM 장비라고 해서 모든 위험성을 내포한 외부의 공격을 막아내는 것은 아니지만 필수적인 시스템을 갖춘 경우와 그렇지 않은 경우의 차이는 매우 클 것으로 보입니다.

참고로 NTFAQ에서 소개한 "회사의 방화벽 정도는 있어야 하지 않을까요?"를 읽어보시길 바랍니다.











블로그 이미지

ICEWARP 이메일서버 avastkorea

ICEWARP 글로벌 이메일 서버 플랫폼으로 한국내 3천여 고객사가 운영 중인 구축형 메일 서버 솔루션, 윈도우 및 리눅스 운영체제 지원, 가상화 엔진 탑재, 또는 SaaS용 메일 운영이 가능합니다.

댓글을 달아 주세요

2007년 7월 초에 외국에서는 연하장(Greeting Card) 스팸이 새로 출현하여 사용자들을 괴롭히고 있습니다. 이 스팸은 단순한 스팸이 아니라 본문에 있는 링크를 클릭하는 순간 악성 코드를 포함하는 웹사이트에 접속하여 해당 파일을 내려 받아 사용자 PC에 감염되는 무시무시한 스팸입니다.

이 스팸에 대한 자료는 한 블로그에 게재되어 있어 이의 링크로 대신합니다.

http://newvirus.tistory.com/152

아래 그림은 Greeting Card 스팸 중 하나 입니다. 본문을 보면 링크 값이 있는 것을 볼 수 있습니다.

사용자 삽입 이미지

중요한 점은 이 스팸을 메라크 메일서버에서 어떠한 방법을 써서 차단할 수 있느냐라고 할 수 있습니다. 스팸의 메시지를 한번 분석해 봅니다.

1. 제목 - 다양한 제목을 사용하므로 필터링이 어렵습니다.
2. 본문 - 일상적인 영어가 많이 사용되므로 필터링이 어렵습니다.
3. 크기 - 보통 2K 정도를 차지합니다.
4. 보낸사람 - 특정한 도메인이 사용됩니다. 필터링이 가능합니다.
5. 본문 링크 - 링크 주소가 도메인(영어)가 아니라 숫자로 되어 있습니다.

이러한 특징을 바탕으로 다음과 같은 조건을 정하였습니다.

1. 보낸사람을 검사
2. 크기는 5K 미만
3. 본문에 숫자로 된 도메인 주소(ex. http://65.27.36.170)가 있는지 검사

이 세가지 경우를 만족할 경우에는 스팸으로 처리하도록 합니다.

현재까지 알려진 보낸사람의 도메인은 다음과 같습니다.

netfuncards.com
greeting-cards.com
e-cards.com
funnypostcard.com
freewebcards.com
hallmark.com
postcards.com
mypostcards.com
dgreetings.com
postcard.com
123greetings.com
all-yours.net
greetingcard.org
egreetings.com
vintagepostcards.com
all-yours.net
greet2k.com
postcards.org
riversongs.com
bluemountain.com
2000greetings.com

필터는 별도의 파일로 제공되며 간단히 설명해 드립니다.
사용자 삽입 이미지

1. 보낸 사람은 위의 목록을 C:\Program Files\Merak\spam\filters\Greeting_card-from.txt  텍스트 파일로 저장합니다. 다른 위치에 저장하려면 필터에서 수정합니다.

2. 두번째 조건은 정규 표현식(Regular Expression)으로 http://숫자.숫자.숫자.숫자 를 찾아 내는 것입니다.

아래는 XML 코드입니다. 텍스트 파일로 저장하여 컨텐트 필터에서 가져오기하면 필터를 쉽게 사용할 수 있습니다.
<CONTENTFILTER><FILTER><ACTIVE>1</ACTIVE>
<TITLE>[스팸처리] Greeting card </TITLE>
<READONLY>0</READONLY>
<CONDITION><AND>1</AND>
<LOGICALNOT>0</LOGICALNOT>
<CONTAINTYPE>12</CONTAINTYPE>
<CONTAIN>c:\Program Files\Merak\Spam\filters\Greeting_card-from.txt</CONTAIN>
<MESSAGESIZESMALLER>0</MESSAGESIZESMALLER>
</CONDITION>
<CONDITION><AND>1</AND>
<LOGICALNOT>0</LOGICALNOT>
<HEADERTYPE>6</HEADERTYPE>
<CONTAINTYPE>10</CONTAINTYPE>
<CONTAIN>\bhttp://\b\b(?:[0-9]{1,3}\.){3}[0-9]{1,3}\b</CONTAIN>
<MESSAGESIZESMALLER>0</MESSAGESIZESMALLER>
</CONDITION>
<CONDITION><AND>1</AND>
<LOGICALNOT>0</LOGICALNOT>
<EXPRESSION>2</EXPRESSION>
<CONTAINTYPE>8</CONTAINTYPE>
<MESSAGESIZESMALLER>1</MESSAGESIZESMALLER>
<MESSAGESIZE>5120</MESSAGESIZE>
</CONDITION>
<ACCEPT>0</ACCEPT>
<REJECT>0</REJECT>
<DELETE>0</DELETE>
<ENCRYPT>0</ENCRYPT>
<PRIORITY>0</PRIORITY>
<SCORE>0</SCORE>
<MARKSPAM>1</MARKSPAM>
<STOP>1</STOP>
<EXECUTE>0</EXECUTE>
<TARPITSENDER>0</TARPITSENDER>
<FIXRFC822>0</FIXRFC822>
<SMTPRESPONSE>0</SMTPRESPONSE>
<STRIPALL>0</STRIPALL>
</FILTER>
</CONTENTFILTER>


감사합니다.

