연결 필터링 이해
적용 대상: Exchange Server 2010
마지막으로 수정된 항목: 2010-01-22
연결 필터 에이전트는 Edge 전송 서버 역할이 설치된 Microsoft Exchange Server 2010을 실행하는 컴퓨터에서 사용하도록 설정된 스팸 방지 에이전트입니다. 이 에이전트는 연결을 시도하는 원격 서버의 IP 주소를 사용하여 인바운드 메시지를 받을 때 취할 동작을 결정합니다. 연결 필터 에이전트에서는 SMTP 세션에 필요한 기본 TCP/IP 연결의 결과로 원격 IP 주소를 사용할 수 있습니다. 연결 필터 에이전트는 메시지를 보내고 있는 원격 서버의 IP 주소 유효성 여부를 평가해야 하기 때문에 일반적으로 인터넷 Edge 전송 서버에서 사용하도록 설정됩니다, 그러나 추가 구성을 통해 더 넓은 범위의 인바운드 메시지 경로에서 연결 필터 에이전트를 실행할 수 있습니다.
스팸 메일 방지 에이전트를 Edge 전송 서버에 구성하면 메시지에 대한 에이전트의 작용이 누적되어 조직에서 받는 원치 않는 메시지의 수가 감소하게 됩니다. 중복을 줄이고 전반적인 시스템 성능 및 효율성을 높이려면 에이전트가 인바운드 메시지를 평가하는 순서를 파악해야 합니다. 필터가 인바운드 메시지를 평가하는 순서를 파악하면 Edge 전송 서버의 구성을 최적화하는 데 도움이 됩니다. 스팸 메일 방지 에이전트를 계획 및 배포하는 방법에 대한 자세한 내용은 스팸 방지 및 바이러스 백신 기능 이해를 참조하십시오.
연결 필터 에이전트를 사용하도록 설정하면 인바운드 메시지를 평가할 때 이 스팸 메일 방지 에이전트가 가장 먼저 실행됩니다.
연결 필터 에이전트를 사용하는 Edge 전송 서버에 인바운드 메시지가 전송되면 SMTP 연결의 원본 IP 주소를 IP 허용 목록 및 IP 차단 목록과 비교 확인합니다. 원본 IP 주소가 IP 허용 목록에 있으면 해당 메시지는 다른 스팸 메일 방지 에이전트의 추가 작업 없이 목적지로 전달됩니다. 원본 IP 주소가 IP 차단 목록에 있으면 메시지의 RCPT TO 헤더가 모두 처리된 다음 SMTP 연결이 끊어집니다.
참고
특정 연결이 끊어지는 시간은 다른 스팸 메일 방지 구성에 따라 달라질 수 있습니다. 예를 들어 원본 IP 주소가 차단된 경우에도 항상 전자 메일 메시지를 받는 사람을 지정할 수 있습니다. 또한 구문 분석 대상인 데이터 명령의 콘텐츠를 사용하는 다른 에이전트를 구성할 수도 있습니다. 연결 필터 에이전트는 전체 스팸 메일 방지 구성에 따라 차단된 연결을 항상 끊습니다.
원본 IP 주소가 IP 허용 목록과 IP 차단 목록 어느 쪽에도 없으면 해당 메시지는 다른 스팸 메일 방지 에이전트가 구성되어 있는 경우 이를 거치게 됩니다.
스팸 방지 및 바이러스 백신 기능과 관련된 관리 작업에 대한 자세한 내용은 스팸 방지 및 바이러스 백신 기능 관리를 참조하십시오.
목차
IP 허용 목록 및 IP 차단 목록
첫 번째 SMTP 진입점이 아닌 Edge 전송 서버에 대해 연결 필터링 구성
IP 차단 목록 및 IP 허용 목록 기능 테스트
IP 허용 목록 및 IP 차단 목록
연결 필터 에이전트는 메시지를 보내고 있는 서버의 IP 주소를 다음과 같은 IP 주소 데이터 저장소와 비교합니다.
