적을 물 리치려면 적을 알아야합니다.
스팸이란 무엇입니까?
우리의 목적 상 스팸은 원치 않는 대량 전자 메시지입니다. 요즘 스팸은 의심하지 않는 사용자가 제품을 구매하라는 요청을 받거나 컴퓨터에 멀웨어가 배달되도록하는 (보통 그늘진) 웹 사이트를 방문하도록 유도하기위한 것입니다. 일부 스팸은 맬웨어를 직접 전달합니다.
최초의 스팸이 1864 년에 전송되었다는 사실을 알게되면 놀랄 것입니다. 이는 웨스턴 유니언 전보를 통해 전송되는 치과 서비스 용 광고였습니다. 단어 자체는이다 참조 A와 의 장면 몬티 파이썬의 플라잉 서커스 .
이 경우 스팸은 나중에 마음이 바뀌 었거나 잊어 버렸지 만 실제로 구독을 취소하지 않은 경우에도 사용자가 가입 한 메일 링리스트 트래픽을 의미 하지 않습니다 .
스팸이 왜 문제입니까?
스팸은 스팸 발송자에게 효과적 이므로 문제 입니다. 스팸은 일반적으로 스팸 발송자에게 보내는 비용 을 충당하기에 충분한 판매량 (또는 악성 프로그램 제공 또는 둘 다)을 생성 합니다. 스패머는 수신자, 사용자 및 사용자에게 비용을 고려하지 않습니다. 스팸을 수신하는 소수의 사용자가 스팸에 응답하더라도 충분합니다.
따라서 들어오는 스팸을 처리하기 위해 대역폭, 서버 및 관리자 시간에 대한 요금을 지불하게됩니다.
다음과 같은 이유로 스팸을 차단합니다. 스팸을보고 싶지 않으며, 이메일 처리 비용을 줄이고 스팸 발송자에게 스팸을 더 비싸게 만듭니다.
스팸은 어떻게 작동합니까?
스팸은 일반적으로 정상적인 합법적 인 전자 메일과 다른 방식으로 전달됩니다.
스패머는 거의 항상 전자 메일의 출처를 모호하게 만들고 싶어하므로 일반적인 스팸에는 가짜 헤더 정보가 포함됩니다. From:
주소는 일반적으로 가짜입니다. 일부 스팸에는 Received:
추적을 위장하기 위해 가짜 줄이 포함되어 있습니다. 개방형 SMTP 릴레이, 개방형 프록시 서버 및 봇넷을 통해 많은 스팸이 전달됩니다. 이러한 모든 방법을 사용하면 누가 스팸을 보낸 사람을 파악하기가 더 어려워집니다.
사용자의받은 편지함에 들어가면 스팸의 목적은 사용자가 광고 된 웹 사이트를 방문하도록 유도하는 것입니다. 여기서 사용자는 구매를 유도하거나 사이트가 사용자의 컴퓨터 또는 둘 다에 맬웨어 설치를 시도합니다. 또는 스팸은 사용자에게 맬웨어가 포함 된 첨부 파일을 열도록 요청합니다.
스팸을 어떻게 막습니까?
메일 서버의 시스템 관리자는 스팸 발송자가 스팸을 사용자에게 전달하기 어렵게하기 위해 메일 서버와 도메인을 구성합니다.
스팸에 중점을 둔 문제를 다루고 있으며 스팸과 직접 관련이없는 문제 (예 : 암호화)를 건너 뛸 수 있습니다.
오픈 릴레이를 실행하지 마십시오
큰 메일 서버 죄는 오픈 릴레이 를 실행하는 것입니다. SMTP 서버는 모든 대상에 대해 메일을 수락하고 이후에 배달합니다. 스패머는 사실상 배달을 보장하므로 개방형 릴레이를 좋아합니다. 스패머가 다른 작업을 수행하는 동안 메시지 전달 (및 재시도!)을 수행합니다. 그들은 스팸을 싸게 만든다 .
개방 릴레이는 백스 캐터 문제에도 기여합니다. 메시지는 릴레이에 의해 수락되었지만 배달 할 수없는 것으로 확인되었습니다. 그러면 오픈 릴레이는 From:
스팸 사본이 포함 된 주소 로 반송 메시지를 보냅니다 .
- 자신의 도메인에 대해서만 포트 25에서 들어오는 메일을 수락하도록 메일 서버를 구성하십시오. 대부분의 메일 서버의 경우 이것이 기본 동작이지만 최소한 메일 서버에 도메인이 무엇인지 알려 주어야합니다.
