메일 서버에 대한 침입 공격에는 버퍼 오버플로 취약점을 이용한 공격, 서비스 거부 공격, 디렉토리 수집 공격 등 다양한 형태가 있습니다. 메일 서버 강화, 메일 필터링 도구 사용, 관리형 서비스 사용, 통합 소프트웨어 설치 등의 조치를 통해 메일 서버에 대한 여러 측면의 공격을 모두 막을 수 있습니다. 이 문서에서는 이러한 조치에 대해 자세히 설명합니다.
메일 서버를 강화하고 먼저 메일 필터링 네트워크 도구를 설치하거나 관리되는 메일 필터링 서비스를 사용하면 스패머 및 기타 소스의 공격을 완화하는 데 도움이 됩니다.
최종 사용자와 데스크탑에 대한 공격이 증가함에 따라 메일 서버에 대한 직접 공격은 감소했습니다(이러한 감소는 상대적이지만). 그러나 공격자들이 Microsoft의 EXChange 서버와 심지어 Sendmail에서도 계속해서 취약점을 발견하고 있기 때문에 서버는 여전히 취약합니다. 다음은 두 가지 일반적인 공격과 이러한 공격에 대한 메일 서버의 노출을 줄이거나 제거하는 방법을 살펴보겠습니다.
근본 원인 중 하나: 버퍼 오버플로 취약점
버퍼 오버플로는 메일 서버 소프트웨어와 같은 소프트웨어 프로그램이 원래 허용된 것보다 더 많은 데이터를 데이터 버퍼에 저장하고 예기치 않은 입력을 방지하지 못할 때 발생합니다. 공격자는 이 결함을 악용하여 메일 서버가 의도한 것보다 다른 절차를 수행하도록 할 수 있습니다. 메일 서버가 권한을 가지고 실행되면 전체 시스템의 보안이 손상됩니다. 메일 서버에 권한이 없더라도 공격자는 여전히 보안을 손상시키고 해당 리소스에 대한 완전한 제어권을 얻을 수 있습니다.
버퍼 오버플로는 우발적인 프로그래밍 오류로 인해 발생하지만 데이터 무결성 측면에서 매우 일반적인 보안 취약점입니다. 버퍼 오버플로가 발생하면 초과 데이터에는 손상된 서버에 사용자 파일을 손상시키거나 데이터를 수정하거나 일급 비밀 정보를 노출시킬 수 있는 새로운 지침을 보내는 등 특정 작업을 트리거하도록 설계된 코드가 포함될 수 있습니다.
공격자들은 과거에 버퍼 오버플로 취약점을 악용하여 웜이 인터넷의 여러 서버 간에 이동할 수 있도록 함으로써 기술을 입증했습니다. 그러나 최근에는 보다 구체적인 대상을 대상으로 하는 버퍼 오버플로 취약점이 발생했습니다. 이를 통해 공격자는 메일 서버를 손상시켜 스팸을 보내는 데 사용할 수 있습니다.
이 공격은 두 가지 심각한 결과를 초래합니다. 첫째, 손상된 이메일 서버는 공격자가 회사의 수신 및 발신 이메일을 읽을 수 있음을 의미합니다. 결과는 치명적일 수 있습니다. 둘째, 공격자는 회사의 서버 자원을 이용하여 스팸을 보낼 수 있습니다. 이러한 상황은 회사의 명예를 훼손할 수 있고, ISP 계약을 위반할 수 있으며, 종종 서비스 종료를 의미할 수도 있습니다.
버퍼 오버플로 취약성 및 기타 형태의 공격에 대비하여 메일 서버(및 기타 공용 서버)를 강화하는 것이 중요합니다. 취할 수 있는 다른 보호 조치도 있습니다.
한 가지 답변: 서버 강화
메일 서버의 보안이 손상될 가능성을 줄이는 가장 좋은 방법은 메일 서버 자체를 강화하는 것입니다. 어쨌든 강화에는 노력할 가치가 있습니다. 강화된 서버, 특히 인터넷상의 서버에서는 취약성에 취약한 서비스가 거의 없으며 이러한 서비스는 일반적으로 "다르게" 취급됩니다. 강화에는 일반적으로 다음 조치가 필요합니다.
• 물리적으로 안전한 컴퓨터;
• 운영 체제 및 응용 프로그램 소프트웨어를 업데이트합니다.
