내가찾은 신대륙 넥스트라인

제목	메일필터링을 통한 E-Mail 보안

첨부파일	email_filter_security.pdf	작성일	2005-04-19 14:05:59

[목 차]

1. 개요

2. E-mail 를이용한 공격방법
   2.1 액티브 컨텐츠 공격
   2.2 버퍼오버플로우 공격
   2.3 트로이잔 목마공격
   2.4 쉘스크립트 공격

3. Procmail 을 통한E-mail 보안
   3.1 Sanitizer 설치
   3.2 Sanitizer 설정방법
   3.3 다양한 보안정책 구현을 위한 설정
   3.4 자가 보안필터 구현

4. Inflex 보안도구를 통한E-mail 보안
   4.1Inflex 설치 및실행
   4.2 Inflex 룰셋 설정
   4.3 Virus Scanner(백신)과의 연동

-----------------------------------------------------------------------

1. 개요

Firewall이널리 보급되면서 서버의 보안 취약점에 대한 공격은 효과적으로 방어할 수있게 되었다.반면, E-mail 첨부파일, HTML이내장된 E-mail 등을 이용한 공격은 아직 효과적인 대응방법이 없다.특히, 이러한 공격은 대부분의 사이트에서 제공하는 서비스(E-mail, HTTPD 등)를이용한 공격이기 때문에 더욱 탐지하거나 차단하기가 쉽지 않다. 최근의 인터넷 웜 공격은 이러한 취약점을 이용한 것으로 99년 Melissa 바이러스를 기점으로하여 급속히 증가하고 있다.

본고에서는 E-mail과 관련된 보안 취약성에 대하여 알아보고 이에 대한 대응방법을 소개한다. 메일서버차원에서 각 조직의 메일 보안정책을 구현할 수 있도록 도와주는 Procmail 등과 같은 도구의 사용및기능에 대하여 설명한다.

※ 본문서는 악성프로그램 예방지침의 참고자료로 작성된 자료이다.
악성프로그램 예방지침 :http://www.certcc.or.kr/paper/tr2000/2000-08/tr2000-08.htm

2. E-mail를 이용한 공격방법

2.1 액티브 컨텐츠 공격

메일열람시 HTML 기능이 있는 E-mail 클라이언트나 웹 브라우저를 사용하는 이용자를 대상으로 하는공격기법이다. 주로 "자바스크립트"나"비주얼베이직스크립트"등과같은 HTML 또는 E-mail 클라이언트의 스크립팅 기능을 이용하여 피해자의 컴퓨터에서 정보를 유출하거나 악성프로그램을 실행시킨다.

이러한 공격의 간단한 예로는 사용자가 메시지를 열어볼 때 음란사이트나 광고사이트를 보여주도록하거나 또는 시스템을 마비시키는 서비스거부공격 공격 형태를 보여준다. 최근에 발견되는 VBS 웜을예로들수 있다.

※ AnnaKournikova : http://www.certcc.or.kr/cvirc/Alert/61/AnnaKournikova.html

이런공격은 E-mail 클라이언트 프로그램의 버그나 시스템의 버그를 이용하는 것이 아니기 때문에보안패치로써 해결하지 못한다. 무었보다 E-mail 클라이언트의 스크립팅 기능을 사용하지 않도록 설정하는 것이중요하다. 다음은 Outlook에서 스크립팅 기능을 제거하는 방법이다.

또다른 방법으로는 메일서버에서 메일이 저장될 때 이러한스크립트 태그를 다른 이름으로 바꾸어 자장하는 방법이있다. 이렇게 함으로서 사용자가 메일을 읽을때는 메일 클라이언트는 스크립트를 해석하지 못하게된다.

2.2 버퍼오버플로우 공격

일반적인 버퍼오버플로우 공격과 마찮가지로 E-mail 서버또는 클라이언트의 취약성을 이용하여 다양한공격을 수행할 수있다. 현재 메일서버로 많이 사용하고 있는 sendmail은 취약성이 많이 보완되어왔으나, 메일 클라언트에서는 아직많은 보안문제들이 발견되고 있다. Outlook Express,Netscape Mail 등에서 발견된 버퍼오버플로우 취약성은 공격자가 조작된 E-mail을보내 피해자의 컴퓨터에서 임의의명령을 실행하거나 트로이잔 같은 악성 프로그램을 심을 수 있도록 한다.

