2007 스팸메일 차단 솔루션 활용 가이드 스팸메일, 줄이는 것이 경쟁력
이 가이드는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 등관 계법령의 규정을 토대로, - 사업자가 스팸대응을 위한 기술적 조치를 선택함에 있어 언제든지 쉽게 참고할 수 있는 정보를 제공하며, - 동 정보에 대한 올바른 이해를 통하여 사업자의 스팸대응 조치 이 행을 지원하기 위하여 발간하였습니다. 이 가이드에서 안내하고 있는 제품이나 예시 등은 각 사업자에 있을 수 있는 고유한 환경을 고려하지 않았으므로 실제 환경에서 그대로 적용되지 않을 수 있습니다. - 따라서 기준을 이행하는데 필요한 제품이나 보안 방법을 도입하기 전에 각 기업의 환경에 적합한 제품을 찾아 확인하는 절차가 필요 하며, 담당자의 신중한 판단이 요구됩니다. 이 가이드는 지속적으로 보완되어 KISA 홈페이지 [www.spamcop.or.kr 자료실]에 게시됩니다. - 내용 중 오류가 있거나 의견이 있을 때에는 이메일 taej@kisa.or.kr로 문의하여 주시기 바랍니다.
개인정보보호 핸드북 SPAM MAIL junk mail 스팸메일, 줄이는 것이 경쟁력 2007 스팸메일 차단 솔루션 활용 가이드
개인정보보호 핸드북 2007 스팸메일 차단 솔루션 활용 가이드 Contents 1. 스팸메일이란? 7 2. 스팸메일의 현황은? 9 3. 스팸메일의 문제점은? 13 4. 스팸메일을 차단할 수 있는 방법은? 17 5. 스팸메일 차단 솔루션 왜 필요할까요? 21 6. 스팸메일 차단 솔루션 효과 얼마나 될까요? 23 7. 필요에 따라 골라쓰는 스팸메일 차단 솔루션 27 1) 국내 상용 솔루션 29 가. 더블블럭 29 나. 마음메일 32 다. 크레디쉴드 36 라. 스팸브레이커 39 마. 스마트필터 42 바. 스팸스나이퍼 45 사. 클린스팸 48 아. 메일와쳐 51
2) 국내 외 무료 솔루션 54 가. 스팸어쌔신 54 나. 스팸팔 56 3) 정부권장 기술 58 가. 이메일주소 추출방지 프로그램 NeverSpam 58 나. 메일서버 등록제 SPF 59 다. 실시간스팸차단리스트 RBL 60 부록 1. 스팸방지기술 64 부록 2. RBL 설치 및 운영지침서 79 부록 3. SPF 레코드 설치 및 운영지침서 90
개인정보보호 핸드북
2007 스팸메일 차단 솔루션 활용 가이드 스팸메일이란? 1
1. 스팸메일이란? 이메일이나 휴대폰 등 정보통신서비스를 이용하는 이용자의 단말 기로 본인이 원치 않음에도 불구하고 일방적으로 전송되는 영리목 적의 광고성 정보를 말합니다. 개인정보보호 핸드북 2007 스팸메일 차단 솔루션 활용가이드 8 스팸메일은 대량으로 반복 전송되기 때문에 이를 받는 이용자의 짜증을 유발하고 필요한 정보 수신을 방해하며 메일서버의 과부하 를 초래하는 등 많은 문제점을 야기하는 대표적인 정보화역기능 중 하나입니다.
2007 스팸메일 차단 솔루션 활용 가이드 스팸메일의 현황은? 2
2. 스팸메일의 현황은? 이용자에게 도달하는 전체 이메일중 스팸메일이 50~80%에 이르 고 있습니다. - 시만텍이 06년 1 6월동안 탐지한 전체 이메일(약 15만개)의 약 54% 가 스팸메일인 것으로 조사 발표하였습니다. 1) 개인정보보호 핸드북 2007 스팸메일 차단 솔루션 활용가이드 10 - 메시지랩이 06년 동안 탐지한 전체 이메일의 약 68.6%가 스팸메일인 것으로 조사 발표하였습니다. 2) - MAAWG는 유통 중인 이메일의 약 80 85%가 스팸메일인 것으로 06 년 3월에 조사 발표하였습니다. 3) MAAWG : Messaging Anti-Abuse Working Group 한국정보보호진흥원의 06년 상반기 스팸수신량 조사결과에 따르 면 1인당 일평균 이메일스팸이 5.4통인 것으로 조사, 지난해 하반 기 6.9통에서 약 21% 감소한 것으로 나타났습니다. - 전년에 비해 전체 스팸양은 줄었지만 대출스팸은 05년 12월 대비 오히 려 50%가 증가하여 전체 스팸의 50%를 차지하였습니다. - 성인물 스팸의 경우 양 자체는 증가하지 않았으나, 전체스팸에서 차지하 는 비중이 05.12월 8.7%에서 11%로 소폭 증가하였습니다. - 일반 상품 및 서비스를 광고하는 생계형 스팸은 05년 12월 4.5통으로 부터 2.1통으로 급감하였습니다. 1) www.symantec.com/press/2005/n050919a.html 2) www.messagelabs.com/threat_watch/intelligence_reports 3) http://www.maawg.org/news/maawg060308
[메일 계정별 스팸 수신량 비교] 구분 일평균 수신량(통) 일최대 수신량(통) 웹메일 1.1 43.0 일반메일 9.1 91.6 출처 : 한국정보보호진흥원, 2006.7. 11 2. 스팸메일의 현황은? 2007 스팸메일 차단 솔루션 활용가이드
개인정보보호 핸드북
2007 스팸메일 차단 솔루션 활용 가이드 스팸메일의 문제점은? 3
3. 스팸메일의 문제점은? 스팸으로 인해 발생하는 가장 큰 문제는 수신자를 성가시고 짜증 나게 한다는 정신적인 피해입니다. - Pew&Internet은 스팸메일 수신자중 불쾌감을 나타내고 있는 자가 05 년 67%, 04년 77%인 것으로 조사하였습니다. 4) 개인정보보호 핸드북 2007 스팸메일 차단 솔루션 활용가이드 14 - 한국정보보호진흥원의 2005년 정보보호 실태조사 ( 05.12월)에 의하 면, 스팸메일로 인한 피해 중 인터넷 이용자들이 심각하게 생각하는 피 해 유형은 개인정보 유출(22.1%), 시간낭비(21.7%), 불쾌감 사생활 침 해 등 정신적 피해(21.3%) 등의 순으로 나타났습니다. [스팸메일로 인한 피해 유형] 구분 1순위 2순위 정신적 피해 21.3% 26.9% 바이러스 감염 18.2% 24% 개인정보 유출 22.1% 13.7% 시간낭비 21.7% 11.7% 정보수신 방해 10.7% 16.1% 경제적 피해 5.7% 7.7% 주 : 중요도 순으로 2개 항목 복수 응답 출처 : 한국정보보호진흥원(2005년 정보보호 실태조사) 근무시간의 낭비로 인한 생산성 손실, 각종 문제를 해결하기 위한 추가자원 투여 등 경제적 손실이 초래된다는 점입니다. 4) www.pewinternet.org/pdfs/pip_spam_ap05.pdf
- 국내 지란지교소프트는 06년 3월에 2,500여명 규모 사업체의 스팸으 로 인한 근로손실비용이 연간 약 6억원이라고 추정하였습니다. - 미국의 전문 시장조사 기관인 Ferris Research사에 의하면, 05년의 생산성 손실 비용 등 스팸으로 인한 전 세계의 피해액을 약 5억 달러 이 상으로 추정하였습니다. - 국내 온라인 여론조사업체 나라리서치는 04년 4월에 스팸으로 인한 국 내 피해액이 약 5조9천억원에 이르는 것으로 추정하였습니다 - 스팸으로 인한 가장 큰 피해는 스팸을 필터링하는데 근무시간을 낭비하 고, 스팸으로 발생한 각종 문제를 해결하기 위해 추가적인 자원을 투여 하는 기업이나 기관에서 주로 발생하고 있습니다. 웹메일서비스업체는 다양한 인증 및 필터링 기능을 활용함으로써 이 용자에게 최종 수신되는 스팸메일의 양을 감소시키고 있는 반면, 자체 메일계정을 발급 관리하는 기업이나 기관에서는 상대적으로 스 팸메일의 피해에 대한 문제 인식이 부족하여 스팸메일 차단 솔루션 활용률이 저조하고, 결과적으로 해당 메일계정 이용자에게 수신되는 스팸수신량이 높기 때문입니다. [메일 계정별 스팸 수신량 비교] 구분 일평균 수신량(통) 일최대 수신량(통) 웹메일 1.1 43.0 일반메일 9.1 91.6 출처 : 한국정보보호진흥원, 2006.7. 15 3. 스팸메일의 문제점은? 2007 스팸메일 차단 솔루션 활용가이드 그러나 국내 대다수의 사업체는 스팸차단조치를 현재 활용하지 않 고 있으며, 향후 도입 구축하기 위한 별도의 계획을 갖고 있지 않 습니다. - 한국정보보호진흥원의 2005년 정보보호 실태조사 ( 05.12월)에 의하
면, 종사자수 5명 이상이고 네트워크로 연결된 컴퓨터가 1대 이상인 사 업체 중 스팸차단조치를 현재 활용중인 업체는 약 0.1%에 머물렀으며, - 스팸차단을 위하여 향후 도메인 인증장치, 차단 솔루션을 적극적으로 도 입/구축할 예정인 사업체는 6.6%에 머물렀으며, 별도의 계획을 갖고 있 지 않는 사업체가 약 65.9%인 것으로 조사되었습니다. [스팸차단 조치 계획 현황] 구분 2005년 개인정보보호 핸드북 2007 스팸메일 차단 솔루션 활용가이드 16 별도의 계획 없음 65.9% 정부나 공공기관이 공개/보급하는 차단포로그램 설치/활용 17.0% 필터링 등 사용자의 보안기능 등을 홍보/활용하는 선에서 유지 8.3% 도메인 인증장치, 차단 솔루션 도입/구축 6.6% ASP를 통한 차단솔루션서비스 활용 1.9% 현재 활용하고 있음 0.1% 모름/무응답 0.2% 기준 : 종사자수 5인 이상이고 네트워크로 연결된 컴퓨터가 1대 이상 있는 사업체 출처 : 한국정보보호진흥원(2005년 정보보호 실태조사)
2007 스팸메일 차단 솔루션 활용 가이드 스팸메일을 차단할 수 있는 방법은? 4
4. 스팸메일을 차단할 수 있는 방법은? 스팸문제가 심각한 사회문제로 대두됨에 따라 스팸메일을 방지 또는 차단하기 위한 기술적 대응이 매우 중요하게 부각되고 있습 니다. 개인정보보호 핸드북 2007 스팸메일 차단 솔루션 활용가이드 18 메일서버를 운영하는 관리자나 개인 이용자가 가장 대중적으로 활 용할 수 있는 기술적 대응방안이 필터링(filtering) 과 인증 (authentication) 기능입니다. 동 기술에 대한 자세한 설명은 [부록] 참조 스팸메일 필터링 또는 정상메일 인증 기능 등을 제공함으로써 정 상메일과 스팸메일을 구별하도록 도와주는 프로그램이 바로 스팸 메일 차단 솔루션 입니다. 메일전송경로 중 스팸대응기술을 어느 단계에서 사용하는가에 따 라 솔루션은 서버용 과 클라이언트용 으로 나뉩니다. - 다음, 네이버 등 웹메일서비스 이용자의 경우, 개인 선호에 따라 해당 웹 메일서비스업체가 제공하는 다양한 스팸 필터링(서버 단계/이용자 단계) 및 인증 서비스를 받을 수 있으며, - 회사 등에서 메일전용 프로그램을 이용할 경우에는, 회사 차원에서 메일 서버에 서버용 스팸메일 차단 솔루션을 설치하거나 이용자가 직접 클 라이언트용 솔루션을 구입하여 활용할 수 있습니다.
