리눅스 분류
메일 필터링을 통한 E-mail 보안
작성자 정보
- 웹관리자 작성
- 작성일
컨텐츠 정보
- 8,252 조회
- 0 추천
- 목록
본문
이현우, lotus@certcc.or.kr
백원민, 100@sunoo.com
하도윤, dyha@certcc.or.kr
김상철, ksch@certcc.or.kr
1. 개요
Firewall이 널리 보급되면서 서버의 보안 취약점에 대한 공격은 효과적으로 방어할 수 있게 되었다.
반면, E-mail 첨부파일, HTML이 내장된 E-mail 등을 이용한 공격은 아직 효과적인 대응방법이 없다.
특히, 이러한 공격은 대부분의 사이트에서 제공하는 서비스(E-mail, HTTPD 등)를 이용한 공격이기
때문에 더욱 탐지하거나 차단하기가 쉽지 않다. 최근의 인터넷 웜 공격은 이러한 취약점을 이용한 것
으로 99년 Melissa 바이러스를 기점으로하여 급속히 증가하고 있다.
본 고에서는 E-mail과 관련된 보안 취약성에 대하여 알아보고 이에 대한 대응방법을 소개한다. 메일
서버 차원에서 각 조직의 메일 보안정책을 구현할 수 있도록 도와주는 Procmail 등과 같은 도구의 사
용 및 기능에 대하여 설명한다.
※ 본 문서는 악성프로그램 예방지침의 참고자료로 작성된 자료이다.
메일필터링을 통한 E-mail 보안
CERTCC-KR
[목 차]
1. 개요
2. E-mail를 이용한 공격방법
2.1 액티브 컨텐츠 공격
2.2 버퍼오버플로우 공격
2.3 트로이잔 목마 공격
2.4 쉘 스크립트 공격
3. Procmail을 통한 E-mail 보안
3.1 Sanitizer 설치
3.2 Sanitizer 설정방법
3.3 다양한 보안정책 구현을 위한
설정
3.4 자가 보안 필터 구현
4. Inflex 보안도구를 통한 E-mail 보안
4.1 Inflex 설치 및 실행
4.2 Inflex 룰셋 설정
4.3 Virus Scanner(백신)과의 연
동
[참고자료]
악성프로그램 예방지침 : http://www.certcc.or.kr/paper/tr2000/2000-08/tr2000-08.htm
Top
2. E-mail를 이용한 공격방법
2.1 액티브 컨텐츠 공격
메일 열람시 HTML 기능이 있는 E-mail 클라이언트나 웹 브라우저를 사용하는 이용자를 대상으로 하
는 공격기법이다. 주로 "자바스크립트"나 "비주얼베이직스크립트"등과 같은 HTML 또는 E-mail 클라
이언트의 스크립팅 기능을 이용하여 피해자의 컴퓨터에서 정보를 유출하거나 악성 프로그램을 실행
시킨다.
이러한 공격의 간단한 예로는 사용자가 메시지를 열어볼 때 음란사이트나 광고사이트를 보여주도록
하거나 또는 시스템을 마비시키는 서비스거부공격 공격 형태를 보여준다. 최근에 발견되는 VBS 웜을
예로 들수 있다.
※ AnnaKournikova : http://www.certcc.or.kr/cvirc/Alert/61/AnnaKournikova.html
이런 공격은 E-mail 클라이언트 프로그램의 버그나 시스템의 버그를 이용하는 것이 아니기 때문에
보안 패치로써 해결하지 못한다. 무었보다 E-mail 클라이언트의 스크립팅 기능을 사용하지 않도록
설정하는 것이 중요하다. 다음은 Outlook에서 스크립팅 기능을 제거하는 방법이다.
또 다른 방법으로는 메일서버에서 메일이 저장될 때 이러한 스크립트 태그를 다른 이름으로 바꾸어
자장하는 방법이 있다. 이렇게 함으로서 사용자가 메일을 읽을때는 메일 클라이언트는 스크립트를 해
석하지 못하게된다.
2.2 버퍼오버플로우 공격
일반적인 버퍼오버플로우 공격과 마찮가지로 E-mail 서버 또는 클라이언트의 취약성을 이용하여 다
양한 공격을 수행할 수 있다. 현재 메일서버로 많이 사용하고 있는 sendmail은 취약성이 많이 보완되
어 왔으나, 메일 클라언트에서는 아직 많은 보안문제들이 발견되고 있다. Outlook Express,
Netscape Mail 등에서 발견된 버퍼오버플로우 취약성은 공격자가 조작된 E-mail을 보내 피해자의 컴
퓨터에서 임의의 명령을 실행하거나 트로이잔 같은 악성 프로그램을 심을 수 있도록 한다.
※ MS Outlook BufferOverflow : http://www.certcc.or.kr/advisory/ka2000/ka2000-025.txt
이러한 취약성은 메일서버 또는 메일클라이언트의 보안패치를 적용함으로서 해결할 수 있다. 또한 메
일서버에서 조작된 E-mail 헤더나 첨부 헤더를 탐지하여 수정함으로서 메일 클라이언트 공격을 예방
할 수 있다.
2.3 트로이잔 목마 공격
트로이잔 목마를 이용한 공격은 일반 사용자가 트로이잔 프로그램을 실행시켜 해당 시스템에 접근할
수 있는 백도어를 만들게 하거나 또는 시스템에 피해를 주게 한다. 이러한 공격의 예로는 분산 서비스
공격을 수행하는 Win/Trinoo 트로이잔, 패스워드와 같은 정보를 수집하는 스파이형 트로이잔, 그리고
시스템 자원을 사용하는 트로이잔에 이르기 까지 매우 다양하다.
이러한 공격이 성공하기 위해서는 피해자가 트로이잔을 실행시키도록 유도해야 되는데 이때 "사회공
학 기법(Social engineering)"이 사용된다. "Loveletter", "annakournikova.jpg" 와 같은 이름은 사용
자로 하여금 첨부파일을 실행시키도록 유도한다. 특히, 시스템 관리자를 사칭하여 첨부된 프로그램을
실행시키도록 하는 메일 메시지를 받았을 때는 반듯이 관리자에게 확인을 한 뒤 실행시켜야 한다.
특히, 윈도우 시스템은 디폴트로 파일이름의 확장자를 숨기도록 설정되어 있어, 공격자는 다음과 같
은 파일명을 사용하여 트로이잔 실행파일이나 스크립트 파일의 확장자를 숨길 수 있다.
xxx.txt.vbs - txt 파일로 가장한 비주얼베이직 실행 스크립트
이러한 공격을 당하지 않기 위해서는 메일을 통해 수신한 프로그램을 실행시키지 않아야 한다. 메일
첨부파일을 바로 더블 클릭하는 것은 매우 위험한 습관이다. 하지만 최근에는 이러한 사용자 주의를
우회할 수 있는 공격도 있다. E-mail 클라이언트의 버그 또는 잘못된 설계로 인하여 사용자의 간섭없
이도 자동으로 트로이잔을 실행시킬수 있는 공격방법이 공개되어 있다.
