Exchange 2003에서 SMTP 클라이언트 메시지 배달을 보호하는 방법

기술 자료 번역 기술 자료 번역
기술 자료: 823019 - 이 문서가 적용되는 제품 보기.
모두 확대 | 모두 축소

이 페이지에서

요약

이 문서에서는 Exchange 2003 컴퓨터로 들어오는 클라이언트 SMTP(Simple Mail Transfer Protocol) 연결에 대한 보안 설정을 구성하는 방법에 대해 설명합니다. 사용자는 이 설정을 사용하여 인증을 하고 잠재적으로 민감한 자료를 받고 사용자 이름, 암호 또는 메시지 내용이 가로채이는 것을 방지할 수 있습니다. POP3(Post Office Protocol 3)나 IMAP4(Internet Message Access Protocol 4) 중 하나를 사용하여 Exchange 2003 컴퓨터에 연결해야 하는 사용자가 있을 수 있습니다. 이들 프로토콜은 모두 SMTP로 메시지 배달을 합니다.

참고 Exchange 2003 기본 설치에서는 서버에 연결하기 위해 POP3 또는 IMAP4 클라이언트에 대해 추가 옵션을 구성하지 않아도 됩니다. 이 문서에서는 몇 가지 보안 설정에 대해 설명하고 Exchange 2003에서 사용할 수 있는 기타 추가 옵션에 대한 정보를 제공합니다.

고려 사항

다음과 같은 고려 사항이 적용됩니다.

추가 SMTP 가상 서버 만들기



들어오는 클라이언트 연결에 사용할 SMTP 가상 서버를 새로 만듭니다.

연결 제어



연결 제어는 DNS(Domain Name System) 역방향 조회를 포함하여 도메인 이름이나 IP 주소를 기반으로 한 연결을 제한합니다. 연결 제한 옵션은 암호나 메시지 데이터를 암호화하지 않습니다.

액세스 제어



기본 인증, 익명 인증 또는 Windows 통합 인증(이전에는 NTLM 또는 Windows NT Challenge/Response 인증이라고 했음) 중 한 가지를 구성할 수 있습니다. 기본 인증은 사용자 이름과 암호를 일반 텍스트로 보내기 때문에 안전하지 않습니다. 사용자 이름과 암호에 대해 암호화를 설정하려면 TLS(Transport Layer Security)가 포함된 기본 인증을 사용하거나 Windows 통합 인증을 사용하십시오. SSL(Secure Sockets Layer)과 같이 TLS도 사용자 이름, 암호 및 메시지 데이터를 암호화합니다. Windows 통합 인증은 클라이언트 컴퓨터가 Windows 기반 도메인 컴트롤러에 연결하여 자신의 자격 증명을 확인할 수 있는 시나리오에서만 작동합니다. 대부분의 방화벽 구성에서는 이러한 연결이 발생할 수 없습니다. 그러나 로그온 세션이 인터넷을 통과하지 않는 SMTP 액세스의 내부 구현에서는 Windows 통합 인증을 사용할 수 있습니다.

암호화



보안 강화 통신은 SSL 암호화를 사용하여 사용자 이름, 암호 및 메시지 데이터를 포함하여 SMTP 세션을 암호화합니다. 인터넷 같은 공용 네트워크를 통과해서 Exchange 2003으로 연결되는 모든 SMTP 연결에 SSL을 사용하는 것이 좋습니다. 그렇게 하려면 SMTP 가상 서버에 인증서를 설치해야 합니다. 외부 인증 기관을 사용하거나 Microsoft Active Directory 디렉터리 서비스 포리스트에 인증서 서비스를 설치하면 인증서를 설치할 수 있습니다.

릴레이 제어



기본적으로, Exchange 2003에서 SMTP 가상 서버를 만들면 전자 메일 메시지를 릴레이할 수 없도록 구성되어 있습니다. POP3 클라이언트나 IMAP4 클라이언트에게 릴레이할 수 있는 권한이 없으면 사용자는 SMTP 가상 서버를 통해 외부 도메인으로 SMTP 메일을 보낼 수 없습니다. 그러나 메시지 릴레이를 허용하면 사용자를 가장하여 원하지 않는 광고용 전자 메일 메시지(정크 전자 메일 메시지)를 전파할 수도 있습니다. 기본 릴레이 설정을 사용하면 인증된 클라이언트만 SMTP 가상 서버를 통해 메시지를 릴레이할 수 있습니다. 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
319278 HOWTO: Exchange 2000에서 Internet Message Access Protocol 클라이언트 액세스 보호