PS: 이 필터는 메라크 메일서버 8.91 버전을 기준으로 작성하였습니다. 하위 버전 사용자는 반드시 필터가 제대로 동작하는지 검토하시기 바랍니다.

끝.
블로그 이미지

ICEWARP 이메일서버 avastkorea

ICEWARP 글로벌 이메일 서버 플랫폼으로 한국내 3천여 고객사가 운영 중인 구축형 메일 서버 솔루션, 윈도우 및 리눅스 운영체제 지원, 가상화 엔진 탑재, 또는 SaaS용 메일 운영이 가능합니다.

댓글을 달아 주세요

2007년 5월 22일(화) - 어제 고객사중에 하나인 "해태음료"에 다녀오게 되었습니다.

사용자 삽입 이미지
이미 2004년 부터 메라크 메일서버를 사용하고 있는 해태음료이지만 그룹사의 해체이후에 경영권이 일본으로 넘어가게 된 이후부터 전산실의 조정을 거치면서 많은 IT환경의 변화가 있었습니다.

해태음료는 2,000여명에 이르는 직원이 있는 대기업 규모의 업체로서 그룹웨어와 메일을 통합하여 사용하고 있었으나 메일을 사용하는 직원 수는 얼마되지 않았습니다. 많은 사람들이 야후나 네이버 메일을 회사명함에 넣고 사용하는 상태였습니다.

그러나 이번 메일서버에 대한 새로운 활용방안의 강구를 통해 전사적으로 메일을 htb.co.kr 회사메일을 통해 사용, 활용하고 밖으로 주로 돌아다니는 영업사원의 활용에 대한 니즈를 충족시키기 위해 새로운 메일서버를 도입할 지, 아니면 메라크 메일서버를 지속하여 재구입할 지를 고민하기 시작하였습니다.

사용자 삽입 이미지
해태음료 전산실의 김봉준 과장의 말에 따르면, "우리는 많은 것을 고민하였습니다. 인사관리 시스템, 그룹웨어, 메일서버, 내부 보안 통제 등 검토할 사항이 꽤 많았고 그 중에 메일서버 역시 큰 비중을 차지하고 있습니다. 메일서버의 경우 우리에게 꼭 필요한 기본기능에 충실한 안정적인 서버이어야 한다는 점과, 사용의 편리성, 그리고 기존 메일서버의 원활한 이전, 가격 등이 큰 변수 상황이었습니다. 아울러 전국의 영업직원들이 메일을 통해 신제품에 대한 인식과 회사의 교육 등을 받을 수 있는 상황이어 하기 때문에 메일서버의 선택은 우리에게 큰 문제가 아닐 수 없었습니다. 메라크 메일서버를 우리가 재도입하기로 한 것은 크게 1) 꼭 필수적인 기능을 지니고 있다는 점, 2) 안정적인 메일서비스를 할 수 있다는 것, 3) 메일 통지와 동시에 SMS 문자메시지를 영업직원들에게 보낼 수 있다는 것, 4) 새로운 시스템에 대한 불안감을 해소할 수 있고, 5) 기존 메일서버에 대한 친숙성과 편이성을 지속할 수 있다는 점, 그리고 6) 마지막으로 가장 중요한 가격적인 매력 때문에 메라크 메일서버를 다시한번 구매하기로 결정하였습니다. 특히 이번에 새롭게 도입하는 메라크 안티스팸 기능은 매우 기대가 큽니다. 수 많은 스팸메일로 부터 이를 처리하는데 소요되는 불필요한 시간을 제거하고 스트레스도 줄이고 본연의 업부에 매진할 수 있게 된 것이 무척이나 기쁜일입니다." 이와 같이 메라크 재선택에 대한 강력한 의지를 보여주시고 이를 결정하게 되었다고 설명하였습니다.

메라크 메일서버는 현재 1,000여개가 넘는 국내 고객사를 확보한 매우 매력적인 메일서버 제품입니다. 메일서버의 안정적인 기능외에도 스팸차단, 바이러스 메일차단, 아웃룩에서 사용할 수 있는 일정관리(SyncML), 메신저, SMS 등의 부가 기능은 업무 통합에 큰 도움을 주고 있습니다.

해태음료의 메라크 재선택에 감사의 말씀을 드리며 메라크 메일서버를 통해 좋은 성과있기를 진심으로 기원합니다.

감사합니다.
블로그 이미지

비회원

ICEWARP 글로벌 이메일 서버 플랫폼으로 한국내 3천여 고객사가 운영 중인 구축형 메일 서버 솔루션, 윈도우 및 리눅스 운영체제 지원, 가상화 엔진 탑재, 또는 SaaS용 메일 운영이 가능합니다.

댓글을 달아 주세요

하론 UTM 장비에 탑재된 스팸기술인 commtouch의 zero-hour 엔진에서 모아진 스팸 자료들을 분석하여 2007년 1/4분기 스팸 통계를 발표하였습니다. 스패머들은 뒤떨어지는 안티스팸 엔진을 공략하기 위한 새로운 전술들을 개발하였습니다. 2007년 1/4분기에 역시 이메일에 대한 위협적인 공격이 있었던 것으로 분석하고 있습니다. 네트워크 상에 있는 대량의 좀비 PC들은 스팸레벨응ㄹ 높여 정크 메일의 더욱 강력한 공격을 하고 있습니다. 11월에서 12월에 이르는 기간동안 스팸은 더욱 강렬해졌으며 2월~3월은 다소 스팸 레벨이 조금 떨어졌습니다. 그러나 이는 스팸이 감소하는 경향은 아니며 전체 메일중에 85~90%가 스팸으로 분류되고 지속적인 비율을 유지할 것으로 보입니다.

