Exchange 서버에서 익명 릴레이 허용
오픈 릴레이 는 인터넷의 메시징 서버에 매우 나쁜 일입니다. 실수로 또는 의도적으로 오픈 릴레이로 구성된 메시징 서버를 사용하면 모든 원본의 메일을 오픈 릴레이 서버를 통해 투명하게 다시 라우팅할 수 있습니다. 이 동작은 메시지의 원래 원본을 마스킹하고 열려 있는 릴레이 서버에서 보낸 메일처럼 표시됩니다. 오픈 릴레이 서버는 스패머가 열심히 찾아서 사용하므로 메시징 서버를 오픈 릴레이에 대해 구성하지 않으려고 합니다.
반면에 익명 릴레이 는 내부 웹 서버, 데이터베이스 서버, 모니터링 애플리케이션 또는 전자 메일 메시지를 생성하지만 실제로 이러한 메시지를 보낼 수 없는 기타 네트워크 디바이스가 있는 많은 기업에서 일반적인 요구 사항입니다.
Exchange Server에서 사서함 서버의 프런트 엔드 전송 서비스에 특정 내부 네트워크 호스트 목록에서 익명 릴레이를 허용하는 전용 수신 커넥터를 만들 수 있습니다. 다음은 익명 릴레이 수신 커넥터에 대한 몇 가지 주요 고려 사항입니다.
메시지를 익명으로 릴레이할 수 있는 네트워크 호스트를 지정하기 위해 전용 수신 커넥터를 만들어야 합니다. 따라서 커넥터를 사용할 때 다른 사람이나 다른 항목을 제외할 수 있습니다. Exchange에서 만든 기본 수신 커넥터에 익명 릴레이 기능을 추가하지 마세요. 서버를 열린 릴레이로 구성하지 않으려면 수신 커넥터에 대한 액세스를 제한하는 것이 중요합니다.
전송 서비스가 아닌 프런트 엔드 전송 서비스에서 전용 수신 커넥터를 만들어야 합니다. Exchange Server에서 프런트 엔드 전송 서비스와 전송 서비스는 항상 사서함 서버에 함께 있습니다. 프런트 엔드 전송 서비스에는 TCP 포트 25의 모든 원본에서 인바운드 SMTP 연결을 수신 대기하도록 구성된 기본 Frontend <ServerName> 이라는 기본 수신 커넥터가 있습니다. 프런트 엔드 전송 서비스에서 TCP 포트 25에서 들어오는 SMTP 연결을 수신 대기하는 다른 수신 커넥터를 만들 수 있지만 커넥터를 사용할 수 있는 IP 주소를 지정해야 합니다. 전용 수신 커넥터는 항상 해당 특정 네트워크 호스트에서 들어오는 연결에 사용됩니다(연결 서버의 IP 주소와 가장 특정 일치하도록 구성된 수신 커넥터가 우선합니다).
반면 전송 서비스에는 모든 원본의 인바운드 SMTP 연결에 대해 나열되도록 구성된 Default ServerName>이라는 기본< 수신 커넥터가 있지만 이 커넥터는 프런트 엔드 전송 서비스의 수신 커넥터와 충돌하지 않도록 TCP 포트 2525에서 수신 대기합니다. 또한 조직의 다른 전송 서비스 및 Exchange 서버만 이 수신 커넥터를 사용해야 하므로 인증 및 암호화 방법이 그에 따라 설정됩니다.
자세한 내용은 설정 중에 만든 메일 흐름 및 전송 파이프라인 및 기본 수신 커넥터를 참조하세요.
전용 수신 커넥터를 만든 후에는 IP 주소로 식별된 지정된 네트워크 호스트에서만 익명 릴레이를 허용하도록 권한을 수정해야 합니다. 최소한 네트워크 호스트는 메시지를 익명으로 릴레이하기 위해 수신 커넥터에 대해 다음 권한이 필요합니다.
ms-Exch-Accept-Headers-Routing
ms-Exch-SMTP-Accept-Any-Recipient
ms-Exch-SMTP-Accept-Any-Sender
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
ms-Exch-SMTP-Submit
수신 커넥터에 대한 권한에 대한 자세한 내용은 커넥터 사용 권한 그룹 수신 및 커넥터 사용 권한 받기를 참조하세요.
Receive 커넥터에서 익명 릴레이에 필요한 권한을 구성하는 데 사용할 수 있는 두 가지 방법이 있습니다. 이러한 메서드는 다음 표에 설명되어 있습니다.