새 SMTP 가상 서버 만들기

  1. 시작을 누르고 프로그램, Microsoft Exchange를 차례로 가리킨 다음 System Manager를 누릅니다.
  2. 적절한 경우 관리 그룹을 확장하고 AdministrativeGroup을 확장하고 서버를 확장하고, ServerName을 확장한 다음 프로토콜을 확장합니다.
  3. SMTP를 마우스 오른쪽 단추로 누르고 새로 만들기를 가리킨 다음 SMTP 가상 서버를 누릅니다.
  4. 이름 상자에 가상 서버 이름을 입력하고 다음을 누릅니다.
  5. 사용할 IP 주소를 누른 다음 마침을 누릅니다.
  6. SMTP 가상 서버를 만든 후에는 새로운 가상 서버가 올바른 정규화된 도메인 이름(FQDN)을 사용하는지 확인합니다. 그렇게 하려면 다음과 같이 합니다.
    1. 만든 SMTP 가상 서버를 마우스 오른쪽 단추로 누른 다음 속성을 누릅니다.
    2. 배달 탭을 누른 다음 고급을 누릅니다.
    3. 정규화된 도메인 이름(FQDN) 상자의 도메인 이름이 사용자가 SMTP 메일을 배달하도록 자신의 클라이언트 소프트웨어를 구성할 때 입력하는 이름과 일치하는지 확인합니다. 도메인 이름이 올바르게 해석되는지 확인하려면 DNS 확인을 누릅니다.
    4. 확인을 차례로 두 번 누릅니다.
참고 인터넷을 통해 이 SMTP 가상 서버에 액세스하는 클라이언트에 대해 SMTP 가상 서버를 구성할 때는 SMTP 가상 서버의 FQDN이 외부 인터넷 주소로 확인되어야 하므로 외부 DNS 서버를 구성해야 합니다. 그렇게 하려면 고급 배달 대화 상자에서 구성을 누르고 추가를 누른 다음 해당 외부 DNS 서버의 IP 주소를 입력하십시오. 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
326992 보내는 SMTP 메일 메시지가 전송되지 않는다


IP 주소 제한 구성

IP 주소 제한을 구성하려면 다음과 같이 하십시오.
  1. 시작을 누르고 프로그램, Microsoft Exchange를 차례로 가리킨 다음 System Manager를 누릅니다.
  2. 적절한 경우 관리 그룹을 확장하고 AdministrativeGroup을 확장하고 서버를 확장하고 ServerName을 확장한 다음 프로토콜을 확장합니다.
  3. SMTP를 확장하고 기본 SMTP 가상 서버를 마우스 오른쪽 단추로 누른 다음 속성을 누릅니다.
  4. 액세스 탭을 누른 다음 연결을 누릅니다.
  5. 연결 대화 상자에서 아래 목록만 허용을 누릅니다.

    이는 목록에 있는 IP 주소와 도메인만이 해당 SMTP 가상 서버에 연결할 수 있음을 나타냅니다.
  6. 추가를 누른 다음 상황에 맞게 단일 컴퓨터, 컴퓨터 그룹 또는 도메인을 추가합니다.
    • 단일 컴퓨터를 추가하려면 단일 컴퓨터를 누르고 IP 주소 상자에 해당 인터넷 서비스 공급자(ISP)의 전자 메일 메시징 서버의 IP 주소를 입력한 다음 확인을 누릅니다.

      또는 DNS 조회를 누르고 호스트 이름을 입력한 다음 확인을 누릅니다.
    • 컴퓨터 그룹을 추가하려면 컴퓨터 그룹을 누르고 해당 상자에 해당 그룹의 서브넷 주소와 서브넷 마스크를 입력한 다음 확인을 누릅니다.

      ISP가 경고 없이 전자 메일 메시징 서버의 IP 주소를 바꾸는 경향이 있을 경우에 이 옵션을 사용하면 좋습니다.
    • 도메인을 추가하려면 도메인을 누르고 이름 상자에 원하는 도메인 이름을 입력한 다음 확인을 누릅니다.

      이 옵션을 사용하려면 들어오는 각 연결에서 DNS 역방향 조회를 설정해야 합니다. 이렇게 하면 Exchange 서버 성능에 나쁜 영향을 미칠 수 있습니다. 자세한 내용은 본 문서 뒷부분의 문제 해결 절을 참조하십시오.