사용자 삽입 이미지

Botnets는 계속된다

사용자 삽입 이미지
거대한 보트(bot) 네트워크는 네트워크 상의 수백만대의 좀비 pc를 통해 강력하게 랜덤하게 관리자들이 알아채지 못한 상태에서 이밎 스팸을 랜덤하게 발송할 수 있습니다. 전세계에 퍼져있는 좀비 PC는 능동적으로 스팸공격을 하기 위해 소스를 변경할 수 있습니다. 좀비 컴퓨터는 사실 우리들이 사용하고 있는 평벙한 PC들로서 단시간안에 공격적으로 수백만건 이상의 스팸메일을 발송할 수 있습니다.

아래 도표를 보면 지난 분기동안 랜덤하게 24시간동안 스팸이 발송된 통계를 볼 수 있는데 이들은 일반적인 우리들의 좀비 PC를 통해 발송된 것으로 보면 됩니다. 스팸의 수량은  각 개별 좀비 PC에서 빠르게 전송이 됩니다. 광대역의 인터넷에 접속되어 있다면 더욱 빨리 대용량의 스팸메일을 발송할 수 있는 환경이 되며 더 빨리 PC들이 좀비로 만들어 질 수 있습니다.

스패머들은 계속해서 좀비 컴퓨터들을 찾아 만들어 갈것이며 그러기 위해 더 많은 트로이목마(웜 바이러스)를 PC에 배포하여 스패머들이 일반 PC를 통제할 수 있도록 해 갈 것입니다. 우리가 일상적으로 받는 스팸메일이 여러분의 PC를 좀비로 만들 수 있는 무서운 로봇이 들어 있을 수 있습니다. 이런 스팸메일을 받으면 우리 자신의 PC도 스패머에 종속되는 좀비 PC로 전락됩니다. 하지만 우리 일반인 들은 내 PC가 좀비인지 알아내기가 무척 어렵습니다.

엄청난 수량의 스팸메일을 배포하는 보트들

사용자 삽입 이미지


가장 일반적인 스팸메일의 제목은?

지난 1분기에 가장 일반적인 제목은 작년의 제목과 동일합니다. 섹스와 관련된 제품 소개가 가장 많습니다.

스팸 메일의 제목

- 성적 강화제 : 53.6%
- 성행위 관련 : 19%
- 기타 성적의약품 : 12%
- 금융관련 : 3.8%
- 포르노 : 2.6%
- 소프트웨어 : 1.4%
- 전자제품 : 1%
- 기타 6.4%


최근의 스팸 트릭 : 뉴스레터를 가로 채기

스패머들은 최근 최신 기술을 사용하여 뉴스레터를 가로채서 이를 스팸으로 만드는 새로운 메일 전술을 만들어 내었습니다. 납치된 뉴스레터 스팸메일은 합법적으로 배포된 메일링 리스트, 뉴스레터를 라로채서 여기에 스팸을 붙이기 때문에 안티스팸 엔진으로 부터 안전하게 일반인들의 PC까지 전송되도록 하고 있습니다. 기본 정상 뉴스레터 메일의 앞부분에 스팸 이미지를 추가하는 방식을 사용하므로 취약한 스팸차단 솔루션으로 부터 피해나가게 됩니다.

이제 스팸차단 솔루션도 무용지물이 될 수 있을지도 모릅니다.


납치된 뉴스레터 사례

아래 이미지는 나이키에서 발송한 고객 뉴스레터 메일입니다. 정상적으로 나이키에서 고객들에게 보내는 뉴스레터인데 이번 1/4분기에는 이 뉴스레터를 스패머가 납치(?)하여 스팸메일로 바꾸어 일반 고객에게 전송하는 사례를 만들어 내었습니다. 빼았긴 뉴스레터는 합법적인 나이키 서버를 통해 발송되니 안티스팸 솔루션이 이를 막어낼 수 있을까요?

사용자 삽입 이미지

아무튼 요즘 스패머의 기술은 상상을 초월합니다.


어떻게 납치된 뉴스레터 스팸이 필터를 피해 나갈까요?

이런 새로운 형태의 뉴스레터 납치 스팸은 많은 종류의 안티스팸 서버들을 우회하는 기술을 사용합니다. 보통 합법적인 뉴스레터들을 대부분의 스팸차단 솔루션들은 이를 바이패스하도록 필터를 만들어 놓았습니다. 국내 안티스팸 제품 역시 화이트리스트를 운영하므로서 국내 뉴스발송서버들을 등록하여 바이패스하도록 하고 있습니다.

광학문자인식(OCR)이나 기타 이미지 분석 알고리즘을 사용하는 스팸 필터들만이 이런 종류의 스팸광고가 붙은 스팸메일을 걸러낼 수 있을 것으로 봅니다. 그러나 대부분의 스팸차단 솔루션들은 이미지 분석 기술을 사용하고 있지 못한 것이 실정입니다.

우리나라의 경우도 대부분 중소기업들이 스팸차단을 위해 asp 서비스를 통해 스팸을 걸러내고 있는데 대부분 이런 종류의 스팸메일은 차단하기 곤란하다고 봅니다.

만약 URL 주소로 스팸 뉴스레터를 차단한다면 정말로 어리석은 일일 것입니다. 임시 방편에 지나지 않을 것입니다. 스패머는 항상, 자주 합법적인 웹사이트나 메일서버를 크랙하여 그들의 주소를 바꾸어 버립니다. 서버 관리자나 운영자는 이를 알지 못하고 자기 서버가 스팸서버로 악용되는 것을 방치하게 됩니다.

