안녕하세요

저희 회사를 비롯하여 여러 회사에 요즘 퍼지고 있는 메일이 니 몸캠 사진을 가지고 있으니 500$의 비트코인을 보내라는 스팸메일 입니다. 근데 메일을 보내 보낸사람도 나고 받는 사람도 나네요.. 내가 보낸적이 없는데... 그럼 이 메일은 어떻게 보내지는 걸까요?

먼저 스패머는 기업에 메일을 보내야 합니다. 
근데 그 기업에 다니는 사람들의 메일 정보가 없으니 찾아봐야겠지요? 어떻게 찾을 수 있을까요? 

바로 Email address 수집을 위한 공격을 합니다. 아래 그림과 같이 메일을 무작위로 보내요. a@pp.com, ab@pp.com, abc@pp.com.....겁나게 많은 알파벳과 숫자 특수문자를 넣어서 상대방 메일 서버에 보냅니다.
이것을 Directory or Dictionary harvest Attack이라고 합니다. 

그럼 메일 서버에서는 자신의 서버에서 없는 메일은 user unknown 이런식으로 NDR(Non Delivery Report)를 보내겠지요
그럼 스패머는 "아~ NDR이 없는 메일은 잘 들어 갔으니 실제 메일 사용자가 있겠네." 라고 생각할 수 있습니다.


그럼 이제부터 상대방한테 메일을 보내야 하는데 내가 쓰는 Email 서버 IP로 스팸을 뿌리면 금방 RBL(Real Black or Block List)에 걸리게 되겠죠. "아 씨x 100개 밖에 못보냈는데 IP 막혔네...." 이렇게 생각한 스패머는 "야...그럼 다른 방법을 이용해서 스팸을 보내자.." 머 이런식으로 생각을 하겠지요

그래서 스패머는 다른 회사에 감염 PC를 만듭니다. Email을 통해 "이쁜여자 사진입니다." 뭐 이렇게 보내면 무지한 사용자가 메일 첨부를 열고 실행하면 좀비 PC가 만들어 지지요. 그 다음 사용자 PC를 통해 대량의 스팸을 발생시킵니다.

기업 담당자는 이렇게 얘기합니다. "사내에서 외부로 25번 포트를 이용해 메일을 뿌려요.. 그래서 우리 회사 메일 IP가 RBL에 걸렸네요." 하지만 경우는 안티바이러스나 PC를 포멧해버리면 그만이므로 스패머가 유용하게 사용할 방법은 아니라고 판단합니다.

그래서 스패머는 다른 방법을 생각해내지요. "다른 회사(victim)메일 서버를 통해 A회사로 스팸을 보내자"라구요
그럼 아래와 같이 From주소를 스팸을 받을 회사 주소로 To도 스팸을 받을 회사 주소로..
발신자: a@a.com
수신자 : a@a.com
그리고 이 메일을 c@c.com으로 보냅니다. 

그럼 c.com메일 서버에서는 이렇게 말하죠 "야 우리 회사에 a@a.com 주소가 없어 어디보자...보낸사람이 a@a.com이니 이쪽으로 회신을 보내야겠다." 그리고 a@a.com으로 회신을 보냅니다.

그렇게 되면 Sender와 Recipients가 동일한 메일을 이 글을 보시는 님이 받게 되는 겁니다.
여기까지가 왜 동일한 발신자 수신자 계정으로 스팸이 수신되냐입니다.
그럼 어떻게 차단해야 하나요?라는 질문이 올텐데..이미 보유하고 계신 장비에 차단 기능이 있으면 차단하시면 되나 국내에 많이 사용되고 있는 장비에서는 차단방법이 없더군요. 

발신자 IP나 도메인, 이메일주소 차단은 의미가 없습니다. 위 설명한 내용을 보시면 이해가 되실 겁니다.
그래서 지금은 안티스팸서버를 교체할 수 없으니 아쉽지만 키워드로 차단하셔야 합니다.




 

  1. 대시 보드 > 컨텐츠 탭을 클릭합니다.

  2. 정책 > 이메일 > 이메일 컨텐츠 필터링 정책 > 추가를 클릭합니다.

  3. 모든 리소스 유형 > 선택을 클릭합니다.

  4. 정책 이름을 설정하고 조건을 추가합니다.

  5. 메시지의 특정 부분 텍스트 > 제목 선택

    정규 표현식과 일치 > ^$ 입력 후 확인을 클릭합니다.

