메일캐리어 보안 설정

최신 윈도우 서버는 방화벽이 기본으로 동작하고 대부분의 포트가 막혀 있으므로 메일 서버를 운영할 수 없습니다. 메일 서버를 운영하기 위한 필수 포트는 다음과 같으며 방화벽 설정을 통해 외부에서 접근할 수 있도록 개방해야 합니다.

SSL을 사용하기 위해서는 인증서 구입을 위한 추가 비용이 발생하며 추가적인 작업이 필요합니다. 대신 SSL은 최상의 보안성을 제공하므로 검토해서 적용할 가치는 충분하다고 생각됩니다.

SSL을 사용하지 않을 경우 SSL 포트를 개방할 필요가 없습니다.

SMTP 587 포트는 표준 SMTP 포트인 25번 포트를 차단한 가정용 ADSL, 해외에서 아웃룩으로 메일을 발송할 때 사용하는 25번 대체용 포트입니다. 이 포트는 25번과 달리 외부 메일을 수신하지 않으며 인증된 사용자에게만 사용이 허용된 포트입니다. 회사 외부에서 아웃룩을 통한 메일 발송을 허용하고 싶지 않다면 이 포트를 개방하지 마십시오.

보안을 위한 가장 기초적인 작업으로 릴레이를 제한하는 것입니다. 아웃룩에서 메일을 발송하면 자신의 메일 서버가 이를 일차적으로 받아서 수신자가 내부 도메인인 경우는 메일함에 저장하고 외부 도메인인 경우는 외부로 발송하게 됩니다. 이 작업 중 외부로 발송하는 것을 릴레이라고 부릅니다.

만일 릴레이 기능이 외부의 아무에게나 개방된다면 외부의 누구나 우리 메일 서버를 통해 메일을 발송할 수 있게 됩니다. 즉, 메일 서버가 스팸 발송 서버가 된다는 것입니다. 스팸 발송 서버가 되면 정작 필요한 내부 사용자 메일은 제 때 발송되지 못하고 메일 서버 IP가 RBL 서버에 등록되어 내부 사용자의 정상적인 발송 메일을 수신 거부하는 사태가 발생합니다.

메일캐리어를 처음 설치하면 아래 그림과 같이 릴레이를 거부하도록 설정되어 있습니다.

이 설정을 가급적 변경하지 마십시오. 만일 자사의 웹서버에서 메일캐리어를 통해 메일을 발송할 필요가 있다면 웹서버 IP 정도는 추가해서 메일 발송을 허용시킬 수 있습니다. 그 외는 절대 허가하지 마십시오.

이렇게 설정하면 메일 계정과 암호로 메일 서버에 인증한 사용자만 메일을 릴레이시킬 수 있게 됩니다.

메일 서버 보안 유지를 위해 무엇보다 중요한 것은 사용자 각 개인이 복잡한 암호를 지정해서 사용하는 것입니다. 아래에서 설명하는 다양한 보안 기술은 복잡한 암호가 설정되어 있을 경우 해커의 공격을 무력화시키는 것들입니다. 암호가 메일 계정과 동일하거나 1111, 1234 등과 같이 지정되어 있다면 모든 보안 기술은 무의미해 집니다.

다음 그림은 관리 도구에서 암호 정책을 만족하는지 여부를 보여 줍니다. 암호 정책을 만족하지 않는 계정 필터를 사용하면 해당 사용자만 출력해서 볼 수 있습니다.

도메인에 암호 정책을 강제로 적용해 메일 서버의 보안성을 높이기 바랍니다.

해커는 메일 계정에 대한 암호를 찾기 위해 자동화된 프로그램을 사용해 반복적으로 인증을 시도합니다. 만일 사용자가 계정과 유사하거나 1234와 같은 간단한 암호를 지정해 두었다면 여지 없이 암호가 유출됩니다.