이러한 공격을 예방하는 방법으로 메일서버에서 실행가능한 첨부파일 이름을 실행되지 못하는 이름
으로 바꾸는 방법이 있다(예, exploit.exe를 exploit.defanged-exe 등으로 바꾸어 메일클라이언트에
서 실행되지 않도록 한다). 또 다른 방법으로는 메일 첨부파일을 조작하여 첨부파일로 보이지 않도록
바꾸는 것이다. 사용자가 반듯이 첨부파일을 얻기 위해서는 시스템 관리자에게 연락하여야 한다. 이
는 시스템관리자가 첨부파일을 점검할 수 있는 기회를 제공한다. 다음은 bugtraq, 뉴스그룹, 그리고
백신업체의 권고문에서 나오는 트로이잔 목마의 확장자와 파일이름 들이다.
트로이잔 공격의 또 다른 채널은 매크로 기능을 제공하는 프로그램의 데이터 파일을 이용할 수 있다.
최근의 워드프로세서, 스프레드쉬트, 데이터베이스 등은 이를 지원한다. 이러한 첨부파일을 열때는
항상 백신프로그램을 통하여 먼저 바이러스 감염여부를 확인하도록 해야 한다. 그리고 이러한 기능을
지원하는 프로그램에서 매크로를 자동으로 실행하는 모드를 제거해야 한다.
2.4 셀 스크립트 공격
유닉스와 같은 시스템은 사용상의 편리와 확장을 위해 쉘 스크립트를 제공한다. 어떤 메일 프로그램
은 메일 메시지를 처리할 때 내장된 쉘 명령을 지원하는데, 이를 잘못 사용하게 되면, 공격자는 조작
된 메일헤더를 포함한 메일을 보내 해당 시스템에서 특정 명령이 수행되도록 할 수 있다. 이는 메일헤
더를 검사하여 이러한 조작된 부분을 탐지할 수 있다.
Top
3. Procmail을 통한 E-mail 보안
"Procmail"은 강력한 메일 프로세서로 메일 메시지의 헤더와 본문에서 특정 정보를 찾아 정의된 규칙
에 따라 적절한 조치를 수행하는 프로그램이다. procmail의 설치, 설정 등과 관련된 자세한 내용은 다
음 링크를 참조 바란다.
∙관련 한글문서 : http://trade.chonbuk.ac.kr/~leesl/procmail/index.html
xxx.jpg.scr - jpg 그림파일로 가장한 스크린세이버 실행파일
xxx.mpg.dll - 동영상 파일로 가장한 dll 실행 파일
xxx.txt.exe - txt 파일로 가장한 실행 파일
*.asd *.chm *.dll *.ocx *.hlp
*.hta *.js *.pif *.scr *.shb
*.shs *.vb *.vbe *.vbs *.wsf
*.wsh IBMls.exe anti_cih.exe aol4free.com avp_updates.exe
*.[a-z][a-z][a-z0-9].[a-z0-9]+ (to catch "double-extension" attachments)
babylonia.exe badass.exe buhh.exe chocolate.exe compu_ma.exe
happy99.exe i-watch-u.exe ie0199.exe jesus.exe list.doc
lovers.exe navidad.exe path.xls photos17.exe picture.exe
pretty park.exe prettypark.exe qi_test.exe seicho_no_ie.exe serialz.hlp
setup.exe story.doc suppl.doc surprise!.exe x-mas.exe
y2kcount.exe yahoo.exe zipped_files.exe
∙procmail 최신버전 : http://www.procmail.org/
3.1 Sanitizer 설치
다음 사이트에서 제공되는 "sanitizer"라는 procmail ruleset은 앞서 설명한 E-mail을 이용한 모든 공
격에 효과적으로 대응할 수 있도록 해준다. "sanitizer" 파일을 윈도우 시스템에서 다운로드 받을 경우
에는 각라인에서 DOS 시스템의 "end-of-line" 문자를 제거해 줘야 한다. 잘 모르면 유닉스에서 다운
로드 받아 수정하지 않고 그대로 사용하면 된다.
∙Procmail 보안 홈페이지
ftp://ftp.rubyriver.com/pub/jhardin/antispam/procmail-security.html
∙sanitizer 다운로드 URL
http://www.impsec.org/email-tools/procmail-sanitizer.tar.gz
ftp://ftp.rubyriver.com/pub/jhardin/antispam/procmail-sanitizer.tar.gz
위 사이트중 한군데서 다운로드 받은 파일의 압축을 풀면, 관련 설명 문서들과 sanitizer 설정파일인
"html-trap.procmail", 그리고 필터링해야될 파일 목록이 있는 "poisoned-files" 파일이 생기게 된다.
자동으로 모든 사용자의 E-mail에 대하여 필터링하기 위해서는 다음과 같이 "Sanitizer" 룰셋을 설치
하면 된다.
o Sanitizer 설치를 위한 요구사항
- procmail이 설치되어 있어야 한다.
- sendmail을 이용할 경우 Local Delivery Agent로 procmail을 사용하도록 설정되어 있어야 하는데
이는 /etc/sendmail.cf 파일에서 다음과 같이 설정하면 된다.
Mlocal, P=/usr/bin/procmail, F=lsDFMAw5:/|@qSPfhn9, S=10/30, R=20/40, A=procmail -Y -a
$h -d $u
- perl이 설치되어 있어야 한다.
o 유닉스 시스템에서의 "sanitizer" 설치
procmail 설치하기
a. procmail 최신버전(procmail-3.15.1) 다운로드
- http://www.procmail.org/
b. 압축을 풀고 압축을 푼 디렉토리로 이동
# tar -xvf procmail-3.15.1.tar.gz
# cd procmail-3.15.1
c. procmail 설치
# make install 또는
# make install-suid
※ 보안을 위해서는 make install-suid를 하는 것이 바람직
- 소유자와 그룹이 root인 /etc/procmail 디렉토리를 755(rwxr-xr-x) 권한으로 설정
- 위의 ftp 사이트에서 sanitizer 룰셋을 다운받아 위 디렉토리에 저장하고 소유자와 그룹은 root로 그
리고 권한은 644(rw-r--r--)로 설정한다.
- 설정 방법에 따라 룰셋을 설정한다.
