2007. 9. 4. 15:15ㆍMicrosoft/Exchange 2003
Exchange Server 환경의 스팸 근절 방법
이 페이지에서
 |
소개 |
|
정의 |
|
당면 과제 |
|
솔루션 |
|
요약 |
|
참고 자료 |
소개
이 문서는 중소 기업 보안 지침 모음에 포함되어 있습니다. Microsoft에서는 이 문서를 제공하여 보다 안전하고 생산적인 컴퓨팅 환경을 구축할 수 있도록 지원하고자 합니다.
요약
정크 전자 메일 메시지 또는 스팸이라고도 하는 원치 않는 전자 메일 메시지는 단일 소스에서 한 번에 여러 사서함으로 전송되는 대량 유포 성격을 지닌 메시지를 말합니다. 스팸 메일 발송자의 목표는 최종 사용자가 전달된 메시지를 열어서 실제로 읽도록 최종 사용자에게 메시지를 전달하는 것입니다. 스팸 메일 발송자는 이와 같은 방법으로 수익을 얻습니다. 스팸 메일 발송자가 메시지를 중간 영역으로 밀어 넣는 데 사용하는 방법에는 여러 가지가 있지만, 게이트웨이 수준에서는 이러한 방법을 쉽게 찾아낼 수 없습니다.
업계에서는 들어오는 전자 메일 메시지 중 40% 이상이 스팸인 것으로 추정하고 있습니다. 점점 증가하고 있는 이러한 정크 전자 메일은 중소 기업이 계속해서 해결해야 할 당면 과제입니다. 스팸은 성가신 존재일 뿐만 아니라, 생산성의 잠재적인 손실과 스팸 메일 처리로 인한 리소스 낭비를 초래할 수 있으므로 비용상의 문제가 될 수도 있습니다.
따라서 스팸 근절 방법을 개발하는 데 활용할 수 있는 실용적인 솔루션이 필요합니다.
Microsoft® Exchange Server 2003 SP2(서비스 팩 2)에는 단일 또는 다중 Exchange Server 환경 내에서 스팸을 근절하기 위한 다양한 방법이 통합된 프레임워크가 도입되었습니다. 이 프레임워크는 Exchange Server 2003 Anti-Spam Framework라고 하며 연결 수준, 프로토콜 수준 및 콘텐츠 수준 필터링으로 구성되어 있습니다.
이 프레임워크 내 접근 방식을 사용하면 관리자와 최종 사용자 모두 스팸을 정확하게 필터링하고 분류할 수 있으며 스팸인지 아니면 합법적인 비즈니스 전자 메일인지 여부를 결정할 수 있습니다.
이 프레임워크의 주된 목표는 관리자와 사용자에게 서버와 클라이언트에 모두 적용할 수 있을 만큼 유연성이 뛰어난 솔루션을 제공하는 것입니다. 이 문서에서는 이와 같은 접근 방식을 자세히 설명하고 프레임워크 내 각 접근 방식이 어떻게 작동하는지 보여 주며 이러한 각각의 접근 방식을 모두 함께 사용하는 방법에 대해 설명합니다. 또한 이 문서에서는 평가 및 개발 계획을 소개하는 것은 물론 배포 및 관리 섹션을 통해 단계별 가이드도 제공합니다.
참고 Microsoft에서는 스팸을 근절하는 데 도움이 되는 중요한 서비스인 EHS(Exchange 호스팅 서비스)도 제공합니다. EHS는 중소 기업이 전자 메일 기반 맬웨어로부터 보호하고, 규정 준수를 위한 보존 요구 사항을 충족시키며, 데이터를 암호화하여 기밀을 유지하고, 긴급 상황 발생 시나 발생 후에 전자 메일에 대한 액세스를 유지할 수 있도록 도와주는 네 가지 개별 서비스로 구성되어 있습니다.
EHS의 핵심은 인터넷 백본을 따라 주요 사이트에 위치한 분산된 데이터 센터 네트워크입니다. 각 데이터 센터에는 사이트 간 및 서버 간의 로드 균형을 조절하는 오류 허용 서버가 있습니다.
이 가이드에서는 이 서비스에 대해 자세히 다루지 않습니다. 자세한 내용은 “Microsoft Exchange Hosted Services Overview (영문)”( www.microsoft.com/exchange/services/services.mspx)를 참조하십시오.
개요
이 문서는 Exchange Server 환경에서 스팸을 근절하기 위한 실용적인 접근 방식을 제공하는 옵션 및 솔루션을 설명하는 네 가지 주요 섹션으로 구성됩니다. 이러한 네 가지 섹션은 소개, 정의, 당면 과제 및 솔루션입니다.
소개
이 섹션에서는 이 문서의 내용을 요약하고 대상 사용자에 관한 정보와 문서 구조의 개요를 설명합니다.
정의
이 섹션에서는 Exchange Server 2003 Anti-Spam Framework의 정의 및 개요에 대해 자세히 설명합니다. 이러한 정보는 이 문서에서 설명하는 솔루션을 이해하는 데 도움이 됩니다.
당면 과제
이 섹션에서는 중소 기업이 Anti-Spam Framework에서 제공하는 다양한 수준의 스팸 필터링 방법을 결정할 때 직면할 수 있는 몇 가지 문제에 대해 설명합니다.
솔루션
이 섹션에서는 원치 않는 전자 메일로 인해 유발되는 문제를 해결하는 실용적인 솔루션에 대해 설명합니다. 여기서는 문제를 해결하기 위한 접근 방식 및 개발 계획을 평가하고 다음 방법의 배포 및 관리에 대한 단계별 정보도 제공합니다.
| • |
연결 수준 보호
| ||||
| • |
프로토콜 수준 보호
| ||||
| • |
콘텐츠 수준 보호
|
Exchange Server 환경에서 스팸을 근절하는 데는 Exchange Server 2003 Anti-Spam Framework 외에도 사용자의 인식이 중요한 역할을 한다는 점을 명심해야 합니다. 이 주제는 "배포 및 관리" 섹션 끝부분에서 다루겠습니다.
이 가이드를 읽어야 할 사람:
이 문서는 중소 기업의 Exchange Server 환경에서 스팸을 근절하는 방법을 계획 및 구현하는 업무를 담당하는 IT(정보 기술) 전문가 및 비즈니스 관리 직원을 대상으로 합니다. 이러한 전문가의 역할은 다음과 같습니다.
| • |
시스템 설계 전문가 전체 서버 인프라를 디자인하고 서버 배포 전략 및 정책을 개발하며 시스템 강화 및 네트워크 연결 디자인을 지원합니다. |
| • |
IT 관리자 인프라, 데스크톱 및 서버 배포, 사이트에서 Exchange 서버 관리 및 운영을 담당하는 IT 직원을 관리하는 인력 또는 기술 관련 의사 결정권자입니다. |
| • |
시스템 관리자 Microsoft Exchange 서버에서 기술을 계획 및 배포하며 새로운 기술 솔루션을 평가하고 권장합니다. |
| • |
Exchange 메시징 관리자 조직의 메시징을 구현 및 관리합니다. |
정의
Exchange Server 2003 Anti-Spam Framework는 Exchange Server 환경에서 스팸을 근절하기 위한 메커니즘입니다. Exchange Server 2003 SP2 릴리스는 보낸 사람 ID 필터링이라는 업계 표준 전자 메일 인증 기술이 도입되어 프레임워크의 성능이 향상되었습니다. 이 기술을 사용하면 사용자의 받은 편지함에 도착하는 스팸의 양을 줄일 수 있습니다.
이 섹션에서는 Exchange Server 2003 Anti-Spam Framework에 대해 자세히 설명합니다.
Microsoft Exchange Server 2003 Anti-Spam Framework
Exchange Server 2003은 다음 그림에서처럼 연결 수준, 프로토콜 수준 및 콘텐츠 수준 같은 세 가지 수준에 스팸 방지 보호를 적용합니다.
그림 1. 세 가지 스팸 보호 수준
연결 수준 보호에서는 연결하는 SMTP 호스트를 분석하고, 프로토콜 수준 보호에서는 메시지를 보낸 사람과 받는 사람을 분석하며, 콘텐츠 수준 보호에서는 메시지 내용을 평가합니다. 다음 하위 섹션에서는 이러한 각 스팸 방지 보호 유형에 대해 자세히 설명합니다.
연결 수준 보호
연결 수준 보호는 가장 유용한 스팸 방어 계층으로서, 이 보호 수준을 사용할 경우 스팸 메시지가 중소 기업으로 들어 오지 못합니다. 다음 그림에서처럼 연결 수준 보호는 각각의 들어오는 SMTP 연결에 대해 스팸의 근원지일 가능성을 평가합니다.
