보낸 사람 신뢰도 이해
적용 대상: Exchange Server 2010 SP2, Exchange Server 2010 SP3
마지막으로 수정된 항목: 2010-07-07
보낸 사람 신뢰도란 Microsoft Exchange Server 2010 Edge 전송 서버 역할이 설치된 컴퓨터에서 사용할 수 있는 일종의 스팸 방지 기능으로, 보낸 사람의 여러 가지 특징에 따라 메시지를 차단합니다. 보낸 사람 신뢰도는 보낸 사람에 대해 보관된 데이터에 따라 인바운드 메시지에 취할 동작(있는 경우)을 결정합니다.
스팸 방지 에이전트를 Edge 전송 서버에 구성하면 에이전트가 메시지에 점증적으로 작용하여 조직에서 받는 원치 않는 메시지의 수가 감소하게 됩니다. 스팸 방지 에이전트를 계획 및 배포하는 방법에 대한 자세한 내용은 스팸 방지 및 바이러스 백신 기능 이해를 참조하십시오.
전송 서버 관리와 관련된 관리 작업에 대한 자세한 내용은 전송 서버 관리를 참조하십시오.
목차
SRL(보낸 사람 신뢰도 수준) 계산
SRL 사용
개방형 프록시 서버 검색 사용 및 구성
SRL 차단 임계값 설정
SRL(보낸 사람 신뢰도 수준) 계산
다음 통계를 이용하여 SRL을 계산합니다.
HELO/EHLO 분석 HELO 및 EHLO SMTP는 보내는 SMTP 서버의 도메인 이름(예: Contoso.com)이나 IP 주소를 받는 SMTP 서버로 제공하기 위한 명령입니다. 악의적인 사용자나 스팸 발송자의 경우 종종 이러한 HELO/EHLO 문을 다양한 방법으로 위장합니다. 예를 들어 연결이 시작된 IP 주소와 일치하지 않는 IP 주소를 입력합니다. 또한 스팸 발송자는 조직에 있는 도메인인 것처럼 보이게 하려고 받는 서버에서 로컬 지원 대상으로 알려진 도메인을 HELO 문에 넣기도 합니다. 그 밖에 HELO 문에서 전달한 도메인을 변경하기도 합니다. 합법적인 사용자의 경우에는 서로 다르지만 상대적으로 일정한 도메인 집합을 HELO 문에 사용하는 것이 일반적입니다.
따라서 보낸 사람을 기준으로 HELO/EHLO 문을 분석해 보면 보낸 사람이 스팸 발송자임을 거의 알 수 있습니다. 예를 들어 특정 기간에 서로 다른 고유한 HELO/EHLO 문을 대량으로 보내는 경우 스팸 발송자일 가능성이 매우 높습니다. 연결 필터 에이전트가 결정한 원래 IP 주소와 일치하지 않는 IP 주소를 HELO 문에 지속적으로 제공하며 메시지를 보낸 사람도 스팸 발송자일 가능성이 높으며, Edge 전송 서버와 동일한 조직에 있는 로컬 도메인 이름을 HELO 문에 지속적으로 제공하며 원격에서 메시지를 보낸 사람도 마찬가지입니다.
역방향 DNS 조회 보낸 사람 신뢰도는 메시지를 전송한 사람의 원래 IP 주소가 HELO나 EHLO SMTP 명령으로 전송한 등록 도메인 이름과 일치하는지 확인합니다.
우선 원래 IP 주소를 DNS에 전송하여 역방향 DNS 쿼리를 수행합니다. DNS는 쿼리 결과로서 해당 IP 주소에 대해 도메인 명명 기관을 통해 등록된 도메인 이름을 반환합니다. 보낸 사람 신뢰도는 DNS가 반환한 도메인 이름과 보낸 사람이 HELO/EHLO SMTP 명령으로 전송한 도메인 이름을 비교합니다. 두 도메인 이름이 일치하지 않으면 메시지를 보낸 사람이 스팸 발송자일 가능성이 높으므로 이 사람에 대한 전반적인 SRL 등급이 하향 조정됩니다.