※ MS Outlook BufferOverflow : http://www.certcc.or.kr/advisory/ka2000/ka2000-025.txt

이러한 취약성은 메일서버 또는 메일클라이언트의 보안패치를 적용함으로서 해결할 수 있다. 또한 메일서버에서 조작된 E-mail 헤더나 첨부 헤더를 탐지하여 수정함으로서 메일 클라이언트 공격을 예방할 수 있다.

2.3 트로이잔 목마 공격

트로이잔 목마를이용한 공격은 일반 사용자가 트로이잔 프로그램을 실행시켜 해당시스템에 접근할 수있는 백도어를 만들게 하거나 또는 시스템에 피해를 주게 한다. 이러한 공격의 예로는 분산 서비스공격을 수행하는 Win/Trinoo 트로이잔, 패스워드와 같은정보를 수집하는 스파이형 트로이잔, 그리고 시스템 자원을 사용하는 트로이잔에 이르기 까지 매우 다양하다.

이러한 공격이 성공하기 위해서는 피해자가 트로이잔을 실행시키도록 유도해야 되는데 이때 "사회공학기법(Social engineering)"이 사용된다. "Loveletter", "annakournikova.jpg" 와 같은 이름은 사용자로하여금 첨부파일을 실행시키도록 유도한다. 특히, 시스템 관리자를 사칭하여 첨부된 프로그램을 실행시키도록 하는 메일 메시지를 받았을 때는반듯이 관리자에게 확인을 한 뒤 실행시켜야 한다.

특히, 윈도우 시스템은 디폴트로 파일이름의 확장자를 숨기도록 설정되어 있어, 공격자는 다음과같은파일명을 사용하여 트로이잔 실행파일이나 스크립트 파일의 확장자를 숨길 수 있다.

xxx.txt.vbs -txt 파일로 가장한 비주얼베이직 실행스크립트
xxx.jpg.scr -jpg 그림파일로 가장한 스크린세이버 실행파일
xxx.mpg.dll - 동영상 파일로 가장한 dll 실행 파일
xxx.txt.exe - txt 파일로가장한 실행 파일

이러한 공격을 당하지 않기 위해서는 메일을 통해 수신한 프로그램을 실행시키지 않아야 한다. 메일 첨부파일을 바로더블 클릭하는 것은 매우 위험한 습관이다. 하지만 최근에는 이러한 사용자 주의를 우회할 수 있는 공격도 있다. E-mail 클라이언트의 버그 또는 잘못된 설계로 인하여 사용자의 간섭없이도자동으로 트로이잔을 실행시킬수 있는 공격방법이 공개되어 있다.

이러한 공격을 예방하는 방법으로 메일서버에서 실행가능한 첨부파일 이름을 실행되지 못하는 이름으로바꾸는 방법이 있다(예, exploit.exe를 exploit.defanged-exe 등으로 바꾸어 메일클라이언트에서실행되지 않도록 한다). 또 다른 방법으로는 메일 첨부파일을 조작하여 첨부파일로 보이지 않도록 바꾸는 것이다. 사용자가 반듯이첨부파일을 얻기 위해서는 시스템 관리자에게 연락하여야 한다. 이는시스템관리자가 첨부파일을 점검할 수 있는기회를 제공한다. 다음은 bugtraq, 뉴스그룹, 그리고 백신업체의 권고문에서 나오는 트로이잔 목마의 확장자와 파일이름 들이다.

*.asd   *.chm        *.dll                  *.ocx                *.hlp
*.hta    *.js             *.pif                  *.scr                 *.shb
*.shs    *.vb            *.vbe                 *.vbs                *.wsf
*.wsh   IBMls.exe    anti_cih.exe      aol4free.com     avp_updates.exe
*.[a-z][a-z][a-z0-9].[a-z0-9]+ (to catch "double-extension" attachments)
babylonia.exe     badass.exe    buhh.exe     chocolate.exe    compu_ma.exe
happy99.exe     i-watch-u.exe    ie0199.exe    jesus.exe    list.doc
lovers.exe     navidad.exe     path.xls     photos17.exe    picture.exe
pretty park.exe     prettypark.exe    qi_test.exe      seicho_no_ie.exe    serialz.hlp
setup.exe     story.doc     suppl.doc     surprise!.exe    x-mas.exe
y2kcount.exe    yahoo.exe     zipped_files.exe

트로이잔 공격의또 다른 채널은 매크로 기능을 제공하는 프로그램의 데이터 파일을 이용할 수 있다.최근의 워드프로세서, 스프레드쉬트, 데이터베이스 등은 이를 지원한다. 이러한 첨부파일을 열때는항상백신프로그램을 통하여먼저 바이러스 감염여부를 확인하도록 해야 한다. 그리고 이러한 기능을 지원하는 프로그램에서 매크로를 자동으로 실행하는 모드를 제거해야 한다.