액세스 제어 구성

액세스 제어를 구성하려면 다음과 같이 하십시오.
  1. 시작을 누르고 프로그램, Microsoft Exchange를 차례로 가리킨 다음 System Manager를 누릅니다.
  2. 적절한 경우 관리 그룹을 확장하고 AdministrativeGroup을 확장하고 서버를 확장하고 ServerName을 확장한 다음 프로토콜을 확장합니다.
  3. SMTP를 확장하고 해당 SMTP 가상 서버를 마우스 오른쪽 단추로 누른 다음 속성을 누릅니다.
  4. 액세스 탭을 누른 다음 인증을 누릅니다.

    기본적으로, 익명 액세스는 사용 불가능하도록 해제되어 있고 기본 인증과 Windows 통합 인증은 사용 가능하도록 설정되어 있습니다. TLS 암호화가 포함된 기본 인증이나 Windows 통합 인증을 사용하도록 SMTP 가상 서버를 구성한 다음 확인을 누릅니다.
참고 SMTP 클라이언트 소프트웨어에서 보안 암호 인증 옵션을 사용하여 로그온을 할 수 있도록 설정해야 합니다. Microsoft Outlook Express에서 그렇게 하려면 다음과 같이 하십시오.
  1. Outlook Express를 시작합니다.
  2. 도구 메뉴에서 계정을 누릅니다.
  3. 메일 탭을 누른 다음 등록 정보를 누릅니다.
  4. 서버 탭을 누르고 보안 암호 인증(SPA)을 사용하여 로그온 확인란을 선택하고 확인을 누른 다음 닫기를 누릅니다.
    사용자 이름과 암호는 암호화되지만 메시지 데이터는 암호화되지 않습니다.

암호화 구성

암호화를 구성하려면 다음과 같이 하십시오.
  1. 시작을 누르고 프로그램, Microsoft Exchange를 차례로 가리킨 다음 System Manager를 누릅니다.
  2. 적절한 경우 관리 그룹을 확장하고 AdministrativeGroup을 확장하고 서버를 확장하고 ServerName을 확장한 다음 프로토콜을 확장합니다.
  3. SMTP를 확장하고 해당 SMTP 가상 서버를 마우스 오른쪽 단추로 누른 다음 속성을 누릅니다.
  4. 액세스 탭을 누른 다음 인증서를 누릅니다. 웹 서버 인증서 마법사가 시작됩니다.
  5. 다음을 누릅니다.
  6. 나머지 마법사 페이지의 지시에 따라 새로운 인증을 만들거나 기존 인증서를 할당합니다.
서버에 인증서를 설치한 후에는 통신 방법을 구성하십시오. 그렇게 하려면 다음과 같이 하십시오.
  1. 시작을 누르고 프로그램, Microsoft Exchange를 차례로 가리킨 다음 System Manager를 누릅니다.
  2. 적절한 경우 관리 그룹을 확장하고 AdministrativeGroup을 확장하고 서버를 확장하고 ServerName을 확장한 다음 프로토콜을 확장합니다.
  3. SMTP를 확장하고 해당 SMTP 가상 서버를 마우스 오른쪽 단추로 누른 다음 속성을 누릅니다.
  4. 액세스 탭을 누른 다음 통신을 누릅니다.
  5. 보안 채널 필요 확인란을 선택합니다.
  6. Exchange 2003 컴퓨터와 클라이언트가 모두 128비트 암호화를 지정할 경우 128비트 암호화 필요를 누릅니다.
  7. 확인을 차례로 두 번 누릅니다.
  8. SMTP 가상 서버를 중지한 다음 다시 시작합니다.
클라이언트가 Outlook Express를 사용 중인 경우에는 SSL을 사용하도록 Outlook Express를 구성하십시오. 그렇게 하려면 다음과 같이 하십시오.
  1. Outlook Express를 시작합니다.
  2. 도구 메뉴에서 계정을 누릅니다.
  3. 메일 탭을 누릅니다.
  4. Exchange Server 메일 계정을 두 번 누른 다음 고급 탭을 누릅니다.
  5. 보내는 메일(SMTP)에서 보안 연결(SSL) 필요 확인란을 선택합니다.
  6. 확인을 누른 다음 닫기를 누릅니다.