이런 종류의 스팸메일은 합법적인 웹서버에 메일본문을 링크를 걸어 URL 차단으로부터 우회하도록 하므로서 URL 차단 기술을 무용화되게 됩니다.


결론 : bot를 통해 강력해진 메일공격을 방어하려면 네트워크 기반의 보안이 필요

납치된 뉴스레터 스팸은 최근 스패머가 개발한 가장 최신의 기법입니다. 스패머들은 가히 혁신적인 기술을 개발해나가 스팸방지 솔루션을 통과하기 위해 기술적 진보를 해나가고 있습니다. 일반적인 스팸차단 솔루션은 이들 해커의 발전속도를 따라가기 힘든 상황이 될 수 있습니다.

하론 UTM 장비는 commtouch의 Recurrent Pattern Detection(RDP) 기술을 탑재한 안티스팸엔진을 통해 실시간으로 대규모로 발생되는 스팸 메일을 실시간으로 감지해 내, 전세계적인 차단 기반을 갖고 새로 발생하는 스팸을 차단합니다.

하론의 SX UTM 장비를 도입을 고려해 보십시오.

50명 이하의 중소기업이라면 SX-50 UTM 장비를
100명 이상~200명 이하의 중견기업이라면 SX-101 장비를
그 이상의 대기업이라면 SX-200을 고려하시면 됩니다.

장비의 데모를 원하시면 14일간 무상으로 스팸을 방지하기 위한 데모를 위해 SX-50 장비를 빌려드립니다. 지금 바로 신청해 보십시오.

신청시 아래와 같은 정보를 보내주십시오 :

회사명 :
담당자 :
휴대폰 :
회사전화 :
이메일주소 :
주소:
사용하는 메일서버 :
직원수 :
설치예정일 :


하론 UTM 장비에 관한 정보 :

http://www.softmail.co.kr
http://www.halonsecurity.co.kr



블로그 이미지

비회원

ICEWARP 글로벌 이메일 서버 플랫폼으로 한국내 3천여 고객사가 운영 중인 구축형 메일 서버 솔루션, 윈도우 및 리눅스 운영체제 지원, 가상화 엔진 탑재, 또는 SaaS용 메일 운영이 가능합니다.

댓글을 달아 주세요

스팸메일차단 UTM 솔루션인 하론 SX-50의 스팸차단 결과에 대한 모니터링 및 보고서입니다. 스팸메일을 얼마나 차단했는지 눈으로 확인해 볼 수 있습니다.

사용자 삽입 이미지

위의 그래프는 실시간 모니터링 그래프입니다.
사용자 삽입 이미지
위의 보고서는 일간, 주간, 월간으로 차단 결과를 간단한 보고서 형식으로 제공해 줍니다.

위와 같이 하론의 UTM 장비인 SX-50, 101, 200 보안 장비는 메일서버 앞단에서 효과적으로 스팸메일을 차단할 수 있습니다.

블로그 이미지

비회원

ICEWARP 글로벌 이메일 서버 플랫폼으로 한국내 3천여 고객사가 운영 중인 구축형 메일 서버 솔루션, 윈도우 및 리눅스 운영체제 지원, 가상화 엔진 탑재, 또는 SaaS용 메일 운영이 가능합니다.

댓글을 달아 주세요

SX-50 UTM 스팸차단 솔루션으로 스팸메일 차단하기

사용자 삽입 이미지
SX-50의 UTM(통합위협관리) 기능을 통해 스팸메일 차단 솔루션을 도입하면 시스템으로 침투하는 1)스팸메일은 물론 2)바이러스 메일, 3)피싱메일을 일거에 차단할 수 있습니다.

SX-50 UTM 장비는 본래 통합방화벽으로서 방화벽과 VPN, 침입탐지(스노트) 기능을 수행하지만 스팸이나 바이러스 메일을 차단하기 위한 스팸메일 차단 솔루션으로서의 UTM 어플라이언스 장비로 한번에 보안기능을 모두 사용할 수 있어 그 효과가 사뭇 기대됩니다.

시스템 구성

SX-50 UTM 장비의 설치는 메일서버 앞단에 설치하여 랜케이블을 WAN에 바로 접속하고 여기서 메일서버 쪽으로 크로스케이블을 연결하여 메일서버 보호 역할을 하도록 설치하거나 중간에 스위치를 통해 사설IP로 메일서버를 방화벽 내부단으로 구성하여 설치할 수 있습니다.

DNS서버에서 MX레코드를 UTM 장비의 고정IP로 등록하고 SX-50 장비에서 메일서버를 지정하는 형태로 설정하면 간단하게 스팸차단 솔루션으로 바로 사용할 수 있습니다. 또한 침입탐지 기능을 통해 최근 폭발적으로 발생하는 해킹을 방지할 수 있도록 사용할 수 있어 시스템 운영의 가용성을 최대한 높일 수 있게 됩니다.

SX-50 장비는 하드웨어 어플라이언스 방화벽 장비이기 때문에 윈도우나 리눅스 서버에 설치하는 다른 스팸차단 솔루션보다도 보안성과 성능에서 더욱 우수할 뿐아니라 사용자가 쉽게 도입할 수 있는 매우 합리적인 가격으로 제공됩니다.


화면 샘플 및 리포트

사용자 삽입 이미지
좌측의 이미지는 UTM 장비로 얼마만큼의 메일이 수신되었고 얼마만큼이 스팸메일로 분류되었는지를 나타내 줍니다.

