스팸 방지 및 바이러스 백신 메일 흐름 이해

  • 아티클

 

적용 대상: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

마지막으로 수정된 항목: 2009-01-22

외부 사용자가 스팸 방지 기능을 실행하는 Microsoft Exchange 서버로 전자 메일 메시지를 보내는 경우 스팸 방지 기능은 인바운드 메시지의 특성을 평가하여 스팸으로 의심되는 메시지를 필터링하거나 메시지가 스팸일 가능성에 따라 등급을 지정합니다. 이 등급은 메시지와 함께 SCL(스팸 지수) 등급이라는 메시지 속성으로 저장됩니다. 메시지를 다른 Exchange 서버로 보낼 때 이 등급이 메시지와 함께 유지됩니다.

그림 1은 기본 스팸 방지 기능 및 Microsoft Forefront Security for Exchange Server가 인터넷에서 들어오는 인바운드 메시지를 필터링하는 순서를 보여줍니다. 기본적으로 스팸 방지 및 바이러스 백신 기능은 리소스 필터링을 가장 적게 사용하는 필터를 먼저 사용하여 이와 같은 순서로 정렬되며, 리소스 필터링을 가장 많이 사용하는 필터는 마지막에 사용됩니다.

참고

앞으로는 더 많은 스팸 방지 기능을 사용할 수 있습니다. 새로운 스팸 방지 기능이 개발되면 그 기능은 전체 메일 흐름에 포함될 것입니다. 또한 다음 그림과 설명에서는 Exchange Server 2007 Edge 전송 서버가 인바운드 메시지를 허용하는 첫 번째 SMTP(Simple Mail Transfer Protocol) 서버라고 가정합니다. 일부 조직에서는 타사 SMTP 서버 뒤에 Edge 전송 서버를 배포하기도 합니다. Exchange 2007 Edge 전송 서버가 타사 SMTP 게이트웨이 서버 뒤에 배포되면 Exchange 2007 Edge 전송 서버에는 추가 구성이 필요합니다. 특히 모든 SMTP 게이트웨이 서버가 TransortConfig 개체의 InternalSMTPServer 속성에 나열되는지 확인해야 합니다. 자세한 내용은 Set-TransportConfig를 참조하십시오.

그림 1   인터넷에서 들어오는 인바운드 메시지에 대한 바이러스 백신 필터링 기능이 포함된 기본 스팸 방지 기능

스팸 방지 및 바이러스 백신 필터 다이어그램

그림 1에서와 같이 Edge 전송 서버가 인터넷에서 들어오는 메시지를 받는 경우 필터는 다음 순서로 적용됩니다.

  • SMTP 서버가 Exchange 2007에 연결되어 SMTP 세션을 시작합니다.

  • 연결 필터링

  • 보낸 사람 필터링

  • 받는 사람 필터링

  • 보낸 사람 ID 필터링

  • 콘텐츠 필터링

  • 첨부 파일 필터링

  • 바이러스 백신 검사

참고

그림 1에는 세부 사항이 나와 있지 않지만 연결 필터링은 두 개의 다른 이벤트 중에 정보를 수집합니다. 연결 필터링이 정보를 수집하는 첫 번째 이벤트는 그림 1에 나와 있습니다. 여기서 연결 필터링은 해당 연결에서 IP 주소 정보를 수집합니다. 연결 필터링이 정보를 수집하는 또 다른 경우는 그림 3에 나와 있습니다. 여기서 보낸 사람 필터 에이전트는 메시지 머리글을 구문 분석하여 첫 번째 외부 IP 주소를 확인합니다. 에이전트는 여러 이벤트를 모니터링할 수 있습니다. 그림 1에서는 에이전트가 적용되는 대략적인 순서를 자세히 보여줍니다. 이는 모든 에이전트가 사용 가능하도록 설정되어 있는 경우이며 메시지 흐름을 보여주기 위한 용도입니다. 특정 이벤트 및 에이전트가 모니터링하는 이벤트에 대한 자세한 내용은 전송 에이전트 개요를 참조하십시오.

연결 필터링

SMTP 세션 중에 Exchange 2007은 그림 2에서와 같이 다음 기준을 사용하여 연결 필터링을 적용합니다.