[메일전송경로] 메일전용 프로그램 이용자 중 별도의 솔루션 구입이 어려운 경우에는, 프로그램에 내장된 기본적인 스팸차단 기능을 본인이 직접 설정함으로써 일정 정도 스팸 차단효과를 거둘 수 있음. 다만, 날로 지능화하는 스팸에 적절히 대처하기에는 한계가 있음 19 4. 스팸메일을 차단할 수 있는 방법은? 2007 스팸메일 차단 솔루션 활용가이드
개인정보보호 핸드북
2007 스팸메일 차단 솔루션 활용 가이드 스팸메일 차단 솔루션 왜 필요할까요? 5
5. 스팸메일 차단 솔루션 왜 필요할까요? 스팸메일 차단 솔루션이 없는 사업체는 스팸으로 발생하는 직원 1 인당 손실비용이 많습니다. - 직원들이 많은 스팸을 수작업으로 삭제해야 하며, 오탐지 5) 로인한불편 함이 발생할 것입니다. 개인정보보호 핸드북 2007 스팸메일 차단 솔루션 활용가이드 22 - PC별로 스팸메일 차단 솔루션을 설치하는 것은 추가적인 IT 자원의 소 모를 의미하는 것입니다. - 고객관리 관련 직원 등 업무 관계상 타 사업체 직원과 이메일로 연락을 자주 하는 직원은 평균 이상의 스팸메일을 받을 것입니다. 서버기반의 스팸메일 차단 솔루션을 가진 사업체는 스팸으로 발생 하는 직원 1인당 비용이 적습니다. - 직원들이 스팸을 적게 받으며, 받은 스팸을 수작업으로 삭제할 필요가 없으며, 오탐지로 인한 불편함이 발생하지 않을 것입니다. 서버기반의 스팸메일 차단 솔루션이 PC기반의 스팸메일 차단 솔 루션보다 저렴합니다. - 직원 수가 적은 사업체는 서버기반 솔루션보다 PC기반 솔루션이 저렴 할 수 있습니다. 5) 실제로 그 정보가 틀린 것인데 옳다고 나온 것으로써 false positive라 함. 반대로 실제로 그 정보가 옳은데도 틀리다고 한 것을 false negative라고 함
2007 스팸메일 차단 솔루션 활용 가이드 스팸메일 차단 솔루션 효과 얼마나 될까요? 6
6. 스팸메일 차단 솔루션 효과 얼마나 될까요? 스팸메일 차단 솔루션은 직원의 생산성 손실을 막아주고, 대량 또 는 악성 스팸으로 인한 서버 다운 등의 시스템 장애를 미리 예방함 으로써 기업이나 기관의 경제적 손실을 최소화합니다. 개인정보보호 핸드북 2007 스팸메일 차단 솔루션 활용가이드 24 [스팸메일 차단 솔루션의 효과] 가. 불필요한 메일로 인한 메일서버 증설 비용 등 직접 투자비용 절감 나. 바이러스메일 원천 차단으로 인한 시스템 보호 및 생산성 제고 다. 메일서버 도용 분쟁 제거로 인한 기업이미지 제고 라. 메일서버 공격에 대한 효과적인 방어라인 구축 미국의 전문 시장조사 기관인 Ferris Research사에 의하면, 판매 중인 주요 솔루션의 스팸감축 효과는 95% 이상입니다. 6) - 판매중인 주요 솔루션의 오탐지율이 0.01~1%로써, 이메일 1만개 당 1~10개임을 의미합니다. - 1년간 1인이 스팸을 취급하는 데 발생하는 소요비용이 수동적인 삭제 718달러, PC상 솔루션 217달러, 서버상 솔루션 132달러인 것으로 나타 났습니다. 국내에서 판매되고 있는 대부분의 서버용 스팸메일 차단 솔루션의 스팸감축 효과는 80~90% 이상이라고 합니다. 6) www.ferris.com/?p=309942
- 이용자 수가 약 30만 명인 A 도청의 경우 1개월 평균 370만여통의 스 팸메일 수신을 차단하였으며, 연간 약 9억 2천만원의 비용절감 효과를 보았습니다. 7) - 이용자 수가 약 2만 명인 B 기업의 경우 1개월 평균 60만여통의 스팸메 일 수신을 차단하였으며, 연간 약 1억 5천만원의 비용절감 효과를 보았 습니다. 25 6. 스팸메일 차단 솔루션 효과 얼마나 될까요? 2007 스팸메일 차단 솔루션 활용가이드 7) 1통당 20원의 경제적 손실이 발생한다고 가정
개인정보보호 핸드북
2007 스팸메일 차단 솔루션 활용 가이드 필요에 따라 골라쓰는 스팸메일 차단 솔루션 7 1) 국내상용솔루션 가. 더블블럭 나. 마음메일 다. 크레디쉴드 라. 스팸브레이커 마. 스마트필터 바. 스팸스나이퍼 사. 클린스팸 아. 메일와쳐 2) 국내 외 무료 솔루션 가. 스팸어쌔신 나. 스팸팔 3) 정부권장 기술 가. 이메일주소 추출방지 프로그램 NeverSpam 나. 메일서버 등록제 SPF 다. 실시간스팸차단리스트 RBL
7. 필요에 따라 골라쓰는 스팸메일 차단 솔루션 기업이나 기관 메일 이용자 규모에 따라 솔루션을 Package로 구입 하는 방법과 월 단위로 임대서비스를 받는 방법(ASP)이 있습니다. - Package 구입 : 이용자 수가 비교적 많은 큰 규모의 기업, 기관, 학교 등에 적합 개인정보보호 핸드북 2007 스팸메일 차단 솔루션 활용가이드 28 - ASP 서비스 이용 : 이용자 수가 적은 중소기업 등에 적합 ASP(Application Service Provider) 서비스 : 기업 운영에 필요한 각종 소프트웨 어를 인터넷을 통하여 임대하는 새로운 방식의 비즈니스 이 장에서 소개되는 스팸메일 차단 솔루션 제품에 대한 내용은 해 당 업체로부터 자료를 제공받아 작성된 것으로 한국정보보호진흥 원의 입장이나 의견과는 무관한 것이라는 점을 알려드립니다. 제품에 대한 보다 자세한 문의는 자료에 소개되어 있는 해당업체 담당자에게 직접 하시기 바랍니다.
특징 스팸차단 기능이 우수하고 서비스 지원이 용이함 가. 더블블럭 1 솔루션명 : WBlock(더블블럭) 2 사용환경 : 제품명 사용자수 메일서버 OS DB 하드웨어 제약없음 디프소프트 (www.deepsoft.co.kr) 이태훈 02-515-3713, taehoon@deepsoft.co.kr WBlock(더블블럭) Send mail, Qmail, Postfix, MS-Exchange, Domino Notes 등 Windows 2000/2003 server 이상, Linux Redhat계열 7.3 이상, Solaris 6 이상 FileDB CPU : PentiumIII 500 이상 HDD : 36GB 이상 RAM : 512Mb 이상 29 7. 필요에 따라 골라쓰는 스팸메일 차단 솔루션 2007 스팸메일 차단 솔루션 활용가이드 3 타겟고객층 : 금융기관 : 우리금융그룹, 현대증권, 푸르덴셜생명보험 등 공공기관 : 경기도청, 대검찰청, 근로복지공단 등 교육기관 : 한양대학교, 성균관대학교, 숭실대학교 등 일반기업 : 삼성전자, CJ그룹, 롯데정보통신 등 ISP : KT, Dacom 등
4 표창이나 마크 등 GS인증(GoodSoft) 행정소프트웨어 선정 디지털타임즈 상반기 IT히트상품선정(2004년) 신소프트웨어대상 9월4주선정(2002년) 2002년 베스트 히트상품선정(서울경제신문) 5기능 개인정보보호 핸드북 2007 스팸메일 차단 솔루션 활용가이드 30 (아래 표는 기능의 우열을 나타내는 것이 아니며 단순히 해당 제품의 기술 적 특징을 나타내는 것임) 발송 단계 수신 단계 구분 적용여부 오픈릴레이 및 프록시 차단 SMTP Authentication SIDF(Sender ID Framework) - 인증 DKIM(Domain Keys Identified Mail) SPF(Sender Policy Framework) Reverse DNS / HELLO check 비용 Challenge & response 또는 bouncing back - 부담 Online stamp, Hash Cash, Graylist - 유동 IP이용자의 25번 포트 차단 발송량 제한 화이트리스트 허용 블랙리스트 제한 신뢰도 평가시스템(reputation system) 발송자 정보(이메일, 메일서버 등) 제목 발송일 - 필터링 내용 (단어, 이미지 등) 기술 수신자수(To, CC영역에서 추출) 수신량 제한 이메일 첨부문서의 형식(zip, doc 등) 이메일의 형식(HTML 또는 평문일 경우) 패턴학습(베이지안 등) 기타 : 악성 script 차단, Traffic Control, 사전방역
정부권장 기술 구분 SPF(발송자 인증) RBL(필터링) 적용여부 6 구현원리 7 구입비용 : Package ~ 500 User (최소 100 User) ~ 1,000 User ~ 2,000 User ~ 5,000 User 규모이상 별도 문의 ASP ~ 300 User 권장 이메일 계정당 월평균 2,000원 ~ 3,000원 연평균 22,000원 ~ 34,000원 기타 : DEEPMail SI, Mesensger, Another 등 31 7. 필요에 따라 골라쓰는 스팸메일 차단 솔루션 2007 스팸메일 차단 솔루션 활용가이드
나. 마음메일 누리비젼 (www.nurivision.co.kr) 김종희 02-959-6438, allcap@nurivision.com 1 솔루션명 : 마음메일 스팸차단 솔루션 2 사용환경 : 개인정보보호 핸드북 2007 스팸메일 차단 솔루션 활용가이드 32 제품명 사용자수 메일서버 S DB 하드웨어 마음메일 스팸차단 솔루션 1~100, 101~200, 201~500, 501~1,000, 1,001~2,500, 2,500 이상 독립적 어플라이언스 제품이라서 메일 서버와 상관 없음 Linux Slackware / Pedora MySQL, SQL CPU : P4 3.2G Dual HDD : 160GB RAM : 1GB 3 납품업체 : 약 200개 금융기관 : 대우증권, 증권예탁원, 전국은행연합회 등 공공기관 : 도로공사, 공무원연금관리공단, 대한석탄공사 등 지자체 : 광주광역시청, 목포시청, 무안군청 등 일반기업 : LGT, 필라코리아, 삼일회계법인 등 4 표창이나 마크 등 INNO-BIZ (기술혁신형기업) 선정(2006)[중소기업청] GS마크 (Good Software) 획득(2006)[정보통신부] 공공기관 우선구매 대상제품 선정(2005)[산업자원부] 조달청 계약상품 으로 등록(2005)[조달청] 행정업무용 권장 SW 선정(2004, 2005)[행정자치부]
정보통신우수신기술 지정(2004), IT마크 획득(2005)[정보통 신부] 올해의 인터넷 기업대상 에서 우수상 수상(2003)[인터넷기업 협회] 5기능 (아래 표는 기능의 우열을 나타내는 것이 아니며 단순히 해당 제품의 기술 적 특징을 나타내는 것임) 발송 단계 수신 단계 정부권장 기술 구분 적용여부 오픈릴레이 및 프록시 차단 SMTP Authentication 인증 SIDF(Sender ID Framework) DKIM, SPF - Reverse DNS / HELL check 비용 Challenge & response 또는 bouncing back 부담 nline stamp, Hash Cash, Graylist - 유동 IP이용자의 25번 포트 차단 - 발송량 제한 - 화이트리스트 허용 블랙리스트 제한 신뢰도 평가시스템(reputation system) - 발송자 정보(이메일, 메일서버 등) 제목 - 발송일 - 필터링 내용 (단어, 이미지 등) 기술 수신자수(To, CC영역에서 추출) 이메일 첨부문서의 형식(zip, doc 등) - 이메일의 형식(HTML 또는 평문일 경우) 패턴학습(베이지안 등) - 수신량 제한 - SPF(발송자 인증) RBL(필터링) 33 7. 필요에 따라 골라쓰는 스팸메일 차단 솔루션 2007 스팸메일 차단 솔루션 활용가이드
[기타기능및특징] 스팸메일 차단 기술의 대안 기술로 각광받고 있는 송신자 자가 인증기술 기반 개인정보보호 핸드북 2007 스팸메일 차단 솔루션 활용가이드 34 6 구현원리 4단계의 복합적이고 입체적인 차단 엔진을 통해 스팸 뿐만아니 라 바이러스까지 차단 가능 1단계 : 허위계정공격(Dictionary Attack)을 차단하여 트래픽 을절감 2단계 : 바이러스 메일을 차단 3단계 : 단순하고 간단한 스팸메일을 먼저 차단 4단계 : 나머지 스팸메일을 차단 [4단계 다중차단엔진] 엔진 역할 주요 기능 1단계 : D.A.Z(Dictionary Attack Zero) Engine 허위계정공격(Dictionary Attack) 차단 사용자 및 관리자 설정 블 랙리스트 차단 허위로 작성된 이메일계정 으로 들어오는 허위계정공 격을 서버 교신만으로 차단 도메인, 아이피, 이메일주소 로 블랙리스트를 설정 차단 2단계 : A.V(Anti-Virus) Engine Virus Engine for SMTP 피싱(Phishing) 등 최신 바 이러스 및 악성코드 차단 3단계 : S.P.R(Spam Pattern Ranking-Filtering) Engine 스팸의 패턴유형 분석 스팸가능성(Ranking)으로 차단 이메일 규칙 준수 여부로 차단 허위계정차단 엔진을 통과 엔진으로 유입되는 메일 한 메일들(약 50%) 중에서 (45%) 중 스팸메일로 확실 바이러스 메일로 확인되는 히 확인되는 메일(약 30%) 메일들을 차단 차단 50%의 메일들 중에서 바이 일정기간 저장 및 삭제 러스메일은약5%정도차지 관리자 검색 및 메일 구제 4단계 : B.B(Bouncing Bank) Engine 송신자 자가인증기법 사용 사용자별 선택적 사용 가능 가장 강력한 스팸차단 엔진 1,2,3단계 엔진을 통과한 약 15%의 메일들의 송신자에 게 인증메일 발송 약 1%의 메일만이 인증과정 을 완료한 정상메일로 수신 자에게 전달됨