- 관리자 정의 IP 허용 목록 및 IP 차단 목록
- IP 차단 목록 공급자
- IP 허용 목록 공급자
IP 차단 목록 공급자에 대한 자세한 내용은 이 항목 뒷부분의 "IP 차단 목록 공급자"를 참조하십시오.
연결 필터 에이전트를 작동시키려면 이러한 IP 주소 데이터 저장소를 하나 이상 구성해야 합니다. IP 주소 데이터 저장소에 IP 허용 목록이나 IP 차단 목록에 있는 IP 주소가 없거나 IP 차단 목록 공급자 또는 IP 허용 목록 공급자를 구성하지 않은 경우에는 연결 필터 에이전트를 사용하지 않도록 설정해야 합니다.
관리자 정의 IP 허용 목록 및 IP 차단 목록
관리자 정의 IP 주소 목록은 Edge 전송 서버 관리자가 관리합니다. EMC(Exchange 관리 콘솔)나 Exchange 관리 셸을 사용하여 허용하거나 차단할 IP 주소를 입력하고 삭제할 수 있습니다. 또한 IP 주소 범위 또는 IP 주소 및 서브넷 마스크 단위로 IP 주소를 개별적으로 추가할 수 있습니다.
IP 주소나 IP 주소 범위를 추가할 때 해당 주소나 범위가 IP 차단 목록 주소인지 아니면 IP 허용 목록 주소인지 지정해야 합니다. 또한 만든 IP 차단 목록 항목에 각각 만료 시간을 지정할 수 있습니다. 만료 시간을 설정하면 지정된 시간 동안 해당 IP 차단 목록 항목이 활성화 상태를 유지하다가 만료 시간에 도달하면 IP 차단 목록 항목이 비활성화됩니다.
관리자 정의 IP 허용 목록 및 IP 차단 목록을 사용하여 다음 시나리오를 지원하는 연결 필터링을 구성할 수 있습니다.
- IP 주소를 IP 차단 목록 공급자의 IP 차단 목록에서 제외하려면
합법적인 보낸 사람이 실수로 IP 차단 목록 공급자의 IP 차단 목록에 저장된 경우 해당 IP 주소를 IP 차단 목록에서 제외해야 하는 경우도 있습니다. 예를 들어 무심코 SMTP 서버를 오픈 릴레이로 작동하도록 구성한 경우 합법적인 보낸 사람이 의도하지 않게 IP 차단 목록에 저장되기도 합니다. 이 시나리오의 경우 보낸 사람은 잘못된 구성을 수정하고 IP 주소를 IP 차단 목록 공급자의 IP 차단 목록에서 제거하려 할 것입니다.
IP 차단 목록 공급자에 대한 자세한 내용은 이 항목 뒷부분의 "IP 차단 목록 공급자"를 참조하십시오. - 원치 않는 전자 메일 메시지를 보내는 IP 주소가 IP 차단 목록 공급자의 IP 차단 목록에는 없는 경우 해당 IP 주소의 액세스를 거부하려면
가입한 실시간 차단 목록 서비스에서 아직 확인되지 않은 출처로부터 대량의 원치 않는 메시지를 받는 경우가 있습니다.
IP 차단 목록 공급자
IP 차단 목록 공급자 서비스를 통해 조직에서 받는 원치 않는 전자 메일 메시지의 수를 줄일 수 있습니다.
참고
IP 차단 목록 공급자 서비스는 보통 실시간 차단 목록 서비스 또는 RBL 서비스라고 합니다. EMC에서는 실시간 차단 목록 서비스를 IP 차단 목록 공급자 서비스라고 합니다. 즉, 실시간 차단 목록 서비스, RBL 서비스 및 IP 차단 목록 공급자 서비스는 동일한 용어입니다.