그림 2   연결 필터링 메일 흐름

연결 필터링 다이어그램

  1. 연결 필터 에이전트는 관리자가 정의한 IP 허용 목록을 검사합니다. 보내는 서버의 IP 주소가 관리자가 정의한 IP 허용 목록에 있으면 보낸 사람 필터링에 의해 메시지가 처리됩니다.

  2. 연결 필터 에이전트는 로컬 IP 차단 목록을 검사합니다. 보내는 서버의 IP 주소가 로컬 IP 차단 목록에 있으면 메시지는 자동으로 거부되고 다른 필터는 적용되지 않습니다.

  3. 연결 필터 에이전트는 사용자가 보유한 모든 IP 허용 목록 공급자가 허용한 IP 주소 목록을 검사합니다. 보내는 서버의 IP 주소가 IP 허용 목록 공급자가 허용한 IP 주소 목록에 있으면 보낸 사람 필터링에 의해 메시지가 처리됩니다.

  4. 연결 필터 에이전트는 사용자가 구성한 IP 차단 목록 공급자의 RBL(실시간 차단 목록)을 검사합니다. 보내는 서버의 IP 주소가 RBL에 있으면 메시지는 거부되고 다른 필터는 적용되지 않습니다.

자세한 내용은 연결 필터링 구성을 참조하십시오.

참고

인터넷에서 메시지를 받는 다른 서버 뒤에 있는 컴퓨터에 연결 필터 에이전트를 배포하는 경우 보낸 사람 필터링 및 받는 사람 필터링 등의 다른 필터가 연결 필터 에이전트보다 먼저 호출됩니다.

보낸 사람 필터링

연결 필터링을 적용하고 나면 Exchange 2007에서는 그림 3에서와 같이 보낸 사람 전자 메일 주소를 보낸 사람 필터링에서 구성한 수신 거부 목록과 비교하여 검사합니다.

그림 3   보낸 사람 필터링 메일 흐름

보낸 사람 필터링 다이어그램

그런 다음 보낸 사람 필터 에이전트에서 메시지 머리글 및 메시지 봉투의 보낸 사람: 머리글 필드에 포함된 보낸 사람의 전자 메일 주소를 확인합니다. 보낸 사람: 머리글 필드가 수신 거부 목록의 주소와 일치하는 경우 Exchange 2007에서는 프로토콜 수준에서 메시지를 거부하며 다른 필터는 적용되지 않습니다.

참고

조직의 받는 사람이 보낸 사람을 Microsoft Office Outlook 수신 허용 - 보낸 사람 목록에 추가한 경우에도 Edge 전송 서버의 보낸 사람 필터링은 받는 사람의 Outlook 설정을 무시하며 메시지는 거부됩니다.

보낸 사람 필터링에 대한 자세한 내용은 보낸 사람 필터링 구성을 참조하십시오.

메시지 봉투 및 메시지 머리글에 대한 자세한 내용은 재생 디렉터리 관리를 참조하십시오.

받는 사람 필터링

보낸 사람 필터링이 메시지를 거부하지 않는 경우 Exchange에서는 연결 필터링을 다시 실행합니다. 그런 다음에는 그림 4에서와 같이 받는 사람 필터 에이전트가 적용됩니다.

그림 4   받는 사람 필터링 메일 흐름

받는 사람 필터 다이어그램

받는 사람 필터링 에이전트는 받는 사람을 사용자가 받는 사람 필터 에이전트 설정에 구성한 받는 사람 차단 목록과 비교하여 검사합니다. 받는 사람이 받는 사람 차단 목록에 있는 전자 메일 주소와 일치하면 Exchange 2007은 해당 받는 사람에 대한 메시지를 거부합니다. 또한 받는 사람 필터 에이전트는 받는 사람이 실제로 조직에 있는지도 확인합니다. 받는 사람이 조직에 없는 경우에는 해당 받는 사람에 대한 메시지가 거부됩니다.

