오는 10 12일에는 아래에서 자세히 언급하는 루트 네임서버의 DNSSEC 서명키의 교체가 이뤄집니다. 메일 서버의 운영과는 밀접한 상관은 없지만, DNSSEC을 구현한 환경에서 적절히 반영되지 않는 경우에는 DNS의 이름풀이 기능에 문제가 발생하게 되어, 일부 메일 송수신에 문제가 발생할 수 있어, 환기 차원에서 관련 자료를 제공합니다.

 

요약

국제 인터넷 주소 기구(ICANN)에서는 최상위 도메인 정보(TLD)를 관리하는 루트 네임 서버의 보안을 강화하기 위하여 DNSSEC 서명키(KSK, Key Signing Key)를 교체합니다. 캐시 네임서버 운영기관에서는 서명키를 갱신하지 않을 경우 DNS 질의 오류가 발생할 수 있으므로, 최신 DNS S/W로 업데이트 등 사전 점검 및 보안 조치를 권고합니다.

 

영향을 받는 제품

l  DNSSEC 서명 검증이 활성화된 모든 캐시 네임서버

l  권한 네임 서버는 영향받지 않습니다 <- 대부분의 일반 업체에 해당합니다.

l  DNSSEC 서명 검증이 비활성화된 네임 서버는 영향받지 않습니다.

 

보다 자세한 사항은 아래 주소로 문의하십시오.

한국인터넷진흥원 인터넷주소센터: 02-405-6464, in_dnssec@nic.or.kr

 

 

 

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus

    댓글을 달아 주세요

    스팸에 관련된 유용한 정보를 지속적으로 제공하는 스팸하우스(Spamhaus)에서 화이트리스트 라는 새로운 기능을 선보일 예정입니다.

    기존에는 DNSBL이라고 해서 스팸을 보내는 IP 주소를 차단하는 조회 서비스를 제공했습니다.

    새롭게 제공하는 서비스의 이름은 DNSWL이며 현재 베타 테스트가 진행 중에 있습니다. 베타 테스트 중에는 구글의 초대장과 같이 화이트 리스트에 등록된 사람의 소개로만 화이트리스트에 등록될 수 있습니다.

    또한 DNSWL은 IPv4 뿐만 아니라 IPv6도 지원하며, 특히 DKIM이 인증되어 있는 경우에만 등록할 수 있을 것이라고 합니다.

    출처: http://www.h-online.com/security/news/item/Spamhaus-launches-whitelist-1096753.html

    감사합니다.


    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus

      댓글을 달아 주세요

      필자가 다년간 메일 서버 제품의 엔지니어로 근무하면서 느꼈던 부분이 바로 스팸 메일을 대하는 사람들의 태도입니다. "스팸은 그냥 지우면 그만이죠.", "좀 많을 때 짜증 나지만 별 상관 없어요" 라는 말을 하곤 합니다.

      거의 모든 포탈에서는 자체적인 메일 서비스를 무료로 제공하지만, 실제 메일 서비스만 제공할 뿐이지 스팸을 차단하는데에는 그리 큰 예산이나 인력을 사용하고 있지 않은거 같습니다.

      <필자가 사용하는 메일 서비스의 받은 편지함 부분. 뉴스레터 한 두 통을 제외하고는 모두 스팸>


      이제 스팸 즉 이메일을 통해 사용자의 PC를 공격하는 방식에 설명하고자 합니다. 물론, 대부분 알고 있을 수도 있을 것입니다.

      • 피싱 - 메일의 본문에 악성 코드가 포함된 URL을 삽입하고, 사용자가 이를 클릭하는 과정에서 피싱 공격이나 악성 코드를 다운로드하게 하는 방식.
      • 감염 - 메일의 첨부 파일에 HTML이나 실행 파일을 포함시키고, 사용자가 이를 클릭하여 실행하게 함으로써 PC에 악성 프로그램이 감염되도록 하는 방식


      이러한 공격의 사례를 살펴 보면 다음과 같습니다.

