안녕하세요 빛향기고운데입니다.
Exchange Server에서 보안을 위하여 필요한 설정입니다.
Tarpit기능을 이용하여 트래픽조절을 통하여 고의적인 공격을 예방하는 기술입니다.
필터링중 받는 사람 필터링을 설정한 경우 큰 이점이 되는 기능입니다.
SMTP 타르핏 기능?
타르핏 기능은 스팸이나 기타 원하지 않는 트래픽과 관련된 특정 SMTP 통신을 고의적으로 지연하는 방법입니다. 이러한 종류의 통신을 적용하려면 일반적으로 많은 양의 트래픽을 사용하게 됩니다. SMTP 통신 속도를 저하시켜 자동 스팸을 보내거나 사전 공격(dictionary attack)을 수행할 수 있는 속도를 크게 줄일 수 있습니다. 타르핏 기능을 사용하면 합법적인 트래픽 또한 느려질 수 있습니다.
받는 사람필터링 기능?
받는 사람 필터링 기능은 Exchange 2003의 새로운 기능입니다. 이 기능을 사용하면 특별히 정의된 받는 사람과 조직의 Active Directory 디렉터리 서비스에 나열되어 있지 않은 받는 사람이 보내는 메일을 필터링하거나 거부할 수 있습니다.
받는 사람 필터링을 설정하고 구성하는 방법에 대한 자세한 내용은 Microsoft Exchange Server 2003 온라인 도움말을 참조하십시오.
받는 사람 필터링 기능을 설정하면 보낸 사람은 잘못된 받는 사람이나 필터링된 받는 사람을 향하는 메일은 보낼 수 없습니다. 이러한 메일은 메일 본문이 전송되기 전에 SMTP 통신에서 사전에 거부됩니다.
이 동작은 일반적으로 Exchange Server에서 잘못된 메일을 처리해야 할 필요를 줄여 줍니다. 메일을 받거나 저장할 필요도 없으며 메일을 받지 않았으므로 잘못된 메일에 대해 NDR(배달 못함 보고서)을 보내지 않아도 됩니다.
받는 사람 필터링 기능을 사용하지 않을 경우에는 Exchange 조직의 잘못된 전자 메일 주소로 보내진 메일을 Exchange Server에서 받아 처리하게 됩니다. 이러한 메일을 처리한 후 Exchange Server에서는 모든 잘못된 메일에 대해 NDR을 생성하고 보내야 합니다.
타르핏 기능과 받는 사람 필터링 기능을 함께 사용하는 방법
받는 사람 필터링 기능의 단점은 전자 메일 주소 수집 공격의 효율성을 증가시킨다는 점입니다. 일반적인 수집 공격에서 사용자 도메인에 보내기 위해 다량의 전자 메일 메시지를 자동으로 생성하는 데 "사전" 또는 가능한 전자 메일 이름 목록이 사용됩니다. 목표는 각 전자 메일 주소의 유효성을 확인하는 것입니다. 그런 다음 공격자는 검색된 전자 메일 주소 목록을 사용하여 스팸이나 다른 비합법적인 용도의 메일을 보냅니다.
받는 사람 필터링 기능을 설정하면 서버는 SMTP 통신 동안 전자 메일 이름이 유효한지 여부를 표시합니다. 받는 사람 필터링 기능을 해제하면 공격자는 추측한 각 이름에 대해 NDR이 반환될 때까지 기다립니다.
받는 사람 필터링 기능과 타르핏 기능을 모두 설정하면 잘못된 전자 메일 이름에 대한 응답을 크게 지연할 수 있습니다. 이러한 동작은 공격을 방해합니다.
참고 대다수의 공격자가 스푸핑된(spoofed) 도메인으로 로그온하기 때문에 스팸 메일을 보내는 사람이나 기타 공격자가 사용자 서버에서 생성된 NDR을 실제로 받을 가능성은 희박합니다. NDR이 공격자를 찾을 수 있다면 여러분도 공격자를 찾을 수 있습니다. 따라서 NDR을 통한 사전 공격 위험은 SMTP 통신 동안 정보가 누출될 위험만큼 크지 않습니다.