보낸 사람 ID 에이전트에서도 이와 유사한 작업을 수행하지만 이 작업이 성공하려면 합법적인 보낸 사람이 조직 내 전자 메일을 보내는 모든 SMTP 서버를 식별할 수 있도록 DNS 인프라를 업데이트해야 합니다. 역방향 DNS 조회를 수행하면 잠재적인 스팸 발송자를 식별하는 데 도움이 됩니다.
특정인이 보낸 메시지에 대한 SCL 등급 분석 콘텐츠 필터 에이전트에서 메시지 처리 시 메시지에 SCL(스팸 지수) 등급을 지정합니다. SCL 등급은 0에서 9까지의 숫자입니다. SCL 등급이 높을수록 메시지의 스팸 가능성이 높은 것입니다. 각 보낸 사람 및 해당 메시지의 SCL 등급에 대한 데이터는 보낸 사람 신뢰도에서 수행하는 분석을 위해 계속 보관됩니다. 이 보낸 사람 신뢰도에서는 과거에 SCL 등급이 낮았던 사람이 보낸 모든 메시지와 SCL 등급이 높았던 사람이 보낸 모든 메시지 간 비율에 따라 보낸 사람에 대한 통계를 계산합니다. 이와 함께 마지막 날에 보낸 SCL 등급이 높은 메시지 수를 전체 SRL에 적용합니다.
보낸 사람 개방형 프록시 테스트 개방형 프록시란 장소에 관계없이 모든 사람의 연결 요청을 받아들여 마치 로컬 호스트에서 보낸 것처럼 트래픽을 전달하는 프록시 서버입니다. 프록시 서버가 방화벽 호스트를 통해 TCP 트래픽을 릴레이함으로써 사용자 응용 프로그램은 마치 방화벽이 없는 것처럼 액세스할 수 있습니다. 프록시 프로토콜은 간단하고 사용자 응용 프로그램 프로토콜의 영향을 받지 않으므로 다양한 서비스에서 사용할 수 있습니다. 또한 단일 인터넷 연결을 여러 호스트가 공유할 때도 사용할 수 있습니다. 프록시를 설정할 때는 일반적으로 방화벽 내 트러스트된 호스트만 프록시를 통과할 수 있도록 합니다.
다음과 같은 조건에서 개방형 프록시가 생길 수 있습니다.
실수로 잘못된 구성.
악의적인 트로이 목마 프로그램. 트로이 목마 프로그램은 정보를 받기 위해 다른 일반 프로그램으로 가장하는 프로그램입니다.
대부분 로깅 기능이 부족한 개방형 프록시는 악의적인 사용자가 본인의 실제 ID를 숨기고 DoS(서비스 거부) 공격을 시작하거나 스팸을 보낼 수 있는 가장 좋은 수단으로 이용됩니다. 기본적으로 개방 상태로 구성하는 프록시 서버가 많아질수록 개방형 프록시가 점점 일반화됩니다. 또한 악의적인 사용자는 여러 개방형 프록시를 함께 사용하여 보낸 사람의 원래 IP 주소를 숨길 수 있습니다.
보낸 사람 신뢰도에서는 개방형 프록시에서 Edge 전송 서버로 다시 연결하기 위해 SMTP 요청에 서식을 지정하여 개방형 프록시 테스트를 수행합니다. 프록시에서 SMTP 요청을 받은 경우 보낸 사람 신뢰도에서는 개방형 프록시인지 여부를 확인하고 보낸 사람에 대한 개방형 프록시 테스트 통계를 업데이트합니다.
