Exchange 2007에서 TLS 인증을 사용하여 타사 전자 메일과 메시지를 보내고 받는 방법

  • 아티클

 

적용 대상: Exchange Server 2007 SP3

마지막으로 수정된 항목: 2009-09-29

이 항목에서는 Microsoft Exchange Server 2007에서 TLS(전송 계층 보안) 인증을 사용하여 타사 전자 메일 프로그램과 전자 메일 메시지를 보내고 받는 방법에 대해 설명합니다.

TLS 프로토콜을 사용하면 Exchange 2007에서 SMTP 통신 보안을 높일 수 있습니다. TLS는 인터넷 또는 인트라넷에서 보안 웹 통신을 제공하는 데 사용되는 표준 프로토콜입니다. TLS를 사용하면 클라이언트가 서버를 인증하거나 임의로 서버가 클라이언트를 인증할 수도 있습니다. TLS는 통신을 암호화하여 보안 채널을 제공하기도 합니다. TLS는 SSL(Secure Sockets Layer) 프로토콜의 최신 버전입니다.

인증서 기반 인증을 제공하는 SMTP를 통한 TLS에서는 대칭 암호화 키를 통해 보안이 강화된 데이터를 전송할 수 있습니다. "공유 암호" 암호화라고도 하는 대칭 키 암호화에서는 메시지를 암호화하고 암호를 해독하는 데 같은 키가 사용됩니다. TLS는 HMAC(해시 기반 메시지 인증 코드)를 적용합니다. HMAC는 공유 암호 키와 해시 알고리즘을 함께 사용하여 전송 중에 데이터가 변경되지 않았는지 확인합니다. 공유 암호 키는 해시할 데이터에 첨부됩니다. 이로 인해 해시 보안이 향상되는데, 인증 데이터인지 확인하려면 양쪽에 동일한 공유 암호 키가 있어야 하기 때문입니다.

이전 버전의 Exchange에서는 TLS를 수동으로 구성해야 했습니다. 또한 Exchange 서버에 TLS 사용에 적합한 유효한 인증서를 설치해야 했습니다. Exchange 2007에서는 설치 과정에서 자체 서명된 인증서가 만들어집니다. 그리고 기본적으로 TLS가 사용됩니다. 이 덕분에 보내는 모든 시스템에서 Exchange로 들어오는 SMTP 세션을 암호화할 수 있습니다. 기본적으로 Exchange 2007에서도 모든 원격 연결에 대해 TLS를 시도합니다.

TLS를 사용하여 전자 메일 메시지를 타사 전자 메일 프로그램으로 보내려면 송신 커넥터를 구성해야 합니다. 송신 커넥터는 Exchange 2007이 실행되며 허브 전송 또는 Edge 전송 서버 역할이 설치된 컴퓨터에서 구성됩니다. 송신 커넥터는 보내는 메시지가 전송될 때 통과하는 논리적 게이트웨이를 나타냅니다.

TLS를 사용하여 전자 메일 메시지를 타사 전자 메일 프로그램으로 보내려면 수신 커넥터를 구성해야 합니다. 수신 커넥터는 Exchange 2007이 실행되며 허브 전송 또는 Edge 전송 서버 역할이 설치된 컴퓨터에서 구성됩니다. 수신 커넥터는 모든 인바운드 메시지가 수신될 때 통과하는 논리적 게이트웨이를 나타냅니다.

TLS를 통해 전자 메일 메시지를 타사 전자 메일 프로그램으로 보내기

  1. Exchange 관리 콘솔을 시작합니다.

  2. 다음 단계 중 하나를 수행합니다.

    • Edge 전송 서버 역할이 설치된 컴퓨터에서 Edge 전송을 선택한 다음 송신 커넥터 탭을 클릭합니다.

    • 허브 전송 서버 역할에서 송신 커넥터를 만들려면 콘솔 트리에서 조직 구성을 확장하고 허브 전송을 선택한 다음 송신 커넥터 탭을 클릭합니다.

  3. 작업 창에서 새 송신 커넥터를 클릭합니다. 새 SMTP 송신 커넥터 마법사가 시작됩니다.

  4. 소개 페이지의 이름 필드에 이 커넥터에 지정할 의미 있는 이름을 입력합니다. 이 이름은 커넥터를 식별하는 데 사용됩니다.

