메일 릴레이 서버 약점을 찾아내 악용하려는 흔적인가?

SMTP 프로토콜은 그 장구한 역사(HTTP보다도 먼저 나왔다)를 자랑하는 반면,
너무 오래된 약속이다 보니 미처 예측 못한 여러 문제점을 드러내고 있다.
그 대표적인 예가 스팸성 메일과 메일 릴레이 악용이다.

Mail Relay 라 함은, SMTP를 운용 중인 서버를 이용해서 최종 수신자에
메일을 전송 의뢰(달리기의 바톤 터치, 릴레이 경기를 연상하면 되겠다)하는 것이다.
보통 SMTP 서버의 설정은 안정되게 외부에서의 무단 릴레이 의뢰를 막게 돼 있으나,
간혹 운영자의 설정 미스로 외부에서의 무단 릴레이가 무한정 허용되고 있다.
이런 경우 해당 서버는 조만간 스팸 중계 서버로 지목되어 블랙리스트에 오른다.
그러면 블랙리스트 운용에 가맹된 메일 서버 집단들은 문제의 메일 서버로부터의
메일 수신/전송을 거부한다. 고로 결과는 황당한 질문이 들어오게 된다. 사실이다.
"운영자님, 어떤 메일은 잘 가고 어떤 메일로는 안가네요?"

간혹은 릴레이 중계를 메일 폼을 이용해서 전송하는 악용 방식도 있다.
그런 점을 잘 아는 어떤 Bad Guy가 우리 서버도 그런 식으로 릴레이 중계되는지
확인해 보고 있는 흔적을 발견한 것 같다. (오해일 수도 있겠지만) 로그 캡쳐를 공개한다.



메일 관련 모듈이나 폼을 찾으려는 악의적 Access 흔적?!메일 관련 모듈이나 폼을 찾으려는 악의적 Access 흔적?!

특히 자주 보이는 어떤 모듈의 이름, RoundCube. 이건 뭔가?
http://drupal.org/project/roundcube
팔팔.오알지는 이런 모듈을 사용하지 않으므로 다행이지만
아마도 해당 모듈의 약점?을 아는 어떤 Bad Guy가 이를 살펴보고 있는 것으로 보인다.
어지간히도 메일 릴레이를 무단 이용하고 싶었던 모양이다.
(새벽에 온 것을 보니 로보트를 이용했거나 외국으로 보이긴 한다)

혹 관련 기사를 찾는 선의의 방문자인가... 라고 좋게 보고 싶기도 하지만
아무래도 저 로그들을 보니 악의를 가진, 스패머 기술진일지도 모르겠다.

드루팔을 운영하는 여러분들. 아니 웹서버나 메일서버를 운영하는 분들은
저런 Access 로그가 없는지 살펴보시고 점검, 대처하시기 바란다.

Your rating: None 평균 : 5 (1 vote)