※ 만약 게이트웨이로 사용되는 sendmail relay에서 필터링을 하고자 할 경우에는 다음 사이트를 참
고하여 /etc/sendmail.cf 파일을 수정하고 /etc/procmail/filter.rc 파일을 만들어야 한다.
http://www.impsec.org/email-tools/procmail-on-gateway.txt
※ Outgoing 메일에 대한 필터링은 다음 사이트를 참고하여 /etc/sedmail.cf 파일을 수정하
고 /etc/procmail/outgoing.rc 파일을 만들어야 한다.
http://trade.chonbuk.ac.kr/~leesl/procmail/outgoing_mail_filter.html
Top
3.2 Sanitizer 설정방법
sanitizer는 환경변수와 설정에 따라 통제되는데, 이는 "/etc/procmailrc" 이라는 파일을 통해 이루어
진다.
다음은 기본적인 /etc/procmailrc 파일의 예이다.
만약 이미 /etc/procmailrc 파일을 이용하고 있다면, 위 내용을 추가하면된다. 다음은 etc/procmailrc
파일에서 사용되는 각각의 환경변수에 대한 설명이다. 위 예에 포함되지 않는 것도 설명한다.
o MANGLE_EXTENSIONS
앞서 설명한 것 처럼 각 기관의 메일정책에 따라 첨부파일의 확장자 이름을 제한하는 방법중의 하나
이다. 만약 첨부된 파일의 확장자가 ".exe"일 경우, ".mangled-exe"로 바꾸어 주는 역할을 한다. 이는
다음과 같은 보안상의 효과를 가져온다.
PATH="/usr/bin:$PATH:/usr/local/bin"
SHELL=/bin/sh
POISONED_EXECUTABLES=/etc/procmail/poisoned
SECURITY_NOTIFY="postmaster, security-dude"
SECURITY_NOTIFY_VERBOSE="virus-checker"
SECURITY_NOTIFY_SENDER=/etc/procmail/local-email-security-policy.txt
SECRET="CHANGE THIS"
# this file must already exist, with proper permissions (rw--w--w-):
SECURITY_QUARANTINE=/var/spool/mail/quarantine
POISONED_SCORE=25
SCORE_HISTORY=/var/log/macro-scanner-scores
DROPPRIVS=YES
LOGFILE=$HOME/procmail.log
# Finished setting up, now run the sanitizer...
INCLUDERC=/etc/procmail/html-trap.procmail
# Reset some things to avoid leaking info to
# the users...
POISONED_EXECUTABLES=
SECURITY_NOTIFY=
SECURITY_NOTIFY_VERBOSE=
SECURITY_NOTIFY_SENDER=
SECURITY_QUARANTINE=
SECRET=
※ 첨부된 파일의 확장자를 다른 이름으로 바꿈으로서 클라이언트에서 이를 실행(더블클릭)했을 때
실행되지 않도록 하는 것이다. 이럴경우, 사용자가 첨부된 파일을 실행시키기 위해서는 먼저 파일을
저장한 다음에 이름을 바꾸고 실행시켜야 되기 때문에 백신이 바이러스를 검사할 기회를 갖게되는 것
이다.
※ 자동실행되는 악성 코드일 경우에는 이름을 바꿈으로서 첨부된 코드를 찾지 못하도록 하여 공격을
방지할 수 있다.
Sanitizer는 다음과 같이 디폴트로 위험한 확장자에 대하여 MANGLE_EXTENSIONS 환경변수를 설정
하고 있기 때문에 특별히 따로 설정할 필요가 없으나, 만약 각 기관의 메일정책에 따라 변경할 경우
또는 디폴트 설정이 불편한 경우에는 다음 라인을 수정하여 procmailrc 파일에 추가하면 된다. 단
"INCLUDERC=/etc/procmail/html-trap.procmail" 가 있는 라인 이전에 설정하여야 한다.
※ 디폴트 MANGLE_EXTENSIONS 설정 :
MANGLE_EXTENSIONS='html?|exe|com|cmd|bat|pif|sc[rt]|lnk|dll|ocx|do[ct]|xl[swt]|p[po]
t|rtf|vb[se]
?|hta|p[lm]|sh[bs]|hlp|chm|eml|ws[cfh]|ad[ep]|jse?|md[abew]|ms[ip]
|reg|asd|cil|pps|asx|wm[szd]'
* 주 : MANGLE_EXTENSIONS은 한 라인에 모든 확장자를 기입하여야 하며, 포맷이 틀릴 경우, 큰 문
제가 발생할 수 있다. 포맷을 위에서처럼 확장자간에 "|" 문자를 이용하여 구분해 주면 된다.
또한 기관의 특성에 따라 보안레벨을 정의하여 구현할 수도 있다. 예를 들어 자신의 도메인내에서 오
고가는 메일에 대해서는 엑셀파일과 워드 파일의 확장자를 그대로 보존하고자 할 경우에는 다음과 같
이 할 수 있다.
/etc/procmailrc 파일에서 "INCLUDERC=/etc/procmail/html-trap.procmail" 라인 전에 다음과 같은
규칙을 설정한다.
:0
* ^From:.*<[a-z0-9]+@mydomain.com>
* ^To:.*<[a-z0-9]+@mydomain.com>
{
MANGLE_EXTENSIONS='html?|exe|com|cmd|bat|pif|sc[rt]|lnk|dll|ocx|dot|xl[wt]|p[po]
t|rtf|vb[se]
?|hta|p[lm]|sh[bs]|hlp|chm|eml|ws[cfh]|ad[ep]|jse?|md[abew]|ms[ip]
|reg|asd|cil|pps|asx|wm[szd]'
}
o POISONED_EXECUTABLES
바이러스가 주로 이용하는 파일이름의 목록을 가진 파일이름을 정의해 준다. 디폴트
로 /etc/procmailrc 디렉토리에 "poisoned" 라는 이름의 파일을 지정하고 있으므로 poisoned 파일을
해당 디렉토리에 카피하면 된다. 현재는 MANGLE_EXTENSIONS에 나온 확장자에 대해서만 파일이름
을 검사하도록 되어 있으나 다음버전에서 개선될 것이라고 한다. 디폴트로 필터링하는 파일이름은 1
장에서 설명한 바와 같다. 특정 파일이름을 사용하는 바이러스나 웜이 나타날 때 마다
POISONED_EXECUTABLES에 의해 설정된 파일을 업데이트해 줌으로서 악성프로그램으로부터의 공
격에 보다 적절히 대응할 수 있는 기능을 제공한다.