  5. 이 커넥터에 지정할 용도 선택 목록에서 사용자 지정을 클릭한 후 다음을 클릭합니다.

  6. 주소 공간 페이지에서 추가를 클릭합니다.

  7. SMTP 주소 공간 대화 상자에서 타사 전자 메일 서버의 외부 도메인을 입력합니다. 예를 들어 contoso.com 도메인의 경우 *.contoso.com을 입력합니다.

  8. 확인을 클릭한 후 다음을 클릭합니다.

  9. 네트워크 설정 페이지에서 DNS(Domain Name System) "MX" 레코드를 사용하여 자동으로 메일 라우팅을 클릭한 후 다음을 클릭합니다. 또는 다음 스마트 호스트를 통해 모든 메일 라우팅을 클릭한 후 다음 단계를 수행합니다.

    1. 추가를 클릭합니다.

    2. 스마트 호스트 추가 대화 상자에서 IP 주소나 **FQDN(정규화된 도메인 이름)**을 선택하여 스마트 호스트를 찾는 방법을 지정합니다. IP 주소를 선택하는 경우 스마트 호스트의 IP 주소를 입력합니다. **FQDN(정규화된 도메인 이름)**을 선택하는 경우 스마트 호스트의 FQDN을 입력합니다. 보내는 서버에서 FQDN을 확인할 수 있어야 합니다.

    3. 작업을 마치면 확인을 클릭합니다.

    4. 스마트 호스트를 추가하려면 추가를 클릭하고 단계 b와 c를 반복합니다.

    5. 스마트 호스트 설정을 편집하려면 스마트 호스트를 선택한 다음 편집을 클릭합니다.

    6. 기존 스마트 호스트를 제거하려면 해당 스마트 호스트를 선택한 다음 아이콘 제거를 클릭합니다.

    7. 완료되면 다음을 클릭합니다.

    8. 스마트 호스트 보안 설정 페이지에서 TLS를 통한 기본 인증을 선택한 후 다음을 클릭합니다.

  10. 기본적으로 원본 서버 페이지에는 현재 작업 중인 허브 전송 서버가 원본 서버로 표시됩니다. 원본 서버를 추가하려면 추가를 클릭합니다. 허브 전송 서버 및 Edge 구독 선택 대화 상자에서 7단계에서 제공한 주소 공간으로 메시지를 보내기 위해 원본 서버로 사용할 가입된 Edge 전송 서버나 허브 전송 서버를 선택합니다. 원본 서버 목록에는 모든 허브 전송 서버 또는 가입된 모든 Edge 전송 서버를 포함할 수 있지만 이 두 서버를 함께 포함할 수는 없습니다. 원본 서버를 추가했으면 확인을 클릭합니다.

    원본 서버를 더 추가하려면 추가를 클릭하고 이 단계를 반복합니다.

    기존 원본 서버를 제거하려면 해당 원본 서버를 선택한 다음 아이콘 제거를 클릭합니다.

    완료되면 다음을 클릭합니다.

  11. 새 커넥터 페이지에서 커넥터의 구성 요약을 검토합니다. 설정을 변경하려면 뒤로를 클릭합니다. 구성 요약에 있는 설정을 바탕으로 송신 커넥터를 만들려면 새로 만들기를 클릭합니다.

  12. 완료 페이지에서 마침을 클릭합니다.

  13. Gentoo Linux와 같은 일부 타사 프로그램에서는 더 이상 추가 구성이 필요 없습니다. 연결을 테스트합니다. 연결을 완료할 수 없는 경우 다음 단계를 수행합니다.

    1. 작업 창에서 만든 커넥터를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.

    2. 네트워크 탭에서 도메인 보안 사용(상호 인증 TLS) 확인란을 클릭하여 선택한 후 확인을 클릭합니다.

    3. Exchange 관리 콘솔을 닫습니다.

    4. Microsoft Exchange 전송 서비스를 다시 시작합니다.

TLS를 통해 타사 전자 메일 프로그램에서 전자 메일 메시지 받기

  1. Exchange 관리 콘솔을 시작합니다.

  2. 다음 단계 중 하나를 수행합니다.

