안녕하세요.
제가 IT쪽을 잘 몰라서 관련내용을 물어볼곳이 없어 이렇게 글올립니다.
저희 회사메일로 다음고객에게 메일 보낼 시에 반송되거나 상대편에게 스팸으로 들어가
다음에게 문의했습니다.
아래 다음측에서 답변을 받은 후, 제가 했던 프로세스는 아래와 같습니다.
1.아래 답변에서 말한 00000@회사도메인(특정 직직원 계정)의 아이디는 비밀번호 변경 완료했습니다.
2. 우선 현 메일업체에 해당 답변 그대로 전달 후, 00000@회사도메인 아이디 접속기록을 확인했더니
거의 안쓰는 메일이라서 접속기록이 3개밖에 없었고 IP도 회사로 되어있었습니다.
그래서 해당아이디로 해커가 어떻게 스팸보냈는지 메일업체에 물어보니 PC해킹이 아닐까라는 답변을 받았습니다.
3. 호스팅 업체에도 다음측 답변 전달 후확인 요청해달라했더니, 메일업체에 문의하라하고, SPF관련하여 물어보니 메일업체에서 해당값을 요청하면 된다고 합니다.
이후 어떻게 해야하는지 프로세스를 몰라 도움을 청합니다.
그리고 개인적인 질문은 스팸발송이 차단되어 현제는 해제가 되었다고 하는데 다음측에서는 왜
아래 번거로우시더라도, 아래와 같은 스팸메일에 대해 조치하신 후
아래의 내용을 기재하셔서 ☞ 메일 문의하기로 재문의해 주시길 바랍니다.
다시 문의하라 할까요? 그리고 정보요청항목보니 저도 작성하기 어려운 항목들이라서요...
쉽게 설명 부탁드립니다ㅜㅜ
-----------다음 측 답변----------
발송 측 도메인에서 아래와 같은 스팸이 발송되어 차단되었으며
현재는 해제가 되어 정상적으로 메일이 수신될 것입니다.
수신 일자 : 2023-03-06
제목 : DHL 배송 도착 알림 00000@회사도메인(실제로는 직원 이메일 중 하나가 써져있었습니다.)
혹시 도메인을 관리하고 계시다면 해당 아이피를 통한 스팸 발송이 이루어지지 않도록 서버 보안조치 부탁드립니다.일
번거로우시더라도, 아래와 같은 스팸메일에 대해 조치하신 후
아래의 내용을 기재하셔서 ☞ 메일 문의하기로 재문의해 주시길 바랍니다.
수신일자 : 2023-03-08
제목 : 비밀번호 만료일 2022년 09월 03일
▶ 정보 요청
- 메일 발송 서버 IP
- 업체명 및 도메인
- 담당자 및 연락처
- 귀사의 스팸 차단 정책에 대한 간략한 소개
- 스팸 메일 발송 원인
- 조치사항
만약, 해당 메일 조치사항 확인이 어렵다면
사용하시는 호스팅 업체에 조치를 요청해 주셔야 하는 점 안내해 드립니다.
아울러 원활한 수/발신을 원하시면 발송 측에 SPF 레코드를
설정해 주시길 부탁드리겠습니다.
SPF 레코드는 최근 국내외 메일 서비스 업체에서 모두 반영하고 있는 스팸 정책으로 안정적인 메일 수/발신을 위해 필요한 설정이며, 정상 설정 시 [받은메일함]으로 메일이 수신됩니다.
2개의 답변이 있습니다.
제일 먼저 확인해 봐야 할 내용이...
스팸에 이용된 메일이 내부 메일 서버를 통해서 발송된 것인지,
아니면 임의의 외부 메일 서버를 통해서 메일이 발송되면서 메일 주소만 도용된 것인지 부터 확인하는 것이 필요할 걸로 보이네요.
다음 측에서 스팸으로 수신된 메일 정보를 통해서 스팸 메일을 발송한 서버의 IP 주소를 포함한 여러가지 정보를 가지고 있을것 같고요.
메일 발송 서버 IP는 사내 메일 서버인 SMTP 서버의 IP 주소가 되겠고요.
업체명은 회사명이라는 건 설명할 필요가 없겠고... 도메인도 메일 주소에 사용된 도메인 주소가 될 것 같고...
담당자 및 연락처는 본인이나 아니면 메일 서버 관련 업무를 처리하는 담당자의 성명과 연락처를 알려 주면 되겠고요.
스팸 차단 정책에 대한 간략한 소개는...