POISONED_EXECUTABLES=/etc/procmail/poisoned
o DISABLE_MACRO_CHECK
Microsoft Office의 위험한 매크로에 대한 검사기능을 제거한다. sanitizer는 Word documents,
Excel spreadsheets, PowerPoint presentations 등의 첨부파일을 검사하여 위험한 VBA 매크로(보안
설정을 변경기키거나, 레지스트리를 변경하는 등의 매크로)를 찾아내는 기능이 있다. 만약 이러한 기
능을 사용하지 않으려면 다음과 같이 DISABLE_MACRO_CHECK 값을 임의의 값으로 설정하면 된다.
DISABLE_MACRO_CHECK=YES
만약 위 기능을 이용하려면 다음과 같은 추가적인 도구를 설치하여야 한다.
※ metamail package의 일부인 mimencode
※ mktemp
리눅스에서는 대부분 배포판에 포함되어 있으나 다른 종류의 유닉스에서는 소스를 다운받아 컴파일
하고 설치해야 한다.
Top
o POISONED_SCORE
sanitizer는 위험한 매크로 코드의 모든 부분을 탐지할 때마다 이를 카운트하여, 일정 수준이 되면 해
당 문서를 감염□다고 판단한다. 디폴트로 25로 설정되어 있으나 대부분의 매크로 바이러스는 100이
상의 수치를 갖는다. 따라서 80 - 100 정도의 값을 갖도록 하는 것이 바람직 하다.
POISONED_SCORE=100
o SCORE_HISTORY
POISONED_SCORE 값이 적절히 설정되었는지 알아보기 위해 매크로 검사 결과를 기록할 수 있다.
다음과 같이 SCORE_HISTORY를 설정하면 된다. 해당 파일은 (rw--w--w-)의 권한을 가져야 한다.
SCORE_HISTORY="/var/spool/mail/macro-scanner-scores"
o SECURITY_QUARANTINE
sanitizer의 규칙에 따라 감염된(poisoned) 또는 감염된 것으로 판단된 메시지를 보관해두는 장소를
설정한다. 이러한 메시지는 수신자에게 가지 않고 설정된 파일에 쌓이게 된다. 해당 파일은 (rw--w-
-w-)의 권한을 갖도록 설정하여야 하며, 파일 내용은 표준 메일박스 형태로 쌓이게 된다. 만약
SECURITY_QUARANTINE 값이 설정되지 않으면 감여된 메일은 수신자에게 가게 된다.
SECURITY_QUARANTINE="/var/spool/mail/quarantine"
o SECURITY_NOTIFY
감염된 파일이 탐지되었을 때, 해당 사실을 누구에게 공지할 것인가는 설정한다. 공지는 필터링된 메
시지의 헤더를 포함한다. 또한 QUARANTINE이 실패할 경우도 이 사실을 SECURITY_NOTIFY에 설정
된 사용자에게 공지하게 된다.
SECURITY_NOTIFY="postmaster, dilbert@example.com"
o SECURITY_NOTIFY_VERBOSE
SECURITY_NOTIFY와 같으나, 필터링된 메시지의 원문이 포함된다. 이는 quarantine 파일 대신에 사
용될 수도 있다.
SECURITY_NOTIFY_VERBOSE="wally@example.com, hb@example.com"
o SECURITY_NOTIFY_SENDER
감염된 메시지를 보낸 사람에게 해당 사실을 통지할 것인가를 설정한다. 이를 위해서는
SECURITY_NOTIFY 값이 반듯이 설정되어 있어야 한다. 만약 경고 메시지에 각 기관의 보안정책을
포함하는 등의 것으로 수정하고 싶을 경우에는 파일로 만들어 설정해 주면 된다. 디폴트 메시지를 사
용할 경우에는 존재하지 않는 파일이름으로 설정한다.
SECURITY_NOTIFY_SENDER=YES 또는
SECURITY_NOTIFY_SENDER="/etc/procmail/policy-note.txt"
o SECURITY_NOTIFY_RECIPIENT
감염된 메일의 수신자에게 해당 사실을 공지할 것인가를 설정한다. 하지만 메일 릴레이에서는 제대로
작동하지 않으므로 설정하지 않는 것이 좋다.
SECURITY_NOTIFY_RECIPIENT="/etc/procmail/quarantined.txt"
o SECURITY_STRIP_MSTNEF
Microsoft Outlook 과 Microsoft Exchange는 "Outlook Rich Text"라는 포맷을 지원하는데, 이는 모
든 종류의 파일 첨부를 Microsoft 포맷 첨부로 묵어주는 역할을 한다. 일반적으로 "WINMAIL.DAT"라
는 이름으로 사용되며, "MS-TNEF" 포맷으로 불리운다. 그리고 다른 메일 클라이언트에서는 호환되
지 않는다. MS-TNEF는 일반적으로 필터링되지 않으며, 파일내에 송신자의 설정정보를 포함하기 때
문에 정보를 유출시킬 수도 있다. MS에서도 MS-TNEF 포맷의 첨부는 조직 내에서만 사용할 것을 권
장하고 있다.
SECURITY_STRIP_MSTNEF을 임의의 값으로 설정하게 되면 메시지에서 이러한 첨부를 잘라내게 되
며, 해당 사실을 공지하는 내용과 함께 수신자에게 보내지게 된다. 파일 첨부는 복구될 수 없다.
SECURITY_STRIP_MSTNEF=YES
Top
※ 참고자료
See http://support.microsoft.com/support/kb/articles/Q241/5/38.ASP,
http://support.microsoft.com/support/kb/articles/Q138/0/53.ASP
http://www.microsoft.com/TechNet/exchange/2505ch10.asp
o DEFANG_WEBBUGS
"Web bugs" 는 아주 조그마한 이미지로 email 메시지를 추적하는데 사용된다. 이미지를 표시하는
URL을 포함시켜, HTML 기능이 있는 메일 프로그램이 해당 이미지를 표시하기 위해 지정된 URL에
접속할 때, 이를 기록하여 메일 메시지의 위치를 확인하는 방법이다. 이러한 방법은 특히, 스팸 메일
이 실제 사용자에게 도달하였는지를 확인하는데 사용되기도 하며, 또는 메시지의 전달을 추적하는데
사용된다. 그리고 이는 음성파일을 이용해 구현될 수도 있다.
만약 이러한 것이 각 기관의 보안정책 또는 개인정보보호정책에 위반되는 것이라면
DEFANG_WEBBUGS 환경변수를 이용하여 이를 막을 수 있다. DEFANG_WEBBUGS 값을 임의의 값
으로 설정하면 sanitizer는 와 태그를 수정하여(defang) 이러한 정보수집 행
위를 막게된다.