한눈에 볼 수 있는 직관적인 분석결과를 보여주므로서 효용성을 바로 쉽게 확인할 수 있습니다.

다만 아쉬운 점이 있다면 다른 고가의 스팸차단 솔루션이 갖고 있는 보고서 기능이 따로 준비되어 있지 않다는 것입니다. 하지만 syslog를 통해 보고서의 기본이 되는 로그를 실시간으로 저장시킬 수 있습니다.

사용자 삽입 이미지
우측 그림은 그래프로 스팸검출 현황을 모니터링 할 수 있는 실시간 그래프입니다.


사용자 삽입 이미지

좌측 이미지는 UTM 장비에서 스팸을 분류하고 이에 대한 결과를 리포트 메일로 보내주기 위한 화면입니다.











스팸메일 차단 결과

사용자 삽입 이미지


본 화면은 스팸으로 분류한 결과에 대해 일정간격으로 담당자 메일로 보고서 메일을 보내준 화면입니다. 메일을 보낸사람과 시각, 분류상태, 결과를 담고있습니다.


사용자 삽입 이미지

좌측 이미지는 위의 그림을 확대한 것으로 메일 발송자와 UTM의 어떤 프로세스를 통해 스켄되었는지를 보여줍니다.













사용자 삽입 이미지
이 이미지 역시 위의 이미지와 함께 표시되는 것으로 해당 메일이 스팸인지 아닌지의 결과를 보여줍니다.




















SX-50 스팸차단 UTM 장비는 스팸을 검출해 내면 UTM 장비단에서 스팸을 차단하는 방식을 사용하지 않고 메일의 헤더에 커스텀헤더를 추가하고 제목에 스팸여부인지만을 태그로 붙여 메일서버로 라우팅하도록 하는 태그방식의 스팸차단 솔루션입니다.

따라서 실제 메일서버단에서 제목에 특정 태그가 붙여 들어온 메일에 대해 스팸폴더로 저장하거나 차단하도록 설정하여야 합니다. 이런 기능이 없는 메일서버라면 사용자가 자신의 메일 클라이언트, 즉 아웃룩 등에서 메일규칙을 만들어 스팸편지함 등에 저장하도록 간단히 설정하면 됩니다.

저희가 운영해본 결과로는 스팸인식율 자체가 다른 솔루션에 비해 낮지 않으며 스팸으로 잘못분류하는 오인율이 극히 작다는 것이 큰 장점일 것입니다.

우리회사에 맞는 UTM 장비의 모델은?

스팸메일 차단을 고려하고 계시다면 메일서버와 상관없이 SX-50을 고려해 보십시오. SX UTM 장비는 SX-50, SX-101, SX-200으로 구분되며 UTM장비로 사용할 경우 사용자수와는 관계없지만 직원이 100명 정도라면 SX-50을 2~300명인 경우는 SX-101을, 그이상의 대기업이라면 SX-200 장비를 사용하시면 됩니다.

SX 스팸차단 장비의 판매형태는 판매와 임대로 나뉠 수 있지만 현재는 판매방식만 사용하고 1년 이후에는 업데이트 구매를 하셔야 합니다. 1년이 지나면 장비자체의 업데이트, UTM 업데이트를 위해 갱신구매가 필요합니다. 갱신구매를 하지 않는 경우 UTM 기능이 중지됩니다.


가격문의 및 구매상담

SX-50이나 SX-101 스팸차단솔루션 도입에 관한 문의는 아래 연락처를 통해 문의하여 주십시오.
기존 고객사의 경우 데모 장비를 통해 충분히 테스트해 볼 수 있도록 넉넉한 기간을 드립니다. 따라서 성능과 효과를 테스트해 보시고 구매를 결정하시기 바랍니다.
제품의 견적은 별도로 요청하여 주십시오.

  • 연락처 : 02)3486-9220
  • 제품소개 : http://www.halonsecurity.co.kr



블로그 이미지

비회원

ICEWARP 글로벌 이메일 서버 플랫폼으로 한국내 3천여 고객사가 운영 중인 구축형 메일 서버 솔루션, 윈도우 및 리눅스 운영체제 지원, 가상화 엔진 탑재, 또는 SaaS용 메일 운영이 가능합니다.

댓글을 달아 주세요

UTM를 사용하여 스팸메일을 걸러내기


UTM
메일 시스템은 모든 메일에 Halon-UTM-Scan 태그를 붙여 메일의 헤더를 추가하고 이 헤더는 메일을 분류한 정보를 담고 있습니다. Scan-Prefix를 설정하면 메일 서버나 메일 클라이언트에서 사용자 규칙(필터)을 만들어야 합니다. 아래 예제에는 POP3 필터링을 위한 특정 헤더를 표시하였습니다. SMTP 프록시 서버를 사용하여 메일을 검사하려고 하면, 필터에 포함되는 서비스 대신에 반드시 끝에 “/SMTP”를 사용하여야 합니다.


어떻게 해서든지 "Passed" 로 표시된 메일들은 일단은 가능한 빨리 메일을 읽어보셔야 합니다. 이들은 귀하의 메일박스로 바로 디렉션되어집니다. “Not-Scanned”라는 하위 분류는 어떤 이유로 일부 메일이 검사되지 못할 때 사용됩니다. 예를들면, 메일이 너무 크거나 연결문제나 라이센스 만료 때문에 스팸 분류 서버에 접속하지 못하는 경우에 발생합니다.