      사례 1. 피싱:메일의 본문에 교묘하게 위장된 사이트에 방문하도록 유도하는 시나리오

      네이버 DDOS 공격 최초 보고 - 우리은행 BC카드 이용대금명세서로 위장한 이메일 주의
      출처: http://viruslab.tistory.com/1923


       

      사례 2. 감염: 메일의 첨부파일에 포함된 HTML/실행파일을 실행하게 함으로써 공격

      네이버 DDOS 공격 최초 보고 - 우리은행 BC카드 이용대금명세서로 위장한 이메일 주의

      출처: http://viruslab.tistory.com/1922



      즉, 스팸은 사용자의 실수를 이용하기 때문에, 보통 사용자 책임으로 돌리기 쉽습니다만, 사용자가 모두 책임지기에는 너무나 억울할 수 밖에 없습니다. 보낸 사람을 일일이 확인할 수도 없을 뿐더러, 대부분 보안에 대해 충분한 지식을 가지고 있지 못한 경우가 대부분입니다.


      따라서, 스팸에 대한 문제는 바로 메일 서비스를 제공하는 회사(포탈)이 어느 정도 책임을 지고 해결을 해야 한다고 봅니다. 

      특히, 일반 회사와 같이 독자적인 메일 시스템을 구축하는 경우에 메일에 대한 안티 스팸/바이러스 장비나 소프트웨어를 구비하지 않는 경우가 대부분입니다. 이러한 경우에는 당연히 구비해야 하며, 사용자 수가 50명 미만인 경우에는 구글이 제공하는 무료 서비스를 이용하는 편이 훨씬 낫습니다.

      참고로, 2번째와 같이 첨부파일로 공격하는 형태는 메일 서버의 필터링 기능에서 html, exe와 같이 위험한 확장자를 차단하는 방법을 동원해도 충분히 막을 수 있습니다. 구글에서도 실행 파일을 첨부할 수 없게 되었습니다.

      감사합니다.









      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus

        댓글을 달아 주세요

        구글은 검색 엔진으로 유명하지만, 그 외에도 다양한 기능을 제공합니다. 대표적인 서비스로는 번역 을 들 수 있을 것입니다.

        구글은 기업의 환경에 맞는 서비스도 제공하는데 바로 앱스(Apps)입니다. Apps에서는 이메일, 일정, 주소록을 도메인별로 사용할 수 있게 해주는 Saas를 제공하며, 50이하 사용자는 무료입니다. 물론, 유료로 사용하는 경우에는 보다 나은 용량이나 성능을 제공합니다.

        하여튼, 회사의 입장에서 새롭게 도메인을 등록하고 이메일 시스템을 구축하는 경우에는 크게 문제가 되지 않지만, 기존에 이미 다른 제품의 메일 서버를 사용하고 있는 경우에는 데이터 이전이라는 문제 때문에 고심을 하지 않을 수 없게 됩니다.

        구글은 이러한 문제점을 해결하기 위해 Exchange 서버에서 구글 앱스로 이메일, 일정, 주소록을 넘겨줄 수 있습니다.

        다만, 이러한 툴을 사용하기 위해서는 구글 앱스 상용 버전이나, 교육용 버전을 사용하고 있어야 한다고 언급하고 있습니다. 또한, 익스체인지 2003과 2007을 지원합니다.

        출처: http://googleenterprise.blogspot.com/2010/03/now-its-easy-switch-to-google-apps-from.html

        설명서: http://static.googleusercontent.com/external_content/untrusted_dlcp/www.google.com/ko//support/enterprise/static/gapps/docs/admin/en/gapps_exchange_migration/1.0/gamme_admin.pdf
        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus

          댓글을 달아 주세요

          머큐리(Mecury) 메일서버는 EMWAC과 더불어 무료로 사용하는 제품 중 국내에서 가장 인기가 많은 메일서버 입니다.

          머큐리에서 IMAPD 데몬에 대한 보안 취약점이 발견되어 공개되었습니다. 이 취약점을 통해 공격자는 취약한 시스템을 공격할 수 있습니다.

          이 취약점의 원인은 IMAP SEARCH 명령어를 처리할 때 IMAPD 모듈 내에서 바운더리 에러 때문으로 알려지고 있습니다. 이 취약점을 통해 60바이트 이상 긴 문자열을 전송할 경우에는 스택 기반의 버퍼오버플로 공격이 이루어집니다.

          공격한 이후에는 공격자의 의도된 코드를 실행할 수 있으며, 위험도는 꽤 치명적입니다.

          취약점이 발견된 버전은 v4.52이며, 다른 버전에서도 동일한 취약점이 있을 것으로 예상됩니다.

          해결책은 아직 나와 있지 않으며 대안으로 믿을 수 있는 사용자들만 액세스할 수 있도록 제한하는 것입니다.