7 구입비용 : Package : 마음메일 스팸차단 게이트웨이 - 일괄구매 및 년라이센스 구매 : 별도 문의 ASP : 마음메일 스팸차단 ASP - 가격 : 월 3,000원 / 계정 35 7. 필요에 따라 골라쓰는 스팸메일 차단 솔루션 2007 스팸메일 차단 솔루션 활용가이드
다. 크레디쉴드 모비젠 (www.mobigen.com) 서영 02-538-9360, sales@mobigen.com 1 솔루션명 : 크레디쉴드 V3.3 (CrediShield V3.3) 2 사용환경 : 개인정보보호 핸드북 2007 스팸메일 차단 솔루션 활용가이드 36 제품명 사용자수 메일서버 OS DB 하드웨어 크레디쉴드 V3.3 (CrediShield V3.3) 100, 250, 500, 1000, 2000, 3000, 5000, 1만, 서버라이센스 Send mail, Qmail, Postfix, MS-Exchange, Domino Notes 기타 웹메일 등 Unix, Linux 등 PostgreSQL CPU : P4 2.8GHz HDD : 36GB RAM : 512MB *메일의 유통량에 따라 하드웨어 장비사양은 상이 함. 3 납품업체 : 약 350개 금융기관 : 새마을금고연합회, 신협중앙회 등 공공기관 : 정보통신부, 한국정보사회진흥원, 인터넷진흥원 등 지자체 : 서초구청, 전라북도청, 공주시청 등 교육기관 : 광운대학교, 세명대학교, 안양대학교 등 일반기업 : 한전KDN, 대우자판 건설부문, 큐릭스 등 ISP : 파란, 하나로드림 등 4 표창이나 마크 등 2001년 정보통신부 신기술 선정(국내 최초) 2004년 조달청 우수제품 선정(국내 최초)
2005년 행정업무용 소프트웨어 선정 2005년 ISO 9001 품질경영시스템 인증기업 2006년 GS인증 획득 5기능 (아래 표는 기능의 우열을 나타내는 것이 아니며 단순히 해당 제품의 기술 적 특징을 나타내는 것임) 발송 단계 수신 단계 정부권장 기술 구분 적용여부 오픈릴레이 및 프록시 차단 SMTP Authentication 인증 SIDF, DKIM - Sender Policy Framework(SPF) Reverse DNS / HELLO check 비용 Challenge & response 또는 bounding back - 부담 nline stamp, Hash Cash, Graylist - 유동 IP이용자의 25번 포트 차단 발송량 제한 기타 : 메일러 시그너쳐 (주1) 화이트리스트 허용 블랙리스트 제한 신뢰도 평가시스템(reputation system) 발송자 정보(이메일, 메일서버 등) 제목 발송일 필터링 내용 (단어, 이미지 등) 기술 수신자수(To, CC영역에서 추출) 이메일 첨부문서의 형식(zip, doc 등) 이메일의 형식(HTML 또는 평문일 경우) (이미지제외) 패턴학습(베이지안 등) - 수신량 제한 SPF(발송자 인증) RBL(필터링) (주1) 메일 인코딩 패턴 (메일러 시그너쳐)으로 스팸을 차단함으로써, 기존의 다른 방식으로 차단 하기 힘들었던 스팸을 더 차단하는 효과를 기대 37 7. 필요에 따라 골라쓰는 스팸메일 차단 솔루션 2007 스팸메일 차단 솔루션 활용가이드
6 구현원리 스팸센터 운용을 통한 지속적인 신종스팸차단 Rule 서비스 제공 유인메일 주소 활용하여 동적차단 메시지 제목 및 본문키워드 검색 등에 의한 필터링 기법 [스팸메일차단 시스템 구성도] 개인정보보호 핸드북 2007 스팸메일 차단 솔루션 활용가이드 38 7 구입비용 : Package : 이용자 수 구분에 의한 가격 산정 ASP : 해당 사항 없음
라. 스팸브레이커 쓰리알소프트 (www.crinity.com) 윤석주 0707-018-0030, neo@3rsoft.com 1 솔루션명 : 크리니티 스팸브레이커 2 사용환경 : 제품명 사용자수 메일서버 OS DB 하드웨어 크리니티 스팸브레이커(Crinity Spambreaker) 200여 개 고객사 자사 개발 메일엔진 EMXIII 사용 Unix, Linux, Windows, AIX 등 MySQL, Oracle, MS-SQL, DB2 등 CPU : Pentium IV HDD : 60GB RAM : 1GB 3 납품업체 : 약 200개 금융기관 : 한국은행, 하나은행, 이트레이드증권 등 공공기관 : 자산관리공사, 금융감독원, 통계청 등 지자체 : 서울시청, 강남구청, 제주도청 등 교육기관 : 경희대학교, 성신여자대학교, 아주대학교 등 일반기업 : MBC, EBS, 현대중공업, KT&G 등 39 7. 필요에 따라 골라쓰는 스팸메일 차단 솔루션 2007 스팸메일 차단 솔루션 활용가이드 4 표창이나 마크 등 2006, 조달청 조달단가 계약 체결 2005, GS(Good Software) 인증 획득 2003, 스팸메일 차단솔루션 부문 히트상품 수상(디지털타임즈) 2002, 하반기 행정업무용 S/W 선정(행자부 적합성 테스트)
2002, 대한민국 이머징 우수기술상 수상(서울경제 신문사 주최) 5기능 (아래 표는 기능의 우열을 나타내는 것이 아니며 단순히 해당 제품의 기술 적 특징을 나타내는 것임) 개인정보보호 핸드북 2007 스팸메일 차단 솔루션 활용가이드 40 발송 단계 수신 단계 정부권장 기술 구분 적용여부 오픈릴레이 및 프록시 차단 SMTP Authentication 인증 SIDF, DKIM - Sender Policy Framework(SPF) Reverse DNS / HELLO check 비용 Challenge & response 또는 bouncing back - 부담 Online stamp, Hash Cash, Graylist - 유동 IP이용자의 25번 포트 차단 - 발송량 제한 기타 : 수신자수 제한, 커맨드 수 제한, 시간당 발송 개수 제한 화이트리스트 허용 블랙리스트 제한 신뢰도 평가시스템(reputation system) - 발송자 정보(이메일, 메일서버 등) 제목 발송일 필터링 내용 (단어, 이미지 등) 기술 수신자수(To, CC영역에서 추출) 이메일 첨부문서의 형식(zip, doc 등) 이메일의 형식(HTML 또는 평문일 경우) 패턴학습(베이지안 등) - 수신량 제한 SPF(발송자 인증) RBL(필터링)
[기타기능및특징] Bypass FOD 기능을 통한 365 24 무정지 메일 송수신 가능 국내 유일의 팬텀 유저 필터링(Phantom User Filtering) 제공 다양한 통계 기능 : 시스템 자원 모니터링, 다중 리포팅, 조건 검 색기능등 고객 지원 모니터링 시스템인 프로펠러(Propeller) 서비스 무상 제공 국제 스팸수집센터(Global Spam Network Center-GSNC) 운영 6 구현원리 : 41 7. 필요에 따라 골라쓰는 스팸메일 차단 솔루션 2007 스팸메일 차단 솔루션 활용가이드 7 구입비용 : Package : 별도 협의 ASP : 별도 협의
마. 스마트필터 이월리서치 (www.smartfilter.co.kr) 김종모 02-2026-3828, contact@ewall.co.kr 1 솔루션명 : 스마트필터 2 사용환경 : 개인정보보호 핸드북 2007 스팸메일 차단 솔루션 활용가이드 42 제품명 사용자수 메일서버 OS DB 하드웨어 스마트필터 제한 없음(권장 : 500 users) Send mail, Qmail, Postfix, MS-Exchange, Domino Notes 등 모든 메일서버 지원 Linux, Solaris, AIX 등 Unix MySQL, PostgreSQL, SQLite CPU : P4 HDD : 80GB RAM : 512MB 3 납품업체 : 약 300개 금융기관 : 교보증권, 대한투자증권, 하나증권 등 공공기관 : 지역난방공사, 금융감독원 등 지자체 : 수원시청, 대전시청, 용인시청 등 교육기관 : 고려대, 서울시립대, 인천대 등 일반기업 : 동부그룹, 한진그룹, SK엔론 등 ISP : KT, DACOM, 엠파스 등 4 표창이나 마크 등 GS 인증 획득 (한국정보통신기술협회 2005년 7월) 바이러스 메일차단 방법 및 시스템 (대한민국 특허 0496770) URL 패턴매칭을 이용한 스팸 차단방법 (대한민국 특허 0496767)
전화번호 추출 기법을 이용한 스팸 차단 방법 (대한민국 특허 0496771) 마이크로소프트 실행파일의 구조적 특성을 이용한 악성프로그램 검출 시스템 및 방법 (대한민국 특허 10-0620313) 5기능 발송 단계 구분 적용여부 오픈릴레이 및 프록시 차단 SMTP Authentication SIDF(Sender ID Framework) - 인증 DKIM(Domain Keys Identified Mail) SPF(Sender Policy Framework) Reverse DNS / HELLO check 비용 Challenge & response 또는 bouncing back - 부담 Online stamp, Hash Cash, Graylist - 유동 IP이용자의 25번 포트 차단 발송량 제한 화이트리스트 허용 블랙리스트 제한 신뢰도 평가시스템(reputation system) 발송자 정보(이메일, 메일서버 등) 제목 43 7. 필요에 따라 골라쓰는 스팸메일 차단 솔루션 2007 스팸메일 차단 솔루션 활용가이드 수신 단계 필터링 기술 발송일 내용 (단어, 이미지 등) 수신자수(To, CC영역에서 추출) 이메일 첨부문서의 형식(zip, doc 등) 이메일의 형식(HTML 또는 평문일 경우) 패턴학습(베이지안 등) 수신량 제한 기타 : 발신자 IP 및 주소별 수신량 조절 정부권장 기술 SPF(발송자 인증) RBL(필터링)
[기타기능및특징] 메일 컨텐츠의 피드백 요소를 분석하여 필터링 - 스팸 패턴 개수 23만개 보유 6 구현원리 개인정보보호 핸드북 2007 스팸메일 차단 솔루션 활용가이드 44 스팸 메일은 무언가를 알리고 응답(반응)을 받으려는 특성상 공통적 으로 피드백 요소를 가지고 있습니다. 즉 메일 안에는 판매자의 전화번 호, 사이트의 URL, 입금받을 은행 계좌번호, 상품의 이름 등의 요소를 포함하게 됩니다. 스마트필터는 이런 요소들을 메일 내용 안에서 분석 해 내서 패턴화하여 스팸 메일을 차단하는 것을 기본으로, 기존의 단순 조건 비교를 넘어선 여러 가지 차단 기능을 구현하고 있습니다. 7 구입비용 : Package : 계정 수에 따른 차등 비용 발생 ASP : 1계정 당 월 1,700원 사용료 - 100 계정 이상일 경우 10% DC - 300 계정 이상일 경우 20% DC 혜택 : 1개월 무상 사용 기간 제공 (검증 후 제품 구입)
바. 스팸스나이퍼 지란지교소프트(www.jiran.com) 최영길 02-2006-6995, helio75@jiran.com 1 솔루션명 : SpamSniper (스팸스나이퍼) 2 사용환경 : 제품명 사용자수 메일서버 OS DB 하드웨어 1~무제한명 SpamSniper 제한없음. 모든 종류의 메일서버 지원 Unix, Linux (권장 RedHat 계열 리눅스) MySQL CPU : Pentium4 2.8 이상 HDD : 80GB 이상 RAM : 512MB 이상 3 납품업체 : 약 950개 금융기관 : 삼성카드, 조흥은행, 미래애셋증권 등 공공기관 : 조달청, 관세청, 교육인적자원부 등 지자체 : 광명시청, 구리시청, 서울 관악구청 등 교육기관 : 서울대, KAIST, 한국정보통신대학원 등 일반기업 : 금호그룹, 한화그룹, 포스코그룹 등 ISP : 하나포스닷컴, 다날 등 45 7. 필요에 따라 골라쓰는 스팸메일 차단 솔루션 2007 스팸메일 차단 솔루션 활용가이드 4 표창이나 마크 등 GS 인증 (TTA) 보안적합성 평가 인증 (국가정보원) 조달청 나라장터 등록 및 우선구매대상 솔루션 제품
5기능 (아래 표는 기능의 우열을 나타내는 것이 아니며 단순히 해당 제품의 기술 적 특징을 나타내는 것임) 개인정보보호 핸드북 2007 스팸메일 차단 솔루션 활용가이드 46 발송 단계 수신 단계 정부권장 기술 구분 적용여부 오픈릴레이 및 프록시 차단 SMTP Authentication 인증 SIDF, DKIM - SPF(Sender Policy Framework) Reverse DNS / HELLO check Challenge & response 또는 bounding back - 비용 부담 Online stamp, Hash Cash - Graylist 유동 IP이용자의 25번 포트 차단 - 발송량 제한 화이트리스트 허용 블랙리스트 제한 신뢰도 평가시스템(reputation system) 발송자 정보(이메일, 메일서버 등) 제목 발송일 필터링 내용 (단어, 이미지 등) 기술 수신자수(To, CC영역에서 추출) 이메일 첨부문서의 형식(zip, doc 등) 이메일의 형식(HTML 또는 평문일 경우) 패턴학습(베이지안 등) 수신량 제한 SPF(발송자 인증) RBL(필터링) [기타기능및특징] 선택적 Multi-RBL 참조 실시간 패턴 업데이트 (매 5분, 최대 10분 내 업데이트)
6 구현원리 7 구입비용 : Package : 협의 (계정별 규모에 따라 다름. 기본 500만원부터) ASP : 협의 (계정별 규모에 따라 다름. 계정 당 월사용료 2,000 원기준) 개인용 프로그램 : 연 16,500원 / 1인, 1년 (단체구매 협의 필요) In 47 7. 필요에 따라 골라쓰는 스팸메일 차단 솔루션 2007 스팸메일 차단 솔루션 활용가이드
