TABS Mail Firewall

> 탭스 메일 방화벽

주요 기능

차단된 블랙 리스트

SMTP 트래픽을 분석해 공격을 탐지하며 탐지된 공격자를 블랙 리스트에 추가해 향후 지속적인 공격을 사전 차단합니다. 대량 메일 발송을 통한 메일 서버 공격, 악성 코드 배포를 통한 메일 서버 공격, 무작위 인증을 통한 계정 훔치기 등과 같은 공격 패턴을 실시간으로 분석해 공격 유무를 판별할 수 있습니다. 공격 판단 시 공격자와의 연결을 종료하고 해당 공격자의 IP를 블랙 리스트에 추가해 향후 추가적인 공격을 하지 못하도록 관리합니다. 향상된 필터는 탭스랩의 배포 서버에 의해 최신 버전이 자동으로 배포됩니다.

블랙 리스트 상세 로그 보기

차단된 블랙 리스트 IP에서 이루어진 공격 패턴을 상세하게 확인해 볼 수 있습니다. 스팸 메일을 발송하다가 잘못된 MIME 메시지(NULL 바이트 버퍼 공격)로 메일 서버를 다운시키려고 합니다. 차단된 IP에서 지속적인 접근이 시도 되지만 연결 즉시 끊어 더 이상 공격하지 못하도록 막습니다.

블랙 리스트 트랜잭션 로그 보기

SMTP 통신 과정 중 어떠한 과정에서 공격을 감지했는지를 확인 해 볼 수 있는 트랜잭션 로그 뷰를 제공합니다. SMTP에 대한 기초적인 지식만 있으면 쉽게 상황을 확인해 볼 수 있습니다.

11:54:21 F:Connected from 221.3.107.5/25(cc0e8518-d4cd-450a-907a-f8a7c73a4c33)
11:54:21 F:220 tabslab ESMTP Mail Server
11:54:22 C:HELO 221.3.107.5
11:54:22 S:250 Requested mail action okay, completed
11:54:22 C:MAIL FROM: <hokwuu@jubu.com>
11:54:22 FF:RBL;Passed
11:54:22 FF:SPF;Passed
11:54:22 S:250 Requested mail action okay, completed
11:54:22 C:RCPT TO: <guest@tabslab.com>
11:54:22 S:250 Requested mail action okay, completed
11:54:22 C:DATA
11:54:22 S:354 Start mail input; end with <CRLF>.<CRLF>
11:54:22 C:Received: from 33.254.198.76 by
F:554 5.3.2 Your request is invalid
11:54:22 F:Disconnected from 221.3.107.5

인증 시도와 차단

인증 허용 대상을 명시적으로 정의해 인증에 대한 외부 노출을 최소화 시킵니다. 무작위 비밀 번호 공격을 차단하기 위해 계정 잠금 기능을 제공합니다. 블랙 리스트와 연동해 계정을 훔치기 위한 공격 패턴을 사전에 차단합니다. 관리 도구를 사용해 정상적인 인증 대상을 정의할 수 있으며 잠김 계정에 대한 실시간 해제 처리가 가능합니다. 다음은 허가되지 않은 사용자의 지속적인 로그인 시도와 메일 방화벽에 의해 차단된 것을 보여 줍니다.

인증 공격 트랜잭션 로그 보기

SMTP 서버에 대한 공격자의 다양한 인증 시도 로그입니다. 임계치 이상의 공격이 시도되면 해당 계정을 자동으로 잠기게 되며 블랙 리스트에 추가되어 관리됩니다.

16:29:19 F:Connected from 163.125.93.1/25(99f3b4fa-1977-4562-89ca-2f371ab37689)
16:29:19 F:220 tabslab ESMTP Mail Server
16:29:19 C:EHLO x6x8-20101028KO
16:29:19 F:250-mail.tabslab.com greets x6x8-20101028KO[163.125.93.1]
16:29:19 C:AUTH LOGIN
16:29:19 S:334 VXNlcm5hbWU6
16:29:19 C:YW5vbnltb3Vz
16:29:19 S:334 UGFzc3dvcmQ6
16:29:19 C:
16:29:19 FF:AUTH;The IP is authenticable
16:29:19 FF:AUTH;anonymous has failed to authenticate
16:29:19 S:535 Authentication exchange failed
16:29:19 C:AUTH LOGIN
16:29:19 S:334 VXNlcm5hbWU6
16:29:20 C:YW5vbnltb3Vz
16:29:20 S:334 UGFzc3dvcmQ6
16:29:20 C:
16:29:20 FF:AUTH;The IP is authenticable
16:29:20 FF:AUTH;anonymous has failed to authenticate
16:29:20 S:535 Authentication exchange failed
16:29:20 C:AUTH LOGIN
16:29:20 S:334 VXNlcm5hbWU6
16:29:20 C:YW5vbnltb3Vz
16:29:20 S:334 UGFzc3dvcmQ6
16:29:20 C:JXVzZXJuYW1lJQ==
16:29:20 FF:AUTH;The IP is authenticable
16:29:20 FF:AUTH;anonymous has failed to authenticate
16:29:20 FF:AUTH;anonymous is changing to lock state
16:29:20 S:535 Authentication exchange failed
16:29:21 F:Disconnected from 163.125.93.1

악성 코드 차단

백신 엔진과의 유기적인 연동을 통해 메일 메시지 본문과 첨부 파일에 포함되어 있는 악성 코드를 차단합니다. 추가적인 라이선스 비용이 발생하지 않는 ClamAV 엔진을 기본으로 포함하고 있습니다.