          이보다 중요한 사실은 이 취약점을 이용하여 공격하는 익스플로잇 코드가 공개되었습니다. 관리자의 주의가 요망됩니다.

          취약점에 대한 자료: http://secunia.com/advisories/26878/
          익스플로잇 자료: http://milw0rm.com/exploits/4429

          감사합니다.


          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus

            댓글을 달아 주세요

            비트디펜더(BitDefender)는 메이저 안티 바이러스 벤더 중의 하나로 안티 바이러스 솔루션 이외에도 데이터 보안 솔루션을 제공하고 있다. 최근 2007년도 전반기 이미지 및 텍스트 기반의 스팸을 분석한 자료를 발표하였다.

            2007년도 상반기에는 주로 주식 관련 스팸이 주류를 이뤘으며 이미지 기반의 스팸은 중간 정도 점유율을 보이고 있었다. 성 기능 관련 약물은 2 등을 차지했다.

            제목으로 분류한 스팸의 유형
            1. 주식 - 75%
            2. 약물(성 관련) - 8.1%
            3. 짝퉁 시계 - 5%
            4. 모기지론 - 4%
            5. 피싱 - 2%
            6. 포르노 - 2%
            7. 학위 졸업장 - 1%
            8. 약물(다이어트 관련) - 0.9%
            9. 여행 - 0.5%
            10. 소프트웨어 - 0.5%
            11. 기타 - 1%

            이미지 기반의 스팸은 증권 관련하여 꾸준히 증가하고 있으며, 텍스트 기반의 스팸은 주로 약물에 관련된 내용을 담고 있었다. 텍스트 기반의 스팸 중 가장 많은 주제는 바로 성 관련 약물이며 뒤를 이어 짝퉁 시계가 차지했다.

            텍스트 기반의 스팸의 유형
            1. 약물(성 관련) - 42.5%
            2. 약물(다이어트 관련) - 13.8%
            3. 짝퉁 시계 - 9.1%
            4. 모기지론 - 7.4%
            5. 피싱 - 4.2%
            6. 전자 제품 - 3.8%
            7. 여행 - 3.6%
            8. 주식 - 3.6%
            9. 소프트웨어 - 2.5%
            10. 학위 졸업장 - 2.1%
            11. 허가증 - 1.5%
            12. 만남 주선 - 0.5%
            13. 기타 - 5.4%

            특히 2007년도 중반기에는 PDF로 된 새로운 이미지 기반의 스팸이 등장하기 시작했다. 스팸 메시지에는 PDF 파일을 첨부 파일로 제공하며 대부분 컴퓨터에서는 아크로뱃 리더 등이 깔려 있어 손쉽게 PDF 파일을 열어 볼 수 있다.

            최근의 스팸 유형은 진단하기 어렵도록 압축을 하거나, 파서를 속이기 위해 변형한 HTML 코드를 사용하곤 한다.

            출처: http://home.businesswire.com/portal/site/google/index.jsp?ndmViewId=news_view&newsId=20070814005179&newsLang=en
            reTweet
            Posted by 문스랩닷컴
            blog comments powered by Disqus

              댓글을 달아 주세요

              2007년 7월 초, 기존의 이미지 기반의 스팸의 대를 이어 PDF 문서를 첨부파일로 함께 배달되는 새로운 스팸 유형이 등장했다. 여기에서는 그냥 PDF 스팸이라 칭한다.

              PDF 스팸 메시지를 분석해 보면 다음과 같은 일정한 형태가 나타난다.(이 정보는 변경될 수 있으므로 참조용으로만 보세요)
              • 제목에 Re: 등으로 시작하고 첨부하는 PDF 문서의 이름만 포함(변경될 가능성이 많습니다)
              • 메일 발송 프로그램은 썬더버드 1.5를 사용한다는 헤더 내용 포함
              • 본문이 없음
              • 첨부파일은 BASE64로 인코딩

              사용자 삽입 이미지

              전통적인 스팸 메시지를 차단하는 가장 간단한 필터링 방법은 제목, 본문, 첨부 파일 등에 특정한 단어가 있을 때 이를 스팸으로 분류하는 것이다. 이러한 스팸이 차단되기 시작하자 스패머들은 이미지 기반의 스팸이라는 새로운 기술을 들고 나왔다. 이미지 기반의 스팸은 본문 가운데 그림을 넣어 그림 속에 광고 내용을 표현하는 것으로 이러한 스팸을 차단하기 위해서는 이미지를 분석하여 스팸 여부를 진단하는 OCR 기능을 가진 고가의 스팸 필터링 장비가 필요하다.