Halon-UTM-Scan: prefix-Passed/POP3
Halon-UTM-Scan: prefix-Passed:Not-Scanned/POP3
Halon-UTM-Scan: prefix-Passed:Whitelist/POP3


아래처럼 스팸 폴더로 이동시키거나, 때때로 재검토를 하기 위하여 예제와 같이 특별한 처리를 위해서 메일을 표시하는 것은 좋은 방법이 될 것입니다.


Halon-UTM-Scan: prefix-Phishing/POP3
Halon-UTM-Scan: prefix-Virus/POP3
Halon-UTM-Scan: prefix-Spam/POP3
Halon-UTM-Scan: prefix-Bulk/POP3
Halon-UTM-Scan: prefix-Suspect/POP3


아래 예제처럼 여러 개의 태그를 자주 표시하는 것은 피하는 것이 좋습니다. 그러나 복수 태그 사용은 가능합니다.


Halon-UTM-Scan: prefix-Virus,prefix-Bulk/POP3


그러나 이를 처리할 수 있도록 필터를 만들어야 합니다. 따라서 나중에 문제가 되지 않기 위해서는 미리 클라이언트를 설정해서 사용할 필요가 있습니다.


 

화이트리스트(White listing)


메일 주소와 발송자의 IP 주소(SMTP에만 해당)를 화이트리스트에 등록할 수 있어 스팸성 여부를 검사하지 않도록 우회시킬 수 있습니다. 화이트리스트는 “pop3-whitelist.txt”“smtp-whitelist.txt” 파일로 저장되며 하론 장비에 ftp로 접속하면 utm/ 폴더에 저장되어 있습니다. 이 파일에서 화이트리스트를 등록하고자 하면 한줄에 하나씩 입력하면 됩니다. 웹 인터페이스에서 화이트리스트를 수정할 수 있습니다. 웹 인터페이스는 utm/setting에 있습니다. 화이트리스트에 등록된 메일들은 다음처럼 표시됩니다:


Halon-UTM-Scan: prefix-Passed:Whitelist/POP3

 

제목: 태그 및 접두사


메일의 제목에 선택적으로 태그를 붙일 수 있습니다. Halon-UTM-Scan 헤더와 같이 데이터 및 조합과 동일하게 사용할 수 있지만 서비스는 제목에 추가되지 않습니다. “Passed” 또는 “Passed:Whitelist”로 표시된 메일은 제목이 바뀌지 않습니다.  CLI를 사용할 때 POP3를 위한 이 명령어를 사용하여 제목 라인을 커스터마이징해야 하고 도메인마다 SMTP 서비스 제목을 커스터마이징해야 합니다.


halon(office1)# mail option set pop3_subject "[UTM: %REASON%]"


접두사(prefix)의 목적은 헤더에 대해 필터를 지원하지 못하는 메일 클라이언트를 위해 필터링하기 위한 독립키를  만들어 줍니다. 접두사는 pop3_prefix smtp_prefix 변수를 바꾸어 세팅하여야 합니다.

halon(office1)# mail option set pop3_prefix "Halon-"

 

halon(office1)# mail option set smtp_prefix "Halon-"

 


로깅


스팸으로 표시된 메일은 발신자, 수신자, 위에서 스팸으로 표시된 이유를 로그로 기록합니다. 어떤 하위-분류가 없는 “Passed”로 표시된 메일은 로그에 기록되지 않습니다. 이 정보는 쓰래스홀드 레벨 3을 사용하여 보고서 시스템에 의해 메일로 발송됩니다. 하론 원격관리자를 사용하여 실시간으로 이 정보를 조회할 수 있습니다.

 

블로그 이미지

비회원

ICEWARP 글로벌 이메일 서버 플랫폼으로 한국내 3천여 고객사가 운영 중인 구축형 메일 서버 솔루션, 윈도우 및 리눅스 운영체제 지원, 가상화 엔진 탑재, 또는 SaaS용 메일 운영이 가능합니다.

댓글을 달아 주세요


전자 메일이 나오고 스팸이 출현하기 시작하면서, 스패머와 메일 서버 관리자간에는 보이지 않는 전쟁이 수십 년째 지속되고 있다. 스패머가 새로운 기술로 사용자를 농락하면, 메일 서버의 보안 엔지니어들이 그 기술에 대항하여 차단할 수 있는 기술을 만들어 내는 등, 아직도 스팸과 전쟁이 지속되고 있다.

이런 가운데, 우리나라에서 주로 사용되는 스팸 차단 기술은 아주 기본적인 수준에 머물러 있다. 스팸 차단 기술이라 부르기는 좀 뭐하지만, SPF가 작년 하반기에 인프라가 구축되었다.

SPF(Sender Policy Frame)은 발송자(정확히는 발송 서버)의 IP가 실제 도메인 이름과 일치하는지 확인하는 하나의 인증 기술이다. 다시 말하면, SPF, Sender-ID와 같은 기술은 IP주소와 도메인이름의 일치 여부를 검사하여 이를 위반하는 메일에 대해 수신 서버의 스팸 엔진에서 별도의 점수를 부과하여 또는 처리를 하도록 하여 스팸을 막아주는 역할을 수행한다. 하지만, 정확히 말하면 스팸을 검사하는 것이 아니라, 해당 IP로 위조되어 발송한 메일을 구별해 내는 것에 불과하므로, 어느 정도의 효과를 기대할 수 있을 뿐이다. 또한, 국내의 대형 포탈에서는 SPF를 통해 화이트도메인을 등록하는 체계를 이용하여 IP등록제(화이트도메인)를 운영하고 있다.이에 대한 자료는 이 글 마지막 부분을 참고하기 바란다.