    1. Edge 전송 서버 역할이 설치된 컴퓨터에서 Edge 전송을 선택한 다음 작업 창에서 수신 커넥터 탭을 클릭합니다.

    2. 허브 전송 서버 역할에서 수신 커넥터를 만들려면 콘솔 트리에서 서버 구성을 확장한 후 허브 전송을 클릭합니다. 결과 창에서 커넥터를 만들 서버를 선택한 다음 수신 커넥터 탭을 클릭합니다.

  3. 작업 창에서 새 수신 커넥터를 클릭합니다. 새 SMTP 수신 커넥터 마법사가 시작됩니다.

  4. 소개 페이지의 이름 필드에 이 커넥터에 지정할 의미 있는 이름을 입력합니다. 이 이름은 커넥터를 식별하는 데 사용됩니다.

  5. 이 커넥터에 지정할 용도 선택 목록에서 사용자 지정을 클릭한 후 다음을 클릭합니다.

  6. 로컬 네트워크 설정 페이지에서 추가를 클릭합니다.

  7. 수신 커넥터 바인딩 추가 대화 상자에서 다음 옵션 중 하나를 선택합니다.

    • 이 서버에서 사용 가능한 모든 IP 주소 사용 이 옵션을 선택하면 해당 커넥터에서 로컬 서버의 네트워크 어댑터에 할당된 모든 IP 주소에 대한 연결을 수신합니다.

    • IP 주소 지정   이 옵션을 선택하면 로컬 서버의 네트워크 어댑터에 할당된 IP 주소를 입력해야 합니다. 해당 커넥터는 사용자가 입력한 IP 주소에 대한 연결만 수신합니다.

      참고

      수신 커넥터가 있는 Edge 전송 서버 또는 허브 전송 서버에 대해 유효한 로컬 IP 주소를 지정해야 합니다. 유효하지 않은 로컬 IP 주소를 지정하면 Microsoft Exchange 전송 서비스를 다시 시작할 때 이 서비스가 시작되지 않을 수 있습니다.

  8. 로컬 네트워크 설정 페이지의 포트 필드에 포트 번호를 입력한 후 확인을 클릭합니다. 이 커넥터에 여러 로컬 IP 주소를 추가하려면 추가를 클릭하고 이 단계를 반복합니다. 이전 항목을 변경하려면 해당 항목을 선택한 후 편집을 클릭합니다. 기존 항목을 제거하려면 해당 항목을 선택한 다음 아이콘 제거를 클릭합니다.

  9. 로컬 네트워크 설정 페이지의 이 커넥터에서 HELO 또는 EHLO에 응답하는 FQDN 지정 필드에 SMTP HELO 또는 EHLO 동사에 대한 응답으로 보급된 이름을 입력합니다. 이 필드를 비워 두면 커넥터를 만들 때 허브 전송 서버 또는 Edge 전송 서버의 FQDN(정규화된 도메인 이름)이 자동으로 추가됩니다. 다음을 클릭합니다.

  10. 들어오는 연결이 있으면 커넥터에서 허용할 타사 프로그램의 IP 주소 또는 IP 주소 범위를 원격 네트워크 설정 페이지에 입력합니다. 원격 IP 주소 또는 원격 IP 주소 범위를 추가하려면 다음 방법 중 하나를 사용합니다.

    • 서브넷 마스크 없이 IP 주소 또는 서브넷을 입력하거나 CIDR(Classless Interdomain Routing) 표기법을 사용하여 서브넷 마스크를 지정하려면 추가를 클릭하거나 추가 옆에 있는 드롭다운 화살표를 클릭하고 IP 주소를 선택합니다. 원격 서버의 IP 주소 추가 대화 상자에서 다음 방법 중 하나를 사용하여 IP 주소를 입력합니다.

      서브넷 마스크가 없는 IP 주소   예를 들어 192.168.1.0과 같이 입력합니다. CIDR 표기법을 사용하여 서브넷 마스크를 지정하지 않을 경우 클래스 있는 기본 서브넷 마스크로 간주됩니다.

      CIDR 표기법을 사용한 IP 주소   예를 들어 192.168.1.0/24와 같이 입력합니다.