보낸 사람 신뢰도에서는 이러한 각 통계에 가중치를 부여하고 각 보낸 사람에 대해 SRL을 계산합니다. SRL은 0에서 9까지의 숫자로서 이를 통해 메시지를 보낸 특정인이 스팸 발송자인지 아니면 악의적인 사용자인지 그 확률을 예측할 수 있습니다. 값이 0이면 보낸 사람이 스팸 발송자일 가능성이 거의 없음을 나타냅니다. 값이 9이면 보낸 사람이 스팸 발송자일 수 있음을 나타냅니다.
0에서 9까지의 차단 임계값을 구성하면 이 임계값에 따라 보낸 사람 신뢰도가 보낸 사람 필터 에이전트에 요청을 발행하여 메시지를 보낸 사람을 조직에서 차단할 수 있습니다. 보낸 사람을 차단하는 경우 이 사람은 구성 가능한 일정 기간 동안 수신 거부 목록에 추가됩니다. 차단된 메시지에 대한 처리 방법은 보낸 사람 필터 에이전트의 구성에 따라 다릅니다. 다음 동작은 차단된 메시지를 처리하는 옵션입니다.
거부
삭제 및 보관
수락 및 차단할 보낸 사람으로 표시
보낸 사람이 IP 차단 목록 또는 Microsoft IP 신뢰도 서비스에 포함된 경우 보낸 사람 신뢰도에서는 보낸 사람 필터 에이전트에 즉시 요청을 발행하여 보낸 사람을 차단합니다. 이 기능을 이용하려면 Microsoft Exchange 스팸 방지 업데이트 서비스를 사용하도록 설정하고 구성해야 합니다.
기본적으로 Edge 전송 서버에서는 메시지를 보낸 사람 중 아직까지 분석한 적이 없는 사람에게 등급 0을 설정합니다. 20개 이상의 메시지를 보낸 후에는 보낸 사람 신뢰도가 이 항목의 앞부분에 설명된 통계를 기반으로 SRL을 계산합니다.
맨 위로 이동
SRL 사용
보낸 사람 신뢰도는 SMTP 세션의 다음 두 단계 동안 메시지에 작용합니다.
MAIL FROM: SMTP 명령 단계 메시지가 차단된 경우에만 보낸 사람 신뢰도가 메시지에 작용하며 그 외의 경우에는 연결 필터 에이전트, 보낸 사람 필터 에이전트, 받는 사람 필터 에이전트 또는 보낸 사람 ID 에이전트가 작용합니다. 이 경우 보낸 사람 신뢰도는 Edge 전송 서버 데이터베이스에 있는 보낸 사람에 대한 지속형 데이터인 보낸 사람 프로필에서 현재 SRL 등급을 검색합니다. 등급 검색 및 평가를 마친 후 Edge 전송 서버 구성의 차단 임계값에 따라 특정 연결에 다양한 동작이 발생합니다.
"데이터 끝" SMTP 명령 이후 단계 실제 메시지 데이터를 모두 보낸 경우 데이터 전송 끝(_EOD) SMTP 명령이 지정됩니다. SMTP 세션의 이 시점에서는 이미 대부분의 스팸 방지 에이전트가 메시지를 처리한 상태이며 그 결과 보낸 사람 신뢰도가 사용하는 통계가 업데이트됩니다. 따라서 보낸 사람 신뢰도는 이 데이터를 사용하여 보낸 사람의 SRL 등급을 계산하거나 다시 계산합니다.
자세한 내용은 보낸 사람 신뢰도 속성 구성을 참조하십시오.
맨 위로 이동
개방형 프록시 서버 검색 사용 및 구성
보낸 사람 신뢰도에서 SRL은 보낸 사람의 몇 가지 특징을 평가하여 계산됩니다. 보낸 사람 신뢰도에서 평가하는 특징 중에는 개방형 프록시 서버에 대한 테스트 결과도 포함됩니다. 스팸 발송자가 인터넷의 개방형 프록시 서버를 통해 메시지를 라우팅하는 경우가 많습니다. 개방형 프록시 서버를 통해 메시지를 라우팅하여 스팸 발송자는 자신이 소유한 서버가 아닌 다른 서버에서 보낸 것처럼 보이는 메시지를 보낼 수 있습니다.