사내 IP 주소만 메일을 발송할 수 있게 정책을 설정해 두었다거나 특별한 제한 없이 임의의 외부 컴퓨터에서도 SMTP 서버를 이용해서 메일 발송할 수 있게 열려 있다거나 하는 등의 SMTP 서버에 설정된 스팸 차단 정책에 대한 내용을 적어 주면 될 것 같고요.
스팸 메일 발송 원인은 제일 먼저 언급한 내용에 해당하는 것이되겠는데...
내부 컴퓨터가 악성 코드 감염되었다거나 해킹되어 스팸 메일을 보내었다면 해당 컴퓨터를 포멧 시킨다거나 해서 스팸 메일을 보내지 못하게 처리하고, 악성 코드 감염 또는 해킹 된 원인을 분석해서 재발 하지 않도록 필요한 조치를 취했다는 내용이 되겠는데...
사용자 교육을 했다거나, 안티바이러스, UTM 등의 솔루션을 도입했다거나 End Point 보안 솔루션으로 보완 조치를 했다거나 하는 등의 내용의 기재가 될 수 있을 것 같고요.
내부 컴퓨터에서 발송된 것이 아니라 외부 컴퓨터에서 SMTP 서버에 접속해서 스팸 메일을 발송한 상태라면 SMTP 서버에서 지정된 내부의 안전한 컴퓨터 이외의 클라이언트에서는 메일 발송을 하지 못하도록 차단 정책을 설정했다거나, 스팸 메일을 발송한 IP 주소, 임의 공격을 시도한 외부 IP 주소들에 대해 차단 정책을 설정해서 스팸 메일을 발송하지 못하게 하고, 앞으로도 모니터링을 해서 해킹시도가 있는 IP 주소들을 차단 등록해서 지속 관리하겠다는 등의 내용이 될 수 있을 것 같고요.
외부의 임의의 SMTP 서버를 통해서 메일 주소만 도용되어서 발신된 경우라면...
최근( 2~3년 )에 대부분 다음을 포함한 대부분의 외부 메일 서버들이 스팸 차단 정책으로 Reverse DNS 체크를 해서 임의 설정한 메일 주소의 도메인과 IP 주소로 역 DNS해서 얻은 도메인 주소가 다를 경우 스팸으로 차단 처리해 버리게 되기 때문에 수신측 ( 다음, 구글, 네이버 등 ) 메일 서버가 알아서 스팸 처리해서 잘 막아야 하는 것이기 때문에...
Reverse DNS 설정이 되어 있는지 확인해서 되어 있지 않다면 Reverse DNS 설정을 해 줘야 정상적으로 메일을 발송할 수 있게 되겠고요.
Reverse DNS는 사내 DNS 서버에서 Reverse DNS 설정을 해줘야 하고, 그리고, IP 주소를 할당 받은 통신사에 연락해서 Reverse DNS 설정을 해달라고 요청을 해야 하겠고요.
Reverse DNS가 제대로 등록되어 있는지 체크해 보는 방법은
nslookup 명령을 이용해서
nslookup -type=ptr IP주소
와 같이 IP 주소에 SMTP 메일 서버의 IP 주소를 넣어 DNS 쿼리했을때,
SMTP 메일 서버의 도메인 주소가 응답되어 와야 하는데...
도메인을 찾을 수 없다는 메시지가 표시된다면 Reverse DNS가 등록되어 있지 않은 상태가 되겠습니다.
SPF 레코드를 등록하게 되면 예를 들어 '1.1.1.1 는 abcd.com 에서 보내는게 맞다' 라는 정보를 등록하게 되면 안전한 메일이라고 판단하여 스팸이나 악성메일로 보지않고 정상메일 처리하기 위해서 SPF 레코드를 등록하는겁니다. SPF 를 등록하면 정상적인 IP로 보내진 메일은 스팸처리 안됩니다.
스팸메일 발송자가 질문자님의 회사의 특정 이메일 주소 수집은 웹사이트에서 검색만 되면 크롤링으로 수집이 가능합니다.
아이디 접속 기록을 보는건 도움이 안되고 회사 메일서버에서 해당 이메일로 발송 내역이 있는지를 확인하는게 더 정확합니다.
근데 중요한건 회사 메일 서버를 거치지 않고도 이메일 도메인 변조를 통해 메일 발송이 가능합니다.
변조가 됐는지 안됐는지는 수신 메일 원문에 X-Original-Senderip 라고 있는데 그 부분이 메일 서버와 같은지를 봐야됩니다. 다르면 이메일 변조공격입니다.
sshnau | 약 일 년 전
다음에서 요청한 정보는 해당 정보로 뭘하겠다기 보다는 그냥 이력관리용? 같은 뉘앙스네요