메시지에 받는 사람이 여러 명 나열되어 있는 경우 모든 받는 사람이 받는 사람 차단 목록에 없으면 메시지는 계속 처리됩니다. 그러나 메시지를 차단된 받는 사람 한 명에게만 보내는 경우 다른 필터는 적용되지 않습니다.

차단된 받는 사람이 포함된 메시지가 처리될 때 해당 차단된 받는 사람 집합이 메시지에서 제거되며 메시지는 조직에 계속 전송됩니다. 프로토콜 수준 SMTP 거부 응답은 차단된 각 받는 사람의 보낸 사람에게 전송됩니다. 보낸 사람 신뢰도 에이전트는 OnReject 이벤트를 모니터링하여 보낸 사람 신뢰도 수준을 계산합니다.

자세한 내용은 받는 사람 필터링 구성을 참조하십시오.

보낸 사람 ID 필터링

받는 사람 필터링을 적용한 후에 메시지에 올바른 받는 사람이 포함되어 있는 경우 Exchange 2007은 그림 5에서와 같이 보낸 사람 ID를 실행합니다.

그림 5   보낸 사람 ID 필터링 메일 흐름

보낸 사람 ID 필터링 다이어그램

먼저 보낸 사람 ID 에이전트는 RFC 4407에 설명되어 있는 알고리즘을 사용하여 메시지의 PRA(Purported Responsible Address)를 확인합니다. 메시지를 보낸 사람을 정확하게 확인하려면 이 단계를 수행해야 합니다. PRA는 kim@contoso.com 같은 SMTP 주소입니다. 그런 다음 보낸 사람 ID 에이전트는 PRA의 도메인 부분에 대해 DNS(도메인 이름 서비스) 조회를 수행합니다. 해당 도메인에서 SPF(보낸 사람 정책 프레임워크) 레코드를 게시한 경우 에이전트에서는 해당 SPF 레코드를 사용하여 RFC 4408의 사양에 따라 메시지를 평가합니다. 이 평가 작업의 결과는 메시지의 스팸 방지 스탬프에 스탬프 처리됩니다. 해당 도메인에 게시된 SPF 레코드가 없으면 보낸 사람 ID 에이전트는 메시지에 보낸 사람 ID 결과를 "없음"으로 스탬프 처리합니다. 보낸 사람 ID 필터링에 사용되는 스탬프 유형에 대한 자세한 내용은 스팸 방지 스탬프를 참조하십시오.

보낸 사람의 DNS가 차단된 도메인이나 주소에 포함되어 있으면 보낸 사람 ID 작업 구성에 따라 다음 작업이 수행될 수 있습니다.

  • 메시지 거부 보낸 사람 ID 작업이 메시지 거부로 설정되어 있으면 Exchange에서 해당 메시지를 거부하고 보내는 서버로 SMTP 오류 응답을 전송합니다. SMTP 오류 응답은 보낸 사람 ID 상태에 해당하는 텍스트를 포함하는 5xx 수준의 프로토콜 응답입니다.

  • 메시지 삭제   보낸 사람 ID 작업이 메시지 삭제로 설정되어 있으면 보내는 서버에 삭제를 알리지 않은 채 메시지를 삭제합니다. 실제로 Edge 전송 서버 역할이 설치되어 있는 컴퓨터에서는 보내는 서버에 위장 "확인" SMTP 명령을 보낸 후 메시지를 삭제합니다. 보내는 서버에서 메시지를 보낸 것으로 가정하므로 동일한 세션에서 메시지 전송을 다시 시도하지 않습니다.

  • 보낸 사람 ID 결과로 메시지를 스탬프 처리하고 계속 진행   보낸 사람 ID 결과가 메시지에 스탬프 처리되고 메시지가 계속 처리됩니다. 이 메타데이터는 SCL을 계산할 때 콘텐츠 필터 에이전트에서 평가합니다. 또한 보낸 사람 신뢰도는 해당 메시지를 보낸 사람의 보낸 사람 신뢰도를 계산할 때 메시지 메타데이터를 사용합니다.

자세한 내용은 보낸 사람 ID 구성을 참조하십시오.