보낸 사람 신뢰도는 SRL을 계산할 때 SOCKS4, SOCKS5, HTTP, Telnet, Cisco, Wingate 등과 같은 다양한 일반 프록시 프로토콜을 사용하여 보낸 사람의 원래 IP 주소에 연결을 시도합니다. 보낸 사람 신뢰도는 프로토콜별 요청 형식을 지정해 SMTP 요청을 사용하여 개방형 프록시 서버에서 Edge 전송 서버로 다시 연결하려고 시도합니다. 프록시 서버에서 SMTP 요청을 받으면 보낸 사람 신뢰도는 프록시 서버가 개방형 프록시 서버인지 확인하고 이 결과에 따라 SRL 등급을 조정합니다. 보낸 사람 신뢰도에서는 기본적으로 개방형 프록시 서버 검색 기능을 사용하도록 설정되어 있습니다.
개방형 프록시 서버 검색을 사용하는 방법에 대한 자세한 내용은 보낸 사람 신뢰도 속성 구성을 참조하십시오.
개방형 프록시 서버 검색을 구성하는 방법에 대한 자세한 내용은 보낸 사람 신뢰도의 오픈 프록시 서버 검색을 위한 아웃바운드 액세스 구성을 참조하십시오.
맨 위로 이동
SRL 차단 임계값 설정
SRL은 0에서 9까지의 숫자로서 이를 통해 메시지를 보낸 특정인이 스팸 발송자인지 아니면 악의적인 사용자인지 그 확률을 예측할 수 있습니다. SRL로 보낸 사람 차단 임계값을 설정해야 합니다. 이 SRL 차단 임계값에서 정의하는 SRL 값을 초과하면 보낸 사람 신뢰도에서 보낸 사람을 차단합니다. 기본적으로 SRL은 7로 설정됩니다. 기본 수준에서 에이전트의 효과를 모니터링해야 합니다. 조직의 요구를 충족시키기 위해 값을 조정할 수 있습니다. 다른 스팸 방지 에이전트를 강력하게 설정하면 그렇지 않은 경우에 비해 보낸 사람 신뢰도의 SRL 임계값을 높게 설정할 수 있습니다. 스팸 방지 구성을 조정하여 스팸을 줄이는 방법에 대한 자세한 내용은 스팸 방지 및 바이러스 백신 기능 이해를 참조하십시오.
특정 보낸 사람에 대한 SRL 차단 임계값이 초과되면 보낸 사람 신뢰도에서 연결 필터 에이전트의 IP 차단 목록에 이 받는 사람을 추가합니다. 한 사람이 일련의 스팸 메일을 보내는 경우가 있습니다. 이 경우에는 보낸 사람 신뢰도에서 SRL 차단 임계값을 초과하는 SRL을 계산하면 구성 가능한 기간 동안 이 사람이 보낸 사람 차단 목록에 추가됩니다. 기본 기간은 24시간입니다. 24시간 후 보낸 사람 차단 목록에서 보낸 사람이 제거되고 다시 메시지를 보낼 수 있습니다.
IP 차단 목록에 보낸 사람이 추가되면 보낸 사람 신뢰도에서 이 사람의 프로필을 삭제합니다. 차단된 보낸 사람의 기존 프로필은 보낸 사람의 SRL이 SRL 차단 임계값을 초과함을 나타내기 때문에 보낸 사람 신뢰도에서 해당 프로필을 삭제합니다. 이렇게 되면 보낸 사람 차단 기간이 끝나는 즉시 차단된 보낸 사람이 IP 차단 목록에 다시 추가될 수 있습니다.
자세한 내용은 보낸 사람 신뢰도 속성 구성을 참조하십시오.
맨 위로 이동
© 2010 Microsoft Corporation. 모든 권리 보유.