- 네트워크 외부에서 주소
From:
와 To:
주소가 모두 도메인 내에없는 SMTP 서버에 메일을 보내 시스템을 테스트하십시오 . 메시지가 거부되어야합니다. 또는 MX Toolbox 와 같은 온라인 서비스 를 사용하여 테스트를 수행하지만 일부 온라인 서비스는 메일 서버가 테스트에 실패하면 IP 주소를 블랙리스트에 제출합니다.
너무 의심스러워 보이는 것은 거부하십시오
여러 가지 잘못된 구성 및 오류는 들어오는 메시지가 스팸이거나 불법 일 가능성이있는 팁일 수 있습니다.
- IP 주소에 역방향 DNS (PTR 레코드)가없는 스팸으로 표시하거나 메시지를 거부하십시오. 많은 IPv6 주소에는 아직 역방향 DNS가없고 DNS 서버 소프트웨어가 잠재적으로 매우 큰 영역을보다 잘 처리 할 수있을 때까지 몇 년 동안은 아닐 수 있으므로 IPv6 연결보다 IPv4 연결에 대해 PTR 레코드 부족을 더 심하게 다루십시오.
- 발신자 또는 수신자 주소에 도메인 이름이 존재하지 않는 메시지를 거부하십시오.
- 발신자 또는 수신자 도메인에 정규화 된 도메인 이름을 사용하지 않는 메시지는 도메인 내에서 시작되어 도메인 내에서 배달되지 않는 메시지 (예 : 모니터링 서비스)를 거부합니다.
- 다른 쪽 끝이
HELO
/를 보내지 않는 연결을 거부하십시오 EHLO
.
HELO
/ EHLO
가 있는 연결을 거부하십시오 .
- 정규화 된 도메인 이름이 아니며 IP 주소가 아님
- 명백히 잘못 (예 : 자신의 IP 주소 공간)
- 허가없이 파이프 라이닝을 사용하는 연결은 거부하십시오.
사용자 인증
서버에 도착하는 메일은 인바운드 메일 및 아웃 바운드 메일 측면에서 고려해야합니다. 인바운드 메일은 궁극적으로 도메인으로 향하는 SMTP 서버에 도착하는 메일입니다. 발신 메일은 SMTP 서버에 도착하여 배달되기 전에 다른 곳으로 전송되는 메일입니다 (예 : 다른 도메인으로 이동). 인바운드 메일은 스팸 필터로 처리 할 수 있으며 어디에서나 올 수 있지만 항상 사용자를 대상으로해야합니다. 메일을 보낼 수있는 모든 사이트에 자격 증명을 제공 할 수 없기 때문에이 메일을 인증 할 수 없습니다.
중계 될 것이다 아웃 바운드 메일, 메일, 해야 인증을받을. 인터넷 또는 네트워크 내부에서 발생하는 경우입니다 (작동 가능한 경우 메일 서버 사용이 허용되는 IP 주소 범위를 제한해야 함). 스팸봇이 네트워크 내부에서 실행될 수 있기 때문입니다. 따라서 해당 메일이 인증되지 않으면 다른 네트워크에 바인딩 된 메일이 삭제 (릴레이 액세스가 거부 됨)되도록 SMTP 서버를 구성하십시오. 더 좋은 방법은 인바운드 및 아웃 바운드 메일에 별도의 메일 서버를 사용하고 인바운드 메일에 대한 릴레이를 전혀 허용하지 않으며 아웃 바운드 메일에 대한 인증되지 않은 액세스를 허용하지 않는 것입니다.
소프트웨어가이를 허용하면 인증 된 사용자에 따라 메시지를 필터링해야합니다. 메일의 발신 주소가 인증 된 사용자와 일치하지 않으면 거부해야합니다. 보낸 사람 주소를 자동으로 업데이트하지 마십시오. 사용자는 구성 오류를 알고 있어야합니다.
메일을 보내거나 식별 헤더를 추가하는 데 사용되는 사용자 이름도 기록해야합니다. 이런 식으로 학대가 발생하면 증거가 있으며 어떤 계정을 사용했는지 알 수 있습니다. 이를 통해 손상된 계정과 문제가있는 사용자를 격리 할 수 있으며 공유 호스팅 공급자에게 특히 유용합니다.
