메일서비스 이메일프로토콜 과 공격 방어

메일서비스


이메일프로토콜
– SMTP(Simple Message Transfer Protocol) 
   = 전자우편을보내고받는데사용되는기본TCP/IP 프로토콜
   = TCP 25 포트사용
– POP(Post Office Protocol) 
   = 클라이언트에서 메일을 받아감 
   = 110 포트 
– IMAP
   = 143 포트

– IMPA3 
   = 220 포트 

– POP3 보관하고전달하는 서비스
– IMAP 원격지 파일 서버 역활

메일서비스공격

–메일클라이언트(outlook 등) 최신 취약점 이용 
 = Active Contents 공격
   자바스크립트나 비주얼 베이직 스크립트를 이용한 공격
   이메일 클라이언트에서 스크립팅 기능을 제거하는 것이 좋음
   저장시 스크립트 태크를 다른 이름으로 변경하여 저장 후 확인

 = 트로이목마공격   
   사회공학 기법이 자료사용
   사용자가 첨부파일을 실행하도록 유도
   보낸 사람을 확실하게 확인 할 수 없으면 확인 후 메일의 내용을 확인하는 것이 좋음


–메일서버(sendmail등) 공격 
 = 버퍼오버플로우공격
   희생자의 컴퓨터에서 명령어를 수행하거난 트로이 같은 악성 프로그램을 설치
   패치를 적용하여 해결

 = 서비스거부공격
   == sendmail 8.8.4에서 sendmail이 배달되지 않음 메시지를 
      /var/tmp/dead.letter 파일끝에 저장한다는 사실과 링크를 이용하여 내부자는
      루트 권한을 얻을 수가 있음
   == /var/tmp/dead.letter/etc/passwd

   == 메시지 내용은 사용자 계정을 기록하고 도착할 수 없는 메시지를 보내면
      새로운 계정기록 sendmail 헤더 파싱 코드의 버그에 초점 많은 수의 
      "to:" 헤더를 가지 메시지를 생성함으로써 sendmail 8.9.2 와 그 이전에 버전에
      서비스 정지를 시킬 수 있음


Spam 메일 대책
 - 메일 클라이언트 프로그램으 이용한 메일 필터링
 - 메일 서버 : spam 릴레이 허용 불가 설정
               anti-spam 기능과 Access DB를 이용한 스팸 릴레이 차단
               qmail에서의 스팸 릴레이 차단 
               ms exchange에서의 기능 설정이나 레지스트리 설정을 통한 스팸 릴레이 차단



Spam 메일 대책
 - SPF(Sender Policy Framework)
   = 발신자의 진위 여부를 확인한 다음에 메일을 통과 시켜 위장된 주소의 이메일을 막음
   = 적법 메일, 부적합 메일, 부적합 메일로 필터링 필요, 판정 불가 로 구분

 - RBL(Real-time Spam Black Lists)
   = SBL(Spamhausblock list)
   = DNSRBL(Domain Name System Real-time Black List)
   = URIBL(Real-time URI Blacklist)
   = SURBL(Spam URI Real-time Blocklists)


스팸 대응도구
  - sanitizer(세너타이저) - 소독제
    = procmail ruleset
    = 확장자 필터링
    = ms office 매크로 검사
    = 악성 매크로 score 검사
    = 감염된 메시지 보관 장소 설정

  - inflex(인플렉스) - 경직된
    = contents Scanner
    = 첨부파일 필터일
    = 파일명 기준 필터링
    = 파일 타입 추가하여설정 가능
    
  - SpamAssassin(스팸어사슨)
    = 텍스트 분석
    = 실시간 블랙 리스트


메일 보안

  - PEM(Privacy Enhanced Mail) - 프라이버시 인헨드 메일
    = IETE 에서 만든 암호화 , 인터넷 표준
    = PGP 보다 보안성은 좋지만 사용이 어려움( PEM은 중앙집중식이며 이론중시)

  - S/MIME(Secure/Multipurpose Internet Mail Extension)
    = MIME에 보안기능을 추가한 전자우편 프로토콜(RSA 이용)
    = 전자메세지 인증, 서명데이터(메세지 다이제스트) , 순수한 서명, 서명과 봉인된 데이터