스팸릴레이기술적예방대책 김상철 Kims@certcc.or.kr kims@kisa.or.kr 한국정보보호진흥원
배경 스팸, 웜바이러스, 해킹사례가증가하여주변국가를보안을위협 초 중 고교, PC 방중소기업등이정보보호인식부족과투자 / 관리소홀 초고속국가망의위신뿐만아니라국가전체의이미지를실추 설정오류의프락시서버와메일서버 잘못설정된프락시서버, 메일서버를운영하면서스팸메일을중계하여기관전체가스팸머로오인
배경 스팸메일로인한민원이증가하는가운데, 초중고메일서버의중계기능을악용하는스팸릴레이에대한외국의항의폭주 미국 Anti-Spam 단체의 Jean Hunter 미국 monkeys.com 과덴마크 Top point 사등 일부국외기관에서는한국으로부터전송되는모든메일을차단하겠다고경고
현황 학교및릴레이서버의현황 초 중 고교는유지 / 구입비용이상대적으로방화벽보다저렴한프락시서버 ( 리눅스기반 ) 를도입 중소기업은관리자의관리설정부재 잘못설정된프락시서버, 메일서버를운영하면서스팸메일을중계 해킹바이러스상담지원센터릴레이점검서비스 5 월부터 6 월까지의웹기반의무료스팸릴레이원격점검서비스 17191 건의점검서비스중 1418 개의서버스팸릴레이허용 8.2%
원인분석 프락시서버설정오류를이용한 IP 도용 메일서버의구성및설정오류로인한스팸메일중계 관리자의전문성부족 지도기관 / 유지보수업체의인식및인력부족 서버애플리케이션개발업체 /ISP 의능동적인보안강화활동
정보보호심포지움 2002 유관기관대응현황 스
정보보호심포지움 2002 유관기관대응현황 스
스팸릴레이 Basic Algorithm 메일서버의스팸릴레이 Incoming Mail Refer to Anti-spam DB yes Anti-Spam MTA Anti-Relay Outgoing Refer to Anti-Relay DB
정보보호심포지움 2002 스팸릴레이점검방법 메일서버의스팸릴레이점검 수동점검 제 3 자서비스점검 보안취약성점검도구를이용한점검
스팸릴레이점검 ( 수동점검 ) 내부도메인및내부 IP 주소가아닌곳에서의스팸릴레이를점검 [tomcat:root]:/ > telnet 172.16.4.140 25 Trying 172.16.4.140... Connected to 172.16.4.140. Escape character is '^]'. <<< 220 certlinux.certcc.or.kr ESMTP Sendmail 8.11.0/8.11.0; Sun, 18 Feb 2001 23:54:18 +0900 >>> helo kisa <<< 250 certlinux.certcc.or.kr Hello tomcat.cyber118.or.kr [211.252.150.7], pleased to meet you >>> mail from:<ksch@certlinux.certcc.or.kr> <<< 250 2.1.0 <ksch@certlinux.certcc.or.kr>... Sender ok >>> rcpt to:<ksch90@korea.com> <<< 550 5.7.1 <ksch90@korea.com>... Relaying denied >>> rset <<< 250 2.0.0 Reset state
스팸릴레이점검 ( 제 3 자서비스 ) 스팸릴레이점검서비스를무료로제공해주는사이트를활용 http://www.certcc.or.kr/spamrelay.html http://www.whchang.com/netprg/is-relay.pl
스팸릴레이점검 ( 점검도구활용 ) 상용화된취약성점검도구나공개용취약성점검도구활용
Sendmail 스팸릴레이설정방법 8.9.0 이상의버전사용 Sendmail이참조하는 Access DB사용 spam@hacker.com REJECT spammail.com useful.org 172.16 REJECT OK 스팸릴레이설정참조사이트 RELAY http://www.certcc.or.kr/paper/tr2002/tr2002_04/sendm ail_spam.htm http://www.sendmail.org/tips/relaying.html http://www.sendmail.org/m4/anti-spam.html
정보보호심포지움 2002 스팸릴레이설정방법 Sendmail
스팸릴레이설정방법 EXIM Download http://www.exim.org 스팸릴레이설정 http://www.exim.org/howto/relay.html EMWAC DownLoad http://www.l7.net/cgibin/archives.cgi?template=archives&path=archives/emwac/server IMS 에필터링기능을부여해주는 SCMSFILTER http://www.sica.com/freestuf/scsmfilt.htm Antirelay Plugin 설치방법 http://www.orca.bc.ca/win95/antirelay.zip
