메일 로그 안남기고 스팸발송 가능한가요?
글쓴이: nonots / 작성시간: 목, 2009/12/10 - 11:27오전
한메일에서 자꾸 우리회사에서 스팸보냈다고 메일서버 아이피를 막아버리는데..
..
그쪽에서 보내온 스팸 발송 시간대에 ..
우리 서버 /var/log/maillog 등의 로그 파일을 봐도..
대량 스팸 발송한 기록은 없습니다.
기록없이 스팸을 보낸건지..
아니면 한메일 측에서 잘못 알고 있거나 민감하게 반응하는건지..
..
sendmail 서버에 clamd, spamassassin 등 막을건 거의 적용했는데
자꾸 스팸이 간다는군요..
..
일단 스팸발송의 원인알 수 있는 방법..
로그파일에서 내가 놓친게 인는지..
..
뭔 수가 없을까요?
Forums:
상대 메일서버의 25번
상대 메일서버의 25번 포트로 직접 접속해서 소켓통신하면 로그가 안남지요...
메일은 꼭 메일데몬만이 보낸다고 보기 어렵죠.
소켓을 쓴다고 해도
소켓을 쓴다고 해도 /var/log/message 나 secure 등에 시스템 로그는
남는거 아닌가요?
=== 건달의 경지를 꿈꾸며 ===
=== 건달의 경지를 꿈꾸며 ===
상대 메일서버에서는
상대 메일서버에서는 접속기록이 남아도
소켓을 열어서 접속한 서버쪽에는 로그가 전혀 남지 않습니다.
테스트도 해볼수 있지요.
telnet 메일서버 25 [엔터]
이러면 telnet 을 실행한 컴퓨터에는 로그가 전혀 남지 않습니다.
게시판 버그
게시판 버그 이용해서 cgi 돌려 보내는 스팸들도 많으니까 웹서버를 돌리는 경우 웹서버 로그에서
이상한 점이 없나도 확인해 보세요.
--
익스펙토 페트로눔
--
익스펙토 페트로눔
문제는 사용자
문제는 사용자 사이트가 수십개가 넘는 서버라는 점..ㅠ.ㅜ..
=== 건달의 경지를 꿈꾸며 ===
=== 건달의 경지를 꿈꾸며 ===
메일서버와 웹서버를
메일서버와 웹서버를 분리하시는 것이 맞을것 같네요.
사용자들이 게시판을 설치하는데 그 게시판의 버그로 스팸 메일을 발송하는 경우도 많습니다.
보통 가입축하 메일등의 기능이나 게시판 답글시 메일로 알림 기능등에 버그가 꽤 많지요.
꼭 sendmail이 아니라도 가능하지요..=_=;;
위에서 남겨주신것처럼 cgi를 통해서도 발송이 가능합니다.
ex:제로보드에 있는 메일 발송기능을 통해서도 sendmail을 통하지 않고 발송이 가능합니다.
서버 콘솔에 접속해서 상대편의 메일서버를 찾은다음 telnet을 통해서 smtp를 뿌리면
서버의 sendmail에는 전혀 로그가 남지 않고 메일발송이 가능하지요..=_=;;
뭐 그렇게 악용하기 시작한다면 스팸메일 뿌리는거야 쉽죠..(응?)
sendmail(정확히는 SMTP
sendmail(정확히는 SMTP 데몬) 없이도 메일을 보낼 수 있다는 말은 저는 금시초문인데요?
콘솔에서 telnet 커맨드로 메일을 보내는 것도 결국 smtp 데몬의 실행 바이너리를 호출하여 보내는 것으로 알고 있습니다. 실제로 센드메일이나 큐메일 데몬을 내려놓고 telnet 커맨드로 메일 발송 테스트를 해보니 커넥션 에러를 내며 되질 않습니다. sendmail 없이도 cgi 등을 통해 메일발송이 가능하다는 건 결국 25번 포트를 이용하는 smtp 데몬으로의 중간 경유 과정 없이도 메일이 날아가는 게 가능하다는 건데 이게 말이 안 되죠. smtp 없이도 메일 발송이 가능해진다면 지금보다 스패머들이 훨씬 더 기승을 부릴 수 있겠죠. 스패머들은 smtp가 돌아가고 있는 서버만을 노리고 있거든요.
제로보드 역시 시스템 쉘상에 PATH가 걸려 있는 sendmail 바이너리를 호출하여 메일을 발송합니다. sendmail, qmail, postfix 등과 같은 smtp 데몬이 올라와 있지 않으면 해당 기능을 사용할 수 없습니다.
스팸 발송이 이루어지고 있는 동안 메일큐 디렉토리 내의 파일을 검사하여 비슷한 시간대의 웹서버 로그와 대응해가며 검사해 보면 스팸 발송의 원흉이 되고 있는 웹소스나 cgi 소스를 찾을 수 있습니다.
우리쪽 smtp demon을 태우지 않고 발송하는 루틴입니다.
1. 서버 콘솔에 접속
2. 상대편 서버의 MX레코드값 확인 (ex:naver.com)
3. telnet mx2.naver.com 25
4. smtp protocol을 통해서 메일 발송
--------------------------------------------
서버 콘솔의 sendmail log확인 (없음)
이렇게 하게 되어지면 상대편 메일서버는 자신의 서버의 IP만 있고, 상대편 서버에서는 마치 sendmail이 보낸것처럼 확인이 되어집니다. 하지만 실제 smtp demon 보낸 로그는 없지요..=_=;
smtp protocol만 안다면 정말로 쉬운 작업입니다..=_=;
3번의 과정이 되지
3번의 과정이 되지 않는다는 가정 하에 로컬 상의 smtp 데몬을 언급한 겁니다.
3번이 된다는 게 결국 원격지 클라이언트가 원격지 메일서버의 smtp 인증을 거치지 않아도 마구잡이로 스팸발송이 가능하다는 건데 될 수가 없죠. =_=;
근데..
실제로는 그렇게들 많이들 합니다.
그걸 막는 게 또 시스템 관리자 내지는 보안 관리자가 해야 할 일입니다.
smtp 데몬 없어도 얼마든지 메일은 보내는 것이 가능합니다.
실제로도 상당수의 스팸메일은 그렇게 돌아다닙니다.
---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도
즐겁게 놀아보자.
http://akpil.egloos.com
---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도
즐겁게 놀아보자.
그럼 서버의 telnet
그럼 서버의 telnet 명령어를 삭제하거나 퍼미션을 700 등으로 변경해도
스팸 가능성을 줄일수 있다는 건가요?
=== 건달의 경지를 꿈꾸며 ===
=== 건달의 경지를 꿈꾸며 ===
예시로 telnet 을 예로
예시로 telnet 을 예로 든 것이고요.
소켓 통신할수 있는 방법은 많은 방법이 있습니다.
댓글 달기