다음을 통해 공유


보낸 사람 신뢰도 및 프로토콜 분석 에이전트

적용 대상: Exchange Server 2013

보낸 사람 신뢰도는 보낸 사람의 여러 특성에 따라 메시지를 차단하는 Exchange 스팸 방지 기능의 일부입니다. 보낸 사람 신뢰도는 보낸 사람에 대해 보관된 데이터에 따라 인바운드 메시지에 취할 동작(있는 경우)을 결정합니다. 프로토콜 분석 에이전트는 보낸 사람 신뢰도 기능에 대한 기본 에이전트입니다.

스팸 방지 에이전트를 Exchange 서버에 구성하면 에이전트가 메시지에서 점증적으로 작동하여 조직으로 들어오는 스팸의 수가 감소하게 됩니다.

보낸 사람 신뢰도 수준 계산

다음 통계를 이용하여 SRL을 계산합니다.

  • HELO/EHLO 분석: HELO 및 EHLO SMTP 명령은 수신 SMTP 서버에 보내는 SMTP 서버의 IP 주소 또는 Contoso.com 같은 도메인 이름을 제공하기 위한 것입니다. 악의적인 사용자나 스패머의 경우 종종 이러한 HELO/EHLO 문을 다양한 방법으로 위장합니다. 예를 들어 연결이 시작된 IP 주소와 일치하지 않는 IP 주소를 입력합니다. 또한 스패머는 조직에 있는 도메인인 것처럼 보이게 하려고 받는 서버에서 로컬 지원 대상으로 알려진 도메인을 HELO 문에 넣기도 합니다. 그 밖에 HELO 문에서 전달한 도메인을 변경하기도 합니다. 합법적인 사용자의 경우에는 서로 다르지만 상대적으로 일정한 도메인 집합을 HELO 문에 사용하는 것이 일반적입니다.

    따라서 발신자별로 HELO/EHLO 문을 분석하면 발신자가 스패머일 가능성이 있음을 나타낼 수 있습니다. 예를 들어 특정 기간에 다양한 고유한 HELO/EHLO 문을 제공하는 발신자는 스패머일 가능성이 높습니다. 연결 필터 에이전트에 의해 결정된 대로 원래 IP 주소와 일치하지 않는 HELO 문에서 IP 주소를 일관되게 제공하는 보낸 사람도 스패머일 가능성이 높습니다. Exchange 서버와 동일한 조직에 있는 HELO 문에서 로컬 도메인 이름을 지속적으로 제공하는 원격 보낸 사람도 스패머일 가능성이 높습니다.

  • 역방향 DNS 조회: 보낸 사람 신뢰도는 발신자가 메시지를 전송한 원래 IP 주소가 발신자가 HELO 또는 EHLO SMTP 명령에서 제출하는 등록된 도메인 이름과 일치하는지 확인합니다.

    우선 원래 IP 주소를 DNS에 전송하여 역방향 DNS 쿼리를 수행합니다. DNS는 쿼리 결과로서 해당 IP 주소에 대해 도메인 명명 기관을 통해 등록된 도메인 이름을 반환합니다. 보낸 사람 신뢰도는 DNS가 반환한 도메인 이름과 보낸 사람이 HELO/EHLO SMTP 명령으로 전송한 도메인 이름을 비교합니다. 두 도메인 이름이 일치하지 않으면 메시지를 보낸 사람이 스패머일 가능성이 높으므로 이 사용자에 대한 전반적인 SRL 등급이 높아집니다.

    보낸 사람 ID 에이전트에서도 이와 유사한 작업을 수행하지만 이 작업이 성공하려면 적법한 보낸 사람이 조직 내 전자 메일을 보내는 모든 SMTP 서버를 식별할 수 있도록 DNS 인프라를 업데이트해야 합니다. 역방향 DNS 조회를 수행하면 잠재적인 스패머를 식별하는 데 도움이 됩니다.

  • 특정 보낸 사람의 메시지에 대한 SCL 등급 분석: 콘텐츠 필터 에이전트가 메시지를 처리할 때 메시지에 SCL(스팸 신뢰도 수준) 등급을 할당합니다. SCL 등급은 0에서 9까지의 숫자입니다. SCL 등급이 높을수록 메시지의 스팸 가능성이 높은 것입니다. 각 보낸 사람 및 해당 메시지의 SCL 등급에 대한 데이터는 보낸 사람 신뢰도에서 수행하는 분석을 위해 계속 보관됩니다. 이 보낸 사람 신뢰도에서는 과거에 SCL 등급이 낮았던 사람이 보낸 모든 메시지와 SCL 등급이 높았던 사람이 보낸 모든 메시지 간 비율에 따라 보낸 사람에 대한 통계를 계산합니다. 이와 함께 마지막 날에 보낸 SCL 등급이 높은 메시지 수를 전체 SRL에 적용합니다.