연결하는 SMTP 호스트가 스팸을 보내는 호스트이거나 SMTP 메시지를 정상적으로 보내지 않는 호스트로 식별되는 경우 연결을 거부할 수 있으므로 인바운드 메시지가 스팸인지 여부를 확인하느라 소중한 시간을 낭비할 필요가 없습니다. 이를 위해 Exchange Server 2003에서는 두 가지 연결 수준 필터링을 사용할 수 있습니다.
IP 연결 필터링
Exchange Server 2003에서는 IP 주소를 기반으로 SMTP 연결을 명시적으로 거부할 수 있습니다. 이 방법은 연결 필터링 목록을 수동으로 관리해야 하므로 Exchange Server를 보호하는 가장 기본적인 방법이라 할 수 있습니다. 어떠한 이유(스팸의 근원지일 가능성 포함)로 인해 특정 호스트에서 인바운드 SMTP 연결을 거부하려는 경우에는 연결이 이 수준에서 거부됩니다.
SMTP 연결을 명시적으로 허용할 수 있습니다. 스팸의 근원지로 식별된 차단된 SMTP 호스트에서 메일을 받으려는 경우에는 지정된 SMTP 호스트의 메시지만 허용하도록 선택할 수 있으며 그 밖의 경우에는 거부됩니다.
실시간 차단 목록
연결 수준 보호를 보다 적극적으로 제공하는 방법은 RBL(실시간 차단 목록)을 사용하는 것입니다. 차단 목록은 Microsoft MSN® 전화 접속 풀의 IP 주소 같은 SMTP 호스트를 포함해서는 안 되는 IP 범위에 속하는 IP 주소 또는 오픈 릴레이나 스팸의 근원지인 IP 주소의 목록입니다.
타사 차단 목록 공급자는 각 프로필에 맞는 IP 주소를 수집합니다. 보내는 호스트가 차단 목록 서비스의 가입자와 함께 SMTP 세션을 시작하면 가입자는 연결하는 호스트의 IP 주소와 함께 DNS(도메인 이름 시스템) 유형의 쿼리를 차단 목록 공급자에게 제출합니다. 그러면 차단 목록 공급자는 쿼리에 대한 응답으로 연결하는 호스트가 목록에 있는지 여부를 나타내는 코드를 전달합니다. 이 코드는 연결하는 SMTP 호스트가 포함되어 있는 목록을 나타낼 수도 있습니다.
다음은 실시간 차단 목록 필터링 프로세스에 대한 설명입니다. 먼저 다음 그림을 살펴보겠습니다.
|
1. |
SMTP 호스트가 TCP(Transmission Control Protocol)포트 25를 통해 Exchange Server 2003 서버에 연결합니다. |
|
2. |
Exchange Server 2003 서버에서 연결하는 SMTP 호스트가 차단 목록에 없음을 확인하기 위해 구성된 차단 목록 공급자에게 쿼리합니다. |
|
3. |
연결하는 SMTP 호스트가 차단 목록에 없으면 연결이 허용됩니다. 호스트가 차단 목록에 있으면 연결이 종료됩니다. |
Exchange Server 2003 SP2 이전에는 Exchange가 경계 네트워크 안에 위치하고 연결 필터링에서 연결하는 호스트만을 고려하기 때문에 방화벽 또는 중간 SMTP 호스트가 Exchange와 보내는 ID 사이에 존재할 경우 연결 필터링 기능을 사용할 수 없었습니다. 중간 호스트(방화벽 또는 기타 SMTP 어플라이언스)가 보내는 호스트와 Exchange 사이에 있는 경우 중간 호스트만 고려합니다.
Exchange Server 2003 SP2 릴리스에서는 Exchange Server가 중소 기업의 어느 곳에 배치되어도 연결을 올바르게 필터링할 수 있습니다. 이 기능은 Exchange System Manager에서 내부 IP 범위 구성과 경계 IP 목록을 제공하는 방식으로 수행됩니다. 즉, 보낸 사람 ID와 실시간 차단 목록 기능에서 방화벽과 같은 중간 SMTP 호스트에 연결되는 IP를 분석합니다.
프로토콜 수준 보호
SMTP 메시지가 연결 수준 보호를 통과한 경우 다음 방어 계층은 SMTP 프로토콜 수준입니다. 보내는 SMTP 호스트와 받는 SMTP 호스트 간의 SMTP 대화를 분석하여 보낸 사람과 받는 사람이 허용되는지 확인하고 보낸 사람의 SMTP 도메인 이름을 알아냅니다.
받는 사람 및 보낸 사람 차단
스팸을 수동으로 줄이는 또 다른 방법은 메시지를 수락하지 않을 보낸 사람 또는 도메인을 개별적으로 정의하는 것입니다. 보낸 사람 차단 기능을 사용하면 차단할 SMTP 주소 또는 도메인을 별도로 지정할 수 있습니다. Exchange Server 2003에서는 보낸 사람 주소가 비어 있는 메시지를 거부하고 필터링된 메시지를 보관할 수도 있습니다.
받는 사람 필터링 기능을 사용하면 특정 수신자에게 전송된 메시지를 필터링할 수 있습니다. 또한 디렉터리에 나열되지 않은 수신자를 필터링할 수 있습니다. 하지만 디렉터리에 없는 수신자를 필터링하면 DHA(Directory Harvesting Attack)라는 SMTP 전자 메일 주소 수집 공격에 대한 회사의 대응 능력이 취약해질 수도 있습니다. 이 경우 RFC2821 RCPT TO: 명령에 대한 Exchange Server의 응답 구문이 유효한 SMTP 주소 검색 시 분석됩니다. SMTP 프로토콜은 250 2.1.5로 응답하여 SMTP 세션 중 허용 가능한 수신자를 승인합니다. 전자 메일이 존재하지 않는 수신자에게 전송되는 경우 Exchange Server에서는 550 5.1.1 알 수 없는 사용자 오류를 반환합니다. 따라서 스팸 메일 발송자는 일반적인 이름과 사전 용어를 사용하여 특정 도메인에 대한 전자 메일 주소를 생성하는 자동화된 프로그램을 작성할 수 있습니다. 그러면 이 프로그램에서 250 2.1.5 to RCPT TO: SMTP를 반환하는 모든 전자 메일 주소를 수집한 후 550 5.1.1 알 수 없는 사용자 오류를 반환하는 모든 전자 메일 주소를 삭제할 수 있습니다. 그리고 나면 스팸 메일 발송자는 유효한 전자 메일 주소를 판매하거나 원치 않는 메일의 받는 사람으로 사용할 수 있습니다.
이러한 위협은 타피팅이라는 방법으로 완화할 수 있습니다. Microsoft Windows Server™ 2003 SP1 SMTP 타르핏 기능을 사용하면 SMTP 프로토콜 응답이 반환되기 전에 관리자가 구성 가능한 지연 시간을 삽입할 수 있습니다. 그러면 공격하는 호스트는 지연된 응답을 받을 때까지 기다리지 않습니다.
자세한 내용은 Microsoft 기술 자료 문서 “Microsoft Windows Server 2003의 SMTP 타르핏 기능”(http://support.microsoft.com/?kbid=842851)을 참조하십시오.
보낸 사람 ID
Exchange Server 2003 스팸 방지 방법으로 가장 최근에 추가된 기능 중 하나는 보낸 사람 ID 필터링입니다. Exchange Server 2003 SP2의 이 기능에서는 보내는 SMTP 호스트가 보내는 전자 메일 주소에 지정된 도메인에서 메시지를 보내도록 승인되었는지 확인합니다. 대부분의 스팸 메시지는 메시지가 합법적인 전자 메일 주소에서 전송되는 것처럼 보이도록 하기 위해 스푸핑됩니다. 이처럼 전자 메일이 합법적인 기관(은행 지점, 고객 서비스 등)에서 전송된 것처럼 전자 메일 수신자를 속임으로써 사용자는 귀중한 정보를 유출 당하게 되고 이로 인해 ID 도용이나 절도가 발생할 수 있습니다. 보낸 사람 ID는 스푸핑된 메시지를 줄이거나 제거합니다.
보낸 사람 ID에는 시스템이 작동하도록 하는 데 필요한 두 가지 부분이 있습니다. 첫 번째 부분은 SPF(보낸 사람 정책 프레임워크) 레코드라는 DNS 레코드입니다. SPF 레코드는 도메인의 SMTP 주소를 보낼 수 있는 권한이 부여된 서버를 정의합니다. 보낸 사람 ID에 SPF 레코드가 들어 있도록 구성할 필요는 없습니다. 두 번째 부분은 Exchange Server 2003 SP2 같은 보낸 사람 ID를 지원하는 SMTP 호스트입니다.