• 리소스 액세스 및 사용에 대한 관리자의 작업을 기록하기 위해 로깅을 활성화합니다.
• 불필요한 애플리케이션, 서비스 및 도구를 제거합니다.
• 로컬 방화벽 서비스를 활성화합니다.
• 권한 있는 계정의 사용을 제한합니다.
서버를 강화하면 약점이 크게 줄어들 수 있습니다. 그러나 단순히 메일 서버를 강화하는 것만으로는 충분하지 않은 경우가 많습니다. 더 나은 솔루션은 서버를 강화하는 동시에 이메일이 실제로 서버에 도달하기 전에 이메일 트래픽에 대한 추가 필터링을 제공하는 것입니다.
이메일 트래픽은 네트워크 도구, 관리 서비스 및 기존 이메일 시스템(예: Microsoft의 EXChange)에 통합된 소프트웨어를 사용하여 사전 필터링될 수 있습니다. 예를 들어 내부 이메일 서버를 강화하고 공급업체에서 강화한 네트워크 도구를 배포하여 주변 환경을 보호하는 등 다양한 방어 계층을 보유해야 합니다.
응답 2: 네트워크 도구
메일 필터링 네트워크 도구는 내부 메일 서버 앞에 배포됩니다. 이러한 도구는 일반적으로 패킷 필터링 방화벽과 애플리케이션 수준 방화벽이라는 두 가지 유형의 방화벽을 제공합니다. 패킷 필터링 방화벽 역할을 하는 네트워크 도구는 메일 서비스(예: SMTP, 일반적으로 POP3 및 IMAP)에서 사용되는 포트에 대한 유효한 TCP/IP 트래픽만 허용합니다. 애플리케이션 수준 방화벽으로서의 도구는 전송 서버가 SMTP를 올바르게 사용하고 관련 IEEE RFCS(설명 요청) 및 규칙(예: 역방향 DNS 설정 지원)을 따르도록 보장합니다.
네트워크 도구는 여러 가지 이유로 공격에 취약하지 않습니다. 첫째, 대부분의 도구는 고도로 맞춤화된 운영 체제에서 실행됩니다. 이러한 운영 체제는 공격자가 발판을 마련할 수 있는 대부분의 추가 서비스를 비활성화했습니다(또는 처음부터 사용할 도구에 맞게 특별히 맞춤화되었습니다).
둘째, 엔지니어는 도구를 강화할 때 모범 사례를 엄격하게 준수합니다.
마지막으로, 도구는 메일 서버와의 제한된 유형의 통신(예: 메일 전송과 관련된 통신)만 허용하며 이러한 유형의 통신도 주의 깊게 검사됩니다.
응답 3: 관리형 서비스
관리형 서비스를 사용하면 모든 이메일이 먼저 이메일을 필터링하는 외부 서비스로 전송된 다음 유효한 이메일을 회사의 메일 서버로 전달합니다.
이 전략을 사용하여 다이렉트 메일 프로토콜을 사용하는 공격을 효과적으로 방지하려면 내부 메일 서버가 관리 서비스에 의해 시작된 연결만 허용해야 하며 다른 연결은 허용하지 않아야 합니다. 그러나 이러한 서비스는 수신 이메일 통신에만 사용할 수 있습니다. 아웃바운드 이메일 트래픽은 여전히 인터넷의 다른 서버로 직접 전송되므로 이메일 프로토콜 사용 시 취약점이 활성화됩니다. 예를 들어 수신 이메일 서버는 SMTP 전송 중에 보내는 이메일 서버 소프트웨어의 버퍼 오버플로 취약점을 악용할 수 있습니다.
응답 4: 통합 소프트웨어
마지막으로 메일 서버를 보호하는 데 도움이 되는 통합 소프트웨어를 설치할 수 있습니다. 로컬에 설치된 이 소프트웨어는 네트워크 공격으로부터 보호하고 서버를 더욱 강력하게 만듭니다. 통합 소프트웨어는 일반적으로 애플리케이션 계층(예: SMTP)에서 실행되어 악용으로부터 서버를 보호합니다. 일부 통합 소프트웨어는 서버의 기본 TCP/IP 스택을 사용자 정의 강화 버전으로 대체합니다.