IP 차단 목록 공급자 서비스에서는 이전에 스팸 메일을 보냈던 IP 주소의 목록을 축적합니다. 또한 일부 IP 차단 목록 공급자는 SMTP를 오픈 릴레이로 구성한 IP 주소의 목록을 제공합니다. 전화 접속 액세스를 지원하는 IP 주소 목록을 제공하는 IP 차단 목록 공급자 서비스도 있습니다. 클라이언트에게 전화 접속 액세스 서비스를 제공하는 ISP(인터넷 서비스 공급자)는 각 전화 접속 세션마다 동적 IP 주소를 할당합니다. 일부 ISP는 전화 접속 계정의 SMTP 트래픽을 차단합니다. 이러한 ISP 및 이에 속하는 전화 접속 IP 범위는 일반적으로 IP 차단 목록에 추가되지 않습니다. 그러나 일부 ISP는 클라이언트가 전화 접속 계정의 SMTP 트래픽을 보내도록 허용합니다. 악의적인 사용자는 이러한 SMTP 트래픽을 이용해 동적으로 할당된 IP 주소에서 스팸 메일을 보냅니다. 해당 IP 주소가 IP 차단 목록에 저장되면 악의적인 사용자는 또 다른 전화 접속 세션을 시작하여 새로운 IP 주소를 받습니다. 대개 하나의 IP 차단 목록 공급자가 제공하는 IP 주소 목록으로 이러한 모든 스팸 메일 위협을 처리할 수 있습니다.
EMC나 셸을 이용하여 IP 차단 목록 공급자를 여러 개 구성할 수 있습니다. 서비스마다 EMC나 셸에 별도의 IP 차단 목록 공급자를 구성해야 합니다.
IP 차단 목록 공급자를 사용하도록 연결 필터 에이전트를 구성한 경우 이 에이전트에서는 IP 차단 목록 공급자 서비스에 쿼리하여 조직으로 메시지를 받기 전에 연결 IP 주소와 일치하는 항목이 있는지 여부를 확인합니다.
연결 필터 에이전트는 IP 차단 목록 공급자에게 IP 주소를 확인하기 전에 먼저 이 IP 주소를 관리자 정의 IP 허용 목록 및 IP 차단 목록과 비교합니다. 해당 IP 주소가 관리자 정의 IP 허용 목록 또는 IP 차단 목록 어느 쪽에도 없는 경우 연결 필터 에이전트는 각 공급자에게 할당된 우선 순위 등급에 따라 IP 차단 목록 공급자 서비스에 쿼리합니다. IP 주소가 IP 차단 목록 공급자의 IP 차단 목록에 있으면 Edge 전송 서버는 RCPT TO 헤더를 기다려 이를 구문 분석한 다음 보내는 시스템에 SMTP 550 오류로 응답하고 연결을 닫습니다. IP 주소가 어떤 IP 차단 목록 공급자의 IP 차단 목록에도 없으면 스팸 메일 방지 체인에 있는 다음 에이전트가 이 연결을 처리합니다. 기본 스팸 방지 및 바이러스 백신 에이전트가 인터넷에서 들어오는 인바운드 메시지를 필터링하는 순서에 대한 자세한 내용은 스팸 방지 및 바이러스 백신 기능 이해를 참조하십시오.
연결 필터 에이전트를 사용할 때는 IP 차단 목록 공급자를 하나 이상 사용하여 조직에 대한 액세스를 관리하는 것이 가장 좋습니다. 관리자 정의 차단 목록을 사용하여 자체 IP 차단 목록을 관리하는 방식은 많은 시간이 소요되며 대부분의 조직에게는 인적 자원 측면에서 이러한 방식이 불가능할 것입니다. 따라서 IP 차단 목록 관리를 전문으로 하는 외부 IP 차단 공급자를 사용하는 것이 좋습니다.
