메일 서버 운영시 가장 중요한 것 중 하나는 메일 계정의 암호를 복잡하게 만들어서 사용하는 것입니다. 단순한 암호를 사용할 경우 해커에 의해 쉽게 암호가 유출되며 개인 메일함이 해커에 의해 노출됩니다. 또한 계정과 암호를 알고 있으므로 메일 수신 서버 인증을 통한 대량 스팸 메일을 발송할 수 있게 됩니다.
다량의 스팸 메일이 발송되면 메일 발송 큐에 과부하가 생겨 일반 사용자 메일을 발송할 수 없는 상태가 되고 스팸 메일 발송처로 RBL에 등록되어 향후 정상적인 메일을 발송하지 못하는 경우도 발생합니다.
메일 서버 보호 기능은 이러한 피해를 최소화 하기 위한 것으로 발송 큐에 과부하가 걸린 비정상적인 상황이 되었을 때 외부로의 릴레이를 강제로 차단시킵니다. 즉, 더 이상 외부 도메인으로 메일 발송이 되지 않게 됩니다. 외부로부터 들어오는 메일은 정상적으로 수신됩니다.
메일 서버 보호 기능을 사용하기 위해서는 다음과 같이 설정하십시오.
[발송 큐 길이 제한 규칙을 적용합니다] 체크 박스를 선택합니다.
전체 메일 계정에서 발송하는 메일량에 따라 적합한 임계치를 지정합니다.
임계치가 작을수록 갑자기 증가하는 스팸 발송을 빠른 시간 내에 검출할 수 있습니다.
메일 발송 량에 비해 임계치가 작을 경우 정상적인 상태도 과부하 상태로 오판하는 경우가 발생할 수 있습니다.
발송 큐 길이 제한 규칙을 충족시키게 되면 메일 서버 보호 상태가 됩니다. 이 경우 아웃룩에서 메일 발송시 530 Relay denied for protecting our server 오류가 발생하게 되며 외부로 메일을 발송할 수 없게 됩니다. 이러한 상황이 발생할 경우 다음과 같은 순서로 처리해야 합니다.
메일 서버 보호 상태는 SMTP 수신 서비스를 재시작할 때까지 계속 유지됩니다.
외부 메일은 수신 가능하므로 SMTP 수신 서비스를 재시작하기 전에 스팸 발송 메일 계정을 찾아서 계정 사용 금지 또는 복잡한 암호로 변경해야 합니다.
메일 계정에 대한 보안 처리를 마쳤으면 SMTP 수신 서비스를 재시작시킵니다.
SMTP 수신 서버 로그 파일을 편집기(메모장)로 열어 검색하면 해킹된 메일 계정을 쉽게 찾을 수 있습니다.
인증을 한 후 메일을 외부로 릴레이하기 때문에 로그에는 인증과 외부 도메인으로 RCPT 기록이 남습니다.
다음은 정상적인 SMTP 릴레이 트랜잭션으로 인증 후 수신자 수 만큼 RCPT 로그가 기록됩니다.
14:05:56 99,99,9828e101-6e14-46fb-a0e0-9a32621a55db,Processing AUTH LOGIN
14:05:56 3,1,9828e101-6e14-46fb-a0e0-9a32621a55db,Authentication successful(avvzang@tabslab.com, LOGIN).
14:05:56 3,1,9828e101-6e14-46fb-a0e0-9a32621a55db,MAIL command successful(<avvzang@tabslab.com>).
14:05:56 3,1,9828e101-6e14-46fb-a0e0-9a32621a55db,RCPT command successful(rockfeel@outdomain.co.kr).
14:05:56 3,1,9828e101-6e14-46fb-a0e0-9a32621a55db,DATA command successful.
14:05:56 3,1,9828e101-6e14-46fb-a0e0-9a32621a55db,DATA received(7256 bytes).
14:05:58 3,1,9828e101-6e14-46fb-a0e0-9a32621a55db,Mail relayed(avvzang@tabslab.com,rockfeel@outdomain.co.kr).
14:05:59 3,1,9828e101-6e14-46fb-a0e0-9a32621a55db,QUIT command successful.
스팸 메일을 발송하는 경우는 대량의 발송을 위해 과도한 인증과 인증 후 다수의 RCPT 명령을 전송하므로 정상적인 로그 패턴과는 많은 차이를 보입니다.
편집기에서 AUTH로 검색하면 로그인 된 사용자를 볼 수 있으며 그 이후에 발생한 수신자 지정 트랜잭션(RCPT)이 비 정상적으로 많고 불특정 도메인으로 분산되어 있다면 해킹된 계정이 스팸을 발송하고 있는 것으로 볼 수 있습니다.