메일서버의 SPAM RELAY TEST

해킹바이러스 상담지원 센터cert@certcc.or.kr
김상철 kims@certcc.or.kr

1. 개요

E-Mail의보편화와 맞물려서 스팸(Spam)메일이라 일컬어지는 악성 광고메일이 요즘 극성을 부리는 통에메일서버 관리자들(Postmasters)은메일 송수신 에이전트(MTA : Mail Transport Agent) 프로그램의 환경 설정방법에 많은 주의를 기울일 필요가 있다. 많은 관리자들은 메일서버를 설치시 Anti-Spam 메일서버의 정확한 설치와 환경설정방법을 몰라 메일서버가 스팸릴레이 서버로 이용되는 불미스러운 일이 발생하기도 한다. 뿐만아니라 국내메일 서버들이 스팸메일 서버로 오인되게끔 하여메일 서버로서의 제 기능을 담당하지 못하도록하는 일이종종 발생하기도 한다.

이문서에서는 국내에서 보편적으로 많이 사용되는 메일서버의 메일 릴레이 테스트방법에 대하여 서술하였으며, 각각의 메일서버가 릴레이되고 있는 경우에는 참고문헌 사이트를 통하여 메일서버관리자들에게 대응방법을 제공하고자 하였다.

2. Mail Relay 테스트

아래의 스크립트는 kisa.or.kr(211.252.150.11)의 위치에서 실행되는 메일 릴레이 테스트의 세부명령및 명령어의 실행결과에 대한 상세내용을 보여준다.메일 릴레이 테스트를 위해 사용된 MTA (172.16.4.140 :certlinux.certcc.or.kr)는Sendmail 8.11.0을 사용하였다. ksch90@korea.com은현재 테스트를 위해 사용되고 있는 korea.com의 웹메일 계정이다. 다음의 시험들은 현재 사용되고 있는 MTA가 외부에서 Spam 메일 릴레이로 악용될 취약점이 있는지를 체크하도록 구성되어졌다. 아래의 19가지 시험 항목중에서 하나 이상의시험 결과에 성공하였다면 해당 메일서버가 스팸메일서버로 악용될 취약점을 갖고 있음을 의미한다. 그렇기 때문에 해당 기관의 보안정책을 잠재적으로 위반하게 될 것이다. 당신의 메일 서버가 메일릴레이에 취약하다면 3절의 "문제해결"을참조하여 대응하기 바란다.

이러한 메일 릴레이 테스트를 자동화 시켜주는 자동화된 메일 릴레이 테스트 도구들인 인터넷 상에많이 공개되고 있다. 이러한 도구를 사용해서 테스트 하는 방법도 좋은방법이지만 공개도구들에는 여러 가지세부사항에 맞추어 테스트 하기가 어렵게 구성되어 있다.

이스크립트 중에서 "<<<"는 실행결과를 표준출력장치(모니터)에출력된 결과를 의미하며, ">>>"는표준입력장치(키보드)에의해 입력되는 명령어를 의미한다.

[tomcat:root]:/ > telnet 172.16.4.140 25
Trying 172.16.4.140...
Connected to 172.16.4.140.
Escape character is '^]'.
<<< 220 certlinux.certcc.or.kr ESMTP Sendmail 8.11.0/8.11.0; Sun, 18 Feb 2001 23:54:18 +0900
>>> helo kisa
<<< 250 certlinux.certcc.or.kr Hello tomcat.cyber118.or.kr [211.252.150.7], pleased to meet you
>>> mail from: 
<<< 250 2.1.0 ... Sender ok
>>> rcpt to: 
<<< 550 5.7.1 ... Relaying denied
>>> rset
<<< 250 2.0.0 Reset state

이테스트는 스팸 메일 릴레이의 가장기본적인 테스트로서 사용되는 방법이다. 내부 도메인 및 내부 IP주소가 아닌 곳에서의 Relay 테스트가 "250 2.1.5 ksch90@korea.com... Recipient ok"로응답하면 릴레이를 허용하는 것이므로 허용정책 설정을 반드시 재점검하여 "550 5.7.1 ... Relayingdenied"메시지가 뜨도록 설정해 주어야만 한다. 이러한 설정방법에 대한 3절의 문제해결을 참조하기 바란다.