트래픽 필터링
네트워크를 떠나는 메일이 실제로 봇이나 외부의 사람이 아닌 (인증 된) 사용자가 전송하고 있는지 확인하려고합니다. 이 작업을 수행하는 방법의 구체적인 내용은 관리하는 시스템 종류에 따라 다릅니다.
일반적으로 회사 네트워크 인 경우 아웃 바운드 메일 서버를 제외한 모든 항목에 대해 포트 25, 465 및 587 (SMTP, SMTP / SSL 및 제출)의 송신 트래픽을 차단하는 것이 좋습니다. 따라서 네트워크에서 맬웨어 실행 봇이 네트워크에서 스팸을 보내 인터넷에서 릴레이를 열거 나 주소의 최종 MTA로 직접 보낼 수 없습니다.
핫스팟은 합법적 인 메일이 여러 도메인에서 생성되기 때문에 특별한 경우입니다. 그러나 SPF 때문에 "강제"메일 서버는 부적절하며 사용자는 자신의 도메인의 SMTP 서버를 사용하여 메일을 제출해야합니다. 이 경우는 훨씬 어렵지만 이러한 호스트의 인터넷 트래픽에 특정 공용 IP 또는 IP 범위를 사용하면 (사이트의 평판을 보호하기 위해) SMTP 트래픽 조절 및 심층 패킷 검사를 고려해야합니다.
지금까지 스팸봇은 주로 포트 25에서 스팸을 발행했지만 동일한 목적으로 포트 587을 사용하는 것을 막을 수있는 방법은 없으므로 인바운드 메일에 사용되는 포트를 변경하는 것은 모호한 가치가 있습니다. 그러나 메일 제출에 포트 587을 사용하는 것이 RFC 2476에 의해 권장되며 네트워크 토폴로지에서 명확하지 않은 메일 제출 (첫 번째 MTA로)과 메일 전송 (MTA 사이)을 분리 할 수 있습니다. 이러한 분리가 필요한 경우이 작업을 수행해야합니다.
ISP, VPS 호스트, 코 로케이션 공급자 또는 이와 유사한 사용자이거나 방문자가 사용할 핫스팟을 제공하는 경우 자신의 도메인을 사용하여 메일을 보내는 사용자에게는 송신 SMTP 트래픽을 차단하는 것이 문제가 될 수 있습니다. 퍼블릭 핫스팟을 제외한 모든 경우에 아웃 바운드 SMTP 액세스가 필요한 사용자는 메일 서버를 실행하고 있으므로 특별히 요청해야합니다. 학대 불만은 결국 귀하의 평판을 보호하기 위해 액세스가 종료 될 것임을 알립니다.
동적 IP 및 가상 데스크톱 인프라에 사용되는 IP는 해당 노드에서 사용할 특정 메일 서버를 제외하고 아웃 바운드 SMTP 액세스 권한을 가져서는 안됩니다. 이러한 유형의 IP 는 블랙리스트에도 나타나야하며 평판을 높이려고 시도해서는 안됩니다. 합법적 인 MTA를 실행할 가능성이 거의 없기 때문입니다.
SpamAssassin 사용을 고려하십시오
SpamAssassin은 메일 헤더와 내용을 기반으로 스팸을 식별하는 데 사용할 수있는 메일 필터입니다. 규칙 기반 채점 시스템을 사용하여 메시지가 스팸 일 가능성을 확인합니다. 점수가 높을수록 메시지가 스팸 일 가능성이 높습니다.
SpamAssassin에는 스팸 및 햄 (합법적 인 이메일) 샘플을 피드백 할 수있는 베이지안 엔진도 있습니다.
SpamAssassin의 모범 사례는 메일을 거부하는 것이 아니라 정크 또는 스팸 폴더에 넣는 것입니다. SpamAssassin이 전자 메일 메시지에 추가하는 헤더를 인식하고 적절하게 보관하도록 Outlook 및 Thunderbird와 같은 MUA (메일 사용자 에이전트)를 설정할 수 있습니다. 거짓 긍정은 일어날 수 있고 일어날 수 있으며, 드물지만 CEO에게 일어날 때, 당신은 그것에 대해들을 것입니다. 메시지가 완전히 거부되지 않고 정크 폴더로 전달되면 대화가 훨씬 나아질 것입니다.
SpamAssassin은 거의 독창적이지만 몇 가지 대안이 있습니다 .
