AD.Exchange Server 사용 port

출발지

목적지

Protocol

Service Port

Action

용도

적용기간

IP

IP

(TCP/UDP)

사용자 대역 추가

서버 IP

TCP/UDP

53

DNS

DNS 조회

항시적 사용

사용자 대역 추가

서버 IP

UDP

67

DHCP

DHCP 서비스 사용 시

항시적 사용

사용자 대역 추가

서버 IP

TCP/UDP

88

Kerberos

Active Directory 서비스

항시적 사용

사용자 대역 추가

서버 IP

TCP/UDP

389

LDAP

Active Directory 서비스

항시적 사용

사용자 대역 추가

서버 IP

TCP

3268

GC

Active Directory 서비스

항시적 사용

사용자 대역 추가

서버 IP

TCP/UDP

135

RPC

Active Directory 서비스

항시적 사용

사용자 대역 추가

서버 IP

TCP/UDP

137

NetBIOS Name resolution

Active Directory 서비스

항시적 사용

사용자 대역 추가

서버 IP

UDP

138

NetBIOS datagram service

Active Directory 서비스

항시적 사용

사용자 대역 추가

서버 IP

TCP

139

NetBIOS session service

Active Directory 서비스

항시적 사용

사용자 대역 추가

서버 IP

TCP

1024~5000,
49152 ~ 65535

RPC dynamic assignment

Active Directory 서비스

항시적 사용

사용자 대역 추가

서버 IP

TCP/UDP

445

SMB

Active Directory 서비스

항시적 사용

사용자 대역 추가

서버 IP

TCP/UDP

464

Kerberos Password Change

Active Directory 서비스

항시적 사용

사용자 대역 추가

서버 IP

TCP

25,587

SMTP

Exchange 메일 발송

항시적 사용

사용자 대역 추가

서버 IP

TCP

80, 443

HTTP/HTTPS

Exchange 메일 서버 접속

항시적 사용

 

Exchange 2013부터 EMC(Exchange Management Console) 대신 Web기반인 EAC(Exchange Administrative Center)로 사용이 가능합니다.

Exchange Queue를 보기에 상당히 불편해 졌는데요 이에 따라 강화된 Exchange Manage Shell을 사용해 Queue상태를 확인하는 명령어를 살펴보겠습니다.


기본 Queue 명령은 Get-Queue를 사용합니다.


Get-messageTrackinglog messageID를 사용한 Detail 보고서 


Get-queue를 누르면 현재 Mail서버에서만의 큐상태를 확인할 수 있습니다.

운영중인 모든 Exchange Server Queue상태를 보려면 Get-Transportservice | get-queue 명령을 입력합니다.

삭제한 부분은 있지만 Mail-01 Mail-02서버를 포함한 모든 Exchange Server의 큐상태를 확인할 수 있습니다.


큐가운데 Count값이 높은 것은 아직 처리가 안되었다고 판단하여 이유를 확인해 봐야 합니다.


 


 

 

 

 



안녕하세요

저희 회사를 비롯하여 여러 회사에 요즘 퍼지고 있는 메일이 니 몸캠 사진을 가지고 있으니 500$의 비트코인을 보내라는 스팸메일 입니다. 근데 메일을 보내 보낸사람도 나고 받는 사람도 나네요.. 내가 보낸적이 없는데... 그럼 이 메일은 어떻게 보내지는 걸까요?

먼저 스패머는 기업에 메일을 보내야 합니다. 
근데 그 기업에 다니는 사람들의 메일 정보가 없으니 찾아봐야겠지요? 어떻게 찾을 수 있을까요? 

바로 Email address 수집을 위한 공격을 합니다. 아래 그림과 같이 메일을 무작위로 보내요. a@pp.com, ab@pp.com, abc@pp.com.....겁나게 많은 알파벳과 숫자 특수문자를 넣어서 상대방 메일 서버에 보냅니다.
이것을 Directory or Dictionary harvest Attack이라고 합니다. 

그럼 메일 서버에서는 자신의 서버에서 없는 메일은 user unknown 이런식으로 NDR(Non Delivery Report)를 보내겠지요
그럼 스패머는 "아~ NDR이 없는 메일은 잘 들어 갔으니 실제 메일 사용자가 있겠네." 라고 생각할 수 있습니다.