              현재 이미지 기반의 스팸을 분석하여 차단하는 기술이 점차 보편화되자 스패머들이 들고 나온 방법이 PDF 문서, 워드 문서, 엑셀 문서를 첨부로 보내는 것이다.

              그리고, 일반적으로 컴퓨터를 자주 사용하는 사람은 아크로뱃 리더 정도는 깔아서 쓰는 것이 대부분이며, 아웃룩이나 아웃룩 익스프레스로 메일의 첨부파일을 열더라도 별도의 설치 작업없이 바로 열어 볼 수 있다. 따라서, 스패머들은 아무런 제제를 받지 않고 목적을 달성할 수 있게 된다.

              그렇다고 해서 스패머가 PDF 스팸을 직접 발송하는 것도 아니다. 실제 스팸을 분석해 보면 증권 관련 PDF 스팸인 "pump-and-dump" 스팸은 W32/Strain 웜에 감염된 컴퓨터에서 발송된 것을 확인할 수 있다. 즉, 웜에 감염된 일반 PC에서 이러한 PDF 스팸을 발송하고 있던 것이다.

              특히, PDF 스팸 메시지의 내용이나 첨부 파일을 확인한 결과, 현재로는 단지 문서로서의 역할만 하고 있다. 하지만, 일부 보안 블로그/사이트에서는 다음과 같이 세 가지 사항을 경고하고 있다.

              • 첨부파일에 .exe 파일을 추가하여 사용자 컴퓨터에서 감염 등의 동작 실행
              • PDF 문서 자체에 자바스크립트를 동작시킬 수 있음
              • 이미지기반의 스팸에 비해 메시지의 크기가 현저하게 크므로 사용자 메일 박스에 부담을 줄 수 있음

              1. 첨부파일에 .exe 파일을 추가하여 사용자 컴퓨터에서 감염 등의 동작 실행 - 이 방법은 이미 최신의 아웃룩 버전 등에서는 사용할 수 없도록 무력화된 방법이다. 하지만, 모든 컴퓨터가 이러한 보안 정책을 가지고 있는 것은 아니므로 주의해야 한다.

              2. PDF 문서 자체에 자바스크립트를 동작시킬 수 있음 - 실제 이 부분은 보안상 매우 민감한 사안에 해당한다. 우리가 널리 사용하는 웹 브라우저에서도 자바 스크립트로 인해 많은 공격이 이루어지고 있기 때문에 PDF에서도 이러한 공격이 나타날 가능성이 매우 높다.

              3. 이미지기반의 스팸에 비해 메시지의 크기가 현저하게 크므로 사용자 메일 박스에 부담을 줄 수 있음 - 기존의 이미지 기반의 스팸은 대략 10kb 미만의 크기를 가지고 있지만, PDF 스팸의 경우 보통 30kb 이상의 크기이다. 만약 사용자의 쿼터가 10mb라고 가정한다면 PDF 스팸 300 통이면 메일박스가 꽉차서 무용지물로 만들 수 있다. 스팸 메시지의 크기가 커진다면 그만큼 메일 서버의 부하도 증가한다고 볼 수 있다. 메일 스토리지뿐만 아니라 메일 서버끼리의 트래픽, 메일을 사용자가 가져갈 때의 트래픽 모두 적어도 3배 이상 증가한다는 것은 명약관화하나 사실이다.


              중요한 사실 한가지, 앞으로 아크로뱃/아크로뱃 리더의 취약점을 이용한 익스플로잇이 출현하거나 제로데이 웜이 출현할 경우에는 PDF 스팸은 스팸의 범위를 넘어서 바이러스/웜의 영역까지 침투해 들어올 수 있다는 점이다.

              손쉽게 예를 들어 보자면, 지난 3월 6일에 시큐니아(www.secunia.com)에서 발표한 아크로멧 리더의 취약점을 살펴 보자. 여기서 발생하는 취약점은 "file://"이라는 URL을 PDF 문서 내에서 동작할 수 있게 한다는 것으로 공격자가 마음만 먹는다면 컴퓨터에 있는 특정한 파일의 정보를 가져 갈 수 있다. 해킹 방법은 여기를 클릭해서 참고하도록 한다.