  6. 조건이 추가 되었습니다. 조건이 충족될 때 사용할 작업을 설정합니다.

    해당 조건에 체크 표시 후 저장을 클릭합니다.

  7. 컨텐츠 필더링 정책이 추가 되었습니다.

     

  • Symantec Message Gateway Web 접속시에 아래와 같이 보안 인증서에 문제가 있다는 메시지가 확인 됩니다.

    [이 웹 사이트를 계속 탐색합니다.(권장하지 않음)]을 클릭하면 SMG Console이 보이지만 오늘은 인증서를 발급받아 신뢰할 수 있는 인증서를 기반으로 SMG에 로그인해 보도록 하겠습니다.

  • 인증서를 설정 하려면 [관리] > [설정] > [인증서] > [TLS및 HTTPS인증서] > [추가] 를 클릭합니다

  • 인증서의 속성을 입력합니다.

    실제 인증될 주소(https://IP또는호스트이름)을 입력합니다.

  • 요청을 누르면 아래와 같이 CSR메세지가 출력 됩니다. 이 CSR내용을 Copy하여 저장합니다.

  • Microsoft Active Directory Certificate Service를 이용하여 인증서를 만들어 보겠습니다.

    ADSC의 인증서 서비스 Web사이트로 접속합니다.

  • [인증서 요청]을 클릭합니다.

  • [고급 인증서 요청]을 클릭합니다.

  • [Base 64 인코딩 CMC 또는 PKCS #10 파일을 사용하여…]를 클릭합니다.

  • 4번 과정에서 복사한 CSR을 [지정된 요청]에 붙여 넣습니다. 그리고 인증서 템플릿은 [웹 서버]를 지정합니다.

  • [Base 64로 인코드] > [인증서 체인 다운로드]를 클릭하여 인증서 체인을 다운로드 합니다.

  • 인증서 체인을 저장합니다.

  • SMG로 로그인 하여 [인증서 설정] > [인증 기관] > [가져오기]를 클릭합니다.

  • 11번에서 저장한 인증서 체인을 가져옵니다.

  • CA 인증서 가져오기가 완료 되었습니다.

       

   

  1. 설치 미디어를 넣고 부팅을 시작하면 아래와 같이 SMG 설치가 진행 됩니다.

  2. 설치가 완료되면 아래와 같이 서비스가 실행 됩니다.

  3. 로그인 화면 admin/symantec으로 로그인하시면 됩니다.

       

   

 

  1. Symantec Message Gateway에 로그인 합니다.

    Localhost login : admin

    Password : Symantec

  2. 로그인 후 패스워드를 변경합니다.

  3. SMG의 host name을 지정합니다.

  4. Timezone을 설정합니다.

    ?를 누르면 아래와 같이 해당하는 Timezone을 찾을 수 있습니다.

  5. SMG에 할당할 IP를 입력합니다.

  6. Subnet Mask를 입력합니다.

  7. Route설정에서 NO를 입력합니다.

  8. Gateway 를 입력합니다.

  9. DNS 를 입력합니다.

  10. DNS가 서버가 더 있다면 YES를 누르고 아니면 NO를 누릅니다.

  11. YES를 선택한 경우 DNS 를 입력합니다.

  12. DNS가 서버가 더 있다면 YES를 누르고 아니면 NO를 누릅니다.

  13. Alliance에 설치될 Role을 입력합니다.

    1. Scanner Only : Scanner로만 동작합니다.
    2. Control Center Only : Control Center로만 동작합니다.
    3. Scanner and Control Center : Scanner와 Control Center로 동작합니다.
  14. 현재까지의 구성을 확인 후 이상이 없으면 YES 변경사항이 있으면 NO를 눌러줍니다.

  15. 설치 완료 후 재 부팅 됩니다.

       

       

       

  1. Symantec Message Gateway 콘솔에 로그인합니다.

    https://192.168.0.99:41443

  2. 라이선스 계약의 조항을 읽고 동의 후 다음을 누릅니다.

  3. 라이선스 등록 / 찾아보기에서 *.slf을 입력하고 라이선스 등록을 누릅니다.

  4. 관리자 이메일 주소를 입력합니다.

  5. 시간을 설정합니다.

  6. 시스템 국가, 검역소 인코딩을 아래와 같이 설정합니다.