사. 클린스팸 컴트루테크놀로지 (www.comtrue.com) 지용미 02-396-7005, yskim@comtrue.com 1 솔루션명 : 클린스팸엔터프라이즈 2 사용환경 : 개인정보보호 핸드북 2007 스팸메일 차단 솔루션 활용가이드 48 제품명 클린스팸엔터프라이즈 2.0 사용자수 라이센스 정책 메일서버 메일서버 종류에 무관 OS Linux DB Oracle / MSSQL / MySQL 하드웨어 일일 처리 메일량에 따라 변화 3 납품업체 : 약 200개 금융기관 : 대구은행, 기술신용보증기금, 쌍용화재 등 공공기관 : 제주도교육청, 한국개발연구원, 한국관광공사 등 지자체 : 종로구청, 강동구청, 성북구청 등 교육기관 : 한서대학교, 남서울대학교, 광주교육대학교 등 일반기업 : 동양시스템즈, 쌍용정보통신, KT링커스 등 ISP : KT, 나라비전 등 4 표창이나 마크 등 신소프트웨어상품 수상 (2002년) 행망용 소프트웨어 (2004, 2005, 2006년도 상반기)
5기능 (아래 표는 기능의 우열을 나타내는 것이 아니며 단순히 해당 제품의 기술 적 특징을 나타내는 것임) 발송 단계 수신 단계 정부권장 기술 구분 적용여부 오픈릴레이 및 프록시 차단 SMTP Authentication 인증 SIDF, DKIM - Sender Policy Framework(SPF) Reverse DNS / HELLO check Challenge & response 또는 bounding back 비용 부담 Online stamp, Hash Cash - Graylist 유동 IP이용자의 25번 포트 차단 - 발송량 제한 화이트리스트 허용 블랙리스트 제한 신뢰도 평가시스템(reputation system) 발송자 정보(이메일, 메일서버 등) 제목 발송일 필터링 내용 (단어, 이미지 등) 기술 수신자수(To, CC영역에서 추출) 이메일 첨부문서의 형식(zip, doc 등) 이메일의 형식(HTML 또는 평문일 경우) 패턴학습(베이지안 등) 수신량 제한 - 기타 : 분당 접속 IP/세션 제한 SPF(발송자 인증) RBL(필터링) 49 7. 필요에 따라 골라쓰는 스팸메일 차단 솔루션 2007 스팸메일 차단 솔루션 활용가이드
[기타기능및특징] 고객사 환경별 설치방식(DNS, 브릿지) 제공, 자동화 설치패키지 제공 고객사의 조직도구조에 기반한 부서별 필터링 기능 적용/ alias 메일계정관리 정보유출이 의심되는 발송메일의 사전 차단(메일암호화 및 백업) 6 구현원리 개인정보보호 핸드북 2007 스팸메일 차단 솔루션 활용가이드 50 7 구입비용 : 유저수별로 책정 Package : 가격은 메일 사용자 수에 따라 가격이 달라짐 (100, 200, 500,1000, 3000, 5000, 10000, unlimited) ASP : 메일 이용자 수별 월 2,500원(스팸차단 + 바이러스 백신)
아. 메일와쳐 (주)테라스테크놀로지 (www.terracetech.com) 김재석 02-2082-0333, sales@terracetech.com 1 솔루션명 : 메일와쳐(Mail Watcher) 2 사용환경 : 제품명 사용자수 메일서버 OS DB 하드웨어 100~1만명 메일와쳐(Mail Watcher) Send mail, Qmail, Postfix, MS-Exchange, Domino Notes 등 Unix, Linux 등 MySQL, PostgreSQL 등 CPU : AMD Sempron, Intel Xeon(Dual Core) HDD : 80~146 4GB(RAID5) RAM : 1~4GB 3 납품업체 : 약 200개 금융기관 : 삼성화재, 외환은행, 굿모닝신한증권 등 공공기관 : 대법원, 산업자원부, 경찰청 등 지자체 : 경북도청, 포항시청, 청원군청 등 교육기관 : 서울대, 포항공대, 연세대 등 일반기업 : 삼성그룹, LG전자, 현대자동차 등 ISP : Kornet, 네이버, 코리아닷컴 등 51 7. 필요에 따라 골라쓰는 스팸메일 차단 솔루션 2007 스팸메일 차단 솔루션 활용가이드 4 표창이나 마크 등 KT인증 MTA GS인증(2006.1)
5기능 (아래 표는 기능의 우열을 나타내는 것이 아니며 단순히 해당 제품의 기술 적 특징을 나타내는 것임) 개인정보보호 핸드북 2007 스팸메일 차단 솔루션 활용가이드 52 발송단계 수신단계 정부권장 기술 구분 적용여부 오픈릴레이 및 프록시 차단 - 인증 SMTP Authentication SIDF, DKIM - SPF(Sender Policy Framework) Reverse DNS / HELLO check 비용 Challenge & response 또는 bouncing back - 부담 Online stamp, Hash Cash, Graylist - 유동 IP이용자의 25번 포트 차단 발송량 제한 화이트리스트 허용 블랙리스트 제한 신뢰도 평가시스템(reputation system) - 발송자 정보(이메일, 메일서버 등) 제목 발송일 필터링 내용 (단어, 이미지 등) 기술 수신자수(To, CC영역에서 추출) 수신량 제한 이메일 첨부문서의 형식(zip, doc 등) 이메일의 형식(HTML 또는 평문일 경우) 패턴학습(베이지안 등) 기타 : RPD(Realtime Pattern Detection), VOD(Virus Outbreak Detection) SPF(발송자 인증) RBL(필터링)
[기타기능및특징] 실시간스팸패턴인식 및 바이러스엔진 업그레이드 전 사전 바이 러스차단기술 이미지스팸등에 대한 SPAM DNA분석과 SPAM Finger Print 이용차단 Byapass기능 제공으로 브리지 구성시 스팸서버 장애시에도 네 트웍 정상연결, 메일송수신 가능 6 구현원리 서버일체형 제품으로 서버, OS, Anti SPAM/Virus Appliaction 등 일괄제공 및 유지보수 제공 단계별(접속, SMTP Protocol, User Level 등) 필터링 및 스팸/ 바이러스 라이브업데이트 제공 53 7. 필요에 따라 골라쓰는 스팸메일 차단 솔루션 2007 스팸메일 차단 솔루션 활용가이드 7 구입비용 : H/W일체형 Appliance 모델별 제공금액 Model 사용자규모 1일처리 메일량 Bypass기능 제공금액 MW100 200명 50만건 - 4,400,000 MW200 200명 50만건 6,050,000 MW300 500명 100만건 8,800,000 MW500 1,000명 200만건 22,000,000
특징 구입비용이 들지 않으나 설치 및 이용 측면에서 사용자의 추가 노력이 상용제품에 비해 더 필요할 수 있음 가. 스팸어쌔신 1 솔루션명 : SpamAssassin(스팸어쌔신) 개인정보보호 핸드북 2007 스팸메일 차단 솔루션 활용가이드 54 아직 한글화 버전은 출시되어있지 않으나 ok_locales 기능을 사용하여 non-iso- 8859 언어(한글, 일본어, 중국어 등)의 메시지 처리 가능 2 사용환경 : Unix, Linux 3 타겟고객층 : 서버용 4기능 (아래 표는 기능의 우열을 나타내는 것이 아니며 단순히 해당 제품의 기술 적 특징을 나타내는 것임) 발송 단계 구분 적용여부 오픈릴레이 및 프록시 차단 - SMTP Auth, SIDF, DKIM - 인증 SPF(Sender Policy Framework) Reverse DNS / HELLO check - Challenge & response 또는 bounding back - 비용 부담 Online stamp, Graylist - Hash Cash 유동 IP이용자의 25번 포트 차단 - 발송량 제한 -
수신 단계 정부권장 기술 아파치 라이센스 2.0(Apache License 2.0)에 의거하여 무료로 배포되는 스팸메일 차단 솔루션으로 내용, 규칙, 네임서버(DNS) 기반의 필터링, 통계적 방법 등 사용 6 구현원리 구분 적용여부 화이트리스트 허용 블랙리스트 제한 신뢰도 평가시스템(reputation system) - 발송자 정보(이메일, 메일서버 등) 제목 발송일 필터링 내용 (단어, 이미지 등) 기술 수신자수(To, CC영역에서 추출) - 이메일 첨부문서의 형식(zip, doc 등) - 이메일의 형식(HTML 또는 평문일 경우) - 패턴학습(베이지안 등) 수신량 제한 - SPF(발송자 인증) RBL(필터링) 다수의 스팸판별기준을 수신된 메일의 헤더나 내용에 적용하여 적용된 값의 총 합이 일정 수치를 넘어서게 되면 해당 메시지를 스팸으로 분류, 이를 삭제하거나 특정 폴더로 분리 저장 SpamAssassin의 이용자는 SpamAssassin에서 제공하는 다양 한 각각의 값들을 조절하여 자신의 환경에 알맞은 스팸대응수위 를 결정하며 그에 따른 메시지 처리방법 등을 다양하게 적용할 수있음 55 7. 필요에 따라 골라쓰는 스팸메일 차단 솔루션 2007 스팸메일 차단 솔루션 활용가이드 7 구입비용 : 무료(기능 제한 없음)
나. 스팸팔 http://www.spampal.org 1 솔루션명 : SpamPal(스팸팔) 2 사용환경 : MS Outlook (Win9x, Win2k, WinXp) 3 타겟고객층 : MS Outlook 개인 이용자 개인정보보호 핸드북 2007 스팸메일 차단 솔루션 활용가이드 56 4기능 (아래 표는 기능의 우열을 나타내는 것이 아니며 단순히 해당 제품의 기술 적 특징을 나타내는 것임) 발송 단계 수신 단계 구분 적용여부 오픈릴레이 및 프록시 차단 - 인증 SMTP Auth, SIDF, DKIM, SPF - Reverse DNS / HELLO check - 비용 Challenge & response 또는 bounding back - 부담 Online stamp, Hash Cash, Graylist - 유동 IP이용자의 25번 포트 차단 - 발송량 제한 - 화이트리스트 허용 블랙리스트 제한 신뢰도 평가시스템(reputation system) - 발송자 정보(이메일, 메일서버 등) 제목 발송일 필터링 내용 (단어, 이미지 등) (이미지 제외) 기술 수신자수(To, CC영역에서 추출) - 이메일 첨부문서의 형식(zip, doc 등) - 이메일의 형식(HTML 또는 평문일 경우) - 패턴학습(베이지안 등) 수신량 제한 -
정부권장기술 구분 적용여부 SPF(발송자 인증) - RBL(필터링) O 6 구현원리 스팸으로 확인된 메일은 메일 제목에 Spam 텍스트를 추가하여 분류 이메일 승인 리스트인 화이트리스트, 스팸 메일 발송자인 블랙리 스트, Ignore Lists로 구분되며 이용자가 임의로 리스트를 구분 할수있음 7 구입비용 : 무료(기능 제한 없음) 57 7. 필요에 따라 골라쓰는 스팸메일 차단 솔루션 2007 스팸메일 차단 솔루션 활용가이드
특징 스팸을 감축하는 환경을 구축하기 위한 기반기술 가. 이메일주소 추출방지 프로그램 NeverSpam 개인정보보호 핸드북 2007 스팸메일 차단 솔루션 활용가이드 58 2002. 12월 개발하여 현재까지 불법스팸대응센터 홈페이지(www. spamcop.or.kr)를 통해 무료 보급 중 기술 개요 : 이미지 파일 생성 방식에 HIP(Human Interactive Proof) 기술을 결합하여 웹상에 표기된 이메일주소를 이메일주소 추출 프로그램이 가져가지 못하도록 보호 작동 원리 : 아래의 예처럼, 개인정보관리책임자의 이메일주소 suhan@kisa.com 을 웹상에 그대로 공개하지 않고 한글( 이수 한 )이나기타아이콘( )으로 숨겨놓은 후, 이를 클릭했 을 때에만 사람 여부를 판단할 수 있는 간단한 퀴즈를 통해 이메일 주소를 보여주게 됨
나. 메일서버 등록제 SPF 2005. 11월부터 국내 주요 10개 포탈을 중심으로 메일서버등록제 (SPF: Sender Policy Framework) 도입 및 활용 추진 중 기술개요 : SPF를 통해 발송자 정보가 위 변작된 스팸을 식별함 으로써 이메일 전송체계의 구조적 취약점 보완 작동원리 - 발송자 도메인 : 발송 메일서버를 공개하기 위하여 해당 DNS에 SPF 레 코드를 등록 - 수신자 도메인 : 발송자 DNS에 등록된 SPF 레코드를 확인하고 결과값 에 따라 이메일 수신여부 결정 [SPF 인증경로] 59 7. 필요에 따라 골라쓰는 스팸메일 차단 솔루션 2007 스팸메일 차단 솔루션 활용가이드
다. 실시간스팸차단리스트 RBL 2005. 11월부터 국내 외 스팸 정보를 수집하여 구축한 실시간 스 팸차단리스트(RBL : Real-time Blocking List)를 국내 ISP, 포탈 및 일반 메일서버 운영기관 등에 보급하여 자율적인 스팸차단에 활용토록 유도 기술 개요 : 국내 외의 다양한 스팸정보를 실시간으로 통합 분 석하여 IP 기반의 등급별 스팸차단리스트 생성 개인정보보호 핸드북 2007 스팸메일 차단 솔루션 활용가이드 60 작동원리 - 국내 외 스팸 정보를 정해진 주기에 따라 수집 국내 주요 ISP, 포탈, 스팸차단솔루션 업체 등의 스팸차단 정보 국외 주요 SBL 및 스팸신고(Spamcop, KrCERT) KISA 불법스팸대응센터 신고접수 민원 - 정보제공기관의 신뢰도, 차단사유, 빈도, 과거 SBL 등재기록 등을 종합 적으로 분석하여 단계별 Blocking List 생성 - RBL에 등재되는 IP에 대해서는 자체적으로 Open Relay/Proxy 여부 등을 검사하고 DNS에 등록된 해당 ISP 정보 확인