공격자에게 도움이 될 수 있는 응답을 Exchange에서 보내지 않도록 막지 않는 이유
응답을 보내지 않도록 Exchange를 구성할 수도 있습니다. 이렇게 하려면 받는 사람 필터링 기능을 해제하고 NDR을 표시하지 않도록 해야 합니다.
앞에서 설명한 것처럼 NDR을 표시하지 않는 것은 RFC를 준수하는 방법이 아닙니다. 따라서 NDR을 표시하지 않는 것은 일반적으로 좋지 않습니다. 또한 NDR을 표시하지 않으면 전자 메일 메시지를 보낼 때 받는 사람 주소를 잘못 입력하는 일반 사용자에게 불편을 주기도 합니다. 전자 메일을 보내는 사람은 일반적으로 NDR이 반환되지 않으면 전자 메일 메시지가 목적지에 도달한 것으로 생각합니다.
받는 사람 필터링 기능을 설정하면 수집 공격을 받을 위험이 커질 수 있습니다. 그러나 NDR 대량 공격을 위한 벡터로 사용될 가능성도 줄어듭니다. NDR 대량 공격은 보낸 사람이 유효한 도메인의 반환 주소를 의도적으로 스푸핑한 다음 잘못된 전자 메일 메시지를 해당 도메인에서 보낸 것처럼 사용자에게 보내는 것입니다. 그러면 사용자의 서버는 이 도메인에 의무적으로 다량의 NDR 보고서를 보냅니다.
전자 메일 수집 공격, NDR 대량 공격 및 스팸 자체의 문제는 합법적인 전자 메일 전송에 유용하거나 필요한 SMTP 프로토콜 기능을 사용합니다. 합법적인 트래픽을 계속 허용하면서 이러한 위협으로부터 방어할 때 고려해야 하는 장단점이 있습니다.
타르핏 기능은 합법적인 사용자가 받는 영향을 최소화하면서 SMTP의 오용을 방지하는 하나의 또 다른 옵션입니다.
타르핏 기능을 설정하는 방법
경고 레지스트리 편집기나 다른 방법을 사용하여 레지스트리를 잘못 수정하는 경우 심각한 문제가 발생할 수 있습니다. 이 문제를 해결하려면 운영 체제를 다시 설치해야 할 수도 있습니다. Microsoft는 문제에 대해 해결을 보증하지 않습니다. 레지스트리의 수정에 따른 모든 책임은 사용자에게 있습니다.
타르핏 기능은 레지스트리 키를 통해 설정하고 구성할 수 있습니다. 다음과 같이 하십시오.
참고 TarpitTime 레지스트리 항목이 없으면 Exchange는 이 레지스트리 항목의 값이 0으로 설정된 것처럼 동작합니다. 레지스트리 항목의 값이 0이면 SMTP 주소 확인 응답을 보낼 때 지연되지 않습니다.
1. |
시작, 실행을 차례로 누르고 열기 상자에 regedit를 입력한 다음 확인을 누릅니다. |
2. |
다음 레지스트리 하위 키를 찾아서 누릅니다. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SMTPSVC\Parameters |
3. |
편집 메뉴에서 새로 만들기를 가리킨 다음 DWORD 값을 누릅니다. |
4. |
레지스트리 항목 이름으로 TarpitTime을 입력한 다음 Enter 키를 누릅니다. |
5. |
편집 메뉴에서 수정을 누릅니다. |
6. |
10진수를 누릅니다. |
7. |
값 데이터 상자에 존재하지 않는 각 주소에 대해 SMTP 주소 확인 응답을 지연할 시간(초)을 입력합니다. 그런 다음 확인을 누릅니다. 예를 들어 5를 입력한 다음 확인을 누릅니다. 이렇게 하면 5초 동안 SMTP 주소 확인 응답이 지연됩니다. |
8. |
레지스트리 편집기를 종료합니다. |
9. |
SMTP(Simple Mail Transport Protocol) 서비스를 다시 시작합니다. |