그러나 이 경우에도 몇 가지 단점이 있을 수 있습니다. 연결 필터 에이전트가 알 수 없는 각 IP 주소에 대해 매번 외부 엔터티에 쿼리해야 하므로 IP 차단 목록 공급자 서비스가 중단되거나 지연될 경우 Edge 전송 서버에서 메시지 처리가 지연될 수 있습니다. 최악의 경우 서비스 중단이나 지연으로 인해 Edge 전송 서버의 메일 흐름에 병목 현상이 발생할 수도 있습니다.
합법적인 보낸 사람이 가끔 실수로 IP 차단 목록 공급자의 IP 차단 목록에 추가되는 일도 외부 IP 차단 목록 공급자 서비스를 사용할 때의 단점 중 하나입니다. 예를 들어 SMTP 서버를 실수로 오픈 릴레이로 작동하도록 구성한 경우처럼 SMTP를 잘못 구성한 결과, IP 차단 목록 공급자가 관리하는 IP 차단 목록에 합법적인 보낸 사람이 추가될 수 있습니다.
구성한 각 IP 차단 목록 공급자 서비스에 대해 보낸 사람 IP 주소가 IP 차단 목록 공급자 서비스와 일치할 경우 연결 필터 에이전트에 의해 차단될 때 보낸 사람에게 반환되는 SMTP 550 오류를 사용자 지정할 수 있습니다. 보낸 사람이 차단된 IP 주소로 식별되는 IP 차단 목록 공급자 서비스를 식별하도록 SMTP 550 오류를 사용자 지정하는 것이 가장 좋습니다. 이렇게 하면 합법적인 발신자가 IP 차단 목록 공급자 서비스에 접촉할 경우 IP 차단 목록 공급자 서비스의 IP 차단 목록에서 제거되도록 할 수 있습니다.
메시지를 전송하는 원격 서버의 IP 주소가 IP 차단 목록 공급자 서비스의 IP 차단 목록에 있는 IP 주소와 일치할 경우 서로 다른 IP 차단 목록 공급자 서비스에서 다양한 코드를 반환할 수 있습니다. 대부분의 IP 차단 목록 공급자 서비스에서는 비트 마스크 또는 절대값 데이터 형식 중 하나를 반환합니다. 이러한 데이터 형식 내에 제출된 IP 주소가 있는 목록의 유형을 나타내는 값이 여러 개 있을 수 있습니다.
비트 마스크 예
이 섹션에서는 대부분의 차단 목록 공급자가 반환하는 상태 코드의 예를 보여 줍니다. 공급자가 반환하는 상태 코드에 대한 자세한 내용은 해당 공급자의 설명서를 참조하십시오.
비트 마스크 데이터 형식의 경우 IP 차단 목록 공급자 서비스는 상태 코드인 127.0.0.x를 반환합니다. 여기서 정수 x는 다음 표에 나와 있는 값 중 하나입니다.
비트 마스크 데이터 형식의 값 및 상태 코드
값 | 상태 코드 |
---|---|
1 |
IP 주소가 IP 차단 목록에 있습니다. |
2 |
SMTP 서버가 오픈 릴레이 역할을 하도록 구성되어 있습니다. |
4 |
IP 주소가 전화 접속 IP 주소를 지원합니다. |
절대값 형식의 경우 IP 차단 목록 공급자 서비스는 IP 주소를 차단한 이유에 따라 명시적인 응답을 반환합니다. 다음 표에서는 절대값과 명시적 응답의 몇 가지 예를 보여 줍니다.