              현재까지 설명한 PDF 스팸은 아직은 위험한 단계는 아니지만, 적어도 보이는 족족 삭제하는 것이 가장 좋은 방법이며, 특히 윈도우 사용자들은 마이크로소프트의 보안 패치는 열심히 하지만 다른 응용 프로그램의 패치는 그리 중요하게 여기지 않는 경향이 있다. 따라서, 아크로뱃/아크로뱃리더 사용자들은 종종 업데이트 여부를 확인하여 보안 취약점을 해결하는 것이 가장 중요하다.


              감사합니다.

              reTweet
              Posted by 문스랩닷컴
              blog comments powered by Disqus

                댓글을 달아 주세요

                1. Favicon of http://widelake.net BlogIcon 너른호수 2007.07.16 15:14  댓글주소  수정/삭제  댓글쓰기

                  그새 아웃룩 익스프레스를 통해 발송되는 녀석도 나타난 것 같습니다. -_-

                IETF(Internet Engineering Task Force)는 메일을 주고 받을 때 송신자가 맞는지 확인하는 인증 시스템을 인터넷 표준(RFC)으로 등재하기 위해 검토하고 있습니다.

                DKIM(DomainKeys Identified Mail)은 발송하는 메일에 PKI 기반의 암호화된 서명을 추가하여 발송하고, 받는 사람은 이 정보를 토대로 보낸 사람이 맞는지 확인하는 메일 보안 시스템 중의 하나입니다. 쉽게 설명하면, 인터넷에서 사이트를 위장하는 피싱(phishing)과 같은, 메일 전용 피싱 방어 체계라고 할 수 있습니다.

                DKIM은 Yahoo!와 Cisco에서 개발되었으며, 이러한 장점에 힘 입어, 현재에는 AOL, Earthlink, Microsoft, PGP Corporation, Sendmail, Verisign 등에서도 참여하고 있습니다. 특히, 마이크로소프트는 Sender ID라는 유사한 시스템을 제공하고 있습니다.

                DKIM에 대한 정보는 홈 페이지에서 찾아 볼 수 있으며, 관련된 RFC인 RFC 4781를 참고하시기 바랍니다. Yahoo! 블로그, 그리고 Silicon.com에서 전체적인 개요를 참고하십시오.

                참고로, 메라크 메일 서버 8.5 버전까지는 도메인 키를 지원하고, 8.9 버전부터는 DKIM을 공식적으로 지원합니다.


                센더 ID, 도메인 키, DKIM에 대한 추가 정보를 아래에서 찾아 보실 수 있습니다.

                 http://widelake.net/tag/DKIM
                 http://www.ntfaq.co.kr/3601

                reTweet
                Posted by 문스랩닷컴
                blog comments powered by Disqus

                  댓글을 달아 주세요


                  오늘 네이버에서 메일 한통을 수신하였는데, 아래 그림과 깉이 일반적인 메일이었습니다. 그런데, 내용을 자세히 보니, 약간의 낚시질을 하는 듯한 행태가 보여 이 아이디를 검색해 보니,
                  사용자 삽입 이미지

                  진짜 낚시 같은 글이 하나 올라와 있네요.
                  사용자 삽입 이미지

                  http://www.csbang.com/becommunity/community/index.php?from_market=Y&pageurl=board&mode=view&b_no=83&bt_code=33&page=3

                  이 메일이 정상 메일 일까요? 아니면 스팸 메일 일까요?

                  오후에 갑자기 고민이 됩니다.

                  reTweet
                  Posted by 문스랩닷컴
                  blog comments powered by Disqus

                    댓글을 달아 주세요

                    1. ican 2007.05.03 10:16  댓글주소  수정/삭제  댓글쓰기

                      낚시죠;;;; 디스 이즈 스펨!

                    2. Favicon of http://dasantea.bloter.net BlogIcon dasan 2007.05.07 16:50  댓글주소  수정/삭제  댓글쓰기

                      요즘 스팸은 점점 지능형으로 변화되고 있는 것 같네요.

                    3. Favicon of http://widelake.net BlogIcon 너른호수 2007.05.07 17:05  댓글주소  수정/삭제  댓글쓰기

                      저도 받았었습니다. 바로 스팸신고해버렸죠 - _-


                    전자 메일이 나오고 스팸이 출현하기 시작하면서, 스패머와 메일 서버 관리자간에는 보이지 않는 전쟁이 수십 년째 지속되고 있다. 스패머가 새로운 기술로 사용자를 농락하면, 메일 서버의 보안 엔지니어들이 그 기술에 대항하여 차단할 수 있는 기술을 만들어 내는 등, 아직도 스팸과 전쟁이 지속되고 있다.