[RBL 시스템 개념도] RsyncD : Rsync Daemon / RBLDNSD : RBL DNS Daemon 61 7. 필요에 따라 골라쓰는 스팸메일 차단 솔루션 2007 스팸메일 차단 솔루션 활용가이드
개인정보보호 핸드북
2007 스팸메일 차단 솔루션 활용 가이드 부록 부록 1. 스팸방지기술 부록 2. RBL 설치 및 운영지침서 부록 3. SPF 레코드 설치 및 운영지침서
부록 1 스팸방지기술 개인정보보호 핸드북 2007 스팸메일 차단 솔루션 활용가이드 64 스팸은 복잡한 기술적 문제를 가지고 있으므로 해소 대책도 적절한 기술적 대응방안을 가질 필요가 있다. 정부의 활동과 규제가 기본적인 방법이기는 하지만 스팸, 바이러스 및 스파이웨어로 인해 발생하는 문 제를 해결하기에는 역부족이다. 추가적으로 인터넷구조는 규제기관의 스패머 식별을 어렵게 하고 있으며, 따라서 규제기관의 처벌도 어렵다. 스팸에 대한 일관적인 정의는 어렵다. 정의가 어려움에도 불구하고 원치 않는 이메일 문제의 해결을 돕는 데 사용할 수 있는 기술은 있다. 스팸방지기술은 발송지, 기간망, 8) 수신자 컴퓨터 등 여러 수준에서 작 동하며 단독으로 사용할 수도 있고 조합하여 사용할 수도 있다. 스팸방지기술은 이메일 내용과 동작에 모두 주의해야 한다. 대부분 의 스팸방지기술은 이러한 여러 요소를 조합하여 수상한 이메일(스팸) 을 구별하는 규칙을 만든다. 그러나 스팸에 포함되는 바이러스와 악성 프로그램은 계속적으로 증가하고 있다. 따라서 스팸방지기술은 특정문 자 기반 차단기술로부터 동작과 상황 요소를 분석하여 특정 이메일이나 연결 시도를 거부하는 방어기술로 전환할 필요가 있다. 스팸으로 인한 위협이 증가하는 상황을 고려할 경우 스팸방지기술은 고급 보안 인증 기술을 좀 더 포함하거나, 이런 기술과의 연계를 더욱 강화해야 할 것으 로 예상된다. 8) 인터넷의 주요 간선 기능을 하는 네트워크(Backbone Network)
1 스팸 발송은 (스패머를 제외한 나머지 사람들의 비용으로) 수익 창 출이 가능하고 스패머를 추적해서 책임을 따지기가 어렵기 때문에 문제 가 되고 있다. 따라서 스패머와 싸우기 위해서는 스팸 발송에 소요되는 비용을 증가시키고 익명이라는 장막을 제거할 필요가 있다. 이와 같은 내용을 염두에 두고, 기술적인 관점에서 해당 문제에 대응할 수 있는 다 른 차원의 방법을 찾을 필요가 있다. 스팸방지기술은 2가지 단계로 구분하여 구현될 수 있다. 이메일이 발송되는 발송측, 이메일이 수신되는 수신측이 이에 해당한다. [그림 1] 은 각 단계에서 사용할 수 있는 여러 기술적 대응방법을 나타낸다. [그림 1] 스팸방지기술 발송단계 수신단계 인증 1 신뢰도 평가시스템 2 발송비용 부과 2 필터링 3 유동IP이용자의 25번 포트 차단 3 수신량 제한 4 발송량 제한 65 부록 2007 스팸메일 차단 솔루션 활용가이드 1) 인증 현재 인터넷 이메일 시스템에서 사용하는 SMTP 9) 는 많은 취약점을 가지고 있다. 심각한 취약점 중의 하나는 현재 이메일 클라이언트가 어 떤 신분으로든 위장할 수 있다는 점이다. 즉 원한다면 누구로든 위장이 9) 컴퓨터간에 이메일을 전송하기 위한 프로토콜(Simple Mail Transfer Protocol)
가능하다. 스패머는 이런 SMTP의 취약점을 악용하여 수신측 이메일서 버의 인증을 우회하고 있다. 이러한 취약점을 막을 수 있다면 수신측 이 메일서버는 이런 종류의 스팸을 더 효과적으로 차단할 수 있을 것이다. 인증시스템은 특정 IP 주소의 이메일이 참인지 거짓인지 구분하여 다 음 세 가지 중 하나를 알려준다. 발송자가 양호함 - 발송자가 특정 IP 주소에서 이메일을 보낸다고 사전 에 선언했다. 개인정보보호 핸드북 2007 스팸메일 차단 솔루션 활용가이드 66 발송자가 양호하지 못함 - 발송자가 특정 IP 주소 목록을 선언했지만 수 신중인 이메일의 IP는 이에 포함되어 있지 않다. 발송자를 알 수 없음 - 어떻게 처리할지에 대한 정보가 불충분하다. 인증시스템이 특정 IP 주소의 이메일이 참인지 거짓인지 여부에 대한 질문에 답을 하려면 이메일을 발송한 도메인 소유자는 자기 도메인에서 발송하는 이메일에 사용하는 IP 주소 목록을 선언해야 한다. 예를 들어 Hotmail은 65.54.247.109, 216.33.241.106, 그리고 207.68.163.86과 같은 IP 주소 목록을 선언할 것이다. 만일 누군가가 예를 들면 80.34. 201.194처럼 목록에 없는 IP 주소에서 접속하면서 Hotmail에서 보냈 다고 주장한다면 우리는 이 발송자가 이메일 주소를 위조하고 있다고 의심할 수 있다. 이메일 위조 문제 해결을 위해 지난 수년간 다양한 방안이 나왔다. 이와 같은 인증방법의 개요는 다음과 같다. 1 SMTP Authentication SMTP-AUTH(SMTP Authentication)은 이메일을 보내는 클라이언 트(또는 보내는 이메일 서버)가 누구인지를 판별하기 위하여 이용자 계 정과 암호를 이용한다. 인증 과정에서 필요한 이용자 계정과 암호는 일 반적인 네트워크를 통해 전송되므로 패킷 가로채기와 같은 해킹 수법에 쉽게 노출된다. 이를 보완하기 위하여 이메일사업자는 SASL(Simple
Authentication and Security Layer) 10) 기반의 인증방법을 이용하여 이 용자 암호가 네트워크로 전송되는 것을 방지하여 안전성을 향상 시킨다. 질의-응답(Challenge-Response System)에 의한 인증을 하는 경 우 서버는 질의 문자열을 클라이언트에게 보낸다. 클라이언트는 이용 자의 비밀번호와 해당 질의의 해시값을 응답한다. 클라이언트의 응답 이 서버의 고유한 해시값과 일치할 경우 이용자가 인증된다. 해시값은 원래 값으로 복구할 수 없으므로 이용자의 비밀번호가 네트워크를 통해 보내질 때 공개되지 않는다. 2 Sender Policy Framework(SPF) SPF란 이메일주소와 발송서버가 일치하지 않는 이메일을 차단하는 방법이다. 즉 스팸메일이 아니라는 것을 먼저 증명하지 않으면 무조건 스팸메일로 간주하는 것 이다. 예를 들면 발송 주소를 @hanmail.net 으로 입력한 스패머가 개인PC 또는 릴레이에 취약한 서버를 통해 스팸 메일을 발송하면, 수신측 이메일서버는 hanmail 네임서버에게 hanmail.net 서버가 211.43.197.0/24인지 확인한다. 만약 발송 IP주 소와 hanmail.net의 이메일서버 주소가 틀릴 경우, 발송지가 틀린 이 메일이라고 표시를 함으로써 정상적으로 발송된 이메일을 가려내는 것 이다. 자세한 설명은 [부록] 참조 위 예와 같이 SPF는 이메일이 해당 이메일서버에서 정상적으로 발 송되었는지를 확인함으로써 스팸메일을 통제할 수 있는 강력한 도구이 다. SPF는 이메일주소와 발송IP가 다른 이메일을 완벽하게 구분해서 이메일헤더에 표시해주기 때문에 어떤 이메일서버에서도 이메일헤더 를 필터링하면 스팸메일로부터 안전하다는 장점이 있다. 67 부록 2007 스팸메일 차단 솔루션 활용가이드 10) SASL은 인증서비스와 선택 사항인 보안서비스로 구성되어 있으며, 현재 주요 사용 대상으로 간주 하고 있는 프로토콜에는 SMTP, POP3(Post Office Protocol Version 3), IMAP(Internet Message Access Protocol) 등이 포함된다.
SPF는 이메일정책 표기단계와 이메일정책 확인단계로 나뉜다. 이 메일정책 표기단계는 자사 도메인의 발송호스트를 SPF레코드 형태로 DNS서버에 표기하는 단계이며, 이메일정책 확인단계는 수신된 이메일 이 적법한 발송서버를 통해 발송되었는지를 판단하고 판단결과에 따라 해당 이메일의 수신여부를 결정하는 단계이다. SPF는 도메인 신뢰도 평가시스템(Reputation System)과 연동하여 보다 효과적으로 사용될 수있다. 3 Sender ID Framework(SIDF) 개인정보보호 핸드북 2007 스팸메일 차단 솔루션 활용가이드 68 Sender ID는 Microsoft사에 의해 제안 확장된 형태의 SPF로 발 송도메인 인증기능에 발송자 인증기능인 PRA 11) 기능을 추가한 인증기 술이다. Sender ID를 이용한 이메일경유지 확인시 발송도메인에 별도 의 PRA레코드가 설치되어 있지 않더라도 SPF 레코드가 표기되어 있 는 경우 이와 완벽하게 호환된다. SPF와 Sender-ID는 이메일서버가 해당 도메인에서 발송서버로 정 식 등록되었는지 확인하는 데 사용된다. 이 일은 해당 도메인에서 인정 하는 이메일서버주소 목록들을 도메인네임서버(DNS)에 표기함으로써 이루어진다. 이 두 가지 기술은 확인할 항목을 선택하는 방법에서 차이 를 가진다. SPF는 이메일의 MAIL FROM(RFC 2821)정보를 확인하는 반면 Sender-ID는 이메일의 헤더정보(RFC 2822)를 확인한다. 4 DKIM(Domain Keys Identified Mail) DKIM은 야후(Yahoo)사와 Cisco사가 공동으로 제안한 이메일 메시 지 인증방법이다. 발송도메인은 자신의 이메일서버를 통해 발송되는 이메일을 공개키 방식으로 서명하고 이를 수신서버에서 확인함으로 메 시지 전송 및 발송과정의 위 변조를 원천적으로 방지할 수 있는 기술 11) 이메일발송 권한이 허용된 발송측 이메일서버의 IP 주소(Purported Responsible Address)
이다. DKIM에서는 발송 메시지에 디지털 서명 곧 개인키가 필요하고, 수신 메시지는 그 개인키가 이미 기록되어 있는 공개키와 일치하는지 살펴보는 방법으로 도메인 수준과 서버 수준에서 인증을 받는다. 5 PKI 또는 PGP를 통한 인증 PKI(Public Key Infrastructure) 및 PGP(Pretty Good Privacy)는 공개키 방식의 이메일 암호화 및 전자서명 방법이다. PKI는 중앙집중 식 인증서 관리를 통해 메시지의 전송과정 및 발송과정의 위 변조를 방지 할 수 있는 기술이며, PGP는 이메일이용자간의 공개키 교환을 통 해 동일한 효과를 얻을 수 있는 기술이다. 이 두 기술은 현재의 SMTP 환경에서 메시지의 암호화, 서명을 통한 메시지의 암호화 및 무결성 보 장 등을 위한 방법으로 사용되고 있다. 2) 발송비용 부과 개념적으로 스팸 문제를 해결하기 위한 가장 간단한 방법은 전통적 인 우편물처럼 각 이메일마다 발송 대가의 지불을 요구하는 것이다. 이 는 SMTP의 구조적인 변경에 의하여 구현될 수 있다. 지불 수단으로 금 전을 가장 먼저 떠올리겠지만 다른 방법도 있다. 예를 들어 Microsoft사는 이메일 발송에 드는 비용으로써 돈이 아 니라 컴퓨터 사용시간으로 지불하는 방법을 제안했다. Microsoft사는 원치 않는 이메일에 대응하기 위하여 메시지 1통을 발송하는 데 소요되 는 컴퓨터이용시간을 약 10초까지 늘릴 것을 제안했다. 이런 계획은 평 범한 이메일 발송자에게는 아무런 영향을 미치지 않지만, 하루에 수백 만 통의 메시지를 발송하는 자에게는 막대한 컴퓨터 자원이 추가로 필 요할 것이므로 스팸발송에 대한 상당한 억제요소로 작용할 것이다. 이 같은 상황에서 수신자는 수신허용(화이트)리스트의 관리를 선택할 것이 며, 이 리스트에 등록된 회원은 컴퓨터이용비용을 발생시키지 않을 것 이다. 69 부록 2007 스팸메일 차단 솔루션 활용가이드
1 Challenge & Response 또는 Bouncing Back 이는 필터링 위주의 스팸 처리방식이 수신서버에 부과하는 부하를 스팸메일 발송자에게 부담시키기 위해 고안된 방법으로써, 내부적으로 화이트리스트와 블랙리스트를 관리한다. 화이트리스트에 등재되어 있 지 않은 이용자가 발송한 이메일은 발송자에게 확인메일을 발송하며 이 에 응답 메일이 수신되면 해당 발송자의 이메일주소를 화이트리스트에 보관하여 추후에는 이러한 과정 없이 이메일을 사용할 수 있게 하는 방 법이다. 개인정보보호 핸드북 2007 스팸메일 차단 솔루션 활용가이드 70 2 Online Stamp 이메일 우표 모델은 상당히 단순하다. 인가 받은 대량 이메일 발송 자는 암호화된 우표를 우표 제공회사로부터 구입하여 모든 발송 메시 지에 첨부한다. 참여 ISP는 우표 제공회사가 제공한 우표 필터링 방식 으로 우표를 확인하고 통과시킨다. 온라인 우표가 붙은 이메일은 ISP 가 구현한 모든 스팸차단 방법을 자동으로 통과하여 수신자의 이메일 수신함에 무사히 도착할 수 있다. 온라인 우표 모델은 스패머에게 금전 적인 비용을 발생시켜 스팸을 발송하지 못하게 하는 방법으로써, 대량 이메일발송자에게 일정량의 비용을 부과하여 스팸발송을 억제하는 방 법이다. 3 Graylist Graylist는 시스템에 처음 접속한 이용자에 대하여 한시적 접속제한 을 하며, 일정기간이 지난 뒤 재접속 시도자에 한하여 이메일발송을 허 용함으로써, 한 번 발송이 일어난 이용자에 대해서는 지연 없는 이메일 발송을 허용해 주는 방법이다. 이는 대부분의 스팸이 이메일발송시 발 생하는 접속지연을 확인하지 않는다는 점에 착안한 것으로써, 소량 고 품질의 이메일을 정기적으로 사용하는 이메일환경에 적합한 장치이다. 부적절하게 설정된 서버에서 발송되는 메시지의 수신을 방지하고, 화 이트리스트와 함께 사용하면 큰 도움이 된다.