그러나 이메일 소프트웨어와 외부 시스템 사이에 벽을 구축하는 대신 로컬 필터링 소프트웨어가 이메일 소프트웨어와 함께 작동하는 것이 더 일반적입니다. 이 접근 방식을 사용하는 통합 소프트웨어는 공격자가 메일 서버에 직접 액세스할 수 있는 경우(예: 신뢰할 수 있는 내부 사용자가 공격을 시작하는 경우) 유용할 수 있습니다.
대응 5: 서비스 거부 공격 및 디렉터리 수집 공격
DoS(서비스 거부1) 공격은 대상 시스템의 성능을 저하시킵니다. 예를 들어, 메일 서버가 있는데 공격자가 메일 서버의 속도를 늦추거나 비활성화하려고 한다고 가정해 보겠습니다. 공격자는 네트워크 리소스를 소비하고 디렉터리 수집 공격을 실행하는 등 다양한 방법으로 서비스 거부 공격을 실행합니다.
공격자가 네트워크 리소스 소비를 통해 서비스 거부 공격을 수행할 때 공격은 종종 대상 시스템으로 들어오는 모든 사용 가능한 연결을 소비하는 데 중점을 둡니다. SMTP는 TCP 프로토콜이기 때문에 악용에 성공하려면 공격자가 사용 가능한 것보다 더 많은 TCP 연결을 요청하기만 하면 됩니다. 즉, 공격자는 메일 서버가 처리할 수 있는 것보다 더 많은 연결을 메일 서버에 생성합니다. 이렇게 하면 메일 서버는 더 이상 합법적인 메일 서버로부터 들어오는 유효한 연결을 수락할 수 없습니다.
서비스 거부 공격을 방지하는 서버 기반 솔루션은 거의 없습니다. 대부분의 메일 서버는 서비스 거부 공격으로부터 보호하도록 조정되지 않은 범용 운영 체제에서 실행됩니다. 강화된 UNIX 시스템에서도 다수의 서비스 거부 공격을 견딜 수 있는 서버의 능력을 높이려면 다른 네트워크 설정이 필요합니다. 결과적으로 기업에서는 서비스 거부 공격을 탐지하고 방지하기 위해 특별히 제작된 시스템이나 범용 메일 서버보다 더 많은 동시 연결을 허용할 수 있는 강화된 필터링 도구를 구입하는 경우가 많습니다. 이러한 필터링 장치는 서비스 거부 공격을 더 잘 감지하고 방어 조치를 취할 수 있는 경우가 많습니다.
디렉터리 수집 공격은 스팸 발송자가 향후 스팸에 사용할 수 있는 유효한 주소를 식별하기 위해 실행하는 리소스 집약적 공격입니다. 디렉토리 수집 공격이 발생하면 메일 서버의 부하가 크게 증가하여 효과적인 메일 전송에 영향을 미치게 됩니다. 또한 로컬 메일 서버는 스패머가 사용하는 보낸 사람 주소로 시도하는 잘못된 주소에 대한 배달 못 함 보고서를 반환합니다.
배달 못 함 보고서를 반환하면 추가 아웃바운드 이메일 트래픽이 발생하여 값비싼 대역폭을 소비하고 메일 서버의 부하가 증가합니다. 스패머가 사용하는 대부분의 보낸 사람 주소는 가짜이기 때문에 전송 실패 보고서는 항상 시간 초과되어 메일 서버가 나중에 전송을 다시 시도해야 합니다. 요약하면, 디렉터리 수집 공격은 메일 서버에 대한 비용이 많이 드는 공격 형태입니다.
안타깝게도 디렉터리 수집 공격의 위험을 완화할 수 있는 방법은 거의 없습니다. 한 가지 해결책은 관리형 서비스를 사용하는 것입니다. 일반적으로 관리형 서비스는 회사가 제공할 수 있는 것보다 더 많은 메일 서버를 유지하므로 디렉터리 수집 공격은 메일 전달에 큰 영향을 미치지 않습니다.
또 다른 해결책은 이러한 유형의 공격에 최적화된 프런트 엔드 필터링 도구를 설치하는 것입니다. 필터가 잘못된 사용자에게 이메일을 보내지 않도록 도구에서 합법적인 이메일 사용자 목록을 유지합니다(정적 목록 또는 내부 디렉터리에 대한 Light Directory Access Protocol 액세스를 통해).