메일캐리어 보안 설정

메일 서버를 안정적으로 유지하기 위해서는 보안 설정에 매우 유의해야 합니다. 보안에 취약할 경우 개인 메일 및 각종 자료가 유출될 수 있으며, 메일 서버 자체는 스팸 발송 서버로 악용될 수 있습니다.

다음은 메일캐리어에 강력한 보안 설정을 부여하기 위한 가이드라인으로 개별 항목을 반드시 확인 바랍니다.

윈도우 서버 방화벽 설정

최신 윈도우 서버는 방화벽이 기본으로 동작하고 대부분의 포트가 막혀 있으므로 메일 서버를 운영할 수 없습니다. 메일 서버를 운영하기 위한 필수 포트는 다음과 같으며 방화벽 설정을 통해 외부에서 접근할 수 있도록 개방해야 합니다.

일반 연결

SSL 연결

SMTP

25

25

SMTP Submission

587

587

POP3

110

995

IMAP

143

993

SSL을 사용하지 않을 경우 SSL 포트 993, 995를 개방할 필요가 없습니다.

아웃룩과 같은 메일 클라이언트 프로그램을 사용하지 않는다면 587번 포트를 개방할 필요가 없습니다.

SSL 적용

메일 서버와 웹메일에 SSL 인증서를 설정하면 매우 안전한 메일 환경을 구축할 수 있습니다. 특히 Let's Encrypt 인증서를 사용하면 SSL 인증서에 대한 비용 발생 없이 자동화된 인증서 갱신 시스템 구현이 가능합니다.

적용 방법은 Let's Encrypt 인증서 적용을 참고 바랍니다.

릴레이 제한

보안을 위한 가장 기초적인 작업으로 릴레이를 제한하는 것입니다. 아웃룩에서 메일을 발송하면 자신의 메일 서버가 이를 일차적으로 받아서 수신자가 내부 도메인인 경우는 메일함에 저장하고 외부 도메인인 경우는 외부로 발송하게 됩니다. 이 작업 중 외부로 발송하는 것을 릴레이라고 부릅니다.

만일 릴레이 기능이 개방된다면 외부의 아무나 메일 서버를 통해 메일을 발송할 수 있게 됩니다. 즉, 메일 서버가 스팸 발송 서버가 된다는 것입니다. 스팸 발송 서버가 되면 정작 필요한 내부 사용자 메일은 제 때 발송되지 못하고 메일 서버 IP가 RBL 서버에 등록되어 내부 사용자의 정상적인 발송 메일을 수신 거부하는 사태가 발생합니다.

메일캐리어를 처음 설치하면 아래 그림과 같이 릴레이를 거부하도록 설정되어 있습니다.

mc 7 security 01

이 설정을 가급적 변경하지 마십시오. 만일 자사의 웹서버에서 메일캐리어를 통해 메일을 발송할 필요가 있다면 웹서버 IP를 예외 목록에 추가해서 메일 발송을 허용할 수 있습니다. 그 외는 절대 허가하지 마십시오.

이렇게 설정하면 메일 계정과 암호로 메일 서버에 인증한 사용자만 메일을 릴레이시킬 수 있게 됩니다.

복잡한 암호 사용 정책

메일 서버 보안 유지를 위해 무엇보다 중요한 것은 사용자 각 개인이 복잡한 암호를 지정해서 사용하는 것입니다. 아래에서 설명하는 다양한 보안 기술은 복잡한 암호가 설정되어 있을 경우 해커의 공격을 무력화시키는 것들입니다. 암호가 메일 계정과 동일하거나 1111, 1234 등과 같이 지정되어 있다면 모든 보안 기술은 무의미해 집니다.

다음 그림은 관리 도구에서 암호 정책을 만족하는지 여부를 보여 줍니다. 암호 정책을 만족하지 않는 계정 필터를 사용하면 해당 사용자만 출력해서 볼 수 있습니다.

mc 7 security 05

정책

설명

A

암호가 최대 사용 기한내에 포함되어 있을 경우 출력됩니다.

C

암호가 복잡성을 만족하는 경우 출력됩니다.

D

암호에 계정 또는 계정 내의 연속되는 일부 문자가 사용되지 않을 경우 출력됩니다.

L

최소 암호 길이를 만족하는 경우 출력됩니다.

도메인에 암호 정책을 강제로 적용해 메일 서버의 보안성을 높이기 바랍니다.

  Note

메일캐리어 7.5.1 이상 버전을 최초 설치할 경우 데이터 보안 강화를 위해 일방향 암호화가 기본 세팅됩니다.

로그인이 없을 경우 서비스 제한

메일 서버에 사용되지 않는 불필요한 계정이 남아 있을 경우 관리 부재로 인해 해당 계정이 해킹될 수 있습니다.

이를 방지하기 위해 일정 기간 메일 시스템(SMTP/POP3/IMAP/WebMail)으로 로그인하지 않을 경우 자동으로 해당 계정의 서비스 로그인 기능을 차단할 수 있습니다.

관리 도구에서 [메일 서버 > 로그인 정보 > 속성]을 실행하면 아래와 같은 대화상자가 열리며 서비스 제한을 설정할 수 있습니다.

mc 7 security 08

서비스 허용 자체가 차단되므로 해당 계정으로 메일 시스템에 로그인할 수 없게 됩니다. 메일 수신은 정상적으로 동작합니다.