- SpamAssassin을 설치하고을 사용하여 규칙에 대한 자동 업데이트를 구성하십시오
sa-update
.
- 적절한 경우 사용자 지정 규칙을 사용하십시오 .
- 베이지안 필터링 설정을 고려하십시오 .
DNS 기반 블랙홀 목록 및 평판 서비스 사용을 고려하십시오.
DNSBL (이전의 RBL 또는 실시간 블랙홀 목록)은 스팸 또는 기타 악의적 인 활동과 관련된 IP 주소 목록을 제공합니다. 이들은 자체 기준에 따라 독립적 인 제 3 자에 의해 운영되므로 DNSBL에서 사용하는 상장 및 탈퇴 기준이 조직의 전자 메일 수신 필요성과 호환되는지 신중하게 조사하십시오. 예를 들어, 일부 DNSBL에는 실수로 등재 된 사람을 제거하기가 매우 까다로운 정책 취소 정책이 있습니다. IP 주소가 일정 기간 동안 스팸을 보내지 않으면 다른 사람이 자동으로 등록 해제되어 더 안전합니다. 대부분의 DNSBL은 무료로 사용할 수 있습니다.
평판 서비스는 비슷하지만 주어진 IP 주소와 관련된 더 많은 데이터를 분석하여 더 나은 결과를 제공한다고 주장합니다. 대부분의 평판 서비스에는 가입 결제 또는 하드웨어 구매 또는 둘 다가 필요합니다.
내가 사용하고 추천하는 더 잘 알려진 유용한 서비스는 다음과 같지만 수십 개의 DNSBL과 평판 서비스가 있습니다.
보수적 인 목록 :
공격적인 목록 :
앞에서 언급했듯이 수십 개의 다른 제품을 사용할 수 있으며 귀하의 요구에 적합 할 수 있습니다. 내가 가장 좋아하는 트릭 중 하나는 여러 DNSBL에 대해 통과 한 스팸을 차단 한 IP 주소 를 찾아서 거부 한 IP 주소 를 찾는 것입니다.
- 각 DNSBL 및 평판 서비스에 대해 IP 주소를 나열하고 목록을 해제하기위한 정책을 검토하여 조직의 요구와 호환되는지 확인하십시오.
- 해당 서비스를 사용하기로 결정한 경우 SMTPBL을 DNSBL에 추가하십시오.
- 각 DNSBL에 점수를 할당하고 SMTP 서버가 아닌 SpamAssassin에 구성하는 것이 좋습니다. 이는 오 탐지의 영향을 줄입니다. 이러한 메시지는 반송되지 않고 정크 / 스팸으로 전달 될 수 있습니다. 단점은 많은 스팸을 전달한다는 것입니다 .
- 또는 IP 주소가 더 보수적 인 목록 중 하나에있을 때는 완전히 거부하고 SpamAssassin에서 더 공격적인 목록을 구성하십시오.
SPF 사용
SPF (Sender Policy Framework; RFC 4408 및 RFC 6652 )는 지정된 도메인 이름에 대해 메일을 전달할 권한이있는 인터넷 호스트를 선언하여 전자 메일 주소 스푸핑을 방지하는 수단입니다.
- 승인 된 발신 메일 서버로 SPF 레코드를 선언하고
-all
다른 모든 메일 을 거부하도록 DNS를 구성하십시오 .
- 수신 메일의 SPF 레코드 (있는 경우)를 확인하고 SPF 유효성 검증에 실패한 메일을 거부하도록 메일 서버를 구성하십시오. 도메인에 SPF 레코드가없는 경우이 검사를 건너 뜁니다.
DKIM 조사
DKIM (DomainKeys Identified Mail; RFC 6376 )은 메일 메시지에 디지털 서명을 포함시켜 DNS에 게시 된 공개 키를 사용하여 확인할 수있는 방법입니다. 그것은이다 특허 지장을 채택 둔화, 미국에서. 메시지가 전송 중에 수정되면 DKIM 서명도 손상 될 수 있습니다 (예 : SMTP 서버가 때때로 MIME 메시지를 다시 포장 할 수 있음).
- DKIM 서명으로 발신 메일에 서명하는 것을 고려하지만 합법적 인 메일에서도 서명이 항상 올바르게 확인되는 것은 아닙니다.