DEFANG_WEBBUGS=YES
o SECURITY_TRUST_STYLE_TAGS
백원민, 100@sunoo.com
하도윤, dyha@certcc.or.kr
김상철, ksch@certcc.or.kr
1. 개요
Firewall이 널리 보급되면서 서버의 보안 취약점에 대한 공격은 효과적으로 방어할 수 있게 되었다.
반면, E-mail 첨부파일, HTML이 내장된 E-mail 등을 이용한 공격은 아직 효과적인 대응방법이 없다.
특히, 이러한 공격은 대부분의 사이트에서 제공하는 서비스(E-mail, HTTPD 등)를 이용한 공격이기
때문에 더욱 탐지하거나 차단하기가 쉽지 않다. 최근의 인터넷 웜 공격은 이러한 취약점을 이용한 것
으로 99년 Melissa 바이러스를 기점으로하여 급속히 증가하고 있다.
본 고에서는 E-mail과 관련된 보안 취약성에 대하여 알아보고 이에 대한 대응방법을 소개한다. 메일
서버 차원에서 각 조직의 메일 보안정책을 구현할 수 있도록 도와주는 Procmail 등과 같은 도구의 사
용 및 기능에 대하여 설명한다.
※ 본 문서는 악성프로그램 예방지침의 참고자료로 작성된 자료이다.
메일필터링을 통한 E-mail 보안
CERTCC-KR
[목 차]
1. 개요
2. E-mail를 이용한 공격방법
2.1 액티브 컨텐츠 공격
2.2 버퍼오버플로우 공격
2.3 트로이잔 목마 공격
2.4 쉘 스크립트 공격
3. Procmail을 통한 E-mail 보안
3.1 Sanitizer 설치
3.2 Sanitizer 설정방법
3.3 다양한 보안정책 구현을 위한
설정
3.4 자가 보안 필터 구현
4. Inflex 보안도구를 통한 E-mail 보안
4.1 Inflex 설치 및 실행
4.2 Inflex 룰셋 설정
4.3 Virus Scanner(백신)과의 연
동
[참고자료]
악성프로그램 예방지침 : http://www.certcc.or.kr/paper/tr2000/2000-08/tr2000-08.htm
Top
2. E-mail를 이용한 공격방법
2.1 액티브 컨텐츠 공격
메일 열람시 HTML 기능이 있는 E-mail 클라이언트나 웹 브라우저를 사용하는 이용자를 대상으로 하
는 공격기법이다. 주로 "자바스크립트"나 "비주얼베이직스크립트"등과 같은 HTML 또는 E-mail 클라
이언트의 스크립팅 기능을 이용하여 피해자의 컴퓨터에서 정보를 유출하거나 악성 프로그램을 실행
시킨다.
이러한 공격의 간단한 예로는 사용자가 메시지를 열어볼 때 음란사이트나 광고사이트를 보여주도록
하거나 또는 시스템을 마비시키는 서비스거부공격 공격 형태를 보여준다. 최근에 발견되는 VBS 웜을
예로 들수 있다.
※ AnnaKournikova : http://www.certcc.or.kr/cvirc/Alert/61/AnnaKournikova.html
이런 공격은 E-mail 클라이언트 프로그램의 버그나 시스템의 버그를 이용하는 것이 아니기 때문에
보안 패치로써 해결하지 못한다. 무었보다 E-mail 클라이언트의 스크립팅 기능을 사용하지 않도록
설정하는 것이 중요하다. 다음은 Outlook에서 스크립팅 기능을 제거하는 방법이다.
또 다른 방법으로는 메일서버에서 메일이 저장될 때 이러한 스크립트 태그를 다른 이름으로 바꾸어
자장하는 방법이 있다. 이렇게 함으로서 사용자가 메일을 읽을때는 메일 클라이언트는 스크립트를 해
석하지 못하게된다.
2.2 버퍼오버플로우 공격
일반적인 버퍼오버플로우 공격과 마찮가지로 E-mail 서버 또는 클라이언트의 취약성을 이용하여 다
양한 공격을 수행할 수 있다. 현재 메일서버로 많이 사용하고 있는 sendmail은 취약성이 많이 보완되
어 왔으나, 메일 클라언트에서는 아직 많은 보안문제들이 발견되고 있다. Outlook Express,
Netscape Mail 등에서 발견된 버퍼오버플로우 취약성은 공격자가 조작된 E-mail을 보내 피해자의 컴
퓨터에서 임의의 명령을 실행하거나 트로이잔 같은 악성 프로그램을 심을 수 있도록 한다.
※ MS Outlook BufferOverflow : http://www.certcc.or.kr/advisory/ka2000/ka2000-025.txt
이러한 취약성은 메일서버 또는 메일클라이언트의 보안패치를 적용함으로서 해결할 수 있다. 또한 메
일서버에서 조작된 E-mail 헤더나 첨부 헤더를 탐지하여 수정함으로서 메일 클라이언트 공격을 예방
할 수 있다.
2.3 트로이잔 목마 공격
트로이잔 목마를 이용한 공격은 일반 사용자가 트로이잔 프로그램을 실행시켜 해당 시스템에 접근할
수 있는 백도어를 만들게 하거나 또는 시스템에 피해를 주게 한다. 이러한 공격의 예로는 분산 서비스
공격을 수행하는 Win/Trinoo 트로이잔, 패스워드와 같은 정보를 수집하는 스파이형 트로이잔, 그리고
시스템 자원을 사용하는 트로이잔에 이르기 까지 매우 다양하다.
이러한 공격이 성공하기 위해서는 피해자가 트로이잔을 실행시키도록 유도해야 되는데 이때 "사회공
학 기법(Social engineering)"이 사용된다. "Loveletter", "annakournikova.jpg" 와 같은 이름은 사용
자로 하여금 첨부파일을 실행시키도록 유도한다. 특히, 시스템 관리자를 사칭하여 첨부된 프로그램을
실행시키도록 하는 메일 메시지를 받았을 때는 반듯이 관리자에게 확인을 한 뒤 실행시켜야 한다.
특히, 윈도우 시스템은 디폴트로 파일이름의 확장자를 숨기도록 설정되어 있어, 공격자는 다음과 같
은 파일명을 사용하여 트로이잔 실행파일이나 스크립트 파일의 확장자를 숨길 수 있다.
xxx.txt.vbs - txt 파일로 가장한 비주얼베이직 실행 스크립트
이러한 공격을 당하지 않기 위해서는 메일을 통해 수신한 프로그램을 실행시키지 않아야 한다. 메일
첨부파일을 바로 더블 클릭하는 것은 매우 위험한 습관이다. 하지만 최근에는 이러한 사용자 주의를
우회할 수 있는 공격도 있다. E-mail 클라이언트의 버그 또는 잘못된 설계로 인하여 사용자의 간섭없
이도 자동으로 트로이잔을 실행시킬수 있는 공격방법이 공개되어 있다.