2.4 셀스크립트 공격

유닉스와 같은시스템은 사용상의 편리와 확장을 위해 쉘스크립트를 제공한다. 어떤 메일 프로그램은메일 메시지를 처리할 때 내장된 쉘 명령을 지원하는데, 이를 잘못 사용하게 되면, 공격자는 조작된메일헤더를 포함한 메일을 보내해당 시스템에서 특정명령이 수행되도록 할 수있다. 이는메일헤더를검사하여 이러한 조작된 부분을 탐지할 수 있다.

3. Procmail을 통한 E-mail 보안

"Procmail"은강력한 메일 프로세서로 메일 메시지의 헤더와 본문에서 특정 정보를 찾아정의된 규칙에따라 적절한 조치를 수행하는 프로그램이다. procmail의 설치, 설정 등과 관련된 자세한 내용은 다음링크를 참조 바란다.

∙관련 한글문서 :http://trade.chonbuk.ac.kr/~leesl/procmail/index.html
∙procmail 최신버전 :http://www.procmail.org/

    procmail 설치하기
    a. procmail 최신버전(procmail-3.15.1) 다운로드
         - http://www.procmail.org/
    b. 압축을 풀고 압축을 푼 디렉토리로 이동
         # tar -xvf procmail-3.15.1.tar.gz # cd procmail-3.15.1
    c. procmail 설치
         # make install 또는

※ 보안을 위해서는 make install-suid를 하는것이 바람직

3.1 Sanitizer 설치

다음 사이트에서 제공되는 "sanitizer"라는 procmail ruleset은 앞서 설명한 E-mail을 이용한 모든 공격에 효과적으로 대응할 수 있도록 해준다."sanitizer" 파일을 윈도우 시스템에서 다운로드 받을 경우에는각라인에서 DOS 시스템의 "end-of-line" 문자를 제거해 줘야 한다. 잘모르면 유닉스에서 다운로드받아 수정하지 않고 그대로 사용하면 된다.

∙Procmail 보안홈페이지
ftp://ftp.rubyriver.com/pub/jhardin/antispam/procmail-security.html

∙sanitizer 다운로드URL
http://www.impsec.org/email-tools/procmail-sanitizer.tar.gz
ftp://ftp.rubyriver.com/pub/jhardin/antispam/procmail-sanitizer.tar.gz

위 사이트중 한군데서 다운로드 받은 파일의 압축을 풀면, 관련 설명 문서들과 sanitizer 설정파일인 "html-trap.procmail", 그리고 필터링해야될 파일목록이 있는 "poisoned-files" 파일이생기게 된다.

자동으로 모든사용자의 E-mail에 대하여 필터링하기 위해서는 다음과 같이 "Sanitizer" 룰셋을 설치하면된다.

o Sanitizer 설치를위한요구사항
   - procmail이설치되어 있어야 한다.
   - sendmail을이용할 경우 Local Delivery Agent로procmail을사용하도록 설정되어 있어야 하는데 이는 /etc/sendmail.cf 파일에서 다음과같이 설정하면 된다.

Mlocal, P=/usr/bin/procmail, F=lsDFMAw5:/|@qSPfhn9, S=10/30, R=20/40, A=procmail -Y -a $h -d $u

- perl이설치되어 있어야 한다.

o 유닉스시스템에서의"sanitizer" 설치
- 소유자와 그룹이 root인/etc/procmail 디렉토리를 755(rwxr-xr-x) 권한으로 설정
- 위의 ftp 사이트에서sanitizer 룰셋을다운받아위디렉토리에저장하고 소유자와그룹은 root로 그리고권한은 644(rw-r--r--)로설정한다.
- 설정방법에 따라 룰셋을 설정한다.