사용방법은 이메일 수신서버가 신규 발송자의 이메일를 발견하였을 때 SMTP 4 에러 코드 12) 를 발송자에게 의도적으로 보낸다. 신규 발 송자가 만일 정상적인 이메일서버를 통하여 발송한 경우 미수신 에러코 드 메시지를 확인 후, 다시 재발송 시도(보통 15분 정도)를 할 것이다. 이러한 경우 수신서버는 2차 발송 메시지를 받아들인다. 이 기술은 오 픈릴레이나 서비스 제공자의 이메일서버를 거치지 않는 모든 스팸을 차 단할 수 있을 정도로 아주 효과적이다. 3) 유동IP이용자의 25번 포트 차단 인터넷을 통과하는 모든 이메일은 이메일 클라이언트와 이메일서버 간 통신 채널인 포트 25번을 사용한다. 외국의 많은 인터넷서비스제공 자(ISP)는 좀비PC로부터 발송되는 스팸을 줄이기 위해 포트 25번을 차 단하고 있다. 포트 25번을 차단하면 발송자(댁내 가입자, 유동IP 이용 자)는 이메일을 보내기 위해 해당 ISP 이메일서버를 이용해야 한다. ISP 이메일서버를 이용하는 이메일은 ISP가 구현한 스팸방지 대응방 법(예를 들면 속도제한)을 적용하여 통과 또는 차단할 수 있다. 포트 25번 차단은 효과적인 스팸방지 대책이다. 외국 ISP들은 대량 의 스팸을 발송하는 것으로 의심되는 주소에 한해서 포트 25번 차단을 선택적으로 적용하고 있고, 일부 ISP는 모든 고객에게 이와 같은 방법 을 적용하고 있다. 그러나 포트 25번 차단에는 스팸뿐만 아니라 정상적인 이메일까지 차단하는 문제점이 있다. 이메일 발송을 위해 자신만의 이메일서버를 구동하여 원격지 네트워크의 이메일서버와 통신을 해야 하는 이용자들 (예를 들면 웹호스팅 업체)도 있다. ISP는 이런 고객들의 포트 25번을 차단하지 않도록 해야 한다. 71 부록 2007 스팸메일 차단 솔루션 활용가이드 12) 5 利 의 결정적 에러에 대응하는 임시 에러(RFC 2821 참조)
신규 가입자에게 포트 25번을 차단하고 싶지 않으면 선택하도록 요 구하는 것도 하나의 방안이다. 이렇게 함으로써 포트 25번을 처음 들어 보거나 사용할 특별한 이유가 없는 대다수의 개인 이용자에게는 포트 25번 차단이 기본값이 된다. 이와 같은 선택적 접근방법은 포트 25번의 합법적인 사용(예를 들면 웹호스팅)을 차단하지 않고 네트워크에 진입 하는 스팸을 현저하게 줄일 수 있다. 4) 발송량 제한 개인정보보호 핸드북 2007 스팸메일 차단 솔루션 활용가이드 72 적법한 이용자의 발송을 부적절하게 제한할 수 있기 때문에 발송량 제한은 불충분한 스팸발송 억제방안이다. 그러나 많은 양을 발송하는 이메일서버의 발송량을 제한함으로써 스팸을 줄이는 것은 가능하다. 일반적으로 제한규칙은 1분, 1시간, 1일 기준으로 설정할 수 있다. 예를 들면, Hotmail은 03년 3월에 하나의 이메일계정에서 발생하는 이메 일 발송량을 1일당 100통으로 제한하였다. 100 이라는 숫자는 과거 이용량을 고려한 숫자로써, 전 세계 이용자 1억명의 99%가 1일 동안 약 100통 이상을 보내지 않는 점을 고려한 것이다. 13) 1) 신뢰도 평가시스템 신뢰도 평가시스템은 아마도 가장 전통적인 스팸대응 해결방법중 하나이다. 신뢰도 평가시스템은 수신측 이메일서버가 발송측 이메일서 버의 과거 신뢰도(Reputation)에 근거하여 어떤 것이 스팸이고 스팸이 아닌지를 결정하는 시스템이다. 이 시스템은 이메일 발송자의 IP 혹은 도메인별 이메일사용 이력을 기록함으로써 각 IP 및 도메인별 신뢰도 13) http://news.com.com/2100-1025-993774.html?tag=fd_lede2_hed
를 평가하여, 스팸발송 등에 악용되는 IP나 도메인으로부터 발송되는 이메일은 수신하지 않을 수 있도록 한다. 즉, 수신허용(화이트)리스트를 유지하고 있으며, 반대로 수신거부(블랙)리스트도 가지고 있다. 1 화이트리스트 허용 발송자가 화이트리스트에 등재되어 있을 경우에 한하여 이메일을 수신하도록 스팸필터규칙을 설정함으로써 대량 스팸을 차단하는 것이 다. 화이트리스트와 일치하는 이메일은 수신되고, 화이트리스트에 없 는 곳으로부터 수신된 이메일은 삭제 또는 방역폴더에 저장된다. 화이 트리스트에 등록된 경우 스팸차단 솔루션을 우회하여 통과시켜 준다. 화이트리스트는 리스트 내에 위 변조한 발송자를 없애기 위하여 정기 적으로 재검토되어야 한다. 2 블랙리스트 제한 블랙리스트는 차단하고자 하는 이메일주소 목록으로 구성되며, 개 인적인 이메일서버소유자에 의해 관리 및 유지될 수 있다. 이메일서버 소유자는 KISA-RBL, MAPS (Mail Abuse Prevention RBL), ORDB(Open-Relay DataBase) 등의 블랙리스트를 선택하여 사용할 수있다. KISA-RBL - 한국정보보호진흥원(KISA)에서 무료로 제공하는 실시간 스팸차단리스트이다. 국내외로부터 스팸정보를 실시간으로 취합하고 이 를 다양한 기준에 따라 분석하여 스팸발송에 관련된 것으로 확인된 IP 리스트를 생성하여 1시간 단위로 제공한다. 자세한 설명은 [부록] 참조 73 부록 2007 스팸메일 차단 솔루션 활용가이드 MAPS(Mail Abuse Prevention RBL List) - 스팸을 보내거나 릴레이 하는 스패머에게 우호적이거나 중립적인 입장을 취하여 스팸에 악용되 는 목록이다. ORDB(Open-Relay DataBase) - ORDB.org는 확인된 오픈릴레이의
IP주소를 제공하는 비영리 기구이다. 오픈릴레이란 발송자를 가리지 않 고 이메일을 배달하는 이메일서버를 말한다. 스패머는 이런 서버들을 이 용하여 대량의 스팸을 발송하는 등 악용하고 있으므로 차단해야 한다. SBL(SpamHaus BlackHole List) - SBL은 확인된 스패머의 IP 주소를 제공하는 데이터베이스이다. 스팸하우스 프로젝트 팀에서 관리하고 있으 며 이메일 운영자의 수신 이메일 관리를 돕기 위하여 저가로 제공된다. 2) 필터링 개인정보보호 핸드북 2007 스팸메일 차단 솔루션 활용가이드 74 필터링은 가장 흔히 볼 수 있는 스팸방지기술이다. 필터의 가장 큰 장점은 구현이 쉽고, 이용자가 어느 메시지를 스팸으로 간주할 수 있는 지를 결정할 수 있다는 점이다. 지능적 필터 14) 에서는 이용자의 편지함 에 도달하기 전에 특정 메시지를 차단하기 위해서 이용자가 특정 문자 나 발송자 주소와 같은 기준을 정해야 한다. 스패머는 이러한 특정문자 차단방법을 우회하고자 철자를 일부러 틀리거나 다른 언어로 표기하는 방법을 사용한다. 이러한 스팸에 대하여 특정문자 차단방법은 효과적 으로 대응할 수 없다. 이렇게 특정문자를 우회하는 스팸에 대응하기 위 하여 베이지안 필터 15) 를 사용하는데 장기간 학습 및 경험이 필요하다. 베이지안 필터는 스팸과 정상 이메일을 구분해야 하는 개인 이용자들이 참조할 수 있도록 전체 메시지에 대한 통계분석을 생성한다. 그런 후에 이 필터는 이용자가 이전에 정당한 이메일이라고 판별한 것과 유사한 메시지만 통과시키는 방법이다. 이러한 베이지안 필터도 우회하는 방 법이 있어서 사용에 주의해야 한다. 1 정적 필터링 정적(Static) 필터링은 가장 기본적인 스팸방지기술로써, 대부분의 14) 경험, 학습적으로 발전하는 필터(Heuristic filter) 15) 특정 텍스트에서 개별 단어의 출현 빈도를 모두 기록한 뒤, 비슷한 분류의 텍스트를 계속 샘플 자료 로 추가시키면서 단어의 연관을 추적하여 임의의 텍스트가 해당 분류에 속하는지 여부를 파악하는 필터(Bayesian filter)
이메일 클라이언트와 서비스에 포함되어 있다. 본질적으로 이 방법은 수신 메시지의 다양한 특징에 기반을 둔 미리 정의된 필터링 규칙을 사 용하여 이메일 이용자가 수신 메시지를 통제할 수 있는 환경을 제공한 다. 필터링 규칙은 수신 이메일의 특성과 이용자의 환경설정 값을 비교 하여 만들어진다. 이와 같은 규칙에는 다음을 포함한다. 발송자의 발원지(이메일, 이메일서버 등) 이메일 제목 이메일 날짜 이메일 본문 내 텍스트 수신자 총 수(To 필드, CC 필드 등으로부터) 이메일 파일 첨부의 종류(zip, doc 등) 이메일의 포맷(HTML 또는 일반 텍스트) 대부분의 사람들은 정적 필터링을 단순한 특정문자 일치로만 생각 한다. 부분적으로 사실인데 이것은 대부분의 이메일 클라이언트가 AND, OR, NOT 등과 같은 논리 연산을 결합시킨 다수의 특정문자로 구성된 필터링 규칙을 포함하는 식으로 정적 필터링을 구현하고 있기 때문이다. 그러나 수신 이메일에 사전 처리를 약간만 더해주면 필터링 규칙은 단순한 특정문자 일치여부 이상의 기능을 수행할 수 있다. 예를 들면 이메일 클라이언트는 수신 이메일의 첨부파일에 바이러스검사소 프트웨어를 이용하여 악성 코드가 포함되어 있는지 조사를 한 후에 적 절한 조치를 취할 수 있다. 특정문자 차단을 피하기 위해서 스패머들이 이용하는 기법 중의 하 나는 철자가 틀린 단어를 사용하는 것이다. 예를 들어 문자 O 를숫자 0 으로 쓰거나 HTML 코드 안에 문자를 감춘다. 이러한 문자는 사람 이나 HTML을 인식하지 못하는 이메일 클라이언트가 쉽게 해독할 수 없다. 그러나 이메일을 철자 검색기로 사전 처리하여 철자가 틀린 말의 총 개수를 기준으로 하거나 문법 오류의 수를 기준으로 이메일을 거부 75 부록 2007 스팸메일 차단 솔루션 활용가이드
하거나 수락하는 필터링 규칙을 만들 수도 있다. 2 적응 필터링 개인정보보호 핸드북 2007 스팸메일 차단 솔루션 활용가이드 76 정적 필터링식 접근법의 가장 큰 단점은 필터링 규칙을 계속 만들어 야 한다는 점이다. 스패머는 특정문자 일치여부 규칙을 속이려고 메시 지에 철자가 틀린 단어를 사용하는 것과 같이 정적 필터링 규칙을 우회 하는 새로운 기법을 끊임없이 개발한다. 기술 옹호론자들은 스패머들을 물리치기 위해 끊임없이 필터링 규칙을 재정비하고 싶을지도 모르겠지 만 일반 이용자에게는 너무 복잡한 과정이다. 만약 소프트웨어가 필터 링 규칙을 자동으로 생성해낼 수 있다면 일반 이용자에게 큰 도움이 될 것이다. 바로 이것이 적응(Adaptive) 필터링 접근법의 등장 배경이다. 최종 이용자가 수신 이메일의 특징을 분석하여 수작업으로 필터링 규칙을 만드는 대신, 적응 필터링은 수신 이메일의 스팸 여부를 지능적 으로 판별하여 이 과정을 간소화한다. 이는 고정된 규칙이 아니라 최종 이용자의 판단에 대한 통계적 분석을 이용한다. 예를 들면 최종이용자 가 get rich fast (빨리부자되기)라는문구가들어있는수신메시지 를 스팸으로 간주하고 삭제하면 적응 필터링 시스템은 적절한 필터링 규칙을 도출하여 이후 get rich fast 라는 문구를 담은 모든 수신 메시 지는 자동으로 차단한다. 스팸 처리에서 가장 널리 쓰이는 적응 필터링 접근법은 02년 폴그 레이엄(paul Graham)이 제안한 베이지언 필터링 접근법(Bayesian Filtering Approach)이다. 베이지언 필터링은 분석한 분포도를 기준으 로 내부 분포도의 매개변수를 추정하는 베이지언 확률법칙을 전제로 한 다. 간단히 설명해서 이메일에 대한 이용자의 사전( 事 前 ) 평가방식에 따 라 수신 이메일의 스팸 여부를 판단하는 시스템이다. 사전 평가절차는 시스템의 학습 이라 부르기도 한다. 많은 학습을 거침에 따라 스팸분 류절차는 차츰 개선된다. 폴그레이엄에 따르면 베이지언 접근법의 진 정한 장점은 특정단어의 출현 빈도수와 같은 일부 증거에 의존하지 않
고 이메일 내용 전체를 대상으로 한다는 것이다. 베이지안 필터는 스팸 메일 집합과 정상메일 집합을 분석하여 스패머들이 사용하는 어휘를 학 습한 후에 베이지안 확률을 사용하여 어떤 메시지가 스팸인지 여부를 가려낸다. 3) 수신량 제한 일정한 시간 간격으로 수신측 이메일서버에 도착하는 이메일의 양 을 제한하는 것은 간단하지만 효과적인 방법이다. 알려진 신뢰하는 발 송측 이메일서버에 좀 더 많은 수신량을 제공함으로써 신뢰도 평가시스 템과 상호작용할 수도 있다. 수신량 제한의 장점은 이메일서버에 의해 수신되는 스팸의 양이 감소될 수 있다는 점이다. 단점은 시급하며 중요 한 이메일이 불필요하게 지연될 수 있다는 점이다. 1) 이메일주소 수집 차단기술 스패머가 이메일주소를 홈페이지에서 자동수집하지 못하도록 여러 형태로 변형함으로써 이메일주소를 숨겨놓는 방법이다. 이러한 방법은 Java Script 변환, ASCII Code 변환, CGI SSI 변환, 이메일 주소 이미 지화 등을 통해 구현될 수 있다. 한국정보보호진흥원(KISA)에서는 이 메일 추출을 방지할 수 있는 프로그램인 NeverSpam을 무료로 배포하 고있다. 77 부록 2007 스팸메일 차단 솔루션 활용가이드 2) 이메일주소 자동생성 대응기술 스패머가 이메일주소를 생성하여 이메일을 발송할 때, 존재하지 않 는 이메일주소에 대해 수신자 없음 확인메일을 회신해주지 않도록 설