이러한 단점에 비하여, 도메인키는 좀더 나은 체계를 가지고 있다. 도메인키는 전자 서명 기술을 이용한다. 원래 도메인키는 Yahoo!가 처음 제시하여 사용된 기술로 지금은 좀더 보완하고 발전한 기술로 도메인키라고 불리우며, 앞으로 널리 사용된 기술은 DKIM(Domain Key Identified Mail)이라고 한다. 차후에 DKIM에 대해서도 자세한 자료를 설명하고, 메라크 메일 서버에 DKIM을 어떻게 적용하여 사용하지는지에 대해서도 다룰 예정이니 기대하기 바란다.


도메인 키의 인증 원리

 
  도메인 키는 전자 서명기술을 사용한다. 발송자가 미리 준비한 공용/사설키 쌍을 가지고 있고, 발송시 개인키와 메일 내용을 가지고 특정한 헤더값을 만든다. 이 값을 발송시에 헤더에 추가하여 보내고, 수신 서버는 발송 서버의 공개키와 메일에 포함된 헤더 값을 비교하여 메일이 올바른지 판단한다. 좀더 자세히 알아 보자.

전자 서명: 전자서명은 전자문서를 작성한 자의 신원과 전자 문서의 변경 여부를 확인할 수 있도록 비대칭 암호화방식을 이용하여 전자서명생성키로 생성한 정보로서 당해 전자문서에 고유한 것을 말한다.

전자서명 기술: 전자서명기술은 공개키와 개인키간 합치성(Correspondence)의 특성을 이용하여 전자문서를 수신한 상대방이 송신자의 신원확인, 전자문서의 위.변조 방지, 전자문서의 송신사실의 부인 방지를 할 수 있는 기술을 말한다.

공개키 암호기술에 기반을 둔 전자서명기술은 개인키/사설키(Private Key)와 공개키(Public Key)라는 두 개의 키를 이용하여 문서를 전자서명하고 이를 검증하는 기술로 공개키암호기술에서 개인키는 사용자 자신만이 알고있는 키를 말하며, 사용자는 이 키를 이용하여 문서에 전자서명을 한다.

공개키는 이 개인키에 대응하는 키로서, 문서를 수신할 상대방은 공개키를 이용하여 전자서명된 문서를 검증한다. 개인키로 전자서명된 문서는 이에 대응하는 공개키를 가진 사람만이 그 서명을 검증할 수 있다. 전자서명된 문서가 A의 공개키로 검증된다면 이 문서는 A의 개인키로 전자서명된 것임을 알 수 있다.


발송 서버의 동작 원리

사용자 삽입 이미지

1. 먼저 DNS 서버에는 selector._domainkeys라고 하는 TXT 레코드를 생성한다. 이 레코드 값 속에는 도메인 이름과 선택자(selector) 그리고 키 길이(바이트)에 맞는 개인키와 공용키가 들어 있다. 개인키는 말 그대로 비밀 키이므로 메일 서버에 보관하고, 공개키는 DNS에 공개한다. 공개키는 나중에 수신 서버가 메일을 받았을 때 참조하게 된다.

2. 메일을 발송할 때 발송서버는 개인키를 이용하여 메시지의 디지털 서명값을 만들어 이 값을 메일 메시지의 헤더 부분에 삽입하여 발송한다.



수신 서버의 동작 원리

3. 수신 서버는 메일을 수신하고, 메일 내에 도메인키가 적용된 즉, 특별한 헤더값이 포함된 경우에는 이를 인증하는 과정을 진행한다.

4. 수신한 메일에서 발송 도메인을 찾아, 이 도메인의 공개키를 조회하여 알아 낸다. 이 공개키와 메일 헤더 내에 삽입되어 있는 디지털 서명값을 통해 개인키로부터 메일이 작성되어 보내졌는지를 확인한다. 이 과정에서 메일 내용뿐만 아니라 헤더의 변조 여부까지도 알 수 있다.

5. 스팸 엔진의 정책 또는 회사 정책에 따라 도메인 키가 확인된 메일에 점수를 부여하거나 하는 등의 추가적인 처리 과정을 거쳐 사용자에게 정상 또는 스팸으로 분류하여 배달한다.

참고: 스팸 어새신의 기본 정책에서는 도메인키 확인시 -0.5점을 부여한다.

앞에서 설명했던 이론으로 중무장하고 이제 실전의 장으로 나가 보자. 메라크 메일 서버에서는 관리자의 편의를 위해 아주 간단한 조작만으로도 손쉽게 도메인키를 구현할 수 있다.


설정

  설정 부분은 메라크 메일서버와 DNS 서버 두 부분으로 나뉜다. 차근차근 살펴 보도록 하자.

1. 도메인 키 사용 및 설정 (메라크 메일 서버에서 설정할 사항)

1) 메라크 관리 콘솔 -> 도메인 & 계정 -> 관리 노드를 선택하고,  여러분의 도메인을 선택하고 오른쪽 세부창에서 도메인키 탭을 클릭한다. 아래 그림과 같이, 사용에 체크 버튼을 클릭할 수 없기 때문에 먼저 이를 활성화해야 한다.
사용자 삽입 이미지

2) 메라크 관리 콘솔 -> 도메인 및 관리 -> 전역설정 노드를 선택하고, 오른쪽 세부창에서 도메인 탭을 클릭한다. 가상 도메인 박스에서 도메인키 사용에 체크를 하고 적용 버튼을 눌러 설정 사항을 저장한다.
사용자 삽입 이미지

3) 첫 번째 단계를 다시 클릭하여 이동한다. 활성화되지 않았던 사용 부분을 선택할 수 있는지 확인한다. 사용 버튼에 체크를 하고, 저장 버튼을 눌러 저장한다.