  • 보낸 사람 열기 프록시 테스트: 열린 프록시 는 어디서나 모든 사람의 연결 요청을 수락하고 로컬 호스트에서 시작된 것처럼 트래픽을 전달하는 프록시 서버입니다. 프록시 서버가 방화벽 호스트를 통해 TCP 트래픽을 릴레이함으로써 사용자 응용 프로그램은 마치 방화벽이 없는 것처럼 액세스할 수 있습니다. 프록시 프로토콜은 간단하고 사용자 응용 프로그램 프로토콜의 영향을 받지 않으므로 다양한 서비스에서 사용할 수 있습니다. 또한 단일 인터넷 연결을 여러 호스트가 공유할 때도 사용할 수 있습니다. 프록시를 설정할 때는 일반적으로 방화벽 내 트러스트된 호스트만 프록시를 통과할 수 있도록 합니다. 정상적인 보낸 사람이 의도하지 않은 잘못된 구성이나 맬웨어로 인해 오픈 프록시가 될 수 있습니다.

    오픈 프록시는 악의적인 사용자가 본인의 실제 ID를 숨기고 DoS(서비스 거부) 공격을 시작하거나 스팸을 보낼 수 있는 최적의 수단으로 사용됩니다. 기본적으로 개방 상태로 구성하는 프록시 서버가 많아질수록 오픈 프록시가 점점 일반화됩니다. 또한 악의적인 사용자는 여러 오픈 프록시를 함께 사용하여 보낸 사람의 원래 IP 주소를 숨길 수 있습니다.

    보낸 사람 신뢰도에서는 오픈 프록시에서 Exchange 서버로 다시 연결하기 위해 SMTP 요청에 서식을 지정하여 오픈 프록시 테스트를 수행합니다. 프록시에서 SMTP 요청을 받은 경우 보낸 사람 신뢰도에서는 오픈 프록시인지 여부를 확인하고 보낸 사람에 대한 오픈 프록시 테스트 통계를 업데이트합니다.

보낸 사람 평판은 이러한 각 통계의 무게를 측정하고 각 발신자에 대한 SRL을 계산합니다. SRL은 0에서 9까지의 숫자로서 이를 통해 메시지를 보낸 특정인이 스패머인지 아니면 악의적인 사용자인지 그 확률을 예측할 수 있습니다. 값이 0이면 발신자가 스패머일 가능성이 없음을 나타냅니다. 값이 9이면 발신자가 스패머일 가능성이 있음을 나타냅니다.

0에서 9까지의 차단 임계값을 구성하면 이 임계값에 따라 보낸 사람 신뢰도가 보낸 사람 필터 에이전트에 요청을 발행하여 메시지를 보낸 사람을 조직에서 차단할 수 있습니다. 보낸 사람을 차단하는 경우 이 사람은 구성 가능한 일정 기간 동안 수신 거부 목록에 추가됩니다. 차단된 메시지에 대한 처리 방법은 보낸 사람 필터 에이전트의 구성에 따라 다릅니다. 다음 동작은 차단된 메시지를 처리하는 옵션입니다.

  • 거부

  • 삭제 및 보관

  • 수락 및 차단할 보낸 사람으로 표시

보낸 사람이 IP 차단 목록 또는 Microsoft IP 신뢰도 서비스에 포함된 경우 보낸 사람 신뢰도에서는 보낸 사람 필터 에이전트에 즉시 요청을 발행하여 보낸 사람을 차단합니다. 이 기능을 이용하려면 Microsoft Exchange 스팸 방지 업데이트 서비스를 사용하도록 설정하고 구성해야 합니다.

기본적으로 보낸 사람 신뢰도는 메시지를 보낸 사람 중 아직까지 분석한 적이 없는 사람에게 등급 0을 설정합니다. 20개 이상의 메시지를 보낸 후에는 보낸 사람 신뢰도가 이 항목의 앞부분에 설명된 통계를 기반으로 SRL을 계산합니다.

SRL 사용

보낸 사람 신뢰도는 SMTP 세션의 다음 두 단계 동안 메시지에 작용합니다.

  • MAIL FROM: SMTP 명령에서: 보낸 사람 신뢰도는 메시지가 차단되었거나 연결 필터 에이전트, 보낸 사람 필터 에이전트, 받는 사람 필터 에이전트 또는 보낸 사람 ID 에이전트에 의해 수행된 경우에만 메시지에 작동합니다. 이 경우 보낸 사람 신뢰도는 Exchange 서버의 보낸 사람에 대해 지속되는 보낸 사람 프로필에서 현재 SRL 등급을 검색합니다. 등급 검색 및 평가를 마친 후 Exchange 서버 구성의 차단 임계값에 따라 특정 연결에 다양한 동작이 발생합니다.