메서드 | 부여된 사용 권한 | 장점 | 단점 |
---|---|---|---|
익명 사용자(Anonymous ) 권한 그룹을 수신 커넥터에 추가하고 수신 커넥터의 Ms-Exch-SMTP-Accept-Any-Recipient NT AUTHORITY\ANONYMOUS LOGON 보안 주체에 권한을 추가합니다. |
연결은 다음 권한으로 보안 주체를 사용합니다 NT AUTHORITY\ANONYMOUS LOGON .
|
익명 릴레이를 허용하는 데 필요한 최소 권한을 부여합니다. | 구성하기가 더 어렵습니다(Exchange 관리 셸을 사용해야 합니다). 네트워크 호스트는 익명 보낸 사람으로 간주됩니다. 메시지는 스팜 방지 또는 메시지 크기 제한 검사를 무시하지 않으며, 보낸 사람의 전자 메일 주소는 전역 주소 목록에서 해당 표시 이름(있는 경우)으로 확인할 수 없습니다. |
Exchange 서버(ExchangeServers ) 권한 그룹 및 외부 보안(ExternalAuthoritative ) 인증 메커니즘을 수신 커넥터에 추가합니다. |
연결은 다음 권한으로 보안 주체를 사용합니다 MS Exchange\Externally Secured Servers .
|
쉽게 구성할 수 있습니다(Exchange 관리 센터에서 모든 작업을 수행할 수 있습니다). 네트워크 호스트는 인증된 보낸 사람으로 간주됩니다. 메시지는 스패스팜 방지 및 메시지 크기 제한 검사를 무시하며, 보낸 사람의 전자 메일 주소는 전역 주소 목록에서 해당 표시 이름으로 확인할 수 있습니다. |
Exchange 조직 내의 내부 보낸 사람에서 보낸 것처럼 메시지를 제출할 수 있는 권한을 부여합니다. 네트워크 호스트는 보내는 메시지의 볼륨, 크기 또는 콘텐츠에 관계없이 완전히 신뢰할 수 있는 것으로 간주됩니다. |
궁극적으로 조직의 요구 사항에 가장 적합한 접근 방식을 결정해야 합니다. 두 메서드를 모두 구성하는 방법을 보여 줍니다. 한 메서드 또는 다른 메서드이며 동시에 둘 다 아니라는 것을 기억하세요.
시작하기 전에 알아야 할 사항은 무엇인가요?
이 작업의 예상 완료 시간: 10분.
이러한 절차 중 일부는 Exchange 관리 셸이 필요합니다. 온-프레미스 Exchange 조직에서 Exchange 관리 셸을 여는 방법을 확인하려면 Exchange 관리 셸 열기를 참조하세요.
이러한 절차를 수행하려면 먼저 사용 권한을 할당받아야 합니다. 필요한 권한을 보려면 메일 흐름 권한 항목의 "수신 커넥터" 항목을 참조하세요.
이 항목의 절차에 적용할 수 있는 바로 가기 키에 대한 자세한 내용은 Exchange 관리 센터의 바로 가기 키을 참조하세요.
팁
문제가 있습니까? Exchange Server, Exchange Online 또는 Exchange Online Protection. 무슨 작업을 하고 싶으십니까?
1단계: 익명 릴레이용 전용 수신 커넥터 만들기
EAC 또는 Exchange 관리 셸에서 수신 커넥터를 만들 수 있습니다.
EAC를 사용하여 익명 릴레이용 전용 수신 커넥터 만들기
EAC에서 메일 흐름>수신 커넥터로 이동한 다음 추가 추가을 클릭합니다. 그러면 새 수신 커넥터 마법사가 시작됩니다.
첫 번째 페이지에서 다음 정보를 입력합니다.
이름: Receive 커넥터의 설명이 포함된 이름(예: 익명 릴레이)을 입력합니다.
역할: 프런트 엔드 전송을 선택합니다.
형식: 사용자 지정을 선택합니다.
작업을 마친 후 다음을 클릭합니다.
다음 페이지의 네트워크 어댑터 바인딩 섹션에서 다음 중 하나를 수행합니다.
Exchange 서버에 네트워크 어댑터가 하나 있고 다른 서브넷을 사용하여 내부 및 외부 트래픽을 분리하지 않는 경우 포트 25에서 기존 (사용 가능한 모든 IPv4) 항목을 수락합니다.
Exchange 서버에 내부 네트워크 어댑터와 외부 네트워크 어댑터가 있고 다른 서브넷을 사용하여 내부 및 외부 네트워크 트래픽을 분리하는 경우 커넥터 사용을 내부 네트워크 어댑터에서 발생하는 요청으로 제한하여 커넥터에 대한 보안을 더욱 강화할 수 있습니다. 이렇게 하려면 다음을 수행합니다.
