Email Security

1. 이메일의 유형

1. 웹메일(Webmail) : 한메일, 다음, 네이버, Gmail등과 같은 여러업체에서 웹기반 메일 서버를 이용한 메일

 

2. SMTP(Simple Mail Transfer Protocol) : 송신자가 메일을 보낼 때 MUA에서 수신자의 MTA까지 메시지를 전송할 때 이용하는 프로토콜

 

3. POP3(Post Office Protocol Version 3) : 수신자가 메일을 받을 때, 원격지서버의 메일함으로부터 메일을 가져오는 프로그램인 MRA를 사용하여 클라이언트 메일프로그램으로 메시지를 가져오는데 사용하는 프로토콜

• 수신된메일은 서버에서 삭제
• 서버에 메일 보관공간이 적다
• 일부 내용을 미리 볼 수 없다.

 

4. IMAP(Internet Message Access Protocol) : POP3와 유사한 역할을 수행하는 프로토콜이지만, 서버에 연결되어있는 동안 메시지의 내용 일부내용만따로 볼수도 있다.

수신된메일 서버에 보관

• 서버에 보관공간 많이 필요
• 일부 내용 미리보기 가능

 

2. 용어 설명

1). MUA(Mail User Agent) :

사용자가 메일을 송신할 때 사용하는 프로그램 Ex) 아웃룩 익스프레스

2). MTA(Mail Transfer Agent) :

송신자의 메일 메시지를 SMTP프로토콜을 사용해서 목적지 수신자의 MTA까지 전송하는 역할

3). MSA(Mail Submission Agent) : 

MTA간에 과도하게 메시지를 전송하는 문제를 최소화하며, MTA의 역할을 돕고, 스팸메일 배포를 억제

4). MDA(Mail Delivery Agent) OR LDA(Local Delivery Agent) : 

최종목적지 MTA에서 수신된 메일 메시지를 송신자의 메일함에 저장하는 프로그램

5). MRA(Mail Retrieval Agent) :

원격지 서버의 우편함으로부터 MUA로 메시지를 가져오는 프로그램

 

 

3. 메일서비스 공격 유형

1). 메일 클라이언트(outlook) 취약점을 이용한 공격

• 엑티브 콘텐츠(Active Contents)공격 : 메일 열람시 HTML기능이 있는 이메일 클라이언트나 웹브라우져를 사용하는 이용자를 대상으로 스크립트 기능을 이용하여 정보유출,악성프로그램을 실행                        스크립팅기능을 제거하거나 스크립트 태그를 다른 이름으로 바꾸어 저장으로 방어
• 트로이목마 공격 : 일반 사용자가 트로이 목마를 실행시켜 시스템에 접근 할 수 있는 백도어를 만들거나 시스템에 피해를 주는 공격 기법

2). 메일서버(sendmail)의 취약점을 이용한 공격

• 버퍼오버플로우 공격
• Email을 통한 APT공격
• 메일 서버 릴레이

4. 스팸메일 대책

1). 메일 서버 자체의 보안 및 보호

2). Access DB활용 : /etc/mail/access를 활용하여 기본적으로 릴레이를 어떻게 허용할 것인지에 대한 정책을 수립하여 특정 메일을 받아들이지 않도록 설정하는 것 특정도메인에 대한 접근제어 설정이 가능.

3). relay영역지정 기능 활용

4). Spam Assassin : Perl로 개발이 되었으며 룰 기반으로 메일의 헤더와 내용 분석을 실시간으로 차단 리스트(RBL)를 참고하여 각가의 룰에 매칭이 될 경우 기준점수를 초과하는지 여부를 통해 스팸메일 여부를 결정

- 헤더검사

- 본문 내용 검사

- 주요 스팸 근원지와 비근원지 자동생성

- 주요 스팸 근원지와 비근원지 수동생성

5).Inflex : 메일 서버에서 로컬이나 외부로 나가는 이메일을 검사하여 inbound, outbound 정책을 세워 필터링 해주는 도구 (2004년 이후로 업데이트 중지)

6).스팸차단 리스트 활용

- SPF(Sender Policy Framework)

- RBL(Real time Spam Black List)

 

5. 이메일 보안기술

1) PGP(Pretty good privacy)

- 필 짐머만이 독자적으로개발

- PEM보다 보안성은 떨어지지만 가장많이 사용.