보낸 사람 ID를 가진 다른 조직이 사용자의 도메인에서 전송된 것처럼 가장하는 수신 메시지가 사용자의 SPF 레코드에 허용된 서버에서 전송된 것인지 확인할 수 있도록 SPF 레코드가 DNS 영역에 추가됩니다. 다음 단계와 그림은 프로세스의 작동 방식에 대해 설명합니다. 첫 번째는 SPF 레코드를 사용하지 않는 경우이며 두 번째는 SPF 레코드를 사용하는 경우입니다.
|
1. |
보낸 사람 ID를 사용하는 스팸 메일 발송자의 SMTP 호스트인 fabrikam.com에서 Exchange Server 2003 서버로 메시지가 전송됩니다. 보낸 사람 주소는 susanf@nwtraders.com입니다. |
|
2. |
Exchange Server에서 nwtraders.com의 SPF 레코드를 DNS에 쿼리합니다. |
|
3. |
nwtraders.com에 SPF 레코드가 없기 때문에 메시지는 보낸 사람 ID를 통과하도록 허용됩니다. |
그러면 Northwind Traders에서는 다음과 같이 SPF 레코드를 nwtraders.com DNS 영역에 추가합니다.
|
1. |
보낸 사람 ID를 사용하는 스팸 메일 발송자의 SMTP 호스트인 fabrikam.com에서 Exchange Server 2003 서버로 메시지가 전송됩니다. 보낸 사람 주소는 susanf@nwtraders.com입니다. |
|
2. |
Exchange Server에서 nwtraders.com의 SPF 레코드를 DNS에 쿼리합니다. |
|
3. |
SPF(131.107.76.156)에 정의된 대로 nwtraders.com의 전자 메일을 보내도록 허용된 IP 주소 목록에 보내는 IP 주소(208.217.184.82)가 없으므로 보낸 사람 ID에 따라 메시지가 처리됩니다. |
보낸 사람 ID를 구현하면 SPF 레코드가 있는 도메인에서 주소가 지정되는(스푸핑되는) 스팸의 수를 크게 줄일 수 있습니다. 하지만 보낸 사람 ID를 통한 보호 기능은 SPF 레코드가 있는 조직에만 적용됩니다.
Microsoft.com의 경우 연결 수준 필터링을 통과한 인바운드 메시지의 59%가 프로토콜 수준 필터링을 통해 차단됩니다.
콘텐츠 수준 보호
인바운드 메시지가 스팸인지 여부를 확인하기 위해 연결 수준 및 프로토콜 수준 필터링을 적용했다면, 그 다음 방어 노력은 메시지 콘텐츠를 분석하여 원치 않는 전자 메일을 나타낼 수 있는 일반적인 단서를 찾아내는 것입니다. 스팸 메일 발송자는 메시지가 콘텐츠 필터를 통과하고 사용자의 받은 편지함으로 들어가도록 스팸 메일 검색망을 회피할 수 있는 새롭고 독창적인 방법을 찾아내기 위해 끊임없이 노력합니다.
Exchange Intelligent Message Filter
IMF(Intelligent Message Filter)는 Exchange용으로 특별히 디자인된 콘텐츠 필터입니다. 이 기능은 Microsoft Research의 Microsoft SmartScreen® 기술이라는 특허 받은 기계 학습 기술에 기반을 두고 있습니다. SmartScreen은 현재 MSN, Microsoft Hotmail®, Microsoft Office Outlook® 2003, 및 Exchange에서 사용되고 있습니다. IMF에서는 수백만 개의 메시지를 바탕으로 합법적인 전자 메일 메시지와 스팸의 특징을 구분합니다. IMF는 들어오는 전자 메일 메시지가 합법적인 메시지이거나 스팸일 가능성을 평가합니다. 다른 필터링 기술과 달리, IMF에서는 전자 메일 메시지를 충분히 샘플링한 후 얻은 통계적 특성을 사용합니다. 이 샘플에는 스팸과 합법적인 메시지가 모두 포함되어 있어 오류율이 낮습니다. IMF에서는 합법적인 메시지와 UCE 메시지의 특성을 모두 인식하므로 정확도가 뛰어납니다.
IMF는 인터넷으로부터 인바운드 SMTP 메시지를 받는 Exchange Server에 설치됩니다. 외부 사용자가 IMF가 설치된 Exchange Server로 전자 메일 메시지를 보내는 경우 IMF에서는 메시지의 텍스트 내용을 평가하고 메시지가 스팸일 가능성을 기준으로 각 메시지에 등급을 할당합니다. 이러한 등급은 1부터 9까지 있으며 SCL(스팸 확신 수준) 등급이라는 메시지 속성으로 저장됩니다. 또한 등급은 메시지가 다른 Exchange Server로 전송되는 경우에도 메시지와 함께 유지됩니다. 다음 그림은 IMF의 전체 프로세스를 보여 줍니다.
IMF에서 SCL을 메시지에 할당한 후에는 다음과 같이 관리자가 구성한 두 가지 임계값을 평가합니다.
|
1. |
게이트웨이 차단 구성: SCL 등급이 다음보다 크거나 같은 메시지 차단 메시지의 SCL이 이 임계값에 설정된 값보다 크거나 같으면 메시지에 대해 다음 동작 중 하나를 수행할 수 있습니다.
| ||||||||
|
2. |
정보 저장소 정크 전자 메일 구성: SCL 등급이 다음보다 크거나 같은 메시지 이동 메시지가 이 임계값에 설정된 값보다 크거나 같은 경우 사용자의 수신 허용 - 보낸 사람 목록에 해당 발송자가 들어 있지 않으면 메시지를 사용자 받은 편지함의 정크 전자 메일 폴더로 전달합니다. |
피싱 방지
피싱은 개인 정보를 도용하기 위해 설계된 속임수의 한 유형입니다. 피싱 사기꾼은 거짓 구실(예: 계정 정보를 묻는 전자 메시지 사용)을 내세워 사용자를 설득함으로써 신용 카드 번호, 암호, 계정 데이터나 기타 정보 같은 귀중한 개인 데이터를 빼내려 합니다.
Exchange Server 2003 SP2에는 피싱 메시지에 적절한 SCL을 할당하여 그에 따라 처리하도록 IMF에 피싱 방지 기술이 추가되었습니다.
사용자 지정 가중치 적용
Exchange Server 2003 SP2에서는 전자 메일 메시지 본문, 제목 줄 또는 둘 모두에서 발견된 구에 따라 관리자가 IMF의 동작을 사용자 지정할 수 있도록 하는 사용자 지정 가중치 적용 기능을 제공합니다.
MSExchange.UceContentFilter.xml이라는 XML(Extensible Markup Language) 파일을 IMF가 설치된 서버의 MSExchange.UceContentFilter.dll 및 .dat 파일 같은 디렉터리에 삽입하면 사용자 지정 가중치 적용 기능을 구현할 수 있습니다. SMTP 가상 서버가 시작되고 IMF가 초기화되면 XML 파일이 로드됩니다.
이 XML 파일에서는 IMF에서 더 강조하거나 덜 강조하는 구를 정의합니다. 이 기능을 사용하면 구에 따라 메시지를 허용하거나 거부해야 하는 비즈니스 요구 사항이 있는 경우 IMF를 사용자 지정할 수 있으며, 그렇지 않을 경우 IMF에서 다른 SCL 등급을 할당합니다.
Microsoft.com의 경우, 연결 수준 및 프로토콜 수준 필터링을 통과하는 인바운드 메시지의 38%가 IMF를 통해 차단됩니다.
Outlook 2003 및 Outlook Web Access 정크 전자 메일
메시지가 서버 기반 스팸 방지 방어 기능을 통과한 경우 Outlook 2003 클라이언트에서는 IMF의 정보 저장소 정크 전자 메일 구성 설정보다 크거나 같은 SCL 값을 가진 메시지에 대해 조치를 취할 수 있습니다. 이 서버 설정을 초과하는 메시지는 Outlook 2003 받은 편지함의 정크 전자 메일 폴더로 전송됩니다.
Exchange Server 2003용 Outlook 2003 및 Outlook Web Access를 사용하면 전자 메일 메시지를 항상 허용하려는 수신 허용 - 보낸 사람 목록과 전자 메일 메시지를 항상 거부하려는 차단하는 보낸 사람 목록을 작성할 수 있습니다. 사서함 저장소에서는 메시지에 할당된 SCL 등급과 관계없이 Exchange에서 수신 허용 - 보낸 사람의 모든 메시지를 사용자의 받은 편지함으로 전달하고 차단하는 보낸 사람의 모든 메시지를 사용자의 정크 전자 메일 폴더로 전달합니다. 하지만 전자 메일 메시지가 게이트웨이 임계값에 의해 차단된 경우에는 메시지가 사서함 저장소로 전달되지 않기 때문에 사용자의 받은 편지함으로도 전달되지 않습니다.
