< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

(https://www.kisarbl.or.kr)

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

Ⅰ. 개요 실시간스팸차단리스트 (RBL) 는메일서버를운영하는누구나손쉽게효과적으로스팸수신을차단하는데이용할수있도록한국인터넷진흥원 (KISA) 에서관리ㆍ운영하여무료로제공하고있습니다. 국내 외로부터스팸정보를실시간으로취합하고이를다양한기준에따라분석한결과, 스팸전송에관련된것으로확인된 IP를리스트로생성하여 1시간단위로제공합니다. 실시간스팸차단리스트 (RBL) 를이용하면수신되는모든이메일의발송IP 확인을통해스팸여부를판단하여즉각차단하므로메일서버등자원의불필요한소모를방지할수있습니다. 실시간스팸차단리스트 (RBL) 간편설정은이메일수신량이 1일 10만통이하인곳에서사용이적합하며, 이메일이수신될때마다한국인터넷진흥원 RBL서버에직접질의하여스팸여부를확인합니다. 별도로소프트웨어를설치할필요가없고, 메일서버가 RBL 서버를참조하도록설정하여간편하게이용할수있습니다. 본매뉴얼은실시간스팸차단리스트 (RBL) 를이용하여스팸메일수신을차단하는방법을소개합니다.

Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 1. 메일서버 (Exchange Server 2007) 설정변경 RBL 참조기능을사용하기위해서는 'Edge 전송서버 ' 또는 'Hub 전송서버 ' 가설치되어있어야합니다. 본매뉴얼에서는 'Hub 전송서버 ' 만설치하였습니다. Anti-spam 기능을사용하기위하여, ' 시작 ' > ' 프로그램 ' > 'Microsoft Exchange Server 2007' > 'Exchange 관리셸 ' 을실행한후, 아래와같이 AntispamAgents를설치합니다. 출처 : http://technet.microsoft.com/en-us/library/bb201691.aspx > cd 'c:\program files\microsoft\exchange server\scripts' ( 디렉터리이동 ) >./install-antispamagents.ps1 ( 설치 ) > Restart-Service MSExchangeTransport ( 서비스재시작 )

AntispamAgents가설치되면, 아래의 [ 그림2-3] 과같이 'Exchange 관리콘솔 ' 의 ' 조직구성 ' > ' 허브전송 ' 메뉴에 ' 스팸방지 ' 탭이추가됩니다. 'IP 차단목록공급자 ' 항목을더블클릭하면 'IP 차단목록공급자속성 ' 대화상자가나타납니다. ' 공급자 ' 탭선택후 ' 추가 ' 버튼을클릭하면 'IP 차단목록공급자추가 ' 대화상자가나타납니다. 다음과같이 IP 차단목록공급자구성을추가합니다. [ 그림2-5] 와같이 GUI 메뉴에서설정하거나 [ 그림2-6] 과같이명령어모드에서설정하는것을선택할수있습니다.

o GUI 설정아래의 [ 그림2-5] 와같이 'IP 차단목록공급자추가 ' 대화상자에서 ' 공급자이름 ' 을입력합니다. 임의로입력가능하며, 여기서는 'kisarbl' 을입력하였습니다. 조회도메인은 'spamlist.or.kr' 을지정하여실시간스팸차단리스트 (RBL) 를참조할수있도록합니다. ' 오류메시지 ' 를클릭하면 'IP 차단목록공급자오류메시지 ' 대화상자가나타나며 ' 사용자지정오류메시지 ' 를선택하여 SMTP 연결실패시표시할메시지를입력합니다.

o 명령어모드설정아래의 [ 그림2-6] 과같이공급자이름 (name) 은 'kisarbl' 을입력하고, 조회도메인 (LookupDomain) 은 'spamlist.or.kr' 을지정하여실시간스팸차단리스트 (RBL) 를참조할수있도록합니다. 사용자지정오류메시지 (RejectionResponse) 는 SMTP 연결실패시표시할메시지를입력합니다. http://technet.microsoft.com/ko-kr/library/bb124358.aspx > Add-IPBlockListProvider -Name:kisarbl -LookupDomain:spamlist.or.kr -RejectionResponse "Originating IP addressed matched to www.kisarbl.or.kr IP Block List provider service" 다음과같이 IP 차단목록공급자의구성을확인할수있습니다. 출처 : http://technet.microsoft.com/ko-kr/library/aa996590.aspx > Get-IPBlockListProvider

