메일 서비스(5/31발표분)

 

메일 서비스 구조

1.저희회사의 메일 서비스 구조

postfix와qmail을 사용해서 오캬쿠상에게 제공하는 메일 서버가 있음

뭐 별로 대단한것도없지만 회사 인프라구조이기 때문에 게시는 안하겠음

メールシステム図解.pdf

 

타회사의 메일 시스템 구조를 파악해보자

메일헤더를 보면 어느정도 파악이가능함

 

메일헤더&MIME

메일헤더란??

메일헤더를 알기위해는 MIME에 대해서 알아야한다

MIME이란 용어를 간단히 정의하면 이하와같다

Multipurpose Internet Mail Extensions의 약어로 메시지 컨텐트 형식을 정의하기 위한 인터넷 표준

 

http://www.atmarkit.co.jp/ait/articles/0104/10/news002.html

http://www.atmarkit.co.jp/ait/articles/0104/18/news002.html

http://blog.negabaro.com/2127.html

メールヘッダ見方

http://memorva.jp/internet/spam_virus/mail_header.php

http://www.atmarkit.co.jp/fnetwork/rensai/netpro03/mail-header.html

 

처음 보면 보기어려울 수 있다

그럴땐 이하와 링크를 이용해서 메일헤더를 붙여넣기하면 간단히 메일이 어떤식으로 날아갔는지 알 수있다

https://toolbox.googleapps.com/apps/messageheader/analyzeheader

http://hummingbird.tistory.com/186

대표적인 메일 서버 프로그램

우리가 많이쓰는 메일 소프트는 크게 이하 3가지가있다

sendmail qmail postfix

저는 이3가지 메일소프트를 전부 써봤는데 간단히 감상을 말하면

sendmail 설정이 무궁무진
설치 간단
qmail 설치가 짜증남. 메일로그도 보기어려움.. 결론:짜증남
postfix 설치간단 스마트함.

 

이렇다.

저가정리한 센드메일 구축 테쥰(시간이 된다면 센드메일 설정,구축 내용도 조금 공유하겠다)

http://blog.negabaro.com/category/software/%E3%83%A1%E3%83%BC%E3%83%AB%E7%B3%BB/mail

 

메일러 소프트

대표적으로 선더보드,라이브메일,일본이면 베키,히데마루 등이 있는걸로 안다

이중에서 베키를 예로 메일러소프트의 각설정이 무엇인지 알아보자

메일러 소프트 전부 잘알고있는 내용이면 패스

 

*여기서 궁금해줬으면 하는 용어들

smtp auth認証暗号化なしあり別の設定【sendmail】

http://blog.negabaro.com/468.html

Cyrus SASL(Simple Authentication and Security Layer)について

http://blog.negabaro.com/621.html

APOP,NTLM

http://blog.negabaro.com/1902.html

sendmail smtps,starttls,pop3s設定

http://blog.negabaro.com/676.html

smtp,smtps,submission,STARTTLS,saslの概念&設定(sendmail)

http://blog.negabaro.com/462.html

 

메일로그&헤더&패킷 확인

실제로 저희회사의 테스트 아카운트를 이용해서 메일을 보내보자

보낸메일이 어떤 메일헤더를 남기고 있는지 서버에서는 어떤 로그를 남기고 있는지 같이 알아보자

분위기를 보고 패킷캡쳐도 해보자

 

tshark를이용해서 패킷캡쳐해본 결과

http://blog.negabaro.com/3150.html

mail tcp 20140528.txt

 

메일 서버 관리의 꽃 스팸대응

메일 서버는 스팸대응을 어떻게 하느냐에 따라 잘 짜여진 인프라냐 아니냐가 판가름난다

 

일단 제가있는 회사는 스팸대응을 개떡같이 하고있다.

위에서 메일인프라 구조에 대해 설명할때 나온

clamAV

http://blog.negabaro.com/1993.html

http://blog.negabaro.com/810.html

SYMCScan

라는 2개의 소프트에 대해서 설명이 필요할 듯하다

두 소프트다 메일필터링 소프트로서 스팸대응에 근본적인 대응을 해주는 역할을 가진다.

큰 차이는 SYMCScan는 유료이고 clamAV는 무료라는것이다.