                    이런 가운데, 우리나라에서 주로 사용되는 스팸 차단 기술은 아주 기본적인 수준에 머물러 있다. 스팸 차단 기술이라 부르기는 좀 뭐하지만, SPF가 작년 하반기에 인프라가 구축되었다.

                    SPF(Sender Policy Frame)은 발송자(정확히는 발송 서버)의 IP가 실제 도메인 이름과 일치하는지 확인하는 하나의 인증 기술이다. 다시 말하면, SPF, Sender-ID와 같은 기술은 IP주소와 도메인이름의 일치 여부를 검사하여 이를 위반하는 메일에 대해 수신 서버의 스팸 엔진에서 별도의 점수를 부과하여 또는 처리를 하도록 하여 스팸을 막아주는 역할을 수행한다. 하지만, 정확히 말하면 스팸을 검사하는 것이 아니라, 해당 IP로 위조되어 발송한 메일을 구별해 내는 것에 불과하므로, 어느 정도의 효과를 기대할 수 있을 뿐이다. 또한, 국내의 대형 포탈에서는 SPF를 통해 화이트도메인을 등록하는 체계를 이용하여 IP등록제(화이트도메인)를 운영하고 있다.이에 대한 자료는 이 글 마지막 부분을 참고하기 바란다.

                    이러한 단점에 비하여, 도메인키는 좀더 나은 체계를 가지고 있다. 도메인키는 전자 서명 기술을 이용한다. 원래 도메인키는 Yahoo!가 처음 제시하여 사용된 기술로 지금은 좀더 보완하고 발전한 기술로 도메인키라고 불리우며, 앞으로 널리 사용된 기술은 DKIM(Domain Key Identified Mail)이라고 한다. 차후에 DKIM에 대해서도 자세한 자료를 설명하고, 메라크 메일 서버에 DKIM을 어떻게 적용하여 사용하지는지에 대해서도 다룰 예정이니 기대하기 바란다.


                    도메인 키의 인증 원리

                     
                      도메인 키는 전자 서명기술을 사용한다. 발송자가 미리 준비한 공용/사설키 쌍을 가지고 있고, 발송시 개인키와 메일 내용을 가지고 특정한 헤더값을 만든다. 이 값을 발송시에 헤더에 추가하여 보내고, 수신 서버는 발송 서버의 공개키와 메일에 포함된 헤더 값을 비교하여 메일이 올바른지 판단한다. 좀더 자세히 알아 보자.

                    전자 서명: 전자서명은 전자문서를 작성한 자의 신원과 전자 문서의 변경 여부를 확인할 수 있도록 비대칭 암호화방식을 이용하여 전자서명생성키로 생성한 정보로서 당해 전자문서에 고유한 것을 말한다.

                    전자서명 기술: 전자서명기술은 공개키와 개인키간 합치성(Correspondence)의 특성을 이용하여 전자문서를 수신한 상대방이 송신자의 신원확인, 전자문서의 위.변조 방지, 전자문서의 송신사실의 부인 방지를 할 수 있는 기술을 말한다.

                    공개키 암호기술에 기반을 둔 전자서명기술은 개인키/사설키(Private Key)와 공개키(Public Key)라는 두 개의 키를 이용하여 문서를 전자서명하고 이를 검증하는 기술로 공개키암호기술에서 개인키는 사용자 자신만이 알고있는 키를 말하며, 사용자는 이 키를 이용하여 문서에 전자서명을 한다.

                    공개키는 이 개인키에 대응하는 키로서, 문서를 수신할 상대방은 공개키를 이용하여 전자서명된 문서를 검증한다. 개인키로 전자서명된 문서는 이에 대응하는 공개키를 가진 사람만이 그 서명을 검증할 수 있다. 전자서명된 문서가 A의 공개키로 검증된다면 이 문서는 A의 개인키로 전자서명된 것임을 알 수 있다.


                    발송 서버의 동작 원리

                    1. 먼저 DNS 서버에는 selector._domainkeys라고 하는 TXT 레코드를 생성한다. 이 레코드 값 속에는 도메인 이름과 선택자(selector) 그리고 키 길이(바이트)에 맞는 개인키와 공용키가 들어 있다. 개인키는 말 그대로 비밀 키이므로 메일 서버에 보관하고, 공개키는 DNS에 공개한다. 공개키는 나중에 수신 서버가 메일을 받았을 때 참조하게 된다.