정할 수 있는데 이것을 이메일주소 자동생성 대응기술로 볼 수 있다. 3) 웹메일 자동등록 차단기술 개인정보보호 핸드북 2007 스팸메일 차단 솔루션 활용가이드 78 회원가입 단계에서 사람의 육안으로만 식별이 가능한 왜곡된 이미 지를 무작위로 제시하여 제한시간 내 입력토록 하는 등의 HIP기술 16) 을 적용함으로써 자동 프로그램에 의한 무차별적인 계정생성을 제한한다. 사람은 풀 수 있지만 기계적인 프로그램은 쉽게 풀지 못하는 수수께끼 를 제공하는 방식으로 아주 단순한 단어를 무작위로 골라 글자를 약간 훼손시킨 뒤 복잡한 배경 화면 위에 표시하는 CAPTCHA 기술 17) 이가 장 대표적이다. 한국정보보호진흥원(KISA)에서는 무료로 제공하는 NeverSpam을 이용하여 차단할 수도 있다. [그림 2. CAPTCHA 예시] 필수 입력사항 왼쪽 한글단어를 입력하세요. 입력하신 후 다음 단계로의 이동을 원하시면 다음 단계로 버튼을, 가입취소를 원하시면 가입취소 버튼을 눌러주세요. 제시된 문자를 정확히 입력해 주시기 바랍니다. (영문의 경우, 대소문자 구분) 문자가 보이지 않을 경우, 여기 를 눌러주세요. 인증키입력 16) 사람의 눈으로만 인식할 수 있는 랜덤코드를 통하여 사람과 자동화 프로그램을 구별(Human Interactive Proof) 17) 사람은 쉽게 알아볼 수 있지만 컴퓨터(봇)는 알아보지 못하도록 간단한 단어를 시각적으로 훼손시키 고 복잡한 패턴의 배경화면 위에 보여주어서 이용자가 사람인지 아닌지 판단하는 프로그램 (Completely Automated Public Turing test to tell Computers and Humans Apart)
부록 2 RBL 설치 및 운영지침서 KISA RBL 18) 실시간으로 스팸의 진원지가 되는 IP주소를 파악하여 공개하는 데이터 베이스은 한국정보보호진흥원(이하 KISA )이 개발 한 IP 기반의 실시간 스팸차단리스트입니다. 국내의 주요 메일 수신 사 이트에 설치된 스팸차단 소프트웨어가 스팸을 차단한 결과로 어떤 IP 가 스팸을 발송하는 IP인지를 실시간으로 분석하여 그 결과를 배포함 으로써, 스팸 발송 IP를 차단하는 역할을 합니다. KISA RBL은 두 가지 형태로 배포가 되며, 이 문서는 중소규모의 사이트에서 활용하는 방법을 설명합니다. RBL 차단기능이 포함되어 있는 스팸차단 솔루션이 사용되고 있는 경우, 이 문서에서 설명하는 RBL 베이스 주소 19) 만 입력하면 스팸차단 솔루션에서 차단을 수행합니다. 본 문서는 RBL 차단기능이 포함된 스 팸차단 솔루션이 없는 경우를 가정하고 작성되었습니다. 스팸차단 솔 루션을 사용하고 있는 경우에는, 스팸차단 솔루션 공급자에게 RBL 기 능에 대해서 문의하시기 바랍니다. 79 부록 2007 스팸메일 차단 솔루션 활용가이드 기본적으로 차단 IP는 표준적인 DNS 형태로 공개됩니다. 특정 IP 주소(예를 들어 1.2.3.4)가 차단 IP에 들어 있는지 없는지를 확인하기 위해서는 다음과 같은 DNS LOOKUP을 통해서 조회할 수 있습니다. 18) RBL(Real-time Blocking List) 19) RBL 베이스 주소란 IP에 대한 RBL DNS 조회시 postfix로 덧붙여서 사용할 도메인 명을 의미함. 예를 들어, RBL 베이스 주소가 krrbl.or.kr 이고 IP 주소가 1.2.3.4일 경우, 4.3.2.1.krrbl.or.kr로 DNS조회를 하면 RBL에 등록되어 있는지를 확인할 수 있음.
% nslookup 4.3.2.1.krrbl.or.kr (IP 주소를 맨 끝자리부터 역순으로 뒤집어서 배열하고, 그 뒤에 krrbl.or.kr이라는 베이스 주소를 덧붙인 후에 nslookup 수행) 만약 이렇게 Lookup한 후에 그 결과가 127.0.0.x 형태로 나오게 되 면, 그 해당 IP는 차단으로 등록된 IP이며 그렇지 않고 찾을 수 없음 으로 나오면, 차단이 아닌 IP입니다. 개인정보보호 핸드북 2007 스팸메일 차단 솔루션 활용가이드 80 2.1 차단리스트 레벨 KISA RBL에서는 3가지의 차단리스트를 제공합니다. 레벨1은 스팸확률이 가장 높은 것으로써, 확인된 Open Relay, Open Proxy 서버의 IP주소가 포함됩니다. 레벨2는 스팸확률이 높은 IP를 막고자 할 때 사용합니다. 레벨3은 리스트가 가장 많으며, 해외에서 리포트된 해외IP, 국내 유 동IP 등 스팸가능성이 있는 IP입니다. 어떤 레벨까지를 스팸차단에 사용할 것인가는 사용하는 측에서 결 정하시면 됩니다. KISA RBL 사이트에서 차단 IP를 모두 다운로드 받은 후에 다운로 드 받은 데이터 내에서 직접 Lookup 하는 방식을 취하게 됩니다. 이런 방식으로 사용하시려면, 해당 사이트/머신이 KISA RBL 사이 트에 등록되어서 다운로드 권한을 부여 받으셔야 하며, 다운로드 권한 을 부여 받은 다음에는 rsync 프로그램으로 주기적인 차단리스트 다운 로드를 수행하게 되고, 다운로드 받은 차단리스트를 참조하는 것은 해 당 사이트의 머신에 설치되는 rbldnsd라는 프로그램을 통해서 조회하
게 됩니다. rbldnsd라는 프로그램이 다운로드 된 차단리스트를 참조하게 되므 로 머신 밖으로 DNS 조회가 나가지 않게 되어 사이트의 DNS 서버에 과부하를 야기하지 않습니다. (rbldnsd는 로컬로 동작할 경우, 중소규 모의 메일 서버에서 초당 3,000회 정도의 RBL DNS Lookup을 처리할 수 있습니다.) 3.1 rsync 다운로드 권한 신청 KISA RBL 사이트에 접속하셔서 계정신청을 하시면 됩니다. 계정 신청 시 사업자 등록증 사본이 필요합니다. [KISA RBL 사이트: www.kisarbl.or.kr] * 사업자등록증 사본을 이미지 파일로 업로드 해 주세요. 81 부록 2007 스팸메일 차단 솔루션 활용가이드 계정을 신청하시면, KISA RBL 운영자가 검토한 후에 계정을 활성 화시키고 확인메일을 보내 드립니다. 확인 메일 KISA RBL에 등록하셨습니다. 다음 링크를 클릭하시면 로그인 하실 수 있습니다. http://www.kisarbl.or.kr/web/confirm_email.jsp?your@mail.com 감사합니다.
확인 메일을 받으신 후, KISA RBL 사이트에 접속하셔서 로그인하 면 머신등록 메뉴가 나옵니다. 개인정보보호 핸드북 2007 스팸메일 차단 솔루션 활용가이드 82 회원으로 로그인한 후 회원호스트관리에서 접속할 머신의 IP주소와 명칭(구별자)을 넣으시고 추가버튼을 누르시면 화면과 같은 라인이 생 기며, 그 머신은 데이터 다운로드가 허락됩니다. 3.2 rsync 다운로드 시험 머신의 IP가 다운로드 가능하도록 설정되었으면, rsync 명령어를 통해서 데이터를 다운로드 하실 수 있습니다. 다음과 같은 명령어를 통 해서 다운로드가 되는지를 확인해 주시기 바랍니다. % rsync -avz www.kisarbl.or.kr::spamlist1.txt /KISARBL/zone (rsync패스)/rsync -avz kisarbl.or.kr::krrbl 받고 싶은 디렉토리 이 명령어가 끝나면 /KISARBL/zone 디렉토리에 spamlist1.txt, spamlist2.txt, spamlist3.txt 파일이 생성됩니다. Spamlist1.txt 는 차단리스트 레벨 1, Spamlist2.txt은 레벨2, Spamlist3.txt은 레벨3의 경우입니다.
Spamlist1.txt에는 레벨1인 차단 IP만 들어 있고, Spamlist2.txt에는 레벨 1, 2인 차단 IP가 들어있으며, Spamlist3.txt는 레벨 1, 2, 3 전체 를 포함하고 있습니다. 3.2.1 주기적인 다운로드 설정 주기적으로 데이터를 다운로드 하시려면, 다음과 같이 크론탭에 설 정하시면 됩니다. Rbl 데이터의 절대 위치가 /KISARBL/zone라고 했 을때, # RBL download 0 rsync -avz www.kisarbl.or.kr::krrbl /KISARBL/zone >/dev/null 2>/dev/null (0 은 매시 0분에 동작시킨다는 뜻입니다. 0분 대신 5 또는 10으로 해도 됩니다. 수행하는 명령어는 rsync -avz www.kisarbl.or.kr::krrbl /KISARBL /zone입니다. 이 명령어가 수행되려면 rsync라는 명령어가 해당 서 버에 설치되어 있어야 합니다. >/dev/null 2>/dev/null은 rsync가 실행되면서 생기는 에러가 메일 로 발송되지 않고 무시되도록 하는 것입니다.) 3.2.2 rsync 다운로드 데이터 설명 다운로드 된 데이터는 다음과 같은 텍스트 데이터입니다. 레벨별로 텍스트 파일의 길이가 다르며, 레벨 3의 spamlist3.txt의 경우 다음과 같이 3개의 섹션으로 나눠집니다. 83 부록 2007 스팸메일 차단 솔루션 활용가이드 :127.0.0.1:Blocked 201.144.13.99 Krrbl 211.37.48.243 Krrbl 203.254.120.15 Krrbl 211.217.38.129 Krrbl 211.233.80.33 Krrbl 80.51.255.213 Krrbl 211.117.163.69 Krrbl 211.233.80.31 Krrbl ---
단순한 IP 주소의 리스트로서, 레벨에 따라서 적게는 20만 많게는 200만 라인 정도의 텍스트 파일입니다. 3.3 로컬 머신에 rbldnsd 설치하기 중대형 사이트에는 해당 머신 별로 별도의 RBL 전용 DNS 데몬이 설치되어야 하는데, 이는 rbldnsd라는 오픈소스 프로그램을 사용하시 면 됩니다. 해당 프로그램을 다운로드 하셔서 설치하시면 됩니다. (원본 위치: http://www.corpit.ru/mjt/rbldnsd.html) 개인정보보호 핸드북 2007 스팸메일 차단 솔루션 활용가이드 84 rbldnsd 프로그램의 사본은 KISA RBL 사이트의 다운로드 자료실 에서 구하실 수 있습니다. 3.3.1 rbldnsd 다운로드 받기 -> 웹사이트 다운로드 게시판 KISA RBL 사이트에 접속하셔서 다운로드 링크를 클릭하시면 각 소프트웨어의 최신 버전이 공개 되어 있습니다. 3.3.2 rbldnsd 실행시키기 시스템의 이름을 확인합니다. % vi /etc/hosts # Internet host table # 127.0.0.1 localhost 203.233.240.204 a.com a.com. loghost 다운로드 한 프로그램을 압축을 푼 후에 압축을 푼 서브디렉토리에서 %./configure % make
하면 rbldnsd 프로그램이 생성됩니다. 생성된 프로그램은 임의의 위치 에 복사하시면 설치가 완료됩니다. rbldnsd가 설치된 다음에는 다음과 같은 명령어로 실행시키면 됩니다. % cd해서 rbldnsd가 설치된 디렉토리로 갑니다. %./rbldnsd -b -p 127.0.0.1/5353 a.com:ip4set:/kisarbl/zone/ spamlist1.txt /tmp/rbldnsd.pid (이렇게 설정할 경우, 로컬 머신의 5353번 포트로 DNS lookup을 할 수 있으며, 외부머신에서는 이 포트를 접근할 수 없습니다.)./Rbldnsd 실행, -b (백그라운드), -p(rbldnsd process id), 127.0.0.1(응답값), 5353(rbldnsd 사용포트), a.com(호스트네임-hosts에 등록된 이름), ip4set(ipv4 사용), /KISARBL/zone/spamlist3.txt(사용할 rbl파일), /tmp/rbldnsd.pid(pid 이름 저장 파일) 3.3.3 rbldnsd 실행 확인하기 이렇게 수행시키면, rbldnsd가 수행되고 nslookup 또는 dig명령을 수행할 수 있게 됩니다. 85 부록 2007 스팸메일 차단 솔루션 활용가이드 % nslookup > server 127.0.0.1 이 상태에서 임의의 IP(예를 들어 1.2.3.4)일 경우, 베이스 주소가
krrbl.or.kr 일 경우, > 4.3.2.1.a.com 또는 % dig @localhost -p5353 4.3.2.1.a.com 개인정보보호 핸드북 2007 스팸메일 차단 솔루션 활용가이드 86 로 Lookup을 시도하면, 127.0.0.1이 나오면 차단 IP이고 그렇지 않으 면정상IP입니다. 3.3.4 주기적인 데이터 반영 처리 크론 테이블에 다음과 같은 항목을 추가해 두면, 주기적인 다운로드 가 이뤄진 후에 rbldnsd에 그 결과가 반영됩니다. 10 kill -HUP cat /tmp/rbldnsd.pid` >/dev/null 2>/dev/null& 3.4 기존 메일 서버와의 연동 이메일 수신량이 1일 10만통 이하인 곳에서만 이용할 수 있으며, 이 메일이 수신될 때마다 KISA-RBL에 직접 쿼리하여 확인하는 방법입 니다. 별도로 소프트웨어를 설치할 필요가 없으며, 메일서버가 KISA- RBL을 참조하도록 설정만 변경하면 되므로 간편하게 이용할 수 있습 니다. 다만, 전체 3등급 중에서 1등급에 해당하는 RBL만 제공되므로, 보다 많은 스팸을 차단하거나 자신의 정책에 맞게 RBL을 선택적으로 사용하고자 하는 경우에는 내부 시스템에 RBLDNS Daemon을 설치하 는 방법을 이용하여야 합니다.