기존(사용 가능한 모든 IPv4) 항목을 선택하고 제거를 클릭한 다음 클릭합니다.
결과 네트워크 어댑터 바인딩 대화 상자에서 IPv4 주소 또는 IPv6 주소 지정을 선택하고 내부 네트워크 어댑터에 구성된 유효하고 사용 가능한 IP 주소를 입력한 다음 저장을 클릭합니다.
작업을 마친 후 다음을 클릭합니다.
다음 페이지의 원격 네트워크 설정 섹션에서 다음 단계를 수행합니다.
기존 0.0.0.0-255.255.255.255.255 항목을 선택한 다음 제거를 클릭한 다음 추가 클릭합니다.
결과 원격 주소 설정 대화 상자에서 이 커넥터를 사용할 수 있는 네트워크 호스트를 식별하는 IP 주소 또는 IP 주소 범위를 입력한 다음 저장을 클릭합니다. 이 단계를 반복하여 여러 IP 주소 또는 IP 주소 범위를 추가할 수 있습니다. 너무 일반적이 아니라 너무 구체적이면 이 커넥터를 사용할 수 있는 네트워크 호스트를 명확하게 식별할 수 없습니다.
완료되면 마침을 클릭합니다.
Exchange 관리 셸을 사용하여 익명 릴레이용 전용 수신 커넥터 만들기
Exchange 관리 셸에서 동일한 수신 커넥터를 만들려면 다음 구문을 사용합니다.
New-ReceiveConnector -Name <ConnectorName> -TransportRole FrontendTransport -Custom -Bindings <LocalIPAddresses>:25 -RemoteIpRanges <RemoteIPAddresses>
이 예제에서는 다음 구성 옵션을 사용하여 새 수신 커넥터를 만듭니다.
이름: 익명 릴레이
전송 역할:
FrontEndTransport
사용 유형: 사용자 지정
바인딩:
0.0.0.0:25
(TCP 포트 25의 Exchange 서버의 모든 네트워크 어댑터에 구성된 모든 IP 주소에서 인바운드 메시지를 수신 대기합니다.)이 커넥터를 사용할 수 있는 원격 IP 주소: 192.168.5.10 및 192.168.5.11
New-ReceiveConnector -Name "Anonymous Relay" -TransportRole FrontendTransport -Custom -Bindings 0.0.0.0:25 -RemoteIpRanges 192.168.5.10,192.168.5.11
참고:
Bindings 매개 변수는 사용자 지정 사용 유형을 지정할 때 필요합니다.
RemoteIpRanges 매개 변수는 개별 IP 주소, IP 주소 범위(예:
192.168.5.10-192.168.5.20
) 또는 CIDR(Classless InterDomain Routing)(예192.168.5.1/24
: )을 허용합니다. 쉼표로 구분하여 여러 값을 지정할 수 있습니다.
2단계: 전용 수신 커넥터에서 익명 릴레이에 대한 권한 구성
소개에 설명된 대로 수신 커넥터에 필요한 권한을 구성하는 데 사용할 수 있는 두 가지 방법이 있습니다.
연결을 익명으로 구성합니다.
외부 보안으로 연결을 구성합니다.
한 가지 방법 또는 다른 메서드를 선택합니다. 예제에서는 1단계에서 만든 익명 릴레이라는 Receive 커넥터를 사용합니다.
연결을 익명으로 구성
Exchange 관리 셸에서 다음 명령을 실행합니다.
1.
Set-ReceiveConnector "Anonymous Relay" -PermissionGroups AnonymousUsers
Get-ReceiveConnector "Anonymous Relay" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"
외부 보안으로 연결 구성
EAC에서 메일 흐름>수신 커넥터로 이동하고 익명 릴레이 커넥터를 선택한 다음 편집 편집을 클릭합니다.
커넥터의 속성에서 보안을 클릭하고 다음을 선택합니다.
인증: TLS(전송 계층 보안) 를 선택 취소하고 외부 보안(예: IPsec 사용)을 선택합니다.
권한 그룹: Exchange 서버를 선택합니다.
작업을 마쳤으면 저장을 클릭합니다.
Exchange 관리 셸에서 이러한 동일한 단계를 수행하려면 다음 명령을 실행합니다.
Set-ReceiveConnector "Anonymous Relay" -AuthMechanism ExternalAuthoritative -PermissionGroups ExchangeServers
작동 여부는 어떻게 확인하나요?
익명 릴레이를 성공적으로 구성했는지 확인하려면 다음 단계를 수행합니다.
전용 수신 커넥터의 구성을 확인합니다.
Get-ReceiveConnector "Anonymous Relay" | Format-List Enabled,TransportRole,Bindings,RemoteIPRanges
전용 수신 커넥터에 대한 권한을 확인합니다.