절대값 데이터 형식에 대한 값 및 상태 코드
값 | 명시적 응답 |
---|---|
127.0.0.2 |
이 IP 주소는 직접 스팸 출처입니다. |
127.0.0.4 |
이 IP 주소는 벌크 메일 발송 주소입니다. |
127.0.0.5 |
메시지를 전송하는 원격 서버는 다단계 오픈 릴레이를 지원하는 것으로 알려져 있습니다. |
IP 허용 목록 공급자
IP 허용 목록을 제공하는 IP 허용 목록 공급자 서비스를 사용하여 인바운드 메시지를 관리할 수도 있습니다. 소프트웨어 업계 일부에서는 IP 허용 목록을 IP 수신 허용 목록 또는 화이트 리스트라고 부르기도 합니다. IP 허용 목록 공급자는 어떠한 스팸 활동과도 연관이 없는 것으로 명확히 확인된 IP 주소 목록을 관리합니다. IP 허용 목록 공급자가 IP 허용 일치를 반환하면 이는 보낸 사람의 IP 주소가 매우 신뢰할 수 있거나 안전하다는 의미이므로 연결 필터 에이전트는 이 메시지를 스팸 메일 방지 체인에 있는 다음 에이전트에게 릴레이합니다.
맨 위로 이동
첫 번째 SMTP 진입점이 아닌 Edge 전송 서버에 대해 연결 필터링 구성
어떤 조직에서는 인터넷에서 직접 SMTP 요청을 처리하지 않는 컴퓨터에 Edge 전송 서버 역할이 설치됩니다. 이러한 경우 Edge 전송 서버는 인터넷으로부터 인바운드 메시지를 직접 처리하는 다른 프런트 엔드 SMTP 서버 뒤에 있습니다. 이때 연결 필터 에이전트는 메시지에서 올바른 원래 IP 주소를 추출할 수 있어야 합니다. 원래 IP 주소를 추출하여 평가하려면 연결 필터 에이전트에서는 메시지에서 Received 헤더를 구문 분석하고 경계 네트워크의 알려진 SMTP 서버와 이러한 헤더를 비교해야 합니다.
RFC 호환 SMTP 서버에서 메시지를 수신하면 서버에서 메시지의 Received 헤더를 보낸 사람의 도메인 이름과 IP 주소로 업데이트합니다. 그러므로 원래 보낸 사람과 Edge 전송 서버 사이에 있는 각 SMTP 서버에서는 Received 헤더 항목을 추가합니다.
주변 네트워크에서 Exchange 2010을 지원하도록 구성할 경우 주변 네트워크의 SMTP 서버에 대한 모든 IP 주소를 지정해야 합니다. IP 주소 데이터는 EdgeSync에 의해 Edge 전송 서버로 복제됩니다. 연결 필터 에이전트를 실행하는 컴퓨터에 메시지가 수신될 경우 경계 네트워크의 STMP 서버 IP 주소와 일치하지 않는 Received 헤더의 IP 주소가 원래 IP 주소인 것으로 간주됩니다.
Active Directory 포리스트의 전송 구성 개체에 대한 내부 SMTP 서버를 모두 지정한 다음 연결 필터링을 실행해야 합니다. Set-TransportConfig cmdlet의 InternalSMTPServers 매개 변수를 사용하여 내부 SMTP 서버를 지정하십시오.
맨 위로 이동
IP 차단 목록 및 IP 허용 목록 기능 테스트
IP 차단 목록 공급자 서비스 또는 IP 허용 목록 공급자 서비스를 구성한 후에 연결 필터링이 특정 서비스에 대해 올바르게 구성되었는지 테스트할 수 있습니다. 대부분의 IP 차단 목록 공급자 서비스 또는 IP 허용 목록 공급자 서비스에서는 해당 서비스를 테스트하는 데 사용할 수 있는 테스트 IP 주소를 제공합니다. IP 차단 목록 공급자 서비스 또는 IP 허용 목록 공급자 서비스에 대한 테스트를 실행할 때 연결 필터 에이전트는 특정 응답을 보여야 하는 실시간 차단 목록 IP 주소를 기준으로 하는 DNS(Domain Name System) 쿼리를 실행합니다. IP 차단 목록 공급자 서비스 또는 IP 허용 목록 공급자 서비스의 IP 주소를 테스트하는 방법에 대한 자세한 내용은 Test-IPAllowListProvider 및 Test-IPBlockListProvider를 참조하십시오.
맨 위로 이동