콘텐츠 필터링

Exchange 콘텐츠 필터링은 Exchange 지능형 메시지 필터를 호출하기 전에 보낸 사람 필터링을 다시 적용합니다. 그런 다음에는 그림 6에서와 같이 Exchange 서버에서 콘텐츠 필터 에이전트를 적용합니다.

그림 6   콘텐츠 필터링 메시지 흐름

콘텐츠 필터 에이전트 메일 흐름

콘텐츠 필터 에이전트는 메시지에서 다음 조건을 확인합니다. 다음 조건이 참인 경우 해당 메시지에 대한 콘텐츠 필터링은 무시됩니다. 그러면 이러한 메시지는 처리를 위해 바이러스 백신 검사 단계로 이동할 수 있습니다.

  • 보낸 사람의 IP 주소가 연결 필터링에 대해 IP 허용 목록에 있습니다.

  • 모든 받는 사람이 콘텐츠 필터링에 대해 예외 목록에 있습니다.

  • AntiSpamBypassEnabled 매개 변수가 모든 받는 사람의 사서함에서 $True로 설정되어 있습니다.

  • 모든 받는 사람이 이 보낸 사람을 Outlook 수신 허용 - 보낸 사람 목록에 추가했습니다. 이 목록은 수신 허용 목록 집계를 사용하여 Edge 전송 서버로 업데이트됩니다.

  • 보낸 사람은 신뢰할 수 있는 파트너이며 필터링되지 않는 조직의 보낸 사람 목록에 있습니다.

여기 나열된 조건 외에도, SMTP 세션을 신뢰할 수 있는 파트너로 인정했으며 관리자가 파트너에 대해 스팸 방지 무시(Ms-Exch-Bypass-Anti-Spam) 사용 권한을 부여한 경우에는 해당 세션 동안 메시지에 대해 스팸 방지 에이전트를 사용할 수 없게 됩니다. 스팸 방지 무시 사용 권한은 파트너에게 기본적으로 부여되지 않으며 관리자가 할당해야 합니다.

메시지가 여기서 설명한 조건을 충족하지 않는 경우에는 콘텐츠 필터링이 적용됩니다. 콘텐츠 필터링은 메시지에 대해 SCL 등급을 할당합니다. 해당 SCL 등급에 따라 다음 작업 중 하나가 수행됩니다.

  • 메시지에 대한 SCL 등급이 SCL 삭제 임계값보다 크거나 같으며 SCL 삭제 임계값을 사용하는 경우 콘텐츠 필터 에이전트에서 메시지를 삭제합니다. 보내는 시스템이나 보낸 사람에게 메시지가 삭제되었음을 알리는 프로토콜 수준의 통신이 없습니다. SCL 등급이 SCL 삭제 임계값보다 작은 경우 콘텐츠 필터 에이전트는 메시지를 삭제하지 않습니다. 대신 SCL 값과 SCL 거부 임계값을 비교합니다.

  • 메시지에 대한 SCL 등급이 SCL 거부 임계값보다 크거나 같으며 SCL 거부 임계값을 사용하는 경우 콘텐츠 필터 에이전트에서 메시지를 거부하고 보내는 시스템에 대해 거부 응답을 발송합니다. 거부 응답을 사용자 지정할 수 있습니다. 경우에 따라 NDR(배달 실패 보고서)을 메시지를 처음 보낸 사람에게 보냅니다. SCL 등급이 SCL 거부 임계값보다 작은 경우 콘텐츠 필터 에이전트는 메시지를 거부하지 않습니다. 대신 SCL 값과 SCL 격리 임계값을 비교합니다.

  • 메시지에 대한 SCL 등급이 SCL 격리 임계값보다 크거나 같으며 SCL 격리 임계값을 사용하는 경우 콘텐츠 필터 에이전트에서 해당 메시지를 스팸 격리 사서함을 보냅니다. 스팸 격리를 관리하는 방법에 대한 자세한 내용은 스팸 격리 구성 및 관리를 참조하십시오. 그런 다음 메시지에 대해 계속해서 첨부 파일 필터링이 수행됩니다.

자세한 내용은 다음 항목을 참조하십시오.

첨부 파일 필터링

콘텐츠 필터링이 적용된 후에 Exchange는 그림 7에서와 같이 첨부 파일 필터링을 적용합니다.