    • 점으로 구분된 십진수 표기법으로 서브넷 마스크와 함께 IP 주소나 서브넷을 입력하려면 추가 옆에 있는 드롭다운 화살표를 클릭한 후 IP 및 마스크를 클릭합니다. 원격 서버 추가 - IP 및 마스크 대화 상자에서 다음 구문으로 IP 주소와 서브넷 마스크를 입력합니다.

      IP 주소   예를 들어 192.168.1.0과 같이 입력합니다.

      서브넷 마스크   예를 들어 255.255.255.0과 같이 입력합니다.

    • 범위의 첫 IP 주소와 마지막 IP 주소를 사용하여 IP 주소 범위를 지정하려면 추가 옆에 있는 드롭다운 화살표를 클릭한 후 IP 범위를 클릭합니다. 원격 서버 추가 - IP 범위 대화 상자에서 다음 구문으로 IP 주소를 입력합니다.

      시작 주소   예를 들어 192.168.1.1과 같이 입력합니다.

      끝 주소   예를 들어 192.168.255.255와 같이 입력합니다.

      서브넷 마스크를 지정할 수 없으므로 클래스 있는 기본 서브넷 마스크로 간주됩니다.

    작업을 마치면 확인을 클릭합니다. 이 커넥터에 원격 네트워크 범위를 여러 개 추가하려면 추가를 클릭하고 위의 단계를 반복합니다. 이전 항목을 변경하려면 해당 항목을 선택한 후 편집을 클릭합니다. 기존 항목을 제거하려면 해당 항목을 선택한 다음 아이콘 제거를 클릭합니다.

  11. 완료되면 다음을 클릭합니다.

  12. 새 커넥터 페이지에서 해당 커넥터의 구성 요약을 검토합니다. 설정을 변경하려면 뒤로를 클릭합니다. 구성 요약에 있는 설정을 바탕으로 수신 커넥터를 만들려면 새로 만들기를 클릭합니다.

  13. 완료 페이지에서 마침을 클릭합니다.

  14. 작업 창에서 만든 커넥터를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.

  15. 다음 조건 중 하나에 해당할 경우 인증 탭에서 도메인 보안 사용(상호 인증 TLS) 확인란을 클릭하여 선택합니다.

    • 신뢰할 수 있는 인증서 발급자가 발급한 공용 인증서가 보내는 서버와 받는 서버에 모두 사용되는 경우

    • 신뢰할 수 있는 루트 인증서로 설치된 각각의 루트 인증서와 함께 자체 발급 인증서가 보내는 서버와 받는 서버에 모두 사용되는 경우

  16. 사용 권한 그룹 탭에서 익명 사용자 확인란을 클릭하여 선택한 후 확인을 클릭합니다.

  17. Exchange 관리 콘솔을 닫습니다.

  18. Exchange 관리 셸을 시작합니다.

  19. 다음 cmdlet를 실행합니다.

    Set-ReceiveConnector  -identity  <ReceiveConnectorIdParameter> -RequireTLS $true -AuthenticationMechanism TLS

  20. 다음 조건 중 하나에 해당하는 경우

    • 신뢰할 수 있는 인증서 발급자가 발급한 공용 인증서가 보내는 서버와 받는 서버에 모두 사용되는 경우

    • 신뢰할 수 있는 루트 인증서로 설치된 각각의 루트 인증서와 함께 자체 발급 인증서가 보내는 서버와 받는 서버에 모두 사용되는 경우

    다음 cmdlet를 실행합니다.

    Set-TransportConfig -TLSReceiveDomainSecureList <remotedomain>.com, <remotedomain>.net

  21. Microsoft Exchange 전송 서비스를 다시 시작합니다.

자세한 내용

송신 커넥터에 대한 자세한 내용은 송신 커넥터새 송신 커넥터를 만드는 방법 항목을 참조하십시오.

수신 커넥터에 대한 자세한 내용은 수신 커넥터새 수신 커넥터를 만드는 방법 항목을 참조하십시오.

Set-ReceiveConnector cmdlet에 대한 자세한 내용은 Set-ReceiveConnector 항목을 참조하십시오.

Set-TransportConfig cmdlet에 대한 자세한 내용은 Set-TransportConfig 항목을 참조하십시오.

Exchange 2007에서 TLS(전송 계층 보안) 프로토콜을 사용하는 방법에 대한 자세한 내용은 다음 항목을 참조하십시오.