당면 과제
원치 않는 메일, 저속적인 메일, 사용자를 현혹시키는 원치 않는 상업용 전자 메일과 같은 수많은 스팸 메일로 인해 전자 메일을 정보 교환 및 합법적인 전자 상거래를 위한 채널로 사용할 수 있는 다른 기능까지도 서서히 손상되고 있습니다.
대부분의 개인 사용자 및 지역의 경우 스팸은 합법적인 비즈니스 전자 메일까지 스팸의 바다의 속에 빠뜨려 받은 편지함을 더 이상 적절한 통신 저장소 영역으로 사용할 수 없게 한다는 점에서 문제가 되고 있습니다. 중소 기업에서는 스팸이 큰 문제가 되지 않지만 서버 사용량, 네트워크 사용량 및 디스크 사용량 측면에서 메시징 비용을 증가시킵니다.
중소 기업의 당면 과제는 어떻게 유용한 전자 메일 메시지를 허용하고 스팸 전자 메일 메시지를 차단하느냐 하는 것입니다. 중소 기업에는 Exchange Server 환경에서 스팸을 근절하기 위한 방법이 필요합니다.
Microsoft Exchange Server 2003 SP2에서는 몇 가지 필터링 방법을 사용하여 스팸의 수를 줄일 수 있습니다. 이러한 방법은 앞에서 간략히 설명했듯이 연결 수준 보호, 프로토콜 수준 보호 및 콘텐츠 수준 보호를 포함하는 계층화된 스팸 방지 솔루션이며 특히 유연성이 뛰어납니다. 각 방법의 메커니즘을 명확하게 이해한 IT 관리자와 사용자는 스팸에 대한 보호 수준을 조정할 수 있습니다. 이들은 이러한 방법을 통해 전자 메일 액세스와 스팸 필터링 간의 균형을 유지할 수 있습니다.
Exchange 관리자와 구현자는 각 방법의 작동 방식은 물론 이러한 방법을 함께 사용하여 사용자의 받은 편지함에 도착하는 전체 스팸의 양을 줄이는 방법을 알고 있어야 합니다. 다음 그림에서는 스팸을 근절하기 위한 계층화된 접근 방식을 보여 줍니다.
솔루션
이 섹션에서는 중소 기업 환경에서 스팸을 근절하기 위한 Microsoft Exchange Server 2003 Anti-Spam Framework 솔루션의 평가, 개발, 배포 및 관리 부분에 대해 설명합니다.
평가
스팸을 효과적으로 근절하려면 사용 가능한 도구에는 어떤 것이 있으며 그러한 도구를 효과적으로 사용하는 방법 등을 비롯하여 Exchange Server 2003 전자 메일 시스템의 전체 구성을 평가해야 합니다. 또한 위험 평가 전략의 일환으로서 환경을 세심하게 연구 및 검토해야 합니다.
Microsoft Exchange Server 2003 Anti-Spam Framework는 연결 필터링, 프로토콜 필터링 및 콘텐츠 필터링 등 다양한 방법을 모아 놓은 것입니다. 이러한 각각의 방법이 어떻게 작동하며 여러 방법을 함께 사용할 경우에는 어떻게 작동하는지에 대해서도 알아야 합니다. 이러한 기술을 성공적으로 구현하고 관리하는 과정에는 이에 대한 사용자의 인식도 중요한 역할을 하게 됩니다.
이를 위해 다음 질문을 검토해야 합니다.
|
1. |
Exchange Server 2003이 설치되어 있습니까? Exchange Server 2003 Anti-Spam Framework에서 제공하는 방법을 활용하려면 Exchange Server 2003이 해당 Windows 플랫폼에 설치되어 있어야 합니다. 참고 Microsoft Exchange Server 2003은 Windows 2003 또는 Windows 2000 SP3에 설치할 수 있습니다. 이 문서에서는 Exchange Server의 설치 요구 사항에 대해 자세히 다루지 않습니다. Microsoft TechNet 의 Installing New Exchange 2003 Servers (영문) 항목(www.microsoft.com/technet/prodtechnol/exchange/guides/Ex2k3DepGuide/a3318f57-3536-4e65-9309-9300cda23c73.mspx?mfr=true)을 참조하십시오. | ||||||||||
|
2. |
Exchange Server have Exchange 2003 SP2를 적용했습니까? Exchange Server 2003 SP2는 Exchange Server 2003 메시징 환경을 향상시키는 누적 업데이트입니다.
SP2는 안전하고 신뢰할 수 있는 메시징 환경을 구축할 수 있도록 스팸(이 문서의 앞부분 내용 참조)으로부터 효과적으로 보호해 줍니다. 향상된 보호 기능은 다음과 같습니다.
| ||||||||||
|
3. |
Exchange System Manager에서 기본 SMTP 가상 서버를 사용합니까? 받는 사람 필터링, 지능형 필터링, 보낸 사람 ID 필터링 및 연결 필터링을 전역 설정에 구성하고 SMTP 수준에서 사용하도록 설정해야 합니다. 따라서 이러한 서비스에 변경 사항을 적용하기 전에 SMTP를 사용하도록 설정해야 합니다. | ||||||||||
|
4. |
클라이언트 워크스테이션에 Outlook 2003이 설치되어 있습니까? 필요한 모든 요구 사항을 갖추어 서버를 구성하더라도 클라이언트에 이전 버전의 Outlook이 설치되어 있으면 Microsoft Exchange Server 2003 Anti-Spam Framework에서 제공하는 방법을 활용할 수 없습니다. Exchange Server 2003 및 클라이언트에 필요한 모든 요구 사항이 충족되면 다음 방법을 사용할 수 있습니다.
|
개발
평가 옵션에서는 Microsoft Exchange Server 2003 Anti-Spam Framework를 사용하기 위해 충족해야 하는 Exchanger Server 2003 및 클라이언트 요구 사항에 관한 몇 가지 질문과 답변을 제기해 보았습니다.
Exchange 환경에서 스팸을 근절하기 위한 솔루션에는 클라이언트 보안과 사용자 교육도 포함됩니다. Exchange 환경에서 스팸을 근절하려면 이러한 모든 접근 방식을 활용해야 합니다.
Microsoft Exchange Server 2003 Anti-Spam Framework에서 제공하는 모든 스팸 보호 방법을 구현하려면 다음 요구 사항을 충족해야 합니다.
| • |
해당 Windows 플랫폼에 Exchange Server 2003을 설치했습니다. |
| • |
Outlook 2003 및 Outlook Web Access를 설치 및 구성했습니다. |
| • |
서비스 팩 2를 비롯하여 최신 권장 업데이트 및 패치를 모두 적용했습니다. |
각 방법이 어떻게 작동하며 서로 어떤 식으로 상호 작용하는지 잘 이해하고 있으면 보다 효과적으로 구현할 수 있습니다. 이 섹션에서는 배포 및 관리에 필요한 방법에 대해 앞에서 간략히 다룬 내용을 바탕으로 이에 대해 좀 더 자세히 살펴보겠습니다.
연결 수준 보호
Exchange Server 2003 SP2에는 연결 필터링이 포함되어 있습니다. 이 필터링 기능에서는 연결하는 서버의 IP 주소를 거부되는 IP 주소 목록(실시간 차단 목록)과 비교합니다. 이러한 IP 주소 비교는 SMTP 세션이 시작되자마자 발생하므로 중소 기업에서는 메시지 전송의 첫 번째 단계에서 게이트웨이 연결을 차단할 수 있습니다. 그러면 실시간 차단 목록의 서버에서 메시지를 전송하기 전에 연결이 종료됩니다. 이 접근 방식을 사용하면 메시징 및 네트워크 계층 모두에서 성능이 향상될 수 있습니다.
중소 기업에서는 전체 거부 목록과 전체 허용 목록을 수동으로 작성하거나 타사에서 관리하는 알려진 차단된 IP 주소 데이터베이스를 사용하여 Exchange Server 2003 SP2에서 연결 필터링을 설정할 수 있습니다.
Exchange Server 2003 SP2 서버는 대부분 조직의 경계 내부에 배포되므로 인터넷에 직접 연결되지 않습니다. 연결 필터링은 처음 보낸 사람의 IP 주소를 가져와 DNS 쿼리를 실행하는 방식을 사용하므로 이러한 배치에서는 연결 필터링이 그다지 유용하지 않습니다. SP2 릴리스에서는 원래 IP 주소 검색을 위한 새로운 헤더 구문 분석 알고리즘을 도입하여 이러한 결점을 보완하였습니다. 연결 필터링이 배포된 Exchange Server 2003 SP2는 조직의 어느 곳에나 배치할 수 있으며 경계에서도 필터링을 수행할 수 있습니다.