이러한 공격을 예방하는 방법으로 메일서버에서 실행가능한 첨부파일 이름을 실행되지 못하는 이름
으로 바꾸는 방법이 있다(예, exploit.exe를 exploit.defanged-exe 등으로 바꾸어 메일클라이언트에
서 실행되지 않도록 한다). 또 다른 방법으로는 메일 첨부파일을 조작하여 첨부파일로 보이지 않도록
바꾸는 것이다. 사용자가 반듯이 첨부파일을 얻기 위해서는 시스템 관리자에게 연락하여야 한다. 이
는 시스템관리자가 첨부파일을 점검할 수 있는 기회를 제공한다. 다음은 bugtraq, 뉴스그룹, 그리고
백신업체의 권고문에서 나오는 트로이잔 목마의 확장자와 파일이름 들이다.
트로이잔 공격의 또 다른 채널은 매크로 기능을 제공하는 프로그램의 데이터 파일을 이용할 수 있다.
최근의 워드프로세서, 스프레드쉬트, 데이터베이스 등은 이를 지원한다. 이러한 첨부파일을 열때는
항상 백신프로그램을 통하여 먼저 바이러스 감염여부를 확인하도록 해야 한다. 그리고 이러한 기능을
지원하는 프로그램에서 매크로를 자동으로 실행하는 모드를 제거해야 한다.
2.4 셀 스크립트 공격
유닉스와 같은 시스템은 사용상의 편리와 확장을 위해 쉘 스크립트를 제공한다. 어떤 메일 프로그램
은 메일 메시지를 처리할 때 내장된 쉘 명령을 지원하는데, 이를 잘못 사용하게 되면, 공격자는 조작
된 메일헤더를 포함한 메일을 보내 해당 시스템에서 특정 명령이 수행되도록 할 수 있다. 이는 메일헤
더를 검사하여 이러한 조작된 부분을 탐지할 수 있다.
Top
3. Procmail을 통한 E-mail 보안
"Procmail"은 강력한 메일 프로세서로 메일 메시지의 헤더와 본문에서 특정 정보를 찾아 정의된 규칙
에 따라 적절한 조치를 수행하는 프로그램이다. procmail의 설치, 설정 등과 관련된 자세한 내용은 다
음 링크를 참조 바란다.
∙관련 한글문서 : http://trade.chonbuk.ac.kr/~leesl/procmail/index.html
xxx.jpg.scr - jpg 그림파일로 가장한 스크린세이버 실행파일
xxx.mpg.dll - 동영상 파일로 가장한 dll 실행 파일
xxx.txt.exe - txt 파일로 가장한 실행 파일
*.asd *.chm *.dll *.ocx *.hlp
*.hta *.js *.pif *.scr *.shb
*.shs *.vb *.vbe *.vbs *.wsf
*.wsh IBMls.exe anti_cih.exe aol4free.com avp_updates.exe
*.[a-z][a-z][a-z0-9].[a-z0-9]+ (to catch "double-extension" attachments)
babylonia.exe badass.exe buhh.exe chocolate.exe compu_ma.exe
happy99.exe i-watch-u.exe ie0199.exe jesus.exe list.doc
lovers.exe navidad.exe path.xls photos17.exe picture.exe
pretty park.exe prettypark.exe qi_test.exe seicho_no_ie.exe serialz.hlp
setup.exe story.doc suppl.doc surprise!.exe x-mas.exe
y2kcount.exe yahoo.exe zipped_files.exe
∙procmail 최신버전 : http://www.procmail.org/
3.1 Sanitizer 설치
다음 사이트에서 제공되는 "sanitizer"라는 procmail ruleset은 앞서 설명한 E-mail을 이용한 모든 공
격에 효과적으로 대응할 수 있도록 해준다. "sanitizer" 파일을 윈도우 시스템에서 다운로드 받을 경우
에는 각라인에서 DOS 시스템의 "end-of-line" 문자를 제거해 줘야 한다. 잘 모르면 유닉스에서 다운
로드 받아 수정하지 않고 그대로 사용하면 된다.
∙Procmail 보안 홈페이지
ftp://ftp.rubyriver.com/pub/jhardin/antispam/procmail-security.html
∙sanitizer 다운로드 URL
http://www.impsec.org/email-tools/procmail-sanitizer.tar.gz
ftp://ftp.rubyriver.com/pub/jhardin/antispam/procmail-sanitizer.tar.gz
위 사이트중 한군데서 다운로드 받은 파일의 압축을 풀면, 관련 설명 문서들과 sanitizer 설정파일인
"html-trap.procmail", 그리고 필터링해야될 파일 목록이 있는 "poisoned-files" 파일이 생기게 된다.
자동으로 모든 사용자의 E-mail에 대하여 필터링하기 위해서는 다음과 같이 "Sanitizer" 룰셋을 설치
하면 된다.
o Sanitizer 설치를 위한 요구사항
- procmail이 설치되어 있어야 한다.
- sendmail을 이용할 경우 Local Delivery Agent로 procmail을 사용하도록 설정되어 있어야 하는데
이는 /etc/sendmail.cf 파일에서 다음과 같이 설정하면 된다.
Mlocal, P=/usr/bin/procmail, F=lsDFMAw5:/|@qSPfhn9, S=10/30, R=20/40, A=procmail -Y -a
$h -d $u
- perl이 설치되어 있어야 한다.
o 유닉스 시스템에서의 "sanitizer" 설치
procmail 설치하기
a. procmail 최신버전(procmail-3.15.1) 다운로드
- http://www.procmail.org/
b. 압축을 풀고 압축을 푼 디렉토리로 이동
# tar -xvf procmail-3.15.1.tar.gz
# cd procmail-3.15.1
c. procmail 설치
# make install 또는
# make install-suid
※ 보안을 위해서는 make install-suid를 하는 것이 바람직
- 소유자와 그룹이 root인 /etc/procmail 디렉토리를 755(rwxr-xr-x) 권한으로 설정
- 위의 ftp 사이트에서 sanitizer 룰셋을 다운받아 위 디렉토리에 저장하고 소유자와 그룹은 root로 그
리고 권한은 644(rw-r--r--)로 설정한다.
- 설정 방법에 따라 룰셋을 설정한다.