릴레이 구성

릴레이를 구성하려면 다음과 같이 하십시오.
  1. 시작을 누르고 프로그램, Microsoft Exchange를 차례로 가리킨 다음 System Manager를 누릅니다.
  2. 적절한 경우 관리 그룹을 확장하고 AdministrativeGroup을 확장하고 서버를 확장하고 ServerName을 확장한 다음 프로토콜을 확장합니다.
  3. SMTP를 확장하고 해당 SMTP 가상 서버를 마우스 오른쪽 단추로 누른 다음 속성을 누릅니다.
  4. 액세스 탭을 누른 다음 릴레이를 누릅니다.

    기본 설정을 사용할 경우 인증된 클라이언트가 메시지를 릴레이할 수 있습니다. 일반적으로 올바른 자격 증명을 가진 클라이언트만이 SMTP 가상 서버를 통해 메시지를 릴레이할 수 있으므로 이 설정만으로도 충분합니다. 또한 릴레이 권한을 단일 IP 주소, IP 주소 범위 또는 DNS 접미사로 제한할 수 있습니다.
  5. 확인을 누릅니다.

구성한 SMTP 가상 서버 설정이 올바르게 작동하는지 테스트하기

구성한 SMTP 가상 서버 설정이 올바르게 작동하는지 테스트하려면 다음과 같이 하십시오.
  • IP 제한이 올바르게 작동하는지 확인하려면 POP3 및 IMAP4 클라이언트를 사용하여 제외된 IP 주소에서 서버에 연결해 봅니다. IP 제한을 올바르게 구성하였다면 서버에 대한 연결이 거부되었음을 알리는 메시지가 나타납니다.
  • 인증 암호화를 확인하려면 다음과 같이 합니다.
    1. Exchange 2003 컴퓨터에서 네트워크 모니터를 실행하고 기본 인증 설정을 사용하여 해당 Exchange 2003 컴퓨터로 들어오는 트래픽을 캡처하는 동안 클라이언트에서 SMTP 세션을 시작합니다.
    2. SMTP 세션을 검토하고 포트 25(0019h)에서 클라이언트로부터 서버로 전송된 패킷을 기록해 둡니다.

      사용자의 로그온 이름과 암호가 일반 텍스트로 전송됩니다.
    3. 기본 인증에 대한 지원을 제거하고 보안 암호 인증을 요청하도록 클라이언트를 구성하고 클라이언트에서 다른 SMTP 세션을 시작한 다음 네트워크 모니터에서 트래픽을 캡처합니다.

      사용자 계정과 암호가 이제 암호화됩니다.
  • SSL 암호화를 테스트하려면 다음과 같이 합니다.
    1. 인증서를 추가하고 SMTP 가상 서버에서 보안 강화 채널을 요청하도록 설정을 구성한 다음 SSL을 사용하도록 클라이언트를 구성합니다.
    2. 네트워크 모니터 캡처를 시작한 다음 클라이언트에서 SMTP 메일 수집 세션을 시작합니다.
    3. 캡처를 중지한 다음 전송된 패킷을 검사합니다.

      대상 포트가 포트 25(0019h)인 클라이언트-서버 패킷이 모두 암호화됩니다.
    참고 POP3 또는 IMAP4 메일 수집에서 암호화를 사용 가능하게 설정하지 않은 경우에는 클라이언트에서 포트 110(006Eh)이나 포트 143(008Fh)으로 전송된 패킷 중 일부가 암호화되지 않을 수 있습니다.
  • 릴레이 제한이 올바르게 작동하는지 테스트하려면 제외된 IP 주소에서 외부 도메인으로 메일을 보냅니다. 서버가 받는 사람의 주소에 대해 릴레이할 수 없음을 나타내는 오류 메시지가 나타납니다.

문제 해결

DNS 조회를 기반으로 하는 제한은 모두 Exchange 2003 컴퓨터의 성능에 나쁜 영향을 미칠 수 있습니다. 서버가 각 인바운드 연결에 대해 DNS 역방향 조회를 수행하기 때문에 DNS 역방향 조회 영역이 사용 가능해야 하며 보내기 호스트는 해당 영역에 등록되어 있어야 합니다.

참조

Exchange Server 2003에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 참조하십시오.
http://www.microsoft.com/exchange/library




Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹에 참여하시기 바랍니다.

속성

기술 자료: 823019 - 마지막 검토: 2007년 11월 26일 월요일 - 수정: 1.2
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
키워드:?
kbhowto KB823019

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com