open relay.

open relay는 내 메일 서버를 다른 사람이 악용하여 스팸메일을 뿌리는 스팸메일 발신 서버로 사용하는 이슈입니다.

예를 들어, 내 도메인이 test.com 이라고 했을때, 메일 로그상이나 송수신 과정에서 아래와 같은 경우를 가정해봅시다. 
 
송신자 : 123@test.com
수신자 : 456@test.com
---> 내부 메일

송신자 : 123@naver.com
수신자 : 456@test.com
---> 인바운드 메일 (들어오는 메일)

송신자 : 456@test.com
수신자 : 123@naver.com
---> 아웃바운드 메일 (나가는 메일)

이런것은 정상메일입니다. 다만 아래는 어떨까요?

송신자 : 456@naver.com
수신자 : 123@yahoo.com
---> Open reay

송신자 수신자 모두 내 도메인하고 상관없는 메일입니다. 스팸메일 프로그램을 이용해서 내 메일서버(mail.test.com)에 25번 포트로 connection을 맺어 다른쪽으로 메일을 보내는 것을 말합니다.

이런 oepn relay를 당하면 대량의 메일이 내 메일서버를 거쳐 외부로 아웃바운딩 되고 RBL 사이트에서는 해당 서버를 스팸서버로 간주하여 블럭을 하게됩니다. 따라서 해당 기관의 RBL 리스트를 참조하고 있는 메일서버들은 내 메일서버를 스팸서버로 간주하여 모든 메일을 블럭합니다.

따라서 이러한 경우를 막기 위해서는 송수신자 인증을 하여야하는데 대표적인 것이 access 파일을 수정하는 것입니다.

수정하는 것은 잘 아실 것입니다만, 추가 설명을 해드리면 다음 옵션이 제공됩니다.

REJECT
RELAY
SPAMFRIEND

10.10.10.10 REJECT (10.10.10.10 IP에서 접근하는 connection 차단)
172.16 RELAY  (172.16.0.0 대역에서 접근하는 connection만 허용)
SPAMFRIEND (해당 도메인이나 수신자를 허용하는 옵션)

저도 SPAMFRIEND는 방금 확인해보았는데 이부분은 테스트 해봐야 할 것 같습니다;;; 수신자를 가려 받을 수 있다면 단단히 자기 도메인만 입력하여 SPAMFRIEND 구문으로 적용할 수가 있을 것같네요.

일단은; REJECT와 RELAY 를 사용하여, access 파일을 설정한뒤 적용을 시켜주어야 합니다.

sendmail 이나 postfix 등은 해당 파일을 수정한다고 설정을 적용받는 것이 아니고 해당 DB 파일을 가지고 확인합니다. 따라서 저 ASCII 파일을 DB 파일로 바꾸어주어야 하는데 해당 명령어가 아래와 같습니다.

$makemap dbm /etc/mail/access < /etc/mail/access

물론, hash를 사용한다면 아래와 같지요.

$makemap hash /etc/mail/access < /etc/mail/access

작업을 하시기 전에 access* 은 모두 백업을 하시고 하십시오.

제대로 에러 메세지 없이 되었다면 테스트합니다.

$ telnet localhost 25
Trying 127.0.0.1...
Connected to test.com (127.0.0.1).
Escape character is '^]'.
220 test,com ESMTP Sendmail 8.12.10/8.12.10; Mon, 13 Mar 2006 11:07:51 +0900
mail from:123@test.com
250 2.1.0 123@test.com... Sender ok
rcpt to:456@yaho.com
550 Relay Denied.

 송수신자를 정상적인 사용자/비정상적인 사용자 구분을 해가며 테스트를 합니다.
비정상적인 송수신자 일때  Sender, recipient 모두 ok가 나온다면, 다시 acess 파일을 점검해보시기 바랍니다..