- 메시지 RSA와 IDEA등의 암호화 알고리즘 사용

- 무결성을 보증하기위한 메시지 인증과 메시지의 생성, 처리, 전송, 저장, 수신등을 한 사용자 보증

- 해시함수 MD5가 사용

 

• 특징

- 인증 받은 메시지와 파일에 대한 전자서명 생성과 확인 작업 가능

- 메뉴 방식을 통한 기능 등에 쉽게 접근

- 다양한 이메일 어플리케이션에 플러그인으로 사용가능

- 공개키 4096비트까지 생성 가능, RSA와 DSS/Diffie-Hellman등 두 가지 형태 공개키를 생성 한다.

- 공개키 서버와 직접 연결되어 있어 공개키 분배 및 취득 용이

- 정부나 단체가 만든 것이 아니라 개인이 만들어 무료 배포

- 암호 알고리즘을 이용하여 기밀성, 인증, 무결성, 부인방지 등의 기능 지원 가능

 

• 구성

키링(Key Ring)

- 개인키링 : 사용자 ID나 키 ID로 색인화가 되는 것으로 사용자 시스템에만 저장 IDEA암호화

- 공개키링 : 다른 사용자의 공개키를 가지고 있어야 한다. 사용자 ID나 키ID로 색인화

 

• 기능 및 동작

- 압축 : ZIP알고리즘을 사용하여 압축

- 전자우편 호환성 : 연속적인 8비트의 흐름으로 이루어지지만 Radix-64 conversion을 통한 ASCII변환

- 분할 및 재결합

 

2).PEM(Privacy Enhanced Mail) : IETF에 의해 만들어진 인터넷 표준안으로 전송 전 암호화하여 전송도중 유출 되더라도 내용확인 불가. PGP에 비해 보안능력이 뛰어나나 중앙집중식 키 인증 방식으로 널리 사용되기 어려움

 

3).S/MIME(Secure MIME) : 응용계층에서 보안을 제공하는 가장 대표적인 시스템이며 MIME 객체에 암호화와 전자서명 기능을 추가한 프로토콜

• MIME(Multipurpose Internet Mail Extension) :  바디 부분에 대한 정의 텍스트 이외에 음성,영상, 문서 첨부파일등을 메일 메시지 형태로 구성하는 방법 정의

메시지 기밀성  - 암호화       - Triple-DES

메시지 무결성  - 해쉬함수    - SHA-1

사용자 인증     - 공개키인증 - X.509 V3인증서

부인방지         - 전자서명    - DSA

 

• 메시지 구성

- 서명된 데이터(Signed Data) : 메세지 다이제스트 값을 서명자의 개인키로 암호화하여 형성된 디지털 서명으로 콘텐츠와 그 디지털 서명은 base64로 부호화된다.

 

- 봉인된 데이터(Enveloped Data) : 암호화된 콘텐트 타입과 한 명 이상의 수신자들을 위한 암호화된 암호화-컨텐츠 암호키(encrypted-content encryption key)로 구성되어 있다.

 

-클리어 서명 데이터(Clear-signed Data) : 서명된 데이터와 콘텐트의 디지털 서명으로 구성된다. 디지털 서명만 base64로 부호화

 

- 서명 및 봉인된 데이터(Signed and enveloped data) : sugned-only과 encrypted-only 엔티티가 중첩될 수 있다. 암호화된 데이터는 서명되어질 수 있고 서명된 데이터나 클리어 서명 데이터는 암호화 될 수 있다.

 

• S/MIME v2, v3비교

  비교항목	S/MIME v2	S/MIME v3
  해쉬 알고리즘	MD5	SHA-1
  전자서명	RSA	DSA
  공개키 암호 알고리즘	RSA	Diffie-hellman
  대칭키 암호 알고리즘	40bit RC2	Triple-DES

 

 

보안 전자우편 시스템	비고
PGP(Pretty Good Privacy)	Phil zimmerman이 개발 분산화 된 키 인증 구현이 용이 일반 용도의 보안성 많이사용
PEM(Privacy Enhanced Mail)	IFTF Internet 표준안 중앙 집중화된 키 인증 구현이 어려움 높은 보안성(군사, 은행 ) 많이 사용되지 않음
PGP/MIME	전자우편 메시지 표준(MIME)기반 PGP암호 기법 + 전자우편 시스템 x.509인증서 지원안됨
S/MIME	RSA Data Security.Inc 개발 전자우편 메시지 표준(MIME)기반 다양한 사용 툴 킷 x.509인증지원