Get-ADPermission "Anonymous Relay" -User "NT AUTHORITY\ANONYMOUS LOGON" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights
또는
Get-ADPermission "Anonymous Relay" -User "MS Exchange\Externally Secured Servers" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights
텔넷을 사용하여 지정된 네트워크 호스트 중 하나 이상이 전용 수신 커넥터에 연결할 수 있고 커넥터를 통해 메일을 익명으로 릴레이할 수 있는지 테스트합니다. 기본적으로 텔넷 클라이언트는 대부분의 클라이언트 또는 서버 버전의 Microsoft Windows에 설치되지 않습니다. 텔넷 클라이언트를 설치하려면 텔넷 클라이언트 설치를 참조하세요.
자세한 내용은 Exchange Server에서 텔넷을 사용하여 SMTP 통신 테스트를 참조하십시오.
네트워크 호스트가 텔넷이 없는 디바이스인 경우 컴퓨터의 IP 주소를 수신 커넥터에 일시적으로 추가한 다음 테스트를 완료하면 수신 커넥터에서 IP 주소를 제거할 수 있습니다.
테스트의 경우 다음 값이 필요합니다.
대상: 전용 수신 커넥터에 연결하는 데 사용하는 IP 주소 또는 FQDN입니다. 수신 커넥터가 정의된 사서함 서버의 IP 주소일 수 있습니다. 이는 커넥터에서 구성한 네트워크 어댑터 바인딩 속성(또는 Bindings 매개 변수) 값과 관련이 있습니다. 사용자 환경에 유효한 값을 사용해야 합니다. 이 예제에서는 10.1.1.1을 사용합니다.
보낸 사람의 전자 메일 주소: 조직의 신뢰할 수 있는 도메인에 있는 전자 메일 주소를 사용하도록 익명으로 메일을 릴레이하는 서버 또는 디바이스를 구성할 수 있습니다. 이 예제에서는 를 사용합니다 chris@contoso.com.
받는 사람의 이메일 주소: 유효한 전자 메일 주소를 사용합니다. 이 예제에서는 를 사용합니다 kate@fabrikam.com.
메시지 제목: 테스트
메시지 본문: 테스트 메시지입니다.
명령 프롬프트 창을 열고 telnet을 입력한 다음 Enter 키를 누릅니다.
set localecho를 입력한 후에 Enter 키를 누릅니다.
OPEN 10.1.1.1 25를 입력한 다음 Enter 키를 누릅니다.
EHLO를 입력한 다음 Enter 키를 누릅니다.
MAIL FROM:chris@contoso.com을 입력한 다음 Enter 키를 누릅니다.
RCPT TO:를kate@fabrikam.com 입력한 다음 Enter 키를 누릅니다.
응답을
250 2.1.5 Recipient OK
받으면 수신 커넥터는 네트워크 호스트에서 익명 릴레이를 허용합니다. 다음 단계로 계속 진행하여 테스트 메시지 보내기를 완료합니다.응답을
550 5.7.1 Unable to relay
받으면 수신 커넥터는 네트워크 호스트에서 익명 릴레이를 허용하지 않습니다. 이 경우 다음을 수행합니다.전용 수신 커넥터의 올바른 IP 주소 또는 FQDN에 연결하고 있는지 확인합니다.
텔넷을 실행하는 컴퓨터에서 수신 커넥터를 사용할 수 있는지 확인합니다.
수신 커넥터에 대한 권한을 확인합니다.
DATA를 입력한 후에 Enter 키를 누릅니다.
다음과 같은 응답을 받아야 합니다.
354 Start mail input; end with <CLRF>.<CLRF>
제목: 테스트를 입력한 다음 Enter 키를 누릅니다.
Enter 키를 다시 누릅니다.
This is a test message를 입력하고 Enter 키를 누릅니다.
Enter 키를 누르고 마침표(. . )를 입력한 다음 Enter 키를 누릅니다.
다음과 같은 응답을 받아야 합니다.
250 2.6.0 <GUID> Queued mail for delivery
대상 SMTP 서버와의 연결을 끊으려면 QUIT을 입력한 다음 Enter 키를 누릅니다.
다음과 같은 응답을 받아야 합니다.
221 2.0.0 Service closing transmission channel
텔넷 세션을 닫으려면 quit을 입력한 다음 Enter 키를 누릅니다.
익명 릴레이가 간헐적으로 작동하는 경우 수신 커넥터에서 기본 메시지 속도 및 제한 제한을 수정해야 할 수 있습니다. 자세한 내용은 수신 커넥터의 메시지 제한을 참조하세요.