※ 이 글에서는 LINUX 기준으로만 작성하였습니다.
| 평가항목 ID |
구분 | 평가항목 | 상세설명 | 주요 정보통신기반시설 취약점 분석 평가기준 (과학기술정보통신부고시) |
| SRV-009 | 기술적 보안 | SMTP 서비스 스팸 메일 릴레이 제한 미설정 | SMTP 서비스는 인터넷에서 메일을 전송하는 프로토콜로, 다른 메일 서버가 메일을 다시 발송하는 relay 기능을 제공하는데 해당 기능은 공격자가 정당한 인증 과정 없이 다량의 메일(스팸 메일 등) 발송을 할 위협이 존재하므로 이에 대한 설정을 점검 | (상) [서비스 관리] U-31 스팸 메일 릴레이 제한 |
| 평가대상 (AIX) |
평가대상 (HP-UX) |
평가대상 (LINUX) |
평가대상 (SOLARIS) |
평가대상 (WIN) |
| O | O | O | O |
● 점검목적
- 스팸 메일 서버로의 악용방지 및 서버 과부하의 방지를 위함
● 보안위협
- SMTP 서버의 릴레이 기능을 제한하지 않는 경우, 악의적인 사용목적을 가진 사용자들이 스팸메일 서버로 사용하거나 DoS 공격의 대상이 될 수 있음
● 판단기준
* 양호 - 스팸 메일 릴레이 방지 설정을 했을 경우 / SMTP 서비스 미사용하는 경우
* 취약 - 스팸 메일 릴레이 방지 설정을 하지 않았을 경우
● 확인방법
[sendmail]
- sendmail 버전 8.9 이상인 경우 promiscuous_relay가 비활성화되어있는지 확인(디폴트로 비활성화 되어 있음)
- 8.9 미만 버전은 스팸 메일 릴레이 제한 설정 확인(접근통제 설정 파일 생성 여부 확인)
(/etc/mail/sendmail.cf, /etc/mail/sendmail.mc, /etc/sendmail.cf 파일 등 OS 맞는 설정파일 점검)
1) SMTP 서비스 사용 여부 및 릴레이 제한 옵션 확인
#ps -ef | grep sendmail | grep -v "grep"
#cat /etc/mail/sendmail.cf | grep "R$\*" | grep "Relaying denied"
2) 특정 IP, domain, Email Address 및 네트워크에 대한 sendmail 접근 제한 확인
#cat /etc/mail/access.db
[postfix]
- 설정 파일의 smtpd_recipient_restrictions 또는 smtpd_relay_restrictions 구문에서 permit으로 허용된 네트워크가 0.0.0.0과 같이 과도하게 설정된 값 확인
(/etc/postfix/mail.cf)
● 조치방법
[sendmail]
- sendmail.cf 파일 내 설정 수정
step 1) vi /etc/mail.sendmail.cf
step 2) R$* $#error $@ 5.7.1 $ : "550 Relaying denied" 주석 제거
step 3) 특정 ip, domain, email address 및 네트워크에 대한 sendmail 접근제한 확인 (없을 시 파일 생성)
# cat /etc/mail/acess
localhost.localdomain RELAY
localhost RELAY
127.0.0.1 RELAY
spam.com RELAY
step 4) 수정을 했거나 생성했을 경우 DB파일 생성
# makemap hash /etc/mail/access.db < /etc/mail/access
[postfix]
- 설정 파일의 smtpd_recipient_restrictions 또는 smtpd_relay_restrictions 구문에서 permit으로 허용된 네트워크를 제한 설정
step 1) vi /etc/postfix/main.cf
step 2) smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
...
mynetworks = 192.168.100.0/28, 127.0.0.0/8