Relay test #1: 출발지와 목적지의 Email 주소가 동일한 경우의 릴레이 시도 테스트

>>> maill from:ksch@kisa.or.kr
<<< 250 2.1.0 ksch@kisa.or.kr... Sender ok
>>> rcpt to:ksch@kisa.or.kr
<<< 550 5.7.1 ksch@kisa.or.kr... Relaying denied

Relay test #2 : 올바르지 않은출발지 주소를 사용하여 시도할경우

>>> mail from: spamtest@spam.mail.kisa.or.kr
<<< 501 5.1.8 spamtest@spam.mail.kisa.or.kr... Sender domain must exist

Relay test #3 : 출발지 주소를 localhost 호스트명을 사용할 경우

>>> mail from: relaytest@localhost
<<< 553 5.5.4 relaytest@localhost... Real domain name required

Relay test #4 : 메일을 보내려고 하는 시스템이 로컬 도메인에 있는것처럼 속이기 위해 전체적인 도메인 이름을 생략하여 메일을 보내려고 할때

>>> mail from:
<<< 553 5.5.4 ... Domain name required

Relay test #5 : 출발지 메일주소 없이 메일을 보내기 위한 시도

 >>> mail from:<>
<<< 250 2.1.0 <>... Sender ok
>>> rcpt to:ksch90@korea.com
<<< 550 5.7.1 ksch90@korea.com... Relaying denied

Relay test #6 : 피해서버의 FQDN(Fully qualified domain name)을 출발지 주소로 지정하여 시도

>>> mail from: root@certlinux.certcc.or.kr
<<< 250 2.1.0 root@certlinux.certcc.or.kr... Sender ok
>>> rcpt to: ksch90@korea.com
<<< 550 5.7.1 ksch90@korea.com... Relaying denied

Relay test #7 : 피해 SMTP서버의 IP주소를 []를사용하여 시도

>>> mail from: spamtest@[172.16.4.140]
<<< 250 2.1.0 spamtest@[172.16.4.140]... Sender ok
>>> rcpt to: ksch90@korea.com
<<< 550 5.7.1 ksch90@korea.com... Relaying denied

Relay test #8 : %스타일의 relay를사용하여 시도. 많은 예전의 MTA들은 이러한 문법들을 지원할 수있다.

>>>mail from:ksch@kisa.or.kr
<<<250 2.1.0 ksch@kisa.or.kr... Sender ok
>>>rcpt to:ksch90%korea.com@certlinux.certcc.or.kr
<<<550 5.7.1 ksch90%korea.com@certlinux.certcc.or.kr... Relaying denied

Relay test #9 : FQDN대신에 피해 SMTP서버의 IP주소를 사용하여 %스타일의 relay를시도

>>> mail from:ksch@certlinux.certcc.or.kr
<<< 250 2.1.0 ksch@certlinux.certcc.or.kr... Sender ok
>>> rcpt to:ksch%kisa.or.kr@[172.16.4.140]
<<< 550 5.7.1 ksch%kisa.or.kr@[172.16.4.140]... Relaying denied

Relay test #10 : 이중인용부호("")를 사용하여 목적지 주소를 지정하여 relay를 시도

>>> mail from:ksch@certlinux.certcc.or.kr
<<< 250 2.1.0 ksch@certlinux.certcc.or.kr... Sender ok
>>> rcpt to:"ksch90@korea.com"
<<< 550 5.7.1 "ksch90@korea.com"... Relaying denied
>>> rcpt to:"ksch@kisa.or.kr"
<<< 550 5.7.1 "ksch@kisa.or.kr"... Relaying denied

Relay test #11 : %스타일의 문법과 이중인용부호("")를 사용하여 Relay를 시도

>>> mail from:ksch@certlinux.certcc.or.kr
<<< 250 2.1.0 ksch@certlinux.certcc.or.kr... Sender ok
>>> rcpt to:"ksch90%korea.com"
<<< 550 5.7.1 "ksch90%korea.com"... Relaying denied
>>> rcpt to:"ksch%kisa.or.kr"
<<< 550 5.7.1 "ksch%kisa.or.kr"... Relaying denied

Relay test #12 : 출발지 E-Mail주소의 호스트명이 피해SMTP 서버의 IP주소이고, 또한 목적지 E-mail주소가이중인용부호를 사용된 @@ 릴레이 문법을 사용하여 릴레이 시도