※ 만약게이트웨이로 사용되는 sendmail relay에서필터링을 하고자 할 경우에는 다음사이트를 참고하여 /etc/sendmail.cf 파일을 수정하고 /etc/procmail/filter.rc 파일을 만들어야 한다.

http://www.impsec.org/email-tools/procmail-on-gateway.txt

※ Outgoing 메일에 대한 필터링은 다음 사이트를 참고하여 /etc/sedmail.cf 파일을 수정하고/etc/procmail/outgoing.rc 파일을 만들어야 한다.

http://trade.chonbuk.ac.kr/~leesl/procmail/outgoing_mail_filter.html

3.2 Sanitizer 설정방법

sanitizer는 환경변수와 설정에 따라 통제되는데,이는 "/etc/procmailrc" 이라는 파일을 통해 이루어 진다.

다음은 기본적인 /etc/procmailrc 파일의 예이다.

PATH="/usr/bin:$PATH:/usr/local/bin" SHELL=/bin/shPOISONED_EXECUTABLES=/etc/procmail/poisoned SECURITY_NOTIFY="postmaster, security-dude"
SECURITY_NOTIFY_VERBOSE="virus-checker" SECURITY_NOTIFY_SENDER=/etc/procmail/local-email-security-policy.txt SECRET="CHANGE THIS"
# this file must already exist, with proper permissions (rw--w--w-): SECURITY_QUARANTINE=/var/spool/mail/quarantine
POISONED_SCORE=25
SCORE_HISTORY=/var/log/macro-scanner-scores
DROPPRIVS=YES
LOGFILE=$HOME/procmail.log
# Finished setting up, now run the sanitizer...
INCLUDERC=/etc/procmail/html-trap.procmail
# Reset some things to avoid leaking info to
# the users...
POISONED_EXECUTABLES=
SECURITY_NOTIFY=
SECURITY_NOTIFY_VERBOSE=
SECURITY_NOTIFY_SENDER=
SECURITY_QUARANTINE=
SECRET=

만약이미 /etc/procmailrc 파일을 이용하고 있다면, 위 내용을 추가하면된다. 다음은 etc/procmailrc 파일에서 사용되는 각각의 환경변수에 대한 설명이다. 위 예에 포함되지 않는것도 설명한다.

o MANGLE_EXTENSIONS

앞서설명한 것 처럼 각 기관의 메일정책에 따라첨부파일의 확장자 이름을 제한하는 방법중의 하나이다. 만약첨부된 파일의 확장자가 ".exe"일 경우, ".mangled-exe"로 바꾸어 주는 역할을 한다. 이는다음과 같은 보안상의 효과를 가져온다.

※ 첨부된 파일의 확장자를 다른 이름으로 바꿈으로서 클라이언트에서 이를 실행(더블클릭)했을때실행되지 않도록하는 것이다. 이럴경우, 사용자가 첨부된파일을 실행시키기 위해서는 먼저 파일을저장한 다음에 이름을 바꾸고 실행시켜야 되기때문에 백신이 바이러스를 검사할 기회를 갖게되는 것이다.

※ 자동실행되는 악성 코드일 경우에는 이름을 바꿈으로서 첨부된 코드를 찾지못하도록 하여 공격을 방지할 수 있다.

Sanitizer는다음과 같이 디폴트로 위험한 확장자에 대하여 MANGLE_EXTENSIONS 환경변수를 설정하고있기 때문에 특별히 따로 설정할 필요가 없으나, 만약 각 기관의 메일정책에 따라 변경할 경우 또는디폴트 설정이 불편한 경우에는 다음라인을 수정하여 procmailrc 파일에 추가하면 된다. 단"INCLUDERC=/etc/procmail/html-trap.procmail" 가 있는 라인 이전에 설정하여야 한다.

※ 디폴트 MANGLE_EXTENSIONS 설정 :

MANGLE_EXTENSIONS='html?|exe|com|cmd|bat|pif|sc[rt]|lnk|dll|ocx|do[ct]|xl[swt]|p[po]t|rtf|vb[se]
?|hta|p[lm]|sh[bs]|hlp|chm|eml|ws[cfh]|ad[ep]|jse?|md[abew]|ms[ip]|reg|asd|cil|pps|asx|wm[szd]'

* 주: MANGLE_EXTENSIONS은 한 라인에 모든 확장자를 기입하여야 하며, 포맷이 틀릴 경우, 큰 문제가발생할 수 있다. 포맷을 위에서처럼 확장자간에 "|" 문자를 이용하여 구분해 주면 된다.