아래의 [ 그림2-10], [ 그림2-11] 과같이 IP 차단목록공급자에대한구성정보를확인할수있습니다. 출처 : http://technet.microsoft.com/ko-kr/library/bb123884.aspx > Get-IPBlockListProvidersConfig 연결필터링기능 ( 실시간스팸차단리스트 (RBL) 참조 ) 을적용하기위해서는 IPBlockListProvidersConfig의 'Enabled' 과 'ExternalMailEnabled' 의매개변수가 '$true' 로설정되어있어야하며, 만약 '$false' 로설정되어있는경우에는다음과같이설정을변경합니다. 출처 : http://technet.microsoft.com/ko-kr/library/aa998543.aspx > Set-IPBlockListProvidersConfig -Enabled:$true -ExternalMailEnabled:$true

다음과같이특정 IP 차단목록공급자구성에대한구성정보를제거할수있습니다. 출처 : http://technet.microsoft.com/ko-kr/library/bb123768.aspx > Remove-IPBlockListProvider -Identity kisarbl

2. 스팸차단테스트 다음과같이특정 IP 차단목록공급자구성에대한구성을테스트할수있습니다. 출처 : http://technet.microsoft.com/ko-kr/library/bb124998.aspx > Test-IPBlockListProvider -Identity kisarbl -IPAddress 61.x.x.83 테스트결과, 위의 [ 그림2-16] 과같이 61.x.x.83 IP가 IP 차단목록공급자의 IP 주소와일치 (True) 하는것을확인할수있습니다. 간편설정이적용된메일서버의메일로그에서다음과같이스팸차단여부를확인할수있습니다. 61.x.x.83 IP에서발송된메일이실시간스팸차단리스트 (RBL) 에의하여차단된내용을보여줍니다. C:\Program Files\Microsoft\Exchange Server\TransportRoles\Logs\AgentLog <Log 파일내용중에서 > #Software: Microsoft Exchange Server #Version: 8.0.0.0 #Log-type: Agent Log #Date: 2009-09-02T05:09:25.839Z #Fields: Timestamp,SessionId,LocalEndpoint,RemoteEndpoint,EnteredOrgFromIP,MessageId,P1From Address,P2FromAddresses,Recipient,NumRecipients,Agent,Event,Action,SmtpResponse,Re ason,reasondata 2009-09-02T06:32:33.480Z,08CBF331BA1691C5,61.x.x.102:25,61.x.x.83:35609,61.x.x.83,,sender@example.com,,receiver@example1.com,1,Connection Filtering Agent,OnRcptCommand,RejectCommand,550 5.7.1 Originating IP addressed matched to www.kisarbl.or.kr's IP Block List provider service,blocklistprovider,kisarbl

C:\Program Files\Microsoft\Exchange Server\TransportRoles\Logs\ProtocolLog\SmtpReceive <Log 파일내용중에서 > #Software: Microsoft Exchange Server #Version: 8.0.0.0 #Log-type: SMTP Receive Protocol Log #Date: 2009-09-02T05:01:54.542Z #Fields: date-time,connector-id,session-id,sequence-number,local-endpoint,remote-endpoint,even t,data,context < 중략 > 2009-09-02T06:32:38.495Z,KISARBL\SMTP 수신커넥터,08CBF331BA1691C5,17,61.x.x.102:25,61.x.x.83:35609,>,550 5.7.1 Originating IP addressed matched to www.kisarbl.or.kr's IP Block List provider service, 아래는스팸리스트에등록된 IP에서메일을발송하였을때반송된메일이며, 실시간스팸차단리스트 (RBL) 에의하여차단된것을확인할수있습니다.