>>> mail from:ksch@[172.16.4.140]
<<< 250 2.1.0 ksch@[172.16.4.140]... Sender ok
>>> rcpt to:"ksch90@korea.com@certlinux.certcc.or.kr"
<<< 550 5.7.1 "ksch90@korea.com@certlinux.certcc.or.kr"... Relaying denied

Relay test #13 : 목적지 E-Mail주소에 이중인용부호를 사용하고 피해 SMTP버서의 IP주소를 사용해서 relay
시도

>>> mail from:ksch@certlinux.certcc.or.kr
<<< 250 2.1.0 ksch@certlinux.certcc.or.kr... Sender ok
>>> rcpt to:"ksch90@korea.com"@[172.16.4.140]
<<< 550 5.7.1 "ksch90@korea.com"@[172.16.4.140]... Relaying denied

Relay test #14 : 인용부호 없이Style을 사용하고 SMTP서버의 IP주소를 사용하여 릴레이 시도

>>> mail from:ksch@certlinux.certcc.or.kr
<<< 250 2.1.0 ksch@certlinux.certcc.or.kr... Sender ok
>>> rcpt to:ksch90@korea.com@[172.16.4.140]
<<< 550 5.7.1 ksch90@korea.com@[172.16.4.140]... Relaying denied

Relay test #15 : Relay를 허용할 수 있는 또다른 email syntax

>>> mail from:ksch@[172.16.4.140]
<<< 250 2.1.0 ksch@[172.16.4.140]... Sender ok
>>> rcpt to:@certlinux.certcc.or.kr:root@kisa.or.kr
<<< 550 5.7.1 @certlinux.certcc.or.kr:root@kisa.or.kr... Relaying denied

Relay test #16 : 피해 SMTP서버의 IP주소를 사용하여 릴레이를 허용할 수 있는 또다른 E-mail Syntax 방법

>>> mail from:ksch@certlinux.certcc.or.kr
<<< 250 2.1.0 ksch@certlinux.certcc.or.kr... Sender ok
>>> rcpt to:@[211.252.150.11]:root@kisa.or.kr
<<< 550 5.7.1 @[211.252.150.11]:root@kisa.or.kr... Relaying denied

Relay test #17 : E-mail 주소의 문법을 변조하고, IP주소가 출발지의 E-Mail주소로 사용하여 릴레이시도

>>> mail from:ksch@[172.16.4.14]
<<< 250 2.1.0 ksch@[172.16.4.14]... Sender ok
>>> rcpt to:
<<< 550 5.7.1 ... Relaying denied
>>> rcpt to:kisa.or.kr!nobody
<<< 550 5.7.1 kisa.or.kr!nobody... Relaying denied
>>> rcpt to:kisa.or.kr!root
<<< 550 5.7.1 kisa.or.kr!root... Relaying denied

Relay test #18 : E-mail 주소의 문법을 변조하고 피해 SMTP서버의 IP주소를 목적지 주소로 사용하여 Relay시도

>>> mail from:ksch@certlinux.certcc.or.kr
<<< 250 2.1.0 ksch@certlinux.certcc.or.kr... Sender ok
>>> rcpt to:kisa.or.kr!nobody@[172.16.4.14]
<<< 550 5.7.1 kisa.or.kr!nobody@[172.16.4.14]... Relaying denied

Relay test #19 : "Postmaster"의 계정이름을 사용하여 시도할 경우, 아마도 이러한 경우는 어떤 SMTP서버는특별한 경우로 취급되어져서 릴레이가 허용될 수 도 있다.

>>> mail from:postmaster@certlinux.certcc.or.kr
<<< 250 2.1.0 postmaster@certlinux.certcc.or.kr... Sender ok
>>> rcpt to:root@kisa.or.kr
<<< 550 5.7.1 root@kisa.or.kr... Relaying denied

3. Fix The Problem (문제 해결)

이절에서는 국내에서 가장 보편화 되어 많이 사용되는 MTA에 대해서만 언급하였다. UNIX기반에서는 sendmail, exim에대해서만 기술하였거, Window Workgroup에서는 EMWAC와 Microsoft의 Exchange Server에대해서만 기술 하였다.