또한기관의 특성에 따라 보안레벨을 정의하여 구현할 수도 있다. 예를 들어 자신의 도메인내에서 오고가는 메일에 대해서는 엑셀파일과 워드 파일의 확장자를 그대로 보존하고자 할경우에는 다음과 같이할수 있다.

/etc/procmailrc 파일에서"INCLUDERC=/etc/procmail/html-trap.procmail" 라인 전에 다음과 같은규칙을 설정한다.

:0
* ^From:.*<[a-z0-9]+@mydomain.com>

* ^To:.*<[a-z0-9]+@mydomain.com>

{

MANGLE_EXTENSIONS='html?|exe|com|cmd|bat|pif|sc[rt]|lnk|dll|ocx|dot|xl[wt]|p[po]t|rtf|vb[se]
?|hta|p[lm]|sh[bs]|hlp|chm|eml|ws[cfh]|ad[ep]|jse?|md[abew]|ms[ip]|reg|asd|cil|pps|asx|wm[szd]'
}

o POISONED_EXECUTABLES

바이러스가 주로이용하는 파일이름의 목록을 가진 파일이름을 정의해 준다. 디폴트로/etc/procmailrc 디렉토리에 "poisoned" 라는 이름의 파일을 지정하고 있으므로 poisoned 파일을 해당디렉토리에 카피하면 된다. 현재는 MANGLE_EXTENSIONS에 나온 확장자에 대해서만 파일이름을검사하도록 되어 있으나 다음버전에서 개선될 것이라고 한다. 디폴트로 필터링하는 파일이름은 1장에서 설명한 바와 같다. 특정파일이름을 사용하는 바이러스나 웜이 나타날 때 마다POISONED_EXECUTABLES에의해 설정된 파일을 업데이트해 줌으로서 악성프로그램으로부터의 공격에보다 적절히 대응할 수 있는 기능을 제공한다.

POISONED_EXECUTABLES=/etc/procmail/poisoned

o DISABLE_MACRO_CHECK

Microsoft Office의 위험한 매크로에 대한 검사기능을 제거한다. sanitizer는 Word documents, Excel spreadsheets, PowerPoint presentations 등의 첨부파일을 검사하여 위험한 VBA 매크로(보안설정을 변경기키거나, 레지스트리를 변경하는 등의매크로)를찾아내는 기능이 있다. 만약이러한 기능을사용하지 않으려면 다음과 같이 DISABLE_MACRO_CHECK 값을 임의의 값으로 설정하면 된다.

DISABLE_MACRO_CHECK=YES

만약위 기능을 이용하려면 다음과 같은추가적인 도구를 설치하여야 한다.

※ metamail package의일부인 mimencode
※ mktemp
리눅스에서는 대부분 배포판에 포함되어 있으나 다른 종류의 유닉스에서는 소스를 다운받아 컴파일하고설치해야 한다.

o POISONED_SCORE

sanitizer는 위험한 매크로 코드의 모든 부분을 탐지할 때마다 이를 카운트하여,일정 수준이 되면 해당문서를 감염□다고판단한다. 디폴트로 25로 설정되어 있으나 대부분의 매크로 바이러스는 100이상의수치를 갖는다. 따라서 80 - 100 정도의 값을 갖도록 하는 것이 바람직 하다.

POISONED_SCORE=100

o SCORE_HISTORY

POISONED_SCORE 값이 적절히 설정되었는지 알아보기 위해 매크로 검사 결과를 기록할 수 있다.다음과 같이 SCORE_HISTORY를 설정하면 된다. 해당 파일은 (rw--w--w-)의 권한을 가져야 한다.

SCORE_HISTORY="/var/spool/mail/macro-scanner-scores"

o SECURITY_QUARANTINE

sanitizer의 규칙에 따라 감염된(poisoned) 또는 감염된 것으로 판단된 메시지를 보관해두는 장소를 설정한다. 이러한 메시지는 수신자에게 가지 않고 설정된 파일에 쌓이게 된다. 해당 파일은 (rw--w--w-)의권한을 갖도록 설정하여야 하며, 파일 내용은 표준 메일박스 형태로 쌓이게된다. 만약 SECURITY_QUARANTINE 값이설정되지 않으면 감여된 메일은 수신자에게 가게 된다.