마이크로소프트사의 백신인 Microsoft Security Essentials 또는 System Center Endpoint Protection과 연동해 악성 코드를 차단할 수 있습니다. 또한 유료 백신인 Avast 엔진과 연동할 수 있는 Avast Connector을 제공하고 있습니다.

악성 코드 검사와는 별 개로 첨부 파일이 스크립트 파일이거나 실행 가능한 형식의 파일일 경우 무조건 차단하는 기능을 제공합니다.

다양한 스팸 차단 필터

IP 기반으로 스팸 발송자를 검출하는 RBL 검사와 SPF 검사 기능을 제공합니다. 주요 스팸 패턴을 분석해서 판별하는 발송자 일치성 필터와 SpamAssassin 필터를 제공합니다. 사용자가 직접 프로그래밍 작업을 통해 쉽게 스팸 차단 필터를 제작할 수도 있습니다.

오픈 소스 스팸 필터로 유명한 SpamAssassin 필터를 국내 스팸 현실에 맞게 최적화해서 탑재하였습니다. 다양한 스팸 규칙을 사용해 끊임없이 변하는 여러 행태의 스팸 메일을 효과적으로 차단할 수 있습니다. 베이지안 스팸 필터의 정확성을 높이기 위해 탭스랩 배포 서버에 의해 최신 스팸 데이터를 배포합니다.

스팸 차단 후처리

스팸 메일을 메일 트랜잭션 상에서 거부해 스팸 메일 수신을 원천적으로 막을 수 있습니다. 또한 스팸 메일에 대한 오판을 방지하기 위해 메일 방화벽이 스팸 메일을 수신한 후 보관할 수 있으며 관리자는 주기적으로 수신한 스팸 메일을 참조해 잘못 판단된 스팸 메일을 재전송 받을 수 있습니다.

메일 방화벽은 수신한 스팸 메일에 대한 요약 정보를 매일 지정된 시각에 사용자에게 자동으로 전송합니다. 메일 사용자는 스팸 요약 메일을 확인해 스팸으로 오인된 메일을 재전송 받을 수 있으며 해당 발송자에게서 온 메일에 대해 향후 스팸 검사를 하지 않도록 설정할 수 있습니다.

스팸 차단 상세 로그 보기

다음은 SpamAssassin 필터가 제공하는 다양한 스팸 규칙에 따라 분석되어 차단된 로그입니다.

12:07:28 F:Connected from 211.116.253.91/25(ed7dde37-2e3c-47b1-84a2-772e22bb89da)
12:07:28 F:220 tabslab ESMTP Mail Server
12:07:28 C:HELO 211.214.160.28
12:07:28 S:250 Requested mail action okay, completed
12:07:28 C:MAIL FROM: <dfafsfaf@nave.com>
12:07:29 FF:RBL;Passed
12:07:30 FF:SPF;Passed
12:07:30 S:250 Requested mail action okay, completed
12:07:30 C:RCPT TO: <company@tabslab.com>
12:07:30 S:250 Requested mail action okay, completed
12:07:30 C:RCPT TO: <guest@tabslab.com>
12:07:30 S:250 Requested mail action okay, completed
12:07:30 C:RCPT TO: <sales@tabslab.com>
12:07:30 S:250 Requested mail action okay, completed
12:07:30 C:DATA
12:07:30 S:354 Start mail input; end with <CRLF>.<CRLF>
12:07:30 C:1853 bytes transferred
12:07:30 FF:MAXSIZE;Passed
12:07:30 FF:VIRUS;Passed
12:07:30 FF:CNTMATCH;Passed
12:07:35 FF:SPAMASSASSIN;7.10/6.50
-0.0 NO_RELAYS Informational: message was not relayed via SMTP
1.6 HTML_IMAGE_ONLY_24 BODY: HTML: images with 2000-2400 bytes of words
0.0 HTML_MESSAGE BODY: HTML included in message
3.0 BAYES_95 BODY: Bayesian spam probability is 95 to 99%
[score: 0.9852]
1.5 MIME_HTML_ONLY BODY: Message only has text/html MIME parts
-0.0 NO_RECEIVED Informational: message has no Received headers
1.9 INVALID_MSGID Message-Id is not valid, according to RFC 2822
-0.8 AWL AWL: From: address is in the auto white-list
12:07:35 F:554 5.7.0 The message has been blocked because SPAMOUT reports it as spam
12:07:35 F:Disconnected from 211.116.253.91

송수신 메일 아카이빙

메일 방화벽을 통해 들어오고 나가는 메일을 캡처 해 별도의 스토리지에 저장할 수 있습니다. 메일 메시지는 압축 저장되어 스토리지 용량을 절약할 수 있습니다. 다양한 검색 조건으로 저장된 메일을 검색할 수 있으며 검색된 메일 원본 파일을 다운로드 할 수 있습니다.

다양한 검색 기능

방대한 용량의 아카이브를 다양한 검색 조건으로 빠르게 검색할 수 있습니다. 아카이브 검색을 위해 전체 텍스트(Full-text) 방식의 검색 엔진을 포함하고 있어 메일 제목, 본문, 수신자, 첨부 파일 이름 등을 빠르게 검색합니다. 첨부가 ZIP 파일일 경우 ZIP 파일 내에 압축된 파일 이름에 대한 검색 기능도 함께 제공됩니다.

다양한 보고서

수집된 로그 데이터를 바탕으로 다양한 보고서를 생성할 수 있습니다. 단순한 송수신 통계 보고서를 비롯해, 스팸 검출, 악성 코드 검출, 인증 차단, 블랙 리스트 처리에 대한 보고서를 참고할 수 있습니다.