스팸릴레이설정방법 Microsoft Exchange Server 5.5 버전부터 relay 를예방기능지원 Anti-Relay 에대한상세한설명 http://www.microsoft.com/technet/exchange/relay.asp 광고용전자메일메시지릴레이 (Relay) 방지 http://support.microsoft.com/default.aspx?scid=/isapi/goms com.asp?target=/korea/support/xmlkb/kr193922.asp&ln=k O Exchange 2000 Server 운영지침 http://www.microsoft.com/korea/technet/prodtechnol/excha nge/maintain/operate/opsguide/default.asp 기타 MTA (Mail Transmit Agent) http://www.whitehats.com/library/mailrelay/repairmailrelay.html
스팸릴레이설정방법 (Viruswall) Viruswall 의 Anti-Virus 기능사용시 Incoming Mail Refer to Anti-spam DB yes Anti-Spam Viruswall Anti-Relay VirusWall Daemon MTA` Anti-Relay Outgoing Refer to Anti-Relay DB
광고성스팸메일차단방법 메일헤더에대한점검룰셋 (Check Ruleset) 을지원 Sendmail.cf 에적용 메일헤더에대한필터링기능을이용 HSubject: $>check_subject ==> 메일의제목에대한헤더 ( 가장많이사용 ) HContent-Type: $>check_ct Hdate, HX-Mailer, HX-MimeOLE, HMessage-Id, Hcomments 수신거부및에러메시지에매크로정의 D{Msg_adv}"553 광고성스팸메일 (Advertisement mail) not accepted." D{Msg_master}"If postmaster@$j." you have questions, please email
광고성스팸메일차단방법 ( 예 ) 머릿글 (subject) 에광고문구가달린스팸메일수신거부 HSubject: $>check_subject D{Msg_adv}"553 광고성스팸메일 (Advertisement mail) not accepted." D{Msg_master}"We denied your mail because of advertisement(adv) mail\n If you have questions, please email postmaster@$j." Scheck_subject R< 광고 :$*> $#error $: 550 ${Msg_master} R$* 광고 $* $#error $: 550 ${Msg_master} R[ 광고 ] $#error $: 550 ${Msg_master} R< 광고 >$* $#error $: 550 ${Msg_master} R$*[ 광 - 고 ]$* $#error $: 553 D{Msg_adv} R$*[ 광고 ]$* $#error $: 553 D{Msg_adv} R$*[ 괌고 ]$* $#error $: 553 D{Msg_adv} R$*[- 광 - 고 ]$* $#error $: 553 D{Msg_adv} ** 기타필요한표현을추가해주면됨
스팸메일서버로악용되고있을때 스팸블랙리스트를관리하는대표적인사이트 http://www.mail-abuse.org http://www.orbs.org http://maps.vix.com http://www.imrss.org 메일서버의스팸메일릴레이기능을처리하고해당사이트에서스팸메일릴레이서버리스트에서삭제해달라는요구
프록시서버의 TCP Relay 문제점 HTTP CONNECT 방법을지원 모든 TCP 포트로 HTTP CONNECT 방법을이용하여접속을맺을수있도록 default 설정 8080 port 프락시서버 (222.222.222.222) 공격자 (111.111.111.111) CONNECT 123.123. Attacker = 222.222.222.222 피해자 (123.123.123.123)
프록시서버의 TCP Relay 문제점 프락시서버의주소를사용함으로써이를우회하여메일서버를이용 8080 port 프락시서버 (222.222.222.222) 스패머 (Spammer) (111.111.111.111) CONNECT 123.123. 25 port( 릴레이허용메일서버 ) 메일서버 (123.123.123.123) MAIL FROM: none@bogus.com RCPT TO: aaa@aaa.com DATA Spammer = 222.222.222.222 메일수신자 (aaa@aaa.com) 메일수신자 (bbb@bbb.com) 메일수신자 (ccc@ccc.com) 메일수신자 (zzz@zzz.com)
프록시서버의 TCP Relay 피해사례 국외로부터접수된프락시서버에대한항의메일
프록시서버의 TCP Relay 피해사례
프록시서버의 TCP Relay 피해사례
프록시서버의 TCP Relay 피해사례
프록시서버의 TCP Relay 대응 8080 port 프락시서버 인터넷 대응방법 1 : 외부망에서프락시서비스접속금지 대응방법 2 : CONNECT 를이용한임의의 TCP 포트연결금지 Telnet SMTP Login EXEC Etc.
프록시서버의 TCP Relay 수동점검
끝으로 국내정보통신망에서운영되는메일서버가외부의악의사용자로부터스팸메일릴레이서버로악용되는피해를예방 우리기관에서운영중인프락시서버의점검및대응을통한피해예방 모든정보시스템오남용에대한제도적인대책