자동화된 프로그램에 의한 공격을 무력화 시키기 위해 계정 잠금 정책을 제공합니다. 지정된 회수 만큼 인증에 실패하면 일정 시간 동안 무조건 인증에 실패하게끔 강제합니다. 예를 들어 해킹 프로그램이 3회 실패하면 향후 5분간 시도한 수 백번의 시도 모두를 암호가 맞더라도 실패로 처리합니다.

정상적인 사용자가 아웃룩 설정시 3회의 잘못된 암호를 입력할 경우도 동일하게 처리됩니다. 이 경우는 관리 도구의 계정 잠김 목록에서 잠김을 강제로 해제시켜 암호를 다시 입력할 수 있는 기회를 줄 수 있습니다.

이 설정은 SMTP 수신 서버, POP3 서버, IMAP 서버에 설정할 수 있습니다.

암호 매칭 공격을 원천적으로 차단하기를 원한다면 인트라넷 정의 기능을 사용할 수 있습니다. 인트라넷을 정의하고 적용시키면 인트라넷 내부에서만 인증을 허용하게 됩니다. 인트라넷 외부에서 접근하는 모든 연결에서 요청하는 인증은 무조건 거부합니다.

보통 인트라넷은 회사 내 전산망으로 한정시키고, 외부에서는 웹메일 등으로만 접근가능하게끔 설정합니다. 회사 내부에서는 아웃룩으로 메일을 송수신할 수 있지만 회사를 벗어난 곳에서는 웹메일만 사용할 수 있는 환경이 됩니다.

이 제한은 스마트폰과 같은 모바일 메일 클라이언트(웹메일 아님)를 사용할 경우 특히 회사내 Wi-Fi 망이 아닌 3G 망을 사용할 경우 인트라넷 외부가 되므로 접근할 수 없게 됩니다. 예외를 두기 위해서는 관리 도구의 메일 계정 설정에서 서비스 허용을 설정하십시오.

이 설정은 SMTP 수신 서버, POP3 서버, IMAP 서버에 설정할 수 있습니다.

인트라넷 정의를 사용해 메일 서버를 보호하는 방법은 매우 안전하지만 인트라넷 외부에서 아웃룩을 사용할 수 없으므로 다소 불편함을 야기합니다.

차선책으로 사용할 수 있는 옵션으로 해외에서 접속하는 연결에 대해서만 인증을 차단하는 기능이 있습니다. 메일 서버에 대한 대부분의 해킹 시도는 해외에서 발생한다는 점에 착안해 제공되는 보안 기능으로 적용 방법은 해외 IP 인증 차단을 참고 바랍니다.

복잡한 암호 정책을 준수하고 위에서 설명한 여러 보안 기술을 적용시켰다면 메일 계정이 해킹될 가능성은 거의 없습니다. 관리자의 실수로 인한 테스트 계정 미삭제, 사용자의 쉬운 암호로 변경 등으로 암호가 유출되어 메일 서버가 스팸 서버로 변질되는 경우가 발생하기도 합니다.

스팸 서버가 된 사례를 보면 수천 통에서 수만 통의 스팸 메일 요청이 들어 오며 이로 인해 과도한 서버 리소스 점유로 로컬 사용자 메일 서비스가 제대로 이루어지 않게 됩니다. 해킹 후 대량 스팸 발송 서버 문제를 가급적 빠른 시간 내에 인지하고 대처하기 위한 기능이 메일 서버 보호 기능입니다.

메일 서버 보호 기능을 사용하면 발송 큐 길이를 검사해 대량 메일이 발송되고 있는 것을 감지합니다. 대량 스팸 서버로 인식되면 모든 릴레이가 자동으로 차단되며 SMTP 수신 서버를 재시작할 때까지 차단이 지속됩니다. 내외부로 부터 메일 수신은 정상적으로 이루어집니다.

관리자는 아웃룩으로 메일 발송시 530 Relay denied for protecting our server 오류가 발생하므로 이 사실을 인지할 수 있으며 스팸 발송 서버(RBL)로 등록된 경우 해결 방법을 통해 문제를 해결할 수 있습니다.