IP 연결 필터링
중소 기업에서는 정적 목록 형태의 고유한 거부된 IP 주소 목록을 만들 수 있습니다. 이름에서 알 수 있듯이 전체 거부 목록에는 조직에서 전자 메일을 허용하지 않을 특정 IP 주소 및 네트워크가 포함됩니다. 한편 전체 허용 목록도 만들 수 있습니다. 이 목록은 조직에서 전자 메일 차단 또는 필터링 정책을 적용하지 않을 IP 주소 및 네트워크의 목록입니다. 전체 허용 목록에는 자회사 또는 신뢰할 수 있는 거래 협력업체에 해당하는 IP 주소가 포함될 수 있습니다. 이러한 환경에서 중소 기업은 잘못된 확실성이 내포된 위험이 발생하길 원치 않으므로 보낸 사람 전자 메일 서버의 신뢰할 수 있는 IP 주소를 전체 허용 목록에 추가합니다.
실시간 차단 목록
실시간 차단 목록은 알려지고 확인된 스팸 근원지 IP 주소의 DNS 기반 데이터베이스입니다. 실시간 차단 목록은 주로 회사에서 인터넷을 지속적으로 모니터링하여 알려진 스팸 근원지를 추적하는 데 사용됩니다. 발견된 유해 IP 주소는 실시간 차단 목록 데이터베이스에 추가됩니다. 이러한 목록은 대개 무료로 제공되지만 메시징 관리자가 서비스를 확장하려는 경우 유료로 제공되기도 합니다.
Exchange Server 2003 SP2에서는 타사 실시간 차단 목록을 사용할 수 있습니다. 타사 실시간 차단 목록을 사용하도록 구성한 경우 Exchange Server 2003 SP2 서버에서는 전송하는 서버의 IP 주소를 실시간 차단 목록 데이터베이스와 대조하여 확인하고 일치하는 항목이 있을 경우 연결을 거부합니다.
실시간 차단 목록 기능은 메시지 내용보다는 보내는 서버의 IP 주소에 따라 필터링과 관련된 결정을 내리므로 실시간 차단 목록은 기술적으로 타사 스팸 방지 소프트웨어와 다른 별도의 범주에 속합니다. 실시간 차단 목록은 문지기 역할을 수행하여 알려진 악의적인 서버 또는 의심스러운 서버의 메시지가 환경으로 들어오지 못하도록 합니다. 실시간 차단 목록을 통과한 메시지는 네트워크 입구에 한 걸음 가까워진 셈이지만, 다음 계층인 IMF 같은 메시징 방어 기능을 통해 메시지의 내용을 조사할 수 있습니다.
Microsoft IT에서 매일 만드는 실시간 차단 목록과 관련된 DNS 쿼리의 양(수천만 개)은 매우 방대하기 때문에 Microsoft IT에서는 실시간 차단 목록의 미러 복사본을 미리 지정된 주기(대개 하루에 몇 번)마다 로컬 DNS 서버로 전송합니다. 대부분의 목록 공급자에게는 일일 25만 개 이상의 쿼리에 대한 실시간 차단 목록의 로컬 복사본이 필요합니다. 실시간 차단 목록의 복사본을 전송하는 작업을 목록 공급자로부터의 영역 전송이라고 합니다. Microsoft IT는 Exchange Server 2003 SP2 게이트웨이에서 이러한 로컬 DNS 서버에 대한 실시간 차단 목록 관련 DNS 쿼리를 작성하도록 구성했습니다.
프로토콜 수준 보호
SMTP 메시지가 연결 수준 보호를 통과한 경우 다음 방어 계층은 SMTP 프로토콜 수준입니다. 보내는 SMTP 호스트와 받는 SMTP 호스트 간의 SMTP 대화를 분석하여 보낸 사람과 받는 사람이 허용되는지 확인하고 보낸 사람의 SMTP 도메인 이름을 알아냅니다.
받는 사람 및 보낸 사람 차단
중소 기업에서는 Exchange Server 2003 SP2의 받는 사람 필터링 기능을 사용하여 대상이 지정된 대량 메일 살포(mailbombing) 공격을 막거나 줄일 수 있습니다. 대체로 이러한 공격의 대상이 되는 수신자는 인터넷을 통해 어떤 메시지도 받을 필요가 없습니다. 받는 사람 필터링은 메시지 전송 대상 같은 기준에 따라 게이트웨이 계층에서 메시지를 거부합니다.
받는 사람 필터링은 실시간 스팸 위협에 대한 방어책으로서는 스팸 방지 솔루션만큼 효과적이지 못하지만, 대량 메일 살포 공격을 줄이는 데는 매우 유용할 수 있습니다. 최근 Microsoft IT에서는 받는 사람 필터링을 사용하여 하루에 몇 명의 수신자만을 대상으로 한 수백만 통의 메시지를 차단할 수 있었습니다.
보낸 사람 ID
보낸 사람 ID 프레임워크는 전자 메일을 보낸 도메인 이름을 확인하여 스푸핑 및 피싱 문제를 해결할 수 있도록 도와주는 전자 메일 인증 기술 프로토콜입니다. 보낸 사람 ID는 보낸 사람의 IP 주소를 보내는 도메인의 알려진 소유자와 대조 확인하여 전자 메일의 근원지를 확인합니다.
또한 보낸 사람 ID는 모든 전자 메일 메시지가 실제로 메시지가 전송된 위치라고 생각되는 인터넷 도메인에서 발송된 것인지를 확인합니다. 이러한 확인 절차는 전자 메일 메시지를 보낸 서버의 주소를 도메인 소유자가 전자 메일을 보낼 수 있는 권한을 부여한 등록된 서버의 목록과 대조 확인하는 방식으로 수행됩니다. 또한 이 절차는 전자 메일 메시지가 사용자에게 전달되기 전에 ISP(인터넷 서비스 공급자) 또는 받는 사람의 메일 서버를 통해 자동으로 수행됩니다. 보낸 사람 ID 검사 결과는 메일 서버에서 이미 수행한 필터링 작업에 대한 추가 입력으로 사용할 수 있습니다. 보낸 사람이 인증된 경우 메일 서버는 받는 사람에게 메일을 전달할지 여부를 결정할 때 과거의 동작, 트래픽 패턴 및 보낸 사람 평판을 모두 고려하는 것은 물론, 기존 콘텐츠 필터링까지도 적용할 수 있습니다.
콘텐츠 수준 보호
이상적인 상황에서는 스팸이 클라이언트 계층에 도달할 수 없어야 하지만, 실제로는 일부 스팸이 사용자의 데스크톱 컴퓨터에 도달합니다. 이러한 일이 발생하는 주된 이유 중 하나는 뉴스레터 같은 합법적인 일부 전자 메일 메시지에도 스팸 특성이 내포되어 있으므로 의심스러운 메시지가 모두 삭제되도록 필터링 임계값을 낮게 설정할 수 없기 때문입니다. 또한 사용자의 기본 설정이 엔터프라이즈 수준 설정에 미치지 못할 수도 있습니다.
Exchange Intelligent Message Filter
들어오는 인터넷 전자 메일이 통과해야 할 첫 번째 필터는 IMF입니다. 이 필터는 메시징 환경에서 가장 바깥쪽 가장자리에 있는 Exchange Server 2003 SP2 게이트웨이 서버에서 실행됩니다. IMF에서는 Exchanger Server 2003 SP2에 구축된 SCL, PCL(피싱 확신 수준 점수: 최종 SCL 할당을 좌우하는 요인 중 하나) 및 보낸 사람 ID 프레임워크를 사용합니다. 또한 메시지의 특정 부분을 분류한 후 추론 기반 메시지 분석을 수행한 다음, 검사한 각 메시지에 0에서 9까지의 SCL 등급을 할당합니다. 메시지가 받는 등급이 높을수록 스팸일 가능성도 그만큼 커집니다.
Exchange Server 2003 SP2에는 IMF에 대한 최신 데이터 및 업데이트가 통합되어 있습니다. Microsoft에서는 IMF의 향상된 기능과 격주로 발표되는 업데이트를 통해 스팸을 식별하고 잘못된 확실성을 줄이기 위한 지속적인 노력을 기울이고 있습니다. 이러한 향상된 기능에는 피싱 기법 차단 등 스팸을 근절하기 위한 새로운 기능이 포함됩니다. 피싱 기법은 속임수를 통해 합법적인 웹 사이트로 가장하여 중요한 개인 정보를 부당한 방식으로 빼내려 합니다.
Exchange Server 2003 SP2 환경에서는 관리자가 구성한 임계값보다 높은 SCL 등급이 지정된 메시지에 대해 필터링을 수행하도록 구성할 수 있습니다. IMF에서는 Exchange Server 2003 SP2에서 설정하는 두 가지 임계값(게이트웨이 임계값 및 저장소 임계값)을 사용합니다.