그레이 리스팅 사용 고려
그레이 리스팅은 SMTP 서버가 수신 거부 메시지를 영구적으로 거부하지 않고 일시적으로 거부하는 기술입니다. 몇 분 또는 몇 시간 내에 배달을 다시 시도하면 SMTP 서버가 메시지를 수락합니다.
그레이 리스팅은 임시 및 영구 거부를 구분하기에 충분히 강력하지는 않지만 오픈 릴레이 또는보다 강력한 스팸 소프트웨어로 전송 된 스팸에는 도움이되지 않는 일부 스팸 소프트웨어를 중지시킬 수 있습니다. 또한 사용자가 항상 허용 할 수없는 전달 지연을 도입합니다.
- 그레이 리스팅은 합법적 인 이메일 트래픽에 매우 방해가되기 때문에 극단적 인 경우에만 사용하는 것이 좋습니다.
미등록 사용을 고려하십시오
Nolisting 은 우선 순위가 가장 높은 레코드에 SMTP 서버가 실행되지 않도록 MX 레코드를 구성하는 방법입니다. 이는 많은 스팸 소프트웨어가 첫 번째 MX 레코드 만 시도하고 합법적 인 SMTP 서버는 모든 MX 레코드를 선호하는 오름차순으로 시도한다는 사실에 의존합니다. 일부 스팸 소프트웨어는 또한 RFC 5321 을 위반하여 가장 낮은 우선 순위 (가장 높은 기본 설정 번호) MX 레코드로 직접 전송하려고 시도 하므로 SMTP 서버없이 IP 주소로 설정할 수도 있습니다. 안전하다고보고되어 있지만, 무엇보다도 먼저 신중하게 테스트해야합니다.
- 포트 25에서 응답하지 않는 호스트를 가리 키도록 우선 순위가 가장 높은 MX 레코드를 설정하십시오.
- 포트 25에서 응답하지 않는 호스트를 가리 키도록 우선 순위가 가장 낮은 MX 레코드를 설정하십시오.
스팸 필터링 어플라이언스 고려
기존 SMTP 서버 앞에 Cisco IronPort 또는 Barracuda Spam & Virus Firewall (또는 기타 유사한 어플라이언스)과 같은 스팸 필터링 어플라이언스 를 배치하여받는 스팸을 줄이는 데 많은 작업을 수행하십시오. 이러한 어플라이언스는 DNSBL, 평판 서비스, 베이지안 필터 및 내가 다룬 기타 기능으로 사전 구성되며 제조업체에서 정기적으로 업데이트합니다.
- 스팸 필터링 어플라이언스 하드웨어 및 구독 비용을 조사합니다.
호스팅 된 이메일 서비스 고려
그것이 너무 많은 경우 (또는 과로 한 IT 직원) 항상 타사 서비스 제공 업체가 귀하의 이메일을 처리하도록 할 수 있습니다. Google의 Postini , Symantec MessageLabs Email Security (또는 기타) 와 같은 서비스 가 메시지를 필터링합니다. 이러한 서비스 중 일부는 규제 및 법적 요구 사항을 처리 할 수도 있습니다.
스팸 방지와 관련하여 sysadmins가 최종 사용자에게 어떤 지침을 제공해야합니까?
최종 사용자가 스팸을 퇴치하기 위해해야하는 절대적인 일은 다음과 같습니다.
스팸에 응답하지 마십시오.
이상하게 보이면 웹 사이트 링크를 클릭하지 말고 첨부 파일을 열지 마십시오. 제안이 아무리 매력적으로 보일지라도. 즉, 비아그라가 싸지 않다, 당신은 정말 사람의 누드 사진을 얻을하지 않을 수 있습니다, 어떤이없는 $ (15) 만 달러 나이지리아 달러 또는 다른 사람에서 가져온 돈을 제외 않은 스팸에 응답은.
스팸 메시지가 표시되면 메일 클라이언트에 따라 스팸 또는 스팸으로 표시하십시오.
실제로 메시지를 받도록 등록한 후 메시지 수신을 중지하려면 메시지를 정크 / 스팸으로 표시 하지 마십시오 . 대신, 제공된 수신 거부 방법을 사용하여 메일 목록에서 수신 거부하십시오.
정크 / 스팸 폴더를 정기적으로 확인하여 합법적 인 메시지가 통과했는지 확인하십시오. 정크 메일 / 스팸 아님으로 표시하고 보낸 사람을 연락처에 추가하여 나중에 메시지가 스팸으로 표시되지 않도록합니다.