※ 만약 게이트웨이로 사용되는 sendmail relay에서 필터링을 하고자 할 경우에는 다음 사이트를 참
고하여 /etc/sendmail.cf 파일을 수정하고 /etc/procmail/filter.rc 파일을 만들어야 한다.
http://www.impsec.org/email-tools/procmail-on-gateway.txt
※ Outgoing 메일에 대한 필터링은 다음 사이트를 참고하여 /etc/sedmail.cf 파일을 수정하
고 /etc/procmail/outgoing.rc 파일을 만들어야 한다.
http://trade.chonbuk.ac.kr/~leesl/procmail/outgoing_mail_filter.html
Top
3.2 Sanitizer 설정방법
sanitizer는 환경변수와 설정에 따라 통제되는데, 이는 "/etc/procmailrc" 이라는 파일을 통해 이루어
진다.
다음은 기본적인 /etc/procmailrc 파일의 예이다.
만약 이미 /etc/procmailrc 파일을 이용하고 있다면, 위 내용을 추가하면된다. 다음은 etc/procmailrc
파일에서 사용되는 각각의 환경변수에 대한 설명이다. 위 예에 포함되지 않는 것도 설명한다.
o MANGLE_EXTENSIONS
앞서 설명한 것 처럼 각 기관의 메일정책에 따라 첨부파일의 확장자 이름을 제한하는 방법중의 하나
이다. 만약 첨부된 파일의 확장자가 ".exe"일 경우, ".mangled-exe"로 바꾸어 주는 역할을 한다. 이는
다음과 같은 보안상의 효과를 가져온다.
PATH="/usr/bin:$PATH:/usr/local/bin"
SHELL=/bin/sh
POISONED_EXECUTABLES=/etc/procmail/poisoned
SECURITY_NOTIFY="postmaster, security-dude"
SECURITY_NOTIFY_VERBOSE="virus-checker"
SECURITY_NOTIFY_SENDER=/etc/procmail/local-email-security-policy.txt
SECRET="CHANGE THIS"
# this file must already exist, with proper permissions (rw--w--w-):
SECURITY_QUARANTINE=/var/spool/mail/quarantine
POISONED_SCORE=25
SCORE_HISTORY=/var/log/macro-scanner-scores
DROPPRIVS=YES
LOGFILE=$HOME/procmail.log
# Finished setting up, now run the sanitizer...
INCLUDERC=/etc/procmail/html-trap.procmail
# Reset some things to avoid leaking info to
# the users...
POISONED_EXECUTABLES=
SECURITY_NOTIFY=
SECURITY_NOTIFY_VERBOSE=
SECURITY_NOTIFY_SENDER=
SECURITY_QUARANTINE=
SECRET=
※ 첨부된 파일의 확장자를 다른 이름으로 바꿈으로서 클라이언트에서 이를 실행(더블클릭)했을 때
실행되지 않도록 하는 것이다. 이럴경우, 사용자가 첨부된 파일을 실행시키기 위해서는 먼저 파일을
저장한 다음에 이름을 바꾸고 실행시켜야 되기 때문에 백신이 바이러스를 검사할 기회를 갖게되는 것
이다.
※ 자동실행되는 악성 코드일 경우에는 이름을 바꿈으로서 첨부된 코드를 찾지 못하도록 하여 공격을
방지할 수 있다.
Sanitizer는 다음과 같이 디폴트로 위험한 확장자에 대하여 MANGLE_EXTENSIONS 환경변수를 설정
하고 있기 때문에 특별히 따로 설정할 필요가 없으나, 만약 각 기관의 메일정책에 따라 변경할 경우
또는 디폴트 설정이 불편한 경우에는 다음 라인을 수정하여 procmailrc 파일에 추가하면 된다. 단
"INCLUDERC=/etc/procmail/html-trap.procmail" 가 있는 라인 이전에 설정하여야 한다.
※ 디폴트 MANGLE_EXTENSIONS 설정 :
MANGLE_EXTENSIONS='html?|exe|com|cmd|bat|pif|sc[rt]|lnk|dll|ocx|do[ct]|xl[swt]|p[po]
t|rtf|vb[se]
?|hta|p[lm]|sh[bs]|hlp|chm|eml|ws[cfh]|ad[ep]|jse?|md[abew]|ms[ip]
|reg|asd|cil|pps|asx|wm[szd]'
* 주 : MANGLE_EXTENSIONS은 한 라인에 모든 확장자를 기입하여야 하며, 포맷이 틀릴 경우, 큰 문
제가 발생할 수 있다. 포맷을 위에서처럼 확장자간에 "|" 문자를 이용하여 구분해 주면 된다.
또한 기관의 특성에 따라 보안레벨을 정의하여 구현할 수도 있다. 예를 들어 자신의 도메인내에서 오
고가는 메일에 대해서는 엑셀파일과 워드 파일의 확장자를 그대로 보존하고자 할 경우에는 다음과 같
이 할 수 있다.
/etc/procmailrc 파일에서 "INCLUDERC=/etc/procmail/html-trap.procmail" 라인 전에 다음과 같은
규칙을 설정한다.
:0
* ^From:.*<[a-z0-9]+@mydomain.com>
* ^To:.*<[a-z0-9]+@mydomain.com>
{
MANGLE_EXTENSIONS='html?|exe|com|cmd|bat|pif|sc[rt]|lnk|dll|ocx|dot|xl[wt]|p[po]
t|rtf|vb[se]
?|hta|p[lm]|sh[bs]|hlp|chm|eml|ws[cfh]|ad[ep]|jse?|md[abew]|ms[ip]
|reg|asd|cil|pps|asx|wm[szd]'
}
o POISONED_EXECUTABLES
바이러스가 주로 이용하는 파일이름의 목록을 가진 파일이름을 정의해 준다. 디폴트
로 /etc/procmailrc 디렉토리에 "poisoned" 라는 이름의 파일을 지정하고 있으므로 poisoned 파일을
해당 디렉토리에 카피하면 된다. 현재는 MANGLE_EXTENSIONS에 나온 확장자에 대해서만 파일이름
을 검사하도록 되어 있으나 다음버전에서 개선될 것이라고 한다. 디폴트로 필터링하는 파일이름은 1
장에서 설명한 바와 같다. 특정 파일이름을 사용하는 바이러스나 웜이 나타날 때 마다
POISONED_EXECUTABLES에 의해 설정된 파일을 업데이트해 줌으로서 악성프로그램으로부터의 공
격에 보다 적절히 대응할 수 있는 기능을 제공한다.
POISONED_EXECUTABLES=/etc/procmail/poisoned
o DISABLE_MACRO_CHECK
Microsoft Office의 위험한 매크로에 대한 검사기능을 제거한다. sanitizer는 Word documents,
Excel spreadsheets, PowerPoint presentations 등의 첨부파일을 검사하여 위험한 VBA 매크로(보안
설정을 변경기키거나, 레지스트리를 변경하는 등의 매크로)를 찾아내는 기능이 있다. 만약 이러한 기
능을 사용하지 않으려면 다음과 같이 DISABLE_MACRO_CHECK 값을 임의의 값으로 설정하면 된다.