                    2. 메일을 발송할 때 발송서버는 개인키를 이용하여 메시지의 디지털 서명값을 만들어 이 값을 메일 메시지의 헤더 부분에 삽입하여 발송한다.



                    수신 서버의 동작 원리

                    3. 수신 서버는 메일을 수신하고, 메일 내에 도메인키가 적용된 즉, 특별한 헤더값이 포함된 경우에는 이를 인증하는 과정을 진행한다.

                    4. 수신한 메일에서 발송 도메인을 찾아, 이 도메인의 공개키를 조회하여 알아 낸다. 이 공개키와 메일 헤더 내에 삽입되어 있는 디지털 서명값을 통해 개인키로부터

                    사용자 삽입 이미지
                    메일이 작성되어 보내졌는지를 확인한다. 이 과정에서 메일 내용뿐만 아니라 헤더의 변조 여부까지도 알 수 있다.

                    5. 스팸 엔진의 정책 또는 회사 정책에 따라 도메인 키가 확인된 메일에 점수를 부여하거나 하는 등의 추가적인 처리 과정을 거쳐 사용자에게 정상 또는 스팸으로 분류하여 배달한다.

                    참고: 스팸 어새신의 기본 정책에서는 도메인키 확인시 -0.5점을 부여한다.

                    앞에서 설명했던 이론으로 중무장하고 이제 실전의 장으로 나가 보자. 메라크 메일 서버에서는 관리자의 편의를 위해 아주 간단한 조작만으로도 손쉽게 도메인키를 구현할 수 있다.


                    설정

                      설정 부분은 메라크 메일서버와 DNS 서버 두 부분으로 나뉜다. 차근차근 살펴 보도록 하자.

                    1. 도메인 키 사용 및 설정 (메라크 메일 서버에서 설정할 사항)

                    1) 메라크 관리 콘솔 -> 도메인 & 계정 -> 관리 노드를 선택하고,  여러분의 도메인을 선택하고 오른쪽 세부창에서 도메인키 탭을 클릭한다. 아래 그림과 같이, 사용에 체크 버튼을 클릭할 수 없기 때문에 먼저 이를 활성화해야 한다.
                    사용자 삽입 이미지

                    2) 메라크 관리 콘솔 -> 도메인 및 관리 -> 전역설정 노드를 선택하고, 오른쪽 세부창에서 도메인 탭을 클릭한다. 가상 도메인 박스에서 도메인키 사용에 체크를 하고 적용 버튼을 눌러 설정 사항을 저장한다.
                    사용자 삽입 이미지

                    3) 첫 번째 단계를 다시 클릭하여 이동한다. 활성화되지 않았던 사용 부분을 선택할 수 있는지 확인한다. 사용 버튼에 체크를 하고, 저장 버튼을 눌러 저장한다.
                    사용자 삽입 이미지

                    4) 선택자도메인을 입력한다. 선택자는 관리자 마음대로 입력할 수 있지만, 가급적 버전의 확인을 위해 앞부분에 dk와 같은 단어를 추가하는 방식을 추천한다. 여기 예에서는 dk_primary라고 입력하고, 도메인은 merakdemo.com이라고 입력한다.(당연한 얘기지만, 이 글을 읽으면서 실제 메일서버에 동일하게 입력하는 실수는 하지 않겠죠?) 처리 방식 기본을 선택한다. nofws에 대한 자세한 사항은 사용 설명서를 참고하기 바란다.
                    사용자 삽입 이미지

                    5) 사설키 생성 버튼을 클릭하면, 키의 길이를 입력하는 팝업 상자가 나타난다. 512비트 그대로 놔두고 확인 버튼을 누른다. 그러면, 개인키가 자동으로 생성된 것을 볼 수 있다.
                    사용자 삽입 이미지

                    참고: 위의 그림에서 사설 키 내의 데이터 첫 부분을 보면 RSA PRIVATE KEY라는 식별 표시가 있다.