3.4.1 센드메일(Sendmail)과 연동방법 sendmail의 dnsbl이라고 부르는 FEATURE를 사용하여, 차단합니 다. sendmail.mc 추가하여 sendmail.cf 파일을 재 생성합니다. FEATURE(dnsbl, spamlist.or.kr, Rejected - see www.kisarbl.or.kr/ )dnl sendmail.mc파일의 마지막 라인에 이와 같이 넣은 후 m4 sendmail.mc >sendmail.cf로 생성한다. 3.4.2 큐메일(Qmail)과 연동방법 qmail에서 제공되는 ucspi-tcp 패키지를 이용합니다. 마찬가지로, 대량의 DNS 쿼리를 로컬로 소화하기 위해서 앞에서 언급한 존 포워딩 설정을 별도로 DNS 서버에 적용하셔야 합니다. /var/qmail/rc.smtp(메일 서버 run 파일) = 대체적으로 /var/qmail/supervise/qmail-smtpd 안의 run.sh /usr/local/bin/tcpserver-qmail -pr -c50 -u70 -g70 - x/etc/tcp.smtp.cdb 0 smtp /usr/bin/rblsmtpd -b -r "spamlist.or.kr:see /usr/bin/rblsmtpd -b /var/qmail/bin/qmailsmtpd 2>&1 /var/qmail/bin/splogger smtpd 2 & 87 부록 2007 스팸메일 차단 솔루션 활용가이드 3.4.3 익스체인지(Exchange)과 연동방법 1 시작 >프로그램 >Microsoft Exchange >System Manager 선택
2 전역설정 >메시지배달 선택 후 마우스 오른쪽을 클릭하여 등록정보 선택 - 메시지 배달 속성에서 연결 필터링 탭을 선택 차단 목록 서비스 구성 에서 추가를 클릭 - 연결 필터 규칙정보에서 표시이름, 공급자의 DNS 접미사를 작성 - 예) 표시이름 : KISARBL 공급자의 DNS 접미사 : spamlist.or.kr 개인정보보호 핸드북 2007 스팸메일 차단 솔루션 활용가이드 88 3 서버 >서버명 >프로토콜 >SMTP >Default SMTP Virtual Server 선택 후 마우스 오른쪽을 눌러서 등록정보 선택 > 일반탭에서 IP주 소영역의 고급클릭
4 고급정보에서 편집를 선택 - 구분정보에서 IP 주소의 지정하지 않은 모든 (IP)를 선택하면 IP리스트 가 나오는데 여기서 받는 메일 서버의 IP 선택 연결 필터 적용 체크한 후확인 - 위와 같이 작성 후 확인을 선택하시면 모든 설정이 완료됩니다. 89 부록 2007 스팸메일 차단 솔루션 활용가이드
부록 3 SPF 레코드 설치 및 운영지침서 개인정보보호 핸드북 2007 스팸메일 차단 솔루션 활용가이드 90 SPF 레코드는 DNS 서버의 존(Zone) 파일 TXT RR(Resource Record)에 설치되어 자사의 메일정책을 외부에 알리는 역할을 한다. 발 신 도메인의 메일정책을 나타내는 이 레코드는 메일수신 초기단계에서 DNS 쿼리를 통해 얻어지며 이때 얻어진 발신도메인의 메일정책에 의 거하여 처리된다. 이때 발신지 도메인에서 자신의 도메인에서 발송되 지 않은 메일의 거부정책을 표명하였다면 발송도메인 이외의 장소에서 발송된 위조된 메일은 수신도메인에 전송되지 않고 수신이 거부된다. 자사 도메인의 메일정책을 나타내는 SPF 정보는 자사 DNS 존(Zone) 파일의 TXT RR(Resources Record)에 자신의 도메인의 메일정책을 SPF RFC에 정의된 레코드작성 규칙에 따라 작성하여 공표한다. SPF 레코드의 출판은 한국정보보호진흥원 스팸대응팀에서 작성한 SPF 기 술설명서 혹은 SPF RFC(DRAFT-SCHLITT-SPF-CLASSIC-02)를 참고하여 작성하거나 SPF 레코드 출판을 도와주는 사이트 등을 참조하 여작성할수있다. [표 1] SPF 레코드 출판도우미 사이트 SPF 레코드 출판 도우미 사이트 http://spf.pobox.com/wizard.html http://www.anti-spamtools.org/senderidemailpolicytool/default.aspx
이때 잘못 작성된 SPF 레코드는 자사의 도메인 서버에 불필요한 부하 를 부과 하거나 자사에서 발송된 메일의 정확한 전달을 저해할 수 있으 므로 자신의 도메인에서 발송된 메일의 정상 수신여부를 반드시 확인하 여야 한다. 이는 출판된 레코드의 정상작동여부 판정서비스를 하는 사 이트를 이용하여 확인할 수 있다. [표 2] SPF 확인 도우미 사이트 SPF 레코드 확인 도우미 사이트 check-auth@verifier.port25.com 사용방법 만약 자신의 사이트 명이 domain.com, 자신의 id가 admin이면 admin @domain.com의 주소를 사용하여 check-auth@verifier.port25. com으로 메일을 전송하면 자신의 주소로(여기서는 admin@domain. com) 메일을 발송하면 설치된 SPF 레코드의 테스트 값을 전송하여 준다. 이때 자신의 도메인의 판정 값이 pass 로 확인되면 SPF가 정 상적으로 설정된 것으로 간주할 수 있다. 2.1 Bind DNS 서버에서 SPF 레코드 등록방법(UNIX, LINUX) 1 유닉스 계열의 네임서버인 BIND를 사용할 경우 /var/named 혹 은 상응하는 BIND ZONE 파일 정의 패스에 존재하는 자신의 도메 인 ZONE 파일에 자사의 메일정책을 나타내는 SPF 레코드를 추가 한다. 2 Name 서버를 재 시작한다. ex) 레드햇 계열의 리눅스일 경우/etc/init.d/named restart 3 SPF레코드 정상작동여부를 확인한다. ex) check-auth@verifier.port25.com로 메일발송 후 결과값 확인 91 부록 2007 스팸메일 차단 솔루션 활용가이드
[표 3] SPF 설치 존-파일(예) 개인정보보호 핸드북 2007 스팸메일 차단 솔루션 활용가이드 92 #존 파일 예 $TTL 86400 @ IN SOA ns.example.com root.example.com( 2005081200 serial 10800 refresh 3600 retry 604800 expire 86400 ) ttl IN NS ns.example.com. IN MX mx1.example.com www IN A 192.168.1.100 mail IN A 192.168.1.101 example.com. IN TXT v=spf1 a:mail.example.com -all 밑줄로 표시된 마지막 열이 추가된 SPF 레코드임 2.2 WINDOWS 2000/2003 DNS 서버에서 SFP 레코드 등록방법 마이크로소프트사의 MMC(Microsoft Management Console)를 사용하여 DNS 존 파일을 편집할 수 있다. 1 시작버튼 프로그램 관리자 도구 DNS 2 3 Forward lookup zones을 마우스 오른쪽 버튼을사용하여 선택한 뒤 SPF 레코드를 출판할 도메인(도메인 존 파일)을 선택한다. 레코드 리스트를 마우스 오른쪽 버튼으로 선택한 뒤 메뉴에서 Other New Record 를 클릭한다.
[그림 1] SPF 출판법 1 4 TXT 레코드 타입을 선택한 뒤 Create Record 를 클릭한다. [그림 2] SPF 출판법 2 93 부록 2007 스팸메일 차단 솔루션 활용가이드
5 위에서 작성된 SPF 레코드를Text 창에 추가한다. (이때 아래그림의 v=spf1 mx -all 은 자사의 레코드로 대치한다.) [그림 3] SPF 출판법 3 개인정보보호 핸드북 2007 스팸메일 차단 솔루션 활용가이드 94 6 Ok를 선택한 뒤 출판된 레코드를 확인한다(점선 안의 내용). [그림 4] SPF 출판법 4
자신의 도메인에 SPF레코드 설치 시 설치된 SPF가 자신의 도메인 의 메일정책을 정확하게 반영하는지 여부를 반드시 확인하여야 한다. 잘 알려진 확인방법은 다음과 같다. check-auth@verifier.port25.com에 자신의 도메인명의 메일 전송 후 반송메일의 결과값 확인 반송메일 결과값의 예 =========================================== Summary of Results =========================================== mail-from check: pass PRA check: pass DomainKeys check: neutral (message not signed) =========================================== Details: =========================================== HELO hostname: sniper.kisa.or.kr Source IP: 211.252.150.22 mail-from: joonkim@kisa.or.kr PRA Header: from PRA: joonkim@kisa.or.kr 95 부록 2007 스팸메일 차단 솔루션 활용가이드 SPF TXT record/s: v=spf1 a:sniper.kisa.or.kr ~all PRA TXT record/s: v=spf1 a:sniper.kisa.or.kr ~all Domain Key TXT record: None
http://www.dnsstuff.com/pages/spf.htm를 통한 직접확인 [그림 5] SPF 확인 사이트 개인정보보호 핸드북 2007 스팸메일 차단 솔루션 활용가이드 96 SPF 레코드가 자사의 메일정책을 외부에 알리는 역할을 하는데 반 하여 SPF 확인 장치는 메일 수신부의 MTA 20) 에 설치되어 자신의 도메 인에 수신된 메일에 대하여 송신도메인의 정책에 의거하여 수신된 메일 을 처리한다. 이때 SPF 레코드의 처리는 내용분석(Content Filtering) 전 단계에서 실시하여 메일정책에 위배되는 메일을 SMTP 21) 가전송되 기 전 커넥션 단계에서 차단함이 가장 경제적인 방법이다. SPF 22) 를적 용하기 위해서는 Sendmail의 경우 버전 8.12 이상이며 밀터(milter) 기능이 컴파일(compile) 되어있어야 한다. 참고로 Sendmail 버전 8.13 이상은 밀터 기능이 기본으로 컴파일 되도록 되어있다. Postfix의 버전 2.1 이상일 경우 SPF 패치를 설치하거나 공식 SPF 사이트인 spf. pobox.com에서 제공하는 Policy Daemon을 설치하여 SPF 기능을 사 20) Mail Transfer Agent(Mail Transfer Agent) 21) Simple Mail Transfer Protocol data 22) Sender Policy Framework
용할 수 있다. 이들 중 자사의 메일서버의 생산성에 가장 적은 영향을 미치는 방법은 메일서버 앞에 위치한 스팸솔루션에서SPF 테스트를 실 시하는 것이나 이는 해당 도메인에서 사용하는 스팸솔루션에 SPF 확인 기능이 있어야 한다. 4.1 SpamAssassin 스팸어새신 버전 3.0 이상에서는 SPF기능을 기본적(default)으로 지원해 주며 이를 사용하여 발신도메인의 메일정책(SPF) 확인 시 MTA/수신서버의 사용환경을 변경하지 않는 장점이 있다. 또한 각각의 SPF 판정결과를 자신의 도메인의 메일정책에 따라 선택적으로 스팸가 중치를 부과할 수 있다. 하지만 SPF의장점의 하나인 선택적 데이터 수 신이 지원되지 않아 위조가 확실한 메일이라 하더라도 일단 모든 데이 터를 수신한 뒤 처리하는 단점이 있다. 아래는 스팸어새신의 SPF 환경 설정 파일이며 각 SPF 판정결과에 따른 스팸성 가중치 값이 나열되어 있다(굵게 표시된 폰트). 스팸어새신과 MTA(Sendmail, Postfix, Qmail 등)의 연동은 각 MTA에서 기본적으로 지원하는 메시지 필터 기 능을 사용한다. [표 4] 스팸어새신 SPF 환경설정 스팸어세신 SPF 환경설정(/usr/share/Spamassassin/50_scores.cf) # SPF # PATH /usr/share/spamassassin/ ifplugin Mail::SpamAssassin::Plugin::SPF score SPF_PASS -0.001 # SPF 통과 시 스팸성이 0.001만큼 적어짐 endif # Mail::SpamAssassin::Plugin::SPF 97 부록 2007 스팸메일 차단 솔루션 활용가이드
4.2 Sendmail SPF 기능을 사용하기 위해서는 milter 기능이 있는 Sendmail을 사 용하여야 하며 Perl을 기반으로 Mark Kramer에 의해 개발된 spfmilter와 C를 기반으로 Jef Poskanzer에 의해 개발된 spfmilter가 있 다. 기능적으로는 Perl 기반의 SPF 밀터가 보다 오랜 기간 동안 개발되 어 다양한 기능을 제공한다. C 기반의 밀터는 libspf2 라이브러리를 사 용하며 상대적으로 적은 기능을 제공하는 반면 상대적으로 안정적이며 속도가 빠른 장점이 있다. 개인정보보호 핸드북 2007 스팸메일 차단 솔루션 활용가이드 98 4.2.1 Perl based spf-milter A. 밀터 설치에 앞서 설치하여야 할 펄 모듈 다운로드 POSIX Sendmail::Milter Socket Net::CIDR Mail::SPF::Query Mail::SRS Getopt Errno [표 5] spf-milter Perl 모듈 B. Sendmail.mc 파일 편집(다운로드 사이트 http://www.cpan. org/)