Outlook 2003 및 Outlook Web Access 정크 전자 메일
| • |
정크 전자 메일 필터. Outlook 2003에서는 Microsoft Research에서 개발한 첨단 기술을 사용하여 메시지가 전송된 시간과 메시지의 내용 및 구조 등 몇 가지 요소에 따라 메시지를 정크 전자 메일 메시지로 간주해야 할지 여부를 평가합니다. 이 필터에서는 전자 메일 메시지의 특정 발송자나 유형을 선별하지 않습니다. 대신 고급 분석 기술을 사용하여 메시지가 정크 전자 메일 메시지로 간주되는 수준을 결정합니다. 기본적으로 이 필터는 가장 확실한 정크 전자 메일 메시지만 찾아내도록 낮게 설정되어 있습니다. 이 필터에서 찾아낸 메시지는 나중에 액세스할 수 있도록 특수한 정크 전자 메일 폴더로 이동됩니다. 사용자는 필요에 따라 보다 철저하게 골라내도록 필터를 구성하거나(보다 합법적인 메시지를 잘못 골라낼 수 있으므로), Outlook 2003에서 정크 전자 메일 메시지가 들어올 때 바로 완전히 삭제하도록 설정할 수도 있습니다. |
| • |
수신 허용 - 보낸 사람 목록 전자 메일 메시지가 필터를 통해 정크 전자 메일 메시지로 잘못 표시되는 경우 해당 메시지의 보낸 사람을 수신 허용 - 보낸 사람 목록에 쉽게 추가할 수 있습니다. 수신 허용 - 보낸 사람 목록에 있는 전자 메일 주소와 도메인 이름은 메시지 내용과 관계없이 항상 정크 전자 메일 메시지로 간주되지 않습니다. 연락처는 기본적으로 신뢰되며 이러한 연락처로부터 받는 메시지는 절대로 정크 전자 메일 메시지로 간주되지 않습니다. 또한 회사에서 Microsoft Exchange Server를 사용하는 경우 조직 내부에서 받는 메시지도 정크 전자 메일 메시지로 간주되지 않습니다. 수신 허용 - 보낸 사람 목록의 메시지만 수락하도록 Outlook 2003을 구성하면 받는 메시지를 종합적으로 제어할 수 있습니다. |
| • |
차단하는 보낸 사람 목록. 보낸 사람을 차단하는 보낸 사람 목록에 추가하면 특정 전자 메일 메시지 또는 도메인 이름에서 전송되는 전자 메일 메시지를 쉽게 차단할 수 있습니다. 차단하는 보낸 사람 목록에 있는 사람이나 도메인 이름의 메시지는 메시지 내용과 관계없이 항상 정크 전자 메일로 간주됩니다. |
| • |
수신 허용 - 받는 사람 목록. 사용자가 속해 있는 전자 메일 목록이나 그룹을 수신 허용 - 받는 사람 목록에 추가할 수 있습니다. 이 목록에 있는 전자 메일 메시지 또는 도메인 이름으로 전송되는 모든 메시지는 보낸 사람이나 메시지 내용과 관계없이 정크 전자 메일로 간주되지 않습니다. |
| • |
자동 업데이트. Microsoft에서 정기적으로 제공하는 업데이트 내용을 적용하여 정크 전자 메일 필터를 업데이트하면 최신 방법을 통해 원치 않는 메시지를 차단할 수 있습니다. Microsoft는 정크 전자 메일 필터에 대한 업데이트 내용을 정기적으로 제공합니다. |
배포 및 관리
Exchange Server 2003 Anti-Spam Framework의 기본 목표는 이 프레임워크 내에서 각 방법이 어떻게 작동하며 서로 어떻게 상호 작용하는지 이해하는 것입니다. 이 프레임워크를 전체적으로 충분히 이해했으면 중소 기업에서 이러한 기술을 적절히 배포 및 관리하여 Microsoft Exchange Server 환경에서 스팸을 효과적으로 근절할 수 있습니다. 스팸을 근절하려면 사용자가 해당 환경에서 클라이언트 컴퓨터를 효율적으로 관리하는 부분에 대한 기본적인 지식을 갖추고 있어야 합니다. 또한 지속적인 관리 차원에서 IMF(Intelligent Message Filtering)에 대한 모니터링 및 문제 해결에 대해서도 다루겠습니다.
다음 기능은 전역 설정 및 SMTP 수준 모두에서 구성해야 합니다. 사용자 인식은 이 섹션의 끝 부분에서 설명합니다.
이 섹션에서는 다음에 대한 단계별 절차를 설명합니다.
| • |
연결 수준 보호
| ||||
| • |
프로토콜 수준 보호
| ||||
| • |
콘텐츠 수준 보호
|
연결 수준 보호
Exchange Server 2003에서는 실시간 차단 목록을 기반으로 한 연결 필터링을 지원합니다. 이 기능은 들어오는 인터넷 프로토콜(IP) 주소를 필터링할 범주에 대해 RBL(실시간 차단 목록) 공급자 목록과 대조 확인합니다. RBL 공급자 목록에 일치하는 항목이 있으면 SMTP에서 RCPT TO 명령에 대한 응답으로 550 5.x.x 오류를 반환하고 보낸 사람에게는 사용자 지정된 오류 응답이 반환됩니다. 사용할 수 있는 연결 필터에는 여러 가지가 있으며 필터별로 적용되는 우선 순위를 설정할 수 있습니다.
연결 필터를 만드는 경우 SMTP에서 타사 RBL 서비스에서 제공하는 목록에 대한 DNS 조회를 수행할 때 사용할 규칙을 설정할 수 있습니다. 연결 필터는 들어오는 각 IP 주소를 타사에서 제공하는 차단 목록과 비교합니다. RBL 공급자는 다음 두 가지 응답 중 하나를 반환합니다.
| • |
호스트를 찾을 수 없습니다. 이 응답은 해당 IP 주소가 차단 목록에 없음을 의미합니다. |
| • |
127.0.0.x. 이 응답은 응답 상태 코드로, IP 주소에 해당하는 항목이 차단 목록에 있음을 나타냅니다. 여기서 x는 공급자에 따라 다릅니다. |
들어오는 IP 주소가 목록에 있으면 SMTP에서는 RCPT TO 명령(연결하는 서버에서 대상 메시지 수신자를 식별하기 위해 보내는 SMTP 명령)에 대한 응답으로 5.x.x 오류를 반환합니다.
실시간 차단 목록 공급자
실시간 차단 목록의 공급자마다 각기 다른 유형의 목록과 서비스를 제공하므로 중소 기업은 어떤 공급자를 선택할지 신중하게 검토해야 합니다. 잘 알려진 두 공급자로는 Spam Haus (영문)(www.spamhaus.org)와 Spam Cop (영문)(www.spamcop.net)이 있습니다.
다음 질문은 RBL 공급자 선정 시 유용하게 활용할 수 있습니다.
| • |
목록의 품질. 목록에 추가된 새 IP 주소가 실제로 스팸 메일 발송자인지 확인하는 사람이 있는가? 누구든지 목록에 항목을 추가할 수 있는가? |
| • |
목록 보안. 목록에 대해 보안 검사를 수행하는가? IP 주소가 잘못 추가되거나 악의적으로 추가되지 않았는지 확인하는 사람이 있는가? |
| • |
목록 업데이트 프로세스. 검토 프로세스는 어떻게 이루어지는가? 목록에 항목을 추가하는 절차가 자동화된 경우 목록에서 항목을 삭제(해당 발송자가 스팸 발송을 중지한 후)하는 절차도 자동화되어야 합니다. 목록 업데이트 주기는 어떻게 되는가? |
| • |
목록 전송 프로세스. 공급자가 Windows DNS와 직접 호환되는 BIND(Berkeley Internet Name Domain) 스타일의 모든 전체 또는 증분 전송을 허용하는가? |
| • |
차단 목록 공급자의 지원. 공급자가 제공하는 지원 수준은 어는 정도인가? |
IP 연결 필터링
IP 연결 필터링을 구성하려면
|
1. |
Exchange System Manager에서 전역 설정 컨테이너를 확장합니다. |
|
2. |
메시지 배달을 마우스 오른쪽 단추로 클릭하고 속성을 클릭합니다. |
|
3. |
연결 필터링 탭을 클릭합니다. |
|
4. |
허용, 거부 또는 예외를 선택합니다. 다음 예에서는 거부가 선택되었습니다. |
|
5. |
다음 스크린 샷에서처럼 단일 IP 주소 또는 IP 주소 그룹을 선택할 수 있습니다. |
RBL(실시간 차단 목록)
전역 설정 수준에서 실시간 차단 목록 기능을 구성하려면
|
1. |
Exchange System Manager에서 전역 설정 컨테이너를 확장합니다. | ||||||
|
2. |
메시지 배달 개체를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다. | ||||||
|
3. |
연결 필터링 탭을 클릭합니다. | ||||||
|
4. |
연결 필터 규칙을 만들려면 추가를 클릭합니다(다음 스크린 샷 참조). | ||||||
|
5. |
표시 이름 필드에 연결 필터의 이름을 입력합니다. | ||||||
|
6. |
공급자의 DNS 접미사에 공급자의 DNS 접미사를 입력합니다(예: contoso.com). | ||||||
|
7. |
필요에 따라 반환할 사용자 지정 오류 메시지에 보낸 사람에게 반환할 사용자 지정 오류 메시지를 입력할 수 있습니다. 다음 기본 오류 메시지를 사용하려면 이 필드를 그대로 비워 둡니다. <IP 주소>가 <연결 필터 규칙 이름>에 의해 차단되었습니다. 다음 변수를 사용하여 사용자 지정 메시지를 생성할 수 있습니다.