그림 7   첨부 파일 필터링 메일 흐름

첨부 파일 필터 다이어그램

첨부 파일의 MIME 콘텐츠 형식, 파일 이름 또는 파일 이름 확장명에 따라 첨부 파일을 차단하도록 첨부 파일 필터링을 구성할 수 있습니다. 첨부 파일 필터링에서 차단된 파일 이름의 콘텐츠 유형을 발견하는 경우 첨부 파일 필터링 설정에 따라 다음 작업 중 하나가 수행됩니다.

  • 거부   작업 설정을 거부로 지정하면 전자 메일 메시지와 첨부 파일이 모두 받는 사람에게 배달되지 않으며 시스템에서 보낸 사람에 대해 DNS 오류 메시지를 생성합니다. 거부 응답을 사용자 지정할 수 있습니다.

  • 자동 삭제   작업 설정을 자동 삭제로 지정한 경우 전자 메일 메시지와 첨부 파일이 모두 받는 사람에게 배달되지 않습니다. 보낸 사람에게 전자 메일 메시지와 첨부 파일이 차단되었다는 알림을 반환하지 않습니다.

  • 삭제   작업 설정을 삭제로 지정한 경우 첨부 파일이 전자 메일 메시지에서 삭제됩니다. 이 값을 사용하면 첨부 파일 차단 목록의 항목과 일치하지 않는 메시지와 기타 첨부 파일을 받는 사람에게 배달할 수 있습니다. 첨부 파일이 차단되었다는 알림이 받는 사람의 전자 메일 메시지에 추가됩니다.

메시지가 거부 또는 삭제되지 않았거나 첨부 파일 필터링에서 차단된 첨부 파일 유형을 찾지 못하면 메시지에 대해 바이러스 검사를 수행합니다.

자세한 내용은 첨부 파일 필터링 구성 방법을 참조하십시오.

바이러스 백신 검사

첨부 파일 필터링을 적용한 후 또는 받는 사람이 첨부 파일 필터링을 건너뛴 경우 그림 8에서와 같이 Forefront Security for Exchange Server 바이러스 백신 검사가 적용됩니다.

그림 8   Forefront Security for Exchange Server 바이러스 백신 검사 메일 흐름

전면 바이러스 백신 필터 다이어그램

Forefront Security for Exchange Server는 Exchange 2007과 긴밀하게 통합되어 있으며 Exchange 환경에 대해 추가적인 바이러스 백신 보호 기능을 제공하는 바이러스 백신 소프트웨어 패키지입니다. Forefront Security for Exchange Server에서 바이러스가 포함된 것으로 보이는 메시지를 발견하면 시스템에서 해당 메시지를 삭제하고 알림 메시지를 생성하며 받는 사람의 사서함으로 알림을 보냅니다.

Forefront Security for Exchange Server에 대한 자세한 내용은 Microsoft Forefront Security for Exchange Server를 사용하여 Microsoft Exchange 조직 보호를 참조하십시오.

Outlook 정크 메일 필터링

모든 필터를 적용하고 메시지에 대해 바이러스 검사를 수행하고 나면 그림 9에서와 같이 메시지가 받는 사람의 사서함으로 발송되며 정크 메일 필터링이 적용됩니다.

그림 9   Outlook 정크 메일 필터링 메일 흐름

Outlook 정크 메일 필터 다이어그램

메시지에 대한 SCL 등급이 SCL 정크 메일 폴더 임계값보다 크거나 같고 SCL 정크 메일 폴더 임계값을 사용하는 경우 사서함 서버는 Outlook 사용자의 정크 메일 폴더로 메시지를 보냅니다. 메시지에 대한 SCL 값이 SCL 삭제, 거부, 격리 및 정크 메일 폴더 임계값보다 작은 경우 사서함 서버는 사용자의 받은 편지함으로 메시지를 보냅니다. SCL 임계값에 대한 자세한 내용은 스팸 지수 임계값 조정을 참조하십시오.

자세한 내용

스팸 방지 및 바이러스 백신 기능에 대한 자세한 내용은 다음 항목을 참조하십시오.