  7. Scanner 역할을 설정합니다.

  8. 인바운드 필더링에 사용할 IP를 선택합니다.

  9. 인바운드 메일 필터링 할 주소를 선택합니다.

  10. SMG에서 메일이 전송될 메일서버 주소를 입력합니다.

  11. 외부 메일 전송 방법을 입력합니다.

  12. 로컬 도메인 설정

    메일을 수신할 도메인과 수신후 라우팅 할 호스트네임을 입력합니다.

    아래 설정 후 추가를 클릭합니다.

  13. 설치 요약 확인 후 마침을 눌러 줍니다.

  14. 설정 저장 중…

  15. 설정 완료

       

       

  16.    
  1. Update 명령어를 입력하여 상세 설정을 확인합니다.

  2. Update list를 입력하여 업데이트 항목을 표시합니다.

  3. 업데이트 후 재부팅 발생합니다. Y를 눌러 동의 합니다.

  4. 파일 다운로드 중입니다.

  5. 업데이트 파일 설치 중입니다.

       

   

  • Support 계정 로그인/패스워드 설정
  • Set-support입력 후 새로운 패스워드 설정

  • Support 계정으로 로그인하여 Root 로그인 / 패스워드를 설정 합니다.

    sudo /opt/Symantec/Brightmail/cli/etc/set-squirrelcop 입력 후 새로운 패스워드 설정

3. Support 계정 Logout 후 Root 계정으로 로그인합니다.

  • 서버 구성 > 허브 전송 > 새 수신 커낵터를 클릭합니다.

  • 수신 커넥터 이름과 용도를 아래와 같이 선택합니다. 여기서는 사용자 지정을 선택합니다.
    • 클라이언트 : 클라이언트 수신 커넥터는 Microsoft Exchange 사용자로부터 전자 메일을 수신합니다.이 커넥터는 인증된 Microsoft Exchange 사용자로부터 클라이언트 전송만 받아들이도록 구성됩니다. 클라이언트 : 사용 유형은 허브 전송 서버에 구성된 수신 커넥터에만 사용할 수 있습니다.
    • 사용자 지정 : Exchange를 실행 중인 서버가 없는 시스템과 연결하는 사용자 지정 커넥터를 만들려면 이 옵션을 선택합니다.
    • 인터넷 : 인터넷 수신 커넥터는 인터넷상에 있는 서버로부터 전자 메일을 받습니다. 이 커넥터는 익명 사용자의 연결을 수락하도록 구성됩니다.
    • 내부 : 내부 수신 커넥터는 해당 Exchange 조직 내에 있는 서버로부터 전자 메일을 받는 데 사용됩니다. 이 커넥터는 Exchange 서버의 연결만 수락하도록 구성됩니다.
    • 파트너 파트너 수신 커넥터는 파트너 도메인으로부터 전자 메일을 받는 데 사용됩니다. 이 커넥터는 안전한 수신 도메인 목록에 포함된 도메인에서 메일을 수신하도록 구성됩니다

      http://technet.microsoft.com/ko-kr/library/bb125159(v=exchg.141).aspx

  • 로컬 네트워크 설정에서 다음을 클릭합니다.

  • 원격 네트워크 설정에서 기존 IP를 삭제하고 메일을 수신할 IP를 설정합니다.

  • 새로 만들기를 클릭합니다.

  • 수신 커넥터를 새로 만든 후 속성을 편집합니다.
  • 사용 권한 그룹 > Exchange 서버에 체크 합니다.

  • 인증 탭 > TLS, 외부 보안에 체크 후 확인을 클릭합니다.

  • Telnet을 이용하여 SBG로 메일 TEST를 합니다.

  • SBG의 메시지 감사 로그에서 메일 수신 확인

  • Mail 수신 확인

       

   

  1. Exchange Management Console > 조직 구성 > 허브 전송 > 새 송신 커넥터를 클릭합니다.
  2. 새 SMTP 송신 커넥터 > 송신 커넥터의 이름와 용도(인터넷)을 입력 하고 다음을 클릭합니다.

  3. 주소 공간 > 추가 > *를 입력합니다.

  4. 네트워크 설정 > 추가 > SBG의 입력합니다.

  5. 스마트 호스트 인증 설정

  6. 원본 서버 Default

  7. 새 SMTP 송신 커넥터 완료

    참고 : http://support.kaspersky.com/faq/?qid=208281509

   

   

   

+ Recent posts

티스토리 툴바