실시간 공격 차단(RTDS) 설정 방법

RTDS는 Real-time Threat Defense System의 약자로 메일 서버로 전송되는 명령어 패턴을 실시간으로 분석해 메일 시스템에 대한 공격으로 판단될 경우 자동으로 공격자 IP를 차단합니다. 차단된 IP는 일정 시일 동안 지속적으로 차단되어 해커, 스패머로 하여금 추가적인 공격이 불가능하도록 만듭니다.

Note
메일캐리어 7.3.2 버전부터 지원되는 기능입니다.

RTDS 예외 설정

RTDS를 활성화 시키기 전에 RDTS 차단 예외 IP를 등록하는 것이 매우 중요합니다.

예를 들어 다음과 같은 상황이 발생할 수 있습니다. 사무실에 있는 정상적인 아웃룩 사용자가 아웃룩 설정 과정에 인증 정보를 잘못 입력해 메일 송수신이 되지 않자 지속적으로 보내기/받기 버튼을 클릭합니다. 이 과정은 해커의 인증 공격과 매우 유사한 패턴이므로 RTDS는 해당 IP를 차단시킵니다. 차단된 IP는 보통 사무실 사용자 모두가 공유하는 IP이므로 모든 사무실 사용자가 아웃룩을 사용하지 못하는 심각한 상황이 발생하게 됩니다.

위와 같은 상황을 미연에 방지하기 위해 대다수의 아웃룩 사용자가 있는 사무실 IP 또는 IP 대역을 RTDS 예외에 추가하도록 합니다. 예외에 추가된 IP에 대해서는 RTDS가 모니터링하지 않으므로 차단되지 않습니다.

메일캐리어 관리 도구에서 실시간 공격 차단(RTDS)로 이동합니다.
작업 메뉴에서 속성을 선택합니다.
RTDS 예외 탭으로 이동한 후 예외 IP를 추가합니다.
확인 버튼을 클릭해 변경 사항을 적용 시킵니다.

Note
웹서버와 같은 곳에서 메일캐리어로 메일을 릴레이하고 있다면 추가적인 검토가 필요합니다. SMTP 인증(또는 릴레이 허용)을 통한 올바른 방식으로 메일을 릴레이하고 있다면 추가적인 예외 설정은 필요 없습니다. 릴레이 발송이 RTDS에 의해 차단된다면 정상적인 발송 요청인지 여부를 검토해 예외에 추가하기 바랍니다.

Note

웹서버와 같은 곳에서 메일캐리어로 메일을 릴레이하고 있다면 추가적인 검토가 필요합니다. SMTP 인증(또는 릴레이 허용)을 통한 올바른 방식으로 메일을 릴레이하고 있다면 추가적인 예외 설정은 필요 없습니다. 릴레이 발송이 RTDS에 의해 차단된다면 정상적인 발송 요청인지 여부를 검토해 예외에 추가하기 바랍니다.

RTDS 활성화

RTDS가 모니터링하지 않는 예외 영역을 설정하였다면 이번에는 RTDS 모니터링 기능을 활성화 하는 단계입니다.

기본적으로 RTDS 모니터링 기능은 꺼져 있습니다. SMTP, POP3, IMAP 서비스에 대한 모니터링이 가능하며 필요에 따라 활성화 시킵니다.

메일캐리어 관리 도구에서 실시간 공격 차단(RTDS)로 이동합니다.
작업 메뉴에서 속성을 선택합니다.
RTDS 설정 탭으로 이동한 후 모니터링 기능을 체크합니다.
확인 버튼을 클릭해 변경 사항을 적용 시킵니다.

차단 IP 해제

RTDS를 운영하면 차단된 IP 목록이 출력되는 것을 확인할 수 있습니다. 한번 차단된 IP는 공격 패턴에 따라 2일에서 7일까지 차단되며 지속적인 접속이 진행될 경우 차단 기간은 동적으로 늘어나 지속적인 방어가 이루어집니다.

만일 정상적인 사용자인데 잘못된 메일 인증 설정 등으로 인해 차단 목록에 추가된다면 해당 IP를 RTDS 예외에 추가하는 것보다는 설정 문제를 해결하고 차단 목록에서 삭제하는 것을 권장합니다. RTDS 예외는 사무실 IP와 같은 명확한 지역만을 등록해 두는 것이 보다 안전합니다.

메일캐리어 관리 도구에서 실시간 공격 차단(RTDS)로 이동합니다.
차단 IP 목록에서 제거할 IP를 선택합니다..
작업 메뉴에서 삭제를 클릭하거나 키보드의 Delete 버튼을 누릅니다.
예 버튼을 클릭해 차단 목록에서 제거합니다.