                    6) 선택자와 사설키, 키길이를 토대로 하여 공개키를 만든다. DNS 서버에 등록할 공개키는 선택자 데이터 조회 버튼을 누르면 선택자 데이터 란에 값이 자동으로 산출된다. 저장 버튼을 눌러 변경 사항을 모두 저장한다. 선택자 데이터에 있는 값을 복사하여 안전한 파일로 저장하여 잠시 후에 다룰 DNS 서버에 등록한다.
                    사용자 삽입 이미지


                    2. 공개키 등록(DNS에서 설정할 사항)

                    1) DNS 서버에서 DNS 콘솔을 열고, 해당 도메인을 선택한다. 도메인의 설정 사항은 아래 그림과 별반 다르지 않을 것이다.
                    사용자 삽입 이미지

                    2) 오른쪽 세부 창에서, 빈 공간에 마우스 오른쪽 버튼을 클릭하고, 새 도메인을 선택한다.
                    사용자 삽입 이미지

                    3) 새 도메인 대화상자에서 _domainkeys를 입력하고 확인 버튼을 클릭한다.
                    사용자 삽입 이미지

                    4) 좀 전에 생성한 _domainkeys 도메인을 클릭하여 해당 도메인에 포함된 레코드를 살펴 본다. 지금 생성하였기 때문에 아무것도 포함되어 있다.

                    5) 오른쪽 세부 창에서 빈 공간에 마우스 오른쪽 버튼을 클릭하고, 다른 새 레코드를 선택한다.
                    사용자 삽입 이미지

                    6) 리소스 레코드 종류 대화상자에서 텍스트를 선택하고 레코드 만들기 버튼을 클릭한다.
                    사용자 삽입 이미지

                    7) 새 리소스 레코드 대화상자가 나타난다. 레코드 이름은 앞서 메라크 메일 서버에서 입력했던 선택자를 입력한다. 텍스트 부분에는 선택자 데이터 란의 텍스트를 복사한다.

                    사용자 삽입 이미지

                    참고: 선택자 데이터는 k=으로 시작하고, ==으로 끝이 난다.

                    8) 확인 버튼을 누르고, 완료 버튼을 누르고, DNS 콘솔에서 추가된 부분을 한번 더 확인한다. 정확하다고 판단되면 DNS 콘솔도 종료한다.
                    사용자 삽입 이미지

                    9) DNS의 변경사항을 곧바로 반영하기 위해 서비스 콘솔에서 DNS Server 서비스를 중지했다가 시작한다.


                    3. 도메인키 설정 확인

                    도메인키가 제대로 동작하는 지 확인하는 가장 빠른 방법은 도메인키를 지원하는 메일서버에 메일을 주고 받아 헤더값 또는 스팸어새신이 산출해 내는 결과를 살펴 보면 된다. 메라크 메일서버에서는 안티 스팸 옵션이 켜 있어야 메일 수신시에 도메인키가 동작하는지 쉽게 알 수 있다.

                    1) 먼저 메라크 메일 서버에서 구글(Gmail.com)으로 메일을 한 통 발송한다.

                    2) 회신 받을 메라크 메일 서버는 안티 스팸 옵션을 켜고, 동작 중이어야 하며, 안티 스팸 설정사항 중에 도메인 키에 체크가 되어 있어야 한다.
                    사용자 삽입 이미지

                    3) 아래 화면은 Gmail에서 수신한 메일의 헤더 중 도메인 키에 대한 부분이다. 안티 스팸 엔진에서 도메인키가 확인되었다는 내용이 어디에 있을까? 한번 찾아 보시라. 정답은 이 글의 맨 마지막에 간단히 적어 놓겠다.
                    사용자 삽입 이미지

                    지금까지 도메인키의 동작원리와 이를 메라크 메일서버에 적용하여 사용하는 방법에 대해 살펴 보았다. 추가적인 자료는 아래 링크를 참조하기 바라며, 다음 강좌는 도메인 키가 한층 발전된 기술인 DKIM(DomainKeys Identified Mail)에 대해 다룰 에정이니 많은 기대 바란다.


                    주의사항: 메라크 메일서버 8.9.1 버전까지는 도메인키 기술을 사용하며, 그 이후 버전에서는 DKIM을 구현하고 있다.

                    도메인키 참고자료:

                    http://antispam.yahoo.com/domainkeys

                    http://en.wikipedia.org/wiki/DomainKeys

                    http://www.elancer.co.kr/eTimes/page/eTimes_view.html?str=c2VsdW5vPTEwNTU=


                    팁자료:

                    http://www.kica.net/06_sub/06_sub_04_3.php


                    SPF 참고 자료:

                    http://www.kisarbl.or.kr

                    http://blog.softmail.co.kr/36


                    퀴즈 정답: DK_VERIFIED

                    reTweet
                    Posted by 문스랩닷컴
                    blog comments powered by Disqus

                      댓글을 달아 주세요



                      Web Analytics Blogs Directory