예를 들어 사용자 지정 메시지를 읽으려는 경우 다음과 같은 메시지를 확인할 수 있습니다. IP 주소 <IP 주소>가 다음 RBL 공급자 <RBL 공급자 이름>에 의해 차단되었습니다. 다음 내용을 반환할 사용자 지정 오류 메시지에 입력합니다. IP 주소 %0이(가) RBL 공급자 %2에 의해 거부되었습니다. 참고 Exchange에서는 %0이(가) 연결하는 IP 주소로 대체되고 %2은(는) RBL 공급자로 대체됩니다. | ||||||
|
8. |
RBL 공급자로부터 받는 반환 상태 코드 중 연결 필터와 일치시킬 반환 상태 코드를 구성하려면 반환 상태 코드를 클릭합니다. 다음 대화 상자가 표시됩니다.
| ||||||
|
9. |
반환 상태 코드 대화 상자에서 다음 옵션 중 하나를 선택합니다.
| ||||||
|
10. |
확인을 클릭합니다. |
보낸 사람, 받는 사람, IMF 및 연결 필터링 기능이 올바르게 작동하려면 이러한 기능을 SMTP 수준에 적용해야 합니다. 이를 위해 다음 단계를 수행합니다.
필터링 기능을 SMTP 수준에서 사용하려면
|
1. |
Exchange System Manager를 시작합니다. |
|
2. |
서버를 확장합니다. |
|
3. |
구성할 전자 메일 서버의 <서버 이름>을 확장합니다. |
|
4. |
프로토콜을 확장합니다. |
|
5. |
SMTP를 확장합니다. |
|
6. |
기본 SMTP 가상 서버를 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다. |
|
7. |
기본 SMTP 가상 서버 속성에서 고급을 클릭합니다. |
|
8. |
고급에서 편집을 클릭합니다. |
|
9. |
확인에서 연결 필터 적용 확인란을 선택하여 이전에 설정한 필터를 적용합니다(다음 스크린 샷 참조). |
프로토콜 수준 보호
SMTP 메시지가 연결 수준 보호를 통과한 경우 다음 방어 계층은 SMTP 프로토콜 수준입니다. 보내는 SMTP 호스트와 받는 SMTP 호스트 간의 SMTP 대화를 분석하여 보낸 사람과 받는 사람이 허용되는지 확인하고 보낸 사람의 SMTP 도메인 이름을 알아냅니다.
받는 사람 필터링
받는 사람 필터링을 사용하면 특정 수신자 주소로 전송되는 메시지를 전달하지 않도록 할 수 있습니다.
받는 사람 필터링을 구성하려면
|
1. |
Exchange System Manager를 시작합니다. |
|
2. |
전역 설정 컨테이너를 확장합니다. |
|
3. |
메시지 배달을 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다. |
|
4. |
받는 사람 필터링 탭을 클릭합니다. |
|
5. |
디렉터리에 없는 받는 사람 필터링을 선택합니다. |
|
6. |
추가를 클릭한 후 받는 사람 주소를 추가합니다(다음 스크린 샷 참조). |
보낸 사람 ID 필터링
보낸 사람 ID 필터링 옵션을 사용하여 보낸 사람 ID 작업을 구성할 수 있습니다. 이 옵션을 사용할 때 서버에서 보낸 사람 ID를 확인하지 못한 메시지를 어떻게 처리할지를 지정할 수 있습니다. 보낸 사람 ID 기능은 UCE(원치 않는 상업용 전자 메일) 및 피싱 기법에 대한 보호 수준을 강화하는 데 사용할 수 있는 업계 표준입니다.
기본적으로 보낸 사람 ID 필터링은 수락으로 설정되어 있습니다. 하지만 네트워크 경계 내부에서 보낸 사람 ID 필터를 사용할 수도 있습니다. 이를 위해서는 보낸 사람 ID 필터링으로부터 제외할 내부 네트워크의 서버 IP 주소를 지정해야 합니다.
보낸 사람 ID 필터링을 구성하려면
|
1. |
Exchange System Manager를 시작합니다. |
|
2. |
전역 설정 컨테이너를 확장합니다. |
|
3. |
메시지 배달을 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다. |
|
4. |
보낸 사람 ID 필터링 탭을 클릭합니다. |
|
5. |
원하는 보낸 사람 ID 필터링 옵션을 선택합니다(다음 스크린 샷 참조).
|
콘텐츠 수준 보호
Exchange Server 2003 SP2의 콘텐츠 필터링은 IMF에 통합된 Microsoft Research SmartScreen 기계 학습 기술을 기반으로 합니다. 인터넷의 메시지가 Exchange SMTP 게이트웨이에 도착하면 Exchange Server Anti-Spam Framework로 들어갑니다. Exchange 스팸 방지 솔루션의 이전 계층(연결, 보낸 사람 및 받는 사람 필터링)에서는 실제 메시지 데이터를 받기 전에 메시지 전송을 미리 차단합니다. 메시지가 이러한 이전 필터를 모두 통과한 경우에는 메시지 본문이 수신됩니다.
IMF에서는 들어오는 전자 메일 메시지가 합법적인 메시지이거나 스팸일 가능성을 정확히 평가할 수 있습니다.
Exchange Intelligent Message Filter
Exchange Intelligent Message Filter는 스팸을 근절하는 데 매우 중요한 역할을 하는 구성 요소입니다. 이 필터는 스팸 유입을 막기 위해 특별히 디자인된 고급 서버 메시지 필터링 기능을 갖춘 SCL 호환 필터입니다. 자세한 내용은 Exchange Intelligent Message Filter (영문) 웹 사이트(http://go.microsoft.com/fwlink/?linkid=21607)를 참조하십시오.
Exchange Intelligent Message Filter를 구성하려면
|
1. |
Exchange System Manager를 시작합니다. |
|
2. |
전역 설정 컨테이너를 확장합니다. |
|
3. |
메시지 배달을 마우스 오른쪽 단추로 클릭한 다음 속성을 선택합니다. |
|
4. |
Intelligent Message Filtering 탭을 클릭합니다. |
|
5. |
SCL 등급이 다음보다 크거나 같은 메시지 차단(다음 스크린 샷 참조)에서 사용할 등급 수준을 선택합니다. SCL 등급 범위는 0~9이며 등급이 높을수록 메시지가 스팸일 가능성이 큽니다. |
Outlook 2003 및 Outlook Web Access 정크 전자 메일
Outlook 2003 및 Outlook Web Access 2003에는 모두 사용자를 스팸으로부터 보호하는 기능이 포함되어 있습니다. 주요 기능은 다음과 같습니다.