  • "데이터 끝" SMTP 명령 후: 모든 실제 메시지 데이터를 보낼 때 EOD(데이터 전송 종료) SMTP 명령이 제공됩니다. SMTP 세션의 이 시점에서 많은 스팸 방지 에이전트가 메시지를 처리했습니다. 스팸 방지 처리의 기준으로 발신자 평판이 의존하는 통계가 업데이트됩니다. 따라서 보낸 사람 평판에는 보낸 사람의 SRL 등급을 계산하거나 다시 계산할 데이터가 있습니다.

자세한 내용은 보낸사람 신뢰도 관리 합니다.를 참조하십시오.

오픈 프록시 서버 검색 사용 및 구성

보낸 사람 신뢰도에서 SRL은 보낸 사람의 몇 가지 특징을 평가하여 계산됩니다. 보낸 사람 신뢰도에서 평가하는 특징 중에는 오픈 프록시 서버에 대한 테스트 결과도 포함됩니다. 스패머가 인터넷의 오픈 프록시 서버를 통해 메시지를 라우팅하는 경우가 많습니다. 오픈 프록시 서버를 통해 메시지를 라우팅하여 스패머는 자신이 소유한 서버가 아닌 다른 서버에서 보낸 것처럼 보이는 메시지를 보낼 수 있습니다.

보낸 사람 신뢰도는 SRL을 계산할 때 SOCKS4, SOCKS5, HTTP, Telnet, Cisco, Wingate 등과 같은 다양한 일반 프록시 프로토콜을 사용하여 보낸 사람의 원래 IP 주소에 연결을 시도합니다. 보낸 사람 신뢰도는 프로토콜별 요청 형식을 지정해 SMTP 요청을 사용하여 오픈 프록시 서버에서 Edge 전송 서버로 다시 연결하려고 시도합니다. 프록시 서버에서 SMTP 요청을 받으면 보낸 사람 신뢰도는 프록시 서버가 오픈 프록시 서버인지 확인하고 이 결과에 따라 SRL 등급을 조정합니다. 보낸 사람 신뢰도에서는 기본적으로 오픈 프록시 서버 검색 기능을 사용하도록 설정되어 있습니다.

오픈 프록시 서버 검색을 사용하도록 설정하고 구성하는 방법에 대한 자세한 내용은 보낸사람 신뢰도 관리 합니다.를 참조하십시오.

SRL 차단 임계값 설정

SRL은 0에서 9까지의 숫자로서 이를 통해 메시지를 보낸 특정인이 스패머인지 아니면 악의적인 사용자인지 그 확률을 예측할 수 있습니다. SRL로 보낸 사람 차단 임계값을 설정해야 합니다. 이 SRL 차단 임계값에서 정의하는 SRL 값을 초과하면 보낸 사람 신뢰도에서 보낸 사람을 차단합니다. 기본적으로 SRL은 7로 설정됩니다. 기본 수준에서 에이전트의 효과를 모니터링해야 합니다. 조직의 요구를 충족시키기 위해 값을 조정할 수 있습니다. 다른 스팸 방지 에이전트를 강력하게 설정하면 그렇지 않은 경우에 비해 보낸 사람 신뢰도의 SRL 임계값을 높게 설정할 수 있습니다. 스팸 방지 구성을 조정하여 스팸을 줄이기 위해 함께 작업하는 방법에 대한 자세한 내용은 스팸 방지 보호를 참조하세요.

Edge 전송 서버에서 특정 보낸 사람에 대한 SRL 차단 임계값이 초과되면 보낸 사람 신뢰도에서 연결 필터 에이전트의 IP 차단 목록에 이 받는 사람을 추가합니다. 한 사람이 일련의 스팸 메일을 보내는 경우가 있습니다. 이 경우에는 보낸 사람 신뢰도에서 SRL 차단 임계값을 초과하는 SRL을 계산하면 구성 가능한 기간 동안 이 사람이 보낸 사람 차단 목록에 추가됩니다. 기본 기간은 24시간입니다. 24시간 후 보낸 사람 차단 목록에서 보낸 사람이 제거되고 다시 메시지를 보낼 수 있습니다.

IP 차단 목록에 보낸 사람이 추가되면 보낸 사람 신뢰도에서 이 사람의 프로필을 삭제합니다. 차단된 보낸 사람의 기존 프로필은 보낸 사람의 SRL이 SRL 차단 임계값을 초과함을 나타내기 때문에 보낸 사람 신뢰도에서 해당 프로필을 삭제합니다. 이렇게 되면 보낸 사람 차단 기간이 끝나는 즉시 차단된 보낸 사람이 IP 차단 목록에 다시 추가될 수 있습니다.

자세한 내용은 보낸사람 신뢰도 관리 합니다.를 참조하십시오.