 

2서비스를 쓰고 있는데 스팸이 발생되는 횟수는 큰 차이를 보인다 clamAV쪽이 한 40배 스팸이 많다(내 느낌상)

 

근본적으로 네트워크단(루터에서 패킷을 보고 메일필터링을 하는) 에서 하는 메일필터링 시스템은 일단 아카운트1개당을 가격으로 책정하기 때문에 엄청비싸다

그러므로 서버에서 오픈소스를 이용해서 메일필터링을 거는 방식을 저희회사는 채택하고있음

 

 

from사칭

스팸 대응할때 from사칭이란 용어가 나온다

그게 뭔지 실제로 메일로그를 보면서 설명해보겠다

5/22 21:10분에 있었던 llumar@designlab.co.jp 라는 메일주소를 이용해서 어떻게 from사칭을 했는지 알아보자

실제로 from사칭을 해보자

telnetでメール偽造する方法

[mindule337@CAS mail]$ telnet localhost 25
Trying 127.0.0.1…
Connected to localhost.domain (127.0.0.1).
Escape character is ‘^]’.
220 localhost.domain ESMTP Sendmail 8.13.1/8.13.1; Sat, 19 Jul 2008 22:23:25 +0900
HELO localhost
250 localhost.domain Hello CAS [127.0.0.1], pleased to meet you
MAIL FROM:csi@fbi.gov // 偽造
250 2.1.0 csi@fbi.gov… Sender ok
RCPT TO:mindule337@hanmail.net // 受信相手
250 2.1.5 mindule337@hanmail.net… Recipient ok
DATA // 相手を騙す為の偽造情報とメール本文
354 Enter mail, end with "." on a line by itself
Subject: test // タイトル
From: "FBI" <csi@fbi.gov> // メールの目録で「送信者」に入る名前とメールアドレス。(これが一番重要)
To: <mindule337@hanmail.net> // (重要ではないが明示的に)受信先のメールアドレス
test // 本文内容
. // メールの締めを知らせる( . [enter])
250 2.0.0 m9JTNPOW025296 Message accepted for delivery
QUIT // 作業終了
221 2.0.0 localhost.domain closing connection
Connection closed by foreign host.
[mindule337@CAS mail]$

http://k.daum.net/qna/openknowledge/view.html?qid=2dxQY

http://doodoodoo.egloos.com/602304

http://blog.ahnlab.com/ahnlab/582

 

http://hummingbird.tistory.com/186

http://metalsty.seesaa.net/article/21473371.html

http://www.itmedia.co.jp/broadband/0302/27/lp23.html

http://www2g.biglobe.ne.jp/%257estakasa/spam/jiexiheader.html

 

스팸 패턴?

http://memorva.jp/internet/spam_virus/spam_mail_send.php

스팸대응은?

 

심플하게 일단이것만 하자

 

해외아이피냐 아니냐 (국내 일본에서 스팸메일 보내는경우는 아직 본적이없음)

메일의 송신 횟수를 확인

큐가 남아있으면 큐안에 남사스러운 단어가 있는지 확인 (딱보면 암)

여기까지 보고 이놈이 스패머다 확인이되면

제일 먼저 스패머로 판단되는 아카운트 비밀번호를 변경

그동안 보낸 스팸이 큐에 남아있다면 전부 격리

격리후에 메일서비스 재기동

블록리스트에 등록되있으면 해제 신청

 

 

블록리스트 유명한 사이트들

proofpoint

https://support.proofpoint.com/dnsbl-lookup.cgi?ip=210.248.135.120

http://www.spamhaus.org/lookup/

http://bbl.barracudacentral.com/q.cgi?ip=210.248.135.16

 

해외아이피냐 아니냐 어떻게 검증하는지 한번 소스를 봐보자

http://blog.negabaro.com/2020.html

 

 

그외 그동안 정리한 메일관련 포스트

 

메일링 리스트는 어떻게 구현?

http://blog.negabaro.com/2589.html

 

후리와케 디렉토리

http://blog.negabaro.com/2543.html

 

큐메일 로그 보는방법

http://blog.negabaro.com/560.html

 

버추얼도메인

http://blog.negabaro.com/563.html

대량메일발송

http://nkdk.tistory.com/557

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です