4) 선택자도메인을 입력한다. 선택자는 관리자 마음대로 입력할 수 있지만, 가급적 버전의 확인을 위해 앞부분에 dk와 같은 단어를 추가하는 방식을 추천한다. 여기 예에서는 dk_primary라고 입력하고, 도메인은 merakdemo.com이라고 입력한다.(당연한 얘기지만, 이 글을 읽으면서 실제 메일서버에 동일하게 입력하는 실수는 하지 않겠죠?) 처리 방식 기본을 선택한다. nofws에 대한 자세한 사항은 사용 설명서를 참고하기 바란다.
사용자 삽입 이미지

5) 사설키 생성 버튼을 클릭하면, 키의 길이를 입력하는 팝업 상자가 나타난다. 512비트 그대로 놔두고 확인 버튼을 누른다. 그러면, 개인키가 자동으로 생성된 것을 볼 수 있다.
사용자 삽입 이미지

사용자 삽입 이미지

참고: 위의 그림에서 사설 키 내의 데이터 첫 부분을 보면 RSA PRIVATE KEY라는 식별 표시가 있다.

6) 선택자와 사설키, 키길이를 토대로 하여 공개키를 만든다. DNS 서버에 등록할 공개키는 선택자 데이터 조회 버튼을 누르면 선택자 데이터 란에 값이 자동으로 산출된다. 저장 버튼을 눌러 변경 사항을 모두 저장한다. 선택자 데이터에 있는 값을 복사하여 안전한 파일로 저장하여 잠시 후에 다룰 DNS 서버에 등록한다.
사용자 삽입 이미지


2. 공개키 등록(DNS에서 설정할 사항)

1) DNS 서버에서 DNS 콘솔을 열고, 해당 도메인을 선택한다. 도메인의 설정 사항은 아래 그림과 별반 다르지 않을 것이다.
사용자 삽입 이미지

2) 오른쪽 세부 창에서, 빈 공간에 마우스 오른쪽 버튼을 클릭하고, 새 도메인을 선택한다.
사용자 삽입 이미지

3) 새 도메인 대화상자에서 _domainkeys를 입력하고 확인 버튼을 클릭한다.
사용자 삽입 이미지

4) 좀 전에 생성한 _domainkeys 도메인을 클릭하여 해당 도메인에 포함된 레코드를 살펴 본다. 지금 생성하였기 때문에 아무것도 포함되어 있다.

5) 오른쪽 세부 창에서 빈 공간에 마우스 오른쪽 버튼을 클릭하고, 다른 새 레코드를 선택한다.
사용자 삽입 이미지

6) 리소스 레코드 종류 대화상자에서 텍스트를 선택하고 레코드 만들기 버튼을 클릭한다.
사용자 삽입 이미지

7) 새 리소스 레코드 대화상자가 나타난다. 레코드 이름은 앞서 메라크 메일 서버에서 입력했던 선택자를 입력한다. 텍스트 부분에는 선택자 데이터 란의 텍스트를 복사한다.

사용자 삽입 이미지

참고: 선택자 데이터는 k=으로 시작하고, ==으로 끝이 난다.

8) 확인 버튼을 누르고, 완료 버튼을 누르고, DNS 콘솔에서 추가된 부분을 한번 더 확인한다. 정확하다고 판단되면 DNS 콘솔도 종료한다.
사용자 삽입 이미지

9) DNS의 변경사항을 곧바로 반영하기 위해 서비스 콘솔에서 DNS Server 서비스를 중지했다가 시작한다.


3. 도메인키 설정 확인

도메인키가 제대로 동작하는 지 확인하는 가장 빠른 방법은 도메인키를 지원하는 메일서버에 메일을 주고 받아 헤더값 또는 스팸어새신이 산출해 내는 결과를 살펴 보면 된다. 메라크 메일서버에서는 안티 스팸 옵션이 켜 있어야 메일 수신시에 도메인키가 동작하는지 쉽게 알 수 있다.

1) 먼저 메라크 메일 서버에서 구글(Gmail.com)으로 메일을 한 통 발송한다.

2) 회신 받을 메라크 메일 서버는 안티 스팸 옵션을 켜고, 동작 중이어야 하며, 안티 스팸 설정사항 중에 도메인 키에 체크가 되어 있어야 한다.
사용자 삽입 이미지

3) 아래 화면은 Gmail에서 수신한 메일의 헤더 중 도메인 키에 대한 부분이다. 안티 스팸 엔진에서 도메인키가 확인되었다는 내용이 어디에 있을까? 한번 찾아 보시라. 정답은 이 글의 맨 마지막에 간단히 적어 놓겠다.
사용자 삽입 이미지

지금까지 도메인키의 동작원리와 이를 메라크 메일서버에 적용하여 사용하는 방법에 대해 살펴 보았다. 추가적인 자료는 아래 링크를 참조하기 바라며, 다음 강좌는 도메인 키가 한층 발전된 기술인 DKIM(DomainKeys Identified Mail)에 대해 다룰 에정이니 많은 기대 바란다.


주의사항: 메라크 메일서버 8.9.1 버전까지는 도메인키 기술을 사용하며, 그 이후 버전에서는 DKIM을 구현하고 있다.




퀴즈 정답: DK_VERIFIED

블로그 이미지

비회원

ICEWARP 글로벌 이메일 서버 플랫폼으로 한국내 3천여 고객사가 운영 중인 구축형 메일 서버 솔루션, 윈도우 및 리눅스 운영체제 지원, 가상화 엔진 탑재, 또는 SaaS용 메일 운영이 가능합니다.

댓글을 달아 주세요