| • |
사용자가 관리하는 차단 목록 및 수신 허용 목록. Outlook 2003 및 Outlook Web Access에서 모두 사용되는 차단 목록과 수신 허용 목록은 사용자의 사서함에 저장됩니다. 두 클라이언트 프로그램 모두 같은 목록을 사용하기 때문에 둘 중 한 가지 버전만 있으면 됩니다. |
| • |
외부 콘텐츠 차단. Outlook 2003 및 Outlook Web Access 2003에서는 정크 전자 메일 메시지 발송자가 오류 신호를 사용하여 전자 메일 메시지를 검색하기가 어려워졌습니다. 오류 신호로 사용할 수 있는 콘텐츠가 포함된 메시지가 들어오면 Outlook 및 Outlook Web Access에서는 오류 신호가 실제로 포함되어 있는지 여부와 관계없이 경고 메시지를 표시합니다. 사용자는 메시지가 합법적이라고 생각되는 경우 경고 메시지를 클릭하고 콘텐츠를 다운로드할 수 있습니다. 메시지에 대해 확신할 수 없는 경우에는 정크 메일 발송자에게 경고하는 오류 신호를 반환하지 않고 해당 메시지를 삭제할 수 있습니다. |
| • |
향상된 정크 전자 메일 관리. Outlook 2003에서는 사용자가 전자 메일 메시지에서 특정 구를 검색하여 받은 편지함에서 이러한 구를 포함하는 메시지를 지정된 폴더(예: 정크 전자 메일 또는 삭제한 항목 폴더)로 자동으로 옮기는 규칙을 만들 수 있습니다. 또한 지정된 폴더로 옮기지 않고 의심스러운 정크 전자 메일을 영구적으로 삭제할 수도 있습니다. |
| • |
정크 전자 메일 필터. Outlook 2003에는 일반적인 스팸 속성을 검색하는 정크 전자 메일 필터가 들어 있습니다. 이러한 속성은 Office를 업데이트할 때 함께 업데이트되며, 의심스러운 속성을 발견할 때마다 카운터가 증가합니다. 메일에서 지정된 부분의 수가 많을수록 해당 메일은 스팸일 가능성이 높습니다. 정크 메일 옵션 대화 상자에서 사용할 정크 전자 메일 보호 수준을 구성합니다. |
Outlook 2003 정크 전자 메일 필터를 구성하려면
|
1. |
Outlook 2003의 메뉴 모음에서 동작을 클릭합니다. |
|
2. |
정크 메일을 선택한 다음 정크 메일 옵션을 선택합니다(다음 스크린 샷 참조). |
|
3. |
다음 스크린 샷에 표시된 대화 상자가 나타납니다. 이 대화 상자에서 정크 전자 메일 수준을 선택할 수 있습니다. |
OWA(Outlook Web Access)에서 정크 전자 메일 필터를 구성하려면
|
1. |
Outlook Web Access 계정에 로그인합니다. |
|
2. |
옵션을 클릭합니다. |
|
3. |
정크 메일 목록 관리를 클릭합니다. |
|
4. |
목록 보기 또는 수정에서 사용할 기능을 선택합니다(다음 스크린 샷 참조). |
|
5. |
보낸 사람 전자 메일 주소를 추가, 편집 또는 제거합니다. |
참고 이러한 정크 전자 메일을 처음 사용하는 경우나 언제라도 옵션을 수정하는 경우에는 올바른 메시지가 옮겨지지 않도록 받은 편지함에서 제거된 메시지를 정기적으로 확인해야 합니다. Outlook 2003의 정크 전자 메일 기능 업데이트는 Microsoft Office Online 웹 사이트(http://office.microsoft.com/ko-kr/officeupdate/default.aspx)의 Office 업데이트 섹션에서 확인할 수 있습니다.
Intelligent Message Filter 모니터링 및 문제 해결
이벤트 뷰어 및 시스템 모니터를 사용하여 Microsoft Exchange Intelligent Message Filter의 작동을 모니터링하고 관련 문제를 해결할 수 있습니다. 이 섹션에서는 모니터링 및 문제 해결 방법을 단계별로 설명합니다.
이벤트 뷰어 사용
이벤트 뷰어에서 응용 프로그램 로그와 시스템 로그 모두에는 Exchange, SMTP 서비스 및 기타 응용 프로그램 작업과 관련된 오류, 경고 및 정보 이벤트가 들어 있습니다. Intelligent Message Filter 문제의 원인을 파악하려면 응용 프로그램 로그와 시스템 로그에 들어 있는 데이터를 주의 깊게 검토해야 합니다. Intelligent Message Filter에서는 MSExchangeTransport 원본 및 SMTP 프로토콜 범주를 사용하여 이벤트 뷰어에 이벤트를 기록합니다.
이벤트 뷰어를 사용하여 Intelligent Message Filter 이벤트를 찾으려면
|
1. |
시작, 모든 프로그램, 관리 도구, 이벤트 뷰어를 차례로 클릭합니다. |
|
2. |
콘솔 트리에서 응용 프로그램 로그를 클릭합니다. |
|
3. |
로그를 알파벳 순서대로 정렬하여 Exchange 서비스 관련 항목을 쉽게 찾으려면 세부 정보 창에서 원본을 클릭합니다(다음 스크린 샷 참조). |
|
4. |
Intelligent Message Filter에 대해 기록된 이벤트 항목만 나열하도록 로그를 필터링하려면 보기 메뉴에서 필터를 클릭합니다. |
|
5. |
응용 프로그램 로그 속성에서 이벤트 원본 목록을 사용하여 MSExchangeTransport를 선택합니다. |
|
6. |
범주 목록에서 SMTP 프로토콜을 선택합니다. |
시스템 모니터와 성능 로그 및 경고 사용
Intelligent Message Filter에는 성능 및 운영을 모니터링하는 데 사용할 수 있는 몇 가지 성능 카운터가 있습니다.
시스템 모니터와 성능 로그 및 경고를 사용하려면
|
1. |
시작, 모든 프로그램, 관리 도구, 성능을 차례로 클릭합니다. |
|
2. |
시스템 모니터를 강조 표시한 다음 + 단추를 클릭하여 카운터를 추가합니다. |
|
3. |
카운터 추가 대화 상자의 성능 개체 아래에서 MSExchange Intelligent Message Filter를 선택합니다(다음 스크린 샷 참조). |
사용자 인식
바이러스 방지, 무단 사용자로부터 워크스테이션 보호, 스팸 방지 등과 같은 모든 문제와 관련하여 기술만으로는 위협이나 공격에 효과적으로 대응할 수 없습니다. 하지만 사용자가 이러한 문제에 대해 충분한 지식을 갖추고 있으면 스팸을 관리하는 데 매우 중요한 역할을 할 수 있습니다. 따라서 사용자에게 Outlook 환경에서 원치 않는 전자 메일을 방지하거나 필터링하는 방법에 대해 알려 주어야 합니다.
사용자에게 알려 줄 기본적인 사항은 다음과 같습니다.
| • |
금융 또는 개인 정보에 대한 전자 메일 요청에 절대로 회신하지 않습니다. |
| • |
절대로 암호를 입력하지 않습니다. |
| • |
의심스러운 전자 메일 첨부 파일을 열지 않습니다. |
| • |
의심스러운 메일이나 원치 않는 메일에 대해서는 회신하지 않습니다. |
| • |
이 문서의 앞부분에 나오는 “Outlook 2003 및 Outlook Web Access 정크 전자 메일” 섹션의 설명에 따라 Outlook 2003에서 정크 메일 옵션을 구성합니다. |
요약
대부분의 중소 기업은 Microsoft Exchange Server 2003 기능을 중심으로 주요 비즈니스 프로세스를 구축합니다. 하루에 처리할 수 있는 작업량은 Exchange Server에서 제공하는 서비스에 따라 결정됩니다
점점 증가하고 있는 정크 전자 메일은 중소 기업이 계속해서 해결해야 할 당면 과제입니다. 스팸 메일은 성가신 존재일 뿐 아니라, 전 세계적으로 개인 사용자 및 회사의 네트워크에 부담을 주고 시간, 비용 및 기타 리소스를 낭비하는 결과를 초래할 수 있습니다.
이 문서에서는 Exchange Server 2003 환경에서 스팸을 줄이는 방법에 대해 살펴보았습니다. Exchange Server 2003 Anti-Spam Framework에서는 다양한 스팸 보호 방법을 결합하여 관리자와 최종 사용자 모두가 원치 않는 전자 메일을 줄이고 생산성을 향상시킬 수 있도록 뛰어난 유연성을 제공합니다.
참고 자료
Microsoft 다운로드 센터의 Microsoft Exchange Server 2003 Anti-Spam Framework Overview (영문)(http://download.microsoft.com/download/0/E/6/0E6A7113-DDA4-4FD7-AABA-B9E264700225/Anti-Spam.doc)를 참조하십시오.
Exchange Server 2003 SP2 Overview의 Better Protection Against Spam (영문) 항목은 www.microsoft.com/exchange/evaluation/sp2/overview.mspx#antispam에서 확인할 수 있습니다.
Exchange IMF(Intelligent Message Filter) (영문) 및 IMF 업데이트에 대한 정보는 Microsoft TechNet(영문)(www.microsoft.com/technet/prodtechnol/exchange/downloads/2003/imf/default.mspx)를 참조하십시오.
"Messaging Hygiene at Microsoft: How Microsoft IT Defends Against Spam, Viruses, and E-Mail Attacks" 백서는 Microsoft TechNet( www.microsoft.com/korea/technet/itsolutions/msit/security/messaginghygienewp.asp)에서 확인할 수 있습니다.
"Exchange Server 2003 Real-Time Block Lists(영문)" 문서는 Microsoft TechNet(www.microsoft.com/technet/prodtechnol/exchange/2003/insider/Block_Lists.mspx)에서 확인할 수 있습니다.
Microsoft 기술 자료 문서 "Exchange 2003에서 RBL(실시간 차단 목록)을 사용하도록 연결 필터링을 구성하고 받는 사람 필터링을 구성하는 방법"은 http://support.microsoft.com/default.aspx?scid=823866에서 확인할 수 있습니다.
http://www.microsoft.com/korea/technet/security/midsizebusiness/topics/serversecurity/fightingspam.mspx