DISABLE_MACRO_CHECK=YES
만약 위 기능을 이용하려면 다음과 같은 추가적인 도구를 설치하여야 한다.
※ metamail package의 일부인 mimencode
※ mktemp
리눅스에서는 대부분 배포판에 포함되어 있으나 다른 종류의 유닉스에서는 소스를 다운받아 컴파일
하고 설치해야 한다.
Top
o POISONED_SCORE
sanitizer는 위험한 매크로 코드의 모든 부분을 탐지할 때마다 이를 카운트하여, 일정 수준이 되면 해
당 문서를 감염□다고 판단한다. 디폴트로 25로 설정되어 있으나 대부분의 매크로 바이러스는 100이
상의 수치를 갖는다. 따라서 80 - 100 정도의 값을 갖도록 하는 것이 바람직 하다.
POISONED_SCORE=100
o SCORE_HISTORY
POISONED_SCORE 값이 적절히 설정되었는지 알아보기 위해 매크로 검사 결과를 기록할 수 있다.
다음과 같이 SCORE_HISTORY를 설정하면 된다. 해당 파일은 (rw--w--w-)의 권한을 가져야 한다.
SCORE_HISTORY="/var/spool/mail/macro-scanner-scores"
o SECURITY_QUARANTINE
sanitizer의 규칙에 따라 감염된(poisoned) 또는 감염된 것으로 판단된 메시지를 보관해두는 장소를
설정한다. 이러한 메시지는 수신자에게 가지 않고 설정된 파일에 쌓이게 된다. 해당 파일은 (rw--w-
-w-)의 권한을 갖도록 설정하여야 하며, 파일 내용은 표준 메일박스 형태로 쌓이게 된다. 만약
SECURITY_QUARANTINE 값이 설정되지 않으면 감여된 메일은 수신자에게 가게 된다.
SECURITY_QUARANTINE="/var/spool/mail/quarantine"
o SECURITY_NOTIFY
감염된 파일이 탐지되었을 때, 해당 사실을 누구에게 공지할 것인가는 설정한다. 공지는 필터링된 메
시지의 헤더를 포함한다. 또한 QUARANTINE이 실패할 경우도 이 사실을 SECURITY_NOTIFY에 설정
된 사용자에게 공지하게 된다.
SECURITY_NOTIFY="postmaster, dilbert@example.com"
o SECURITY_NOTIFY_VERBOSE
SECURITY_NOTIFY와 같으나, 필터링된 메시지의 원문이 포함된다. 이는 quarantine 파일 대신에 사
용될 수도 있다.
SECURITY_NOTIFY_VERBOSE="wally@example.com, hb@example.com"
o SECURITY_NOTIFY_SENDER
감염된 메시지를 보낸 사람에게 해당 사실을 통지할 것인가를 설정한다. 이를 위해서는
SECURITY_NOTIFY 값이 반듯이 설정되어 있어야 한다. 만약 경고 메시지에 각 기관의 보안정책을
포함하는 등의 것으로 수정하고 싶을 경우에는 파일로 만들어 설정해 주면 된다. 디폴트 메시지를 사
용할 경우에는 존재하지 않는 파일이름으로 설정한다.
SECURITY_NOTIFY_SENDER=YES 또는
SECURITY_NOTIFY_SENDER="/etc/procmail/policy-note.txt"
o SECURITY_NOTIFY_RECIPIENT
감염된 메일의 수신자에게 해당 사실을 공지할 것인가를 설정한다. 하지만 메일 릴레이에서는 제대로
작동하지 않으므로 설정하지 않는 것이 좋다.
SECURITY_NOTIFY_RECIPIENT="/etc/procmail/quarantined.txt"
o SECURITY_STRIP_MSTNEF
Microsoft Outlook 과 Microsoft Exchange는 "Outlook Rich Text"라는 포맷을 지원하는데, 이는 모
든 종류의 파일 첨부를 Microsoft 포맷 첨부로 묵어주는 역할을 한다. 일반적으로 "WINMAIL.DAT"라
는 이름으로 사용되며, "MS-TNEF" 포맷으로 불리운다. 그리고 다른 메일 클라이언트에서는 호환되
지 않는다. MS-TNEF는 일반적으로 필터링되지 않으며, 파일내에 송신자의 설정정보를 포함하기 때
문에 정보를 유출시킬 수도 있다. MS에서도 MS-TNEF 포맷의 첨부는 조직 내에서만 사용할 것을 권
장하고 있다.
SECURITY_STRIP_MSTNEF을 임의의 값으로 설정하게 되면 메시지에서 이러한 첨부를 잘라내게 되
며, 해당 사실을 공지하는 내용과 함께 수신자에게 보내지게 된다. 파일 첨부는 복구될 수 없다.
SECURITY_STRIP_MSTNEF=YES
Top
※ 참고자료
See http://support.microsoft.com/support/kb/articles/Q241/5/38.ASP,
http://support.microsoft.com/support/kb/articles/Q138/0/53.ASP
http://www.microsoft.com/TechNet/exchange/2505ch10.asp
o DEFANG_WEBBUGS
"Web bugs" 는 아주 조그마한 이미지로 email 메시지를 추적하는데 사용된다. 이미지를 표시하는
URL을 포함시켜, HTML 기능이 있는 메일 프로그램이 해당 이미지를 표시하기 위해 지정된 URL에
접속할 때, 이를 기록하여 메일 메시지의 위치를 확인하는 방법이다. 이러한 방법은 특히, 스팸 메일
이 실제 사용자에게 도달하였는지를 확인하는데 사용되기도 하며, 또는 메시지의 전달을 추적하는데
사용된다. 그리고 이는 음성파일을 이용해 구현될 수도 있다.
만약 이러한 것이 각 기관의 보안정책 또는 개인정보보호정책에 위반되는 것이라면
DEFANG_WEBBUGS 환경변수를 이용하여 이를 막을 수 있다. DEFANG_WEBBUGS 값을 임의의 값
으로 설정하면 sanitizer는 와 태그를 수정하여(defang) 이러한 정보수집 행
위를 막게된다.
DEFANG_WEBBUGS=YES
o SECURITY_TRUST_STYLE_TAGS
"무단배포금지: 클라우드포털(www.linux.co.kr)의 모든 강좌는 저작권에 의해 보호되는 콘텐츠입니다. 무단으로 복제하여 배포하는 행위는 금지되어 있습니다."
관련자료
-
이전
-
다음
댓글 0
등록된 댓글이 없습니다.