해당 계정의 속성창을 연 후 서비스 허용 탭으로 이동해 차단된 서비스를 허용하면 다시 메일 시스템에 로그인해서 정상적으로 사용할 수 있게 됩니다.

계정 잠금 정책으로 암호 매칭 공격 차단

해커는 메일 계정에 대한 암호를 찾기 위해 자동화된 프로그램을 사용해 반복적으로 인증을 시도합니다. 만일 사용자가 계정과 유사하거나 1234와 같은 간단한 암호를 지정해 두었다면 여지 없이 암호가 유출됩니다.

자동화된 프로그램에 의한 공격을 무력화 시키기 위해 계정 잠금 정책을 제공합니다. 지정된 회수 만큼 인증에 실패하면 일정 시간 동안 무조건 인증에 실패하게끔 강제합니다. 예를 들어 해킹 프로그램이 3회 실패하면 향후 5분간 시도한 수 백번의 시도 모두를 암호가 맞더라도 실패로 처리합니다.

mc 7 security 04

정상적인 사용자가 아웃룩 설정시 3회의 잘못된 암호를 입력할 경우도 동일하게 처리됩니다. 이 경우는 관리 도구의 계정 잠김 목록에서 잠김을 강제로 해제시켜 암호를 다시 입력할 수 있는 기회를 줄 수 있습니다.

이 설정은 SMTP 수신 서버, POP3 서버, IMAP 서버에 설정할 수 있습니다.

인트라넷 정의를 통한 인증 제한

암호 매칭 공격을 원천적으로 차단하기를 원한다면 인트라넷 정의 기능을 사용할 수 있습니다. 인트라넷을 정의하고 적용시키면 인트라넷 내부에서만 인증을 허용하게 됩니다. 인트라넷 외부에서 접근하는 모든 연결에서 요청하는 인증은 무조건 거부합니다.

보통 인트라넷은 회사 내 전산망으로 한정시키고, 외부에서는 웹메일 등으로만 접근가능하게끔 설정합니다. 회사 내부에서는 아웃룩으로 메일을 송수신할 수 있지만 회사를 벗어난 곳에서는 웹메일만 사용할 수 있는 환경이 됩니다.

mc 7 security 03

이 제한은 스마트폰과 같은 모바일 메일 클라이언트(웹메일 아님)를 사용할 경우 특히 회사내 Wi-Fi 망이 아닌 3G/LTE 망을 사용할 경우 인트라넷 외부가 되므로 접근할 수 없게 됩니다. 예외를 두기 위해서는 관리 도구의 메일 계정 설정에서 서비스 허용을 설정하십시오.

이 설정은 SMTP 수신 서버, POP3 서버, IMAP 서버에 설정할 수 있습니다.

해외 IP 인증 차단

인트라넷 정의를 사용해 메일 서버를 보호하는 방법은 매우 안전하지만 인트라넷 외부에서 아웃룩을 사용할 수 없으므로 다소 불편함을 야기합니다.

차선책으로 사용할 수 있는 옵션으로 해외에서 접속하는 연결에 대해서만 인증을 차단하는 기능이 있습니다. 메일 서버에 대한 대부분의 해킹 시도는 해외에서 발생한다는 점에 착안해 제공되는 보안 기능입니다. 적용 방법은 해외 IP 인증 차단을 참고 바랍니다.

실시간 공격 차단(RTDS) 설정

메일 서버로 전송되는 SMTP/POP3/IMAP 명령어 패턴을 실시간으로 분석해 메일 시스템에 대한 공격으로 판단될 경우 자동으로 공격자 IP를 차단하는 기능을 제공합니다.

적용 방법은 실시간 공격 차단(RTDS) 설정 방법을 참고 바랍니다.

발송 큐 모니터링을 통한 메일 서버 보호

복잡한 암호 정책을 준수하고 위에서 설명한 여러 보안 기술을 적용시켰다면 메일 계정이 해킹될 가능성은 거의 없습니다. 관리자의 실수로 인한 테스트 계정 미삭제, 사용자의 쉬운 암호로 변경 등으로 암호가 유출되어 메일 서버가 스팸 서버로 변질되는 경우가 발생하기도 합니다.

스팸 서버가 된 사례를 보면 수천 통에서 수만 통의 스팸 메일 요청이 들어 오며 이로 인해 과도한 서버 리소스 점유로 로컬 사용자 메일 서비스가 제대로 이루어지 않게 됩니다. 해킹 후 대량 스팸 발송 서버 문제를 가급적 빠른 시간 내에 인지하고 대처하기 위한 기능이 메일 서버 보호 기능입니다.

mc 7 security 06

메일 서버 보호 기능을 사용하면 발송 큐 길이를 검사해 대량 메일이 발송되고 있는 것을 감지합니다. 대량 스팸 서버로 인식되면 모든 릴레이가 자동으로 차단되며 SMTP 수신 서버를 재시작할 때까지 차단이 지속됩니다. 내외부로부터 메일 수신은 정상적으로 이루어집니다.

관리자는 아웃룩으로 메일 발송시 530 Relay denied for protecting our server 오류가 발생하므로 이 사실을 인지할 수 있으며 메일 계정 해킹으로부터 서버 복원을 통해 문제를 해결할 수 있습니다.