그럼 이제부터 상대방한테 메일을 보내야 하는데 내가 쓰는 Email 서버 IP로 스팸을 뿌리면 금방 RBL(Real Black or Block List)에 걸리게 되겠죠. "아 씨x 100개 밖에 못보냈는데 IP 막혔네...." 이렇게 생각한 스패머는 "야...그럼 다른 방법을 이용해서 스팸을 보내자.." 머 이런식으로 생각을 하겠지요

그래서 스패머는 다른 회사에 감염 PC를 만듭니다. Email을 통해 "이쁜여자 사진입니다." 뭐 이렇게 보내면 무지한 사용자가 메일 첨부를 열고 실행하면 좀비 PC가 만들어 지지요. 그 다음 사용자 PC를 통해 대량의 스팸을 발생시킵니다.

기업 담당자는 이렇게 얘기합니다. "사내에서 외부로 25번 포트를 이용해 메일을 뿌려요.. 그래서 우리 회사 메일 IP가 RBL에 걸렸네요." 하지만 경우는 안티바이러스나 PC를 포멧해버리면 그만이므로 스패머가 유용하게 사용할 방법은 아니라고 판단합니다.

그래서 스패머는 다른 방법을 생각해내지요. "다른 회사(victim)메일 서버를 통해 A회사로 스팸을 보내자"라구요
그럼 아래와 같이 From주소를 스팸을 받을 회사 주소로 To도 스팸을 받을 회사 주소로..
발신자: a@a.com
수신자 : a@a.com
그리고 이 메일을 c@c.com으로 보냅니다. 

그럼 c.com메일 서버에서는 이렇게 말하죠 "야 우리 회사에 a@a.com 주소가 없어 어디보자...보낸사람이 a@a.com이니 이쪽으로 회신을 보내야겠다." 그리고 a@a.com으로 회신을 보냅니다.

그렇게 되면 Sender와 Recipients가 동일한 메일을 이 글을 보시는 님이 받게 되는 겁니다.
여기까지가 왜 동일한 발신자 수신자 계정으로 스팸이 수신되냐입니다.
그럼 어떻게 차단해야 하나요?라는 질문이 올텐데..이미 보유하고 계신 장비에 차단 기능이 있으면 차단하시면 되나 국내에 많이 사용되고 있는 장비에서는 차단방법이 없더군요. 

발신자 IP나 도메인, 이메일주소 차단은 의미가 없습니다. 위 설명한 내용을 보시면 이해가 되실 겁니다.
그래서 지금은 안티스팸서버를 교체할 수 없으니 아쉽지만 키워드로 차단하셔야 합니다.




안녕하세요

오늘은 Microsoft에서 제공하는 SMTPDiagTool을 사용해 보겠습니다.

SMTPDiag은 아래 사이트에서 다운이 가능합니다.https://www.microsoft.com/ko-KR/download/details.aspx?id=11393


사이트 접속 후 아래 언어를 선택합니다. (사실 Command가 영어라 큰 의미가 없습니다.ㅎㅎ)

파일 다운 후 특정 경로레 저장 하시면 아래와 같이 프로그램을 확인 할 수 있습니다.

그럼 시작 > CMD를 눌러 Command창을 띄어 보겠습니다.

CMD실행 후 아래와 같이 명령을 입력합니다.

SmtpDiag.exe 발신자메일주소 수신자메일주소 /V 옵션은 smtpdiag.exe를 누르면 확인이 가능합니다.

Smtpdiag.exe yks5001@naver.com yks5001@gmail.com /v로 네이버에서 구글로 메일이 갈수 있는지 확인해 보겠습니다.

명령을 입력하면 Local의 DNS상태를 확인하고 보내는 메일 서버(Naver.com)의 MX레코드를 확인합니다.

그리고 받는 메일 서버인 Gmail에 대한 MX 레코드를 확인합니다. 문제가 없으면 대부분 초록색으로 쭈~~욱

마지막으로 25번 Port를 통해 실제 연결 TEST를 하게 됩니다.

아래와 같이 ehlo 메세지를 보내고 Sender와 Recipient 정보 입력 후 250 OK가 떨어지는 것을 확인 할 수 있습니다.

마지막으로 보냄이 뜨면 실제 메일 전송에는 문제가 없다고 판단할 수 있습니다.

이 테스트는 주로 실제 상대방의 메일서버에 정상으로 연결할 수 있는지 확인하는 용도로 많이 사용됩니다.


감사합니다.


'02. Microsoft' 카테고리의 다른 글

SMTPdiag 메일 테스트 툴 사용 방법  (0) 2018.08.03
Office 언어팩, 언어교정팩  (0) 2014.09.03
550 Unknown User  (0) 2014.09.03
550 SC-002  (0) 2014.09.03
FAT, NTFS, exFAT 비교  (0) 2013.07.11

+ Recent posts

티스토리 툴바