SECURITY_QUARANTINE="/var/spool/mail/quarantine"

o SECURITY_NOTIFY

감염된 파일이 탐지되었을 때,해당사실을 누구에게 공지할 것인가는 설정한다. 공지는 필터링된 메시지의 헤더를 포함한다. 또한 QUARANTINE이실패할 경우도 이 사실을 SECURITY_NOTIFY에설정된사용자에게 공지하게 된다.

SECURITY_NOTIFY="postmaster, dilbert@example.com"

o SECURITY_NOTIFY_VERBOSE

SECURITY_NOTIFY와 같으나, 필터링된 메시지의 원문이 포함된다. 이는 quarantine 파일 대신에 사용될수도 있다.

SECURITY_NOTIFY_VERBOSE="wally@example.com, hb@example.com"

o SECURITY_NOTIFY_SENDER

감염된 메시지를 보낸 사람에게 해당 사실을 통지할 것인가를 설정한다. 이를 위해서는SECURITY_NOTIFY 값이반듯이 설정되어 있어야 한다. 만약 경고 메시지에 각기관의 보안정책을 포함하는 등의것으로 수정하고 싶을 경우에는 파일로 만들어 설정해 주면 된다. 디폴트 메시지를 사용할경우에는 존재하지 않는 파일이름으로 설정한다.

SECURITY_NOTIFY_SENDER=YES 또는
SECURITY_NOTIFY_SENDER="/etc/procmail/policy-note.txt"

o SECURITY_NOTIFY_RECIPIENT

감염된 메일의 수신자에게 해당 사실을 공지할 것인가를 설정한다. 하지만 메일 릴레이에서는 제대로 작동하지 않으므로 설정하지 않는 것이 좋다.

SECURITY_NOTIFY_RECIPIENT="/etc/procmail/quarantined.txt"

o SECURITY_STRIP_MSTNEF

Microsoft Outlook 과 Microsoft Exchange는 "Outlook Rich Text"라는 포맷을 지원하는데, 이는 모든종류의 파일 첨부를 Microsoft 포맷 첨부로 묵어주는 역할을 한다. 일반적으로 "WINMAIL.DAT"라는이름으로 사용되며, "MS-TNEF" 포맷으로 불리운다. 그리고 다른 메일 클라이언트에서는 호환되지않는다. MS-TNEF는일반적으로 필터링되지 않으며, 파일내에 송신자의 설정정보를 포함하기 때문에정보를 유출시킬 수도 있다. MS에서도 MS-TNEF 포맷의 첨부는 조직 내에서만 사용할 것을 권장하고 있다.

SECURITY_STRIP_MSTNEF을 임의의 값으로 설정하게 되면 메시지에서 이러한 첨부를잘라내게 되며, 해당 사실을 공지하는 내용과 함께수신자에게 보내지게 된다. 파일 첨부는 복구될 수없다.

SECURITY_STRIP_MSTNEF=YES

※ 참고자료
See http://support.microsoft.com/support/kb/articles/Q241/5/38.ASP,
http://support.microsoft.com/support/kb/articles/Q138/0/53.ASP
http://www.microsoft.com/TechNet/exchange/2505ch10.asp

o DEFANG_WEBBUGS

"Web bugs" 는 아주 조그마한 이미지로 email 메시지를 추적하는데 사용된다. 이미지를 표시하는 URL을 포함시켜, HTML 기능이 있는 메일 프로그램이 해당이미지를 표시하기 위해지정된 URL에접속할 때, 이를 기록하여 메일 메시지의 위치를 확인하는 방법이다. 이러한 방법은 특히, 스팸 메일이실제 사용자에게 도달하였는지를 확인하는데 사용되기도 하며, 또는 메시지의 전달을 추적하는데 사용된다. 그리고 이는 음성파일을 이용해 구현될 수도 있다.

만약이러한 것이 각 기관의 보안정책 또는 개인정보보호정책에 위반되는 것이라면 DEFANG_WEBBUGS 환경변수를 이용하여 이를막을 수 있다. DEFANG_WEBBUGS 값을 임의의 값으로 설정하면 sanitizer는 와 태그를 수정하여(defang) 이러한 정보수집 행위를막게된다.

DEFANG_WEBBUGS=YES

o SECURITY_TRUST_STYLE_TAGS


	PHP 웹 게시판 관련 침해사고 분석 및 보안대책


	메일서버의 스팸릴레이 시험방법 및 대응방법