리턴 메일(메시지) : MTA's poor reputation [feat. Spamhaus]

◈ 리턴 메시지

554 Your access to this mail system has been rejected due to the sending MTA's poor reputation. If you believe that this failure is in error, please contact the intended recipient via alternate means. See https://talosintelligence.com/reputation_center/lookup?search=Send IP

 

「번역」 554 전송 MTA의 평판이 좋지 않아 이 메일 시스템에 대한 액세스가 거부되었습니다. 오류가 발생했다고 생각되면 대체 수단을 통해 대상 수신자에게 연락하세요. URL 주소를 참조

▣ 리턴 메시지에 「MTA's poor reputation」와 URL 주소에 「talosintelligence」 문구가 들어가 있으면 수신 측 메일서버가 「Cisco」의 인텔리전스「TALOS intelligence」 서비스를 받고 있을 확률이 높습니다. URL 공식 홈페이지를 따라가 보면 알 수 있지만 웹 평판「악성 도메인, URL, IP」뿐만 아니라 발신자 메일서버 평판「IP와 도메인」도 하고 있으므로 여기에 걸리면 발송자 메일서버의 모든 메일을 차단합니다.

 

이전에는 「SenderBase」라는 이름으로 운영을 했던 것 같은데... 하여튼 발신자의 IP 주소가 신고를 많이 당하거나 스팸지수(점수)가 높아 차단을 당하는 부분으로 개인 사용자가 차단해제는 힘들며 메일관리자가 조치를 해줘야 합니다. 

---

◈ 평판 조정(차단 해제) 요청

① 발신자 IP 평판 조회

◇ 공식 홈페이지 URL 주소 : https://talosintelligence.com/reputation_center

 

리턴 메시지에 있던 URL 주소 끝에 lookup?search=IP 부분이 발신자 메일서버의 발송 IP입니다. 혹시나 메시지가 잘려서 알 수가 없다면 메일서버 또는 네트워크 관리자에게 최종적으로 나가는 발송 공인 IP를 파악해야 합니다.

 

 

결과값이 나오면 IP 평판 상태가 나옵니다. 「Poor」면 평판이 가장 안 좋은 상태로 오른쪽 「Submit Sender IP Reputation Ticket」 버튼을 클릭하여 평판 조정 요청을 해야 합니다.

「참고 내용」

◇ SENDER IP REPUTATION「보낸 사람 IP 평판」 설명 번역

이메일에 대한 광범위한 속성 집합을 추적하여 특정 호스트에 대한 매우 정확한 결론을 지원합니다. 정교한 보안 모델링은 이 데이터의 범위를 활용하여 -10「최악」에서 +10「최고」까지의 세분화된 평판 점수를 생성합니다. 이 페이지에서 세분화된 평판 점수는 편의상 Good「좋음」, Neutral「보통」, Poor「나쁨」으로 그룹화 됩

니다.

 

◇ BLOCK LISTS「차단 리스트」 설명 번역

Talos는 기타 인기 있는 외부 스팸 차단 목록에 대한 무료 조회 기능을 제공합니다. 이는 Talos Reputation Center를 사용하여 배송문제를 보다 쉽게 해결할 수 있도록 하기 위한 것입니다. 외부 차단목록에 호스트가 나열되어「Listed」 있는 경우 해당 목록에서 시스템을 제거하려면 해당 호스트와 협력해야 합니다.

 

Talos 보안 인텔리전스 차단 목록은 Talos Reputation 시스템의 일부입니다. 현재 Cisco Secure Firewall 장치에 피드를 제공할 뿐만 아니라 웹, 이메일, Umbrella와 같은 다른 Cisco 제품의 차단 목록에도 영향을 미칩니다.

 

② 평판 조정 요청「가입 및 로그인 필요」

 

되도록 별도로 수신받을 수 있는 메일주소로 각자 알아서 가입하도록 합니다. 로그인 후 아래와 같이 발신자 IP에 대한 정보를 요구하며, 정직하게 작성합니다.

 

 

선택 메뉴 : Suggest Reputation Change「평판 변경 제안」, Not Malicious「악의적이지 않음」, Malicious「악의적인」

 

Details「세부 정보」 : 부분은 「로그 파일 일부분」 「설명」 「관련 정보」를 2000자 내로 작성하면 되는데, 차단된 사유를 모르겠다면 간단하게 평판 차단 해제 조정 요청을 적어 넣습니다. 스팸관리자는 IP 정보만 알아도 대체로 차단 사유를 파악할 수 있습니다.

 

 

접수가 완료되면 나의 계정 관리에서 「Tickets」부분에서 접수 진행 사항을 확인할 수 있습니다. 답변이 달리면 가입한 메일주소로 회신이 옵니다.

 

 

「UNCHANGED」 평판 변하지 않음

코멘트 : 귀하의 IP는 현재 Spamhaus(https://check.spamhaus.org/)에 등재되어 있어 Talos Intelligence 평판이 좋지 않습니다. 이 등재 문제를 해결하려면 Spamhaus에 직접 문의하세요. 목록에서 삭제되면 해당 IP에 대한 Talos Intelligence 평판은 24시간 이내에 향상됩니다.

 

아... 여기도 「Spamhaus Project RBL」 정책을 따라가는군요.

 

③ Spamhaus RBL 조회 및 차단 해제 요청

◇ 공식 홈페이지 URL 주소 : https://check.spamhaus.org/

 

위와 같이 IP에 문제가 없다면 「IP has no issues」 메시지가 나오며, 차단되어 있으면 「IP has listing」 형태로 나옵니다. 그리고 차단된 사유가 나열되며 「More info」 자세히 보기를 클릭하면 좀 더 상세한 내용이 나옵니다. 

 

 

내용 : 해당 IP가 다양한 봇넷과 밀접한 관련이 있는 방식으로 SMTP 프로토콜을 위반하고 있습니다.

 

즉 메일을 발송할 수 있는 SMTP 25 포트가 구성된 메일서버 외에 잘못된 접근 방식으로 인증을 하고 있거나 악용되고 있다는 뜻입니다. 이런 경우가 제일 심한 곳이 공공장소에서 공유기를 통해 하나의  IP에 여러 사용자가 접근할 수 있는 환경입니다. 주로 카페 / 음식점 / 지하철 / 모텔(호텔)등 패스워드가 없다면 더욱더 보안에 취약합니다. 모바일로 메일앱이나 아웃룩 같은 프로그램으로 SMTP 메일 발송할 때 갑자기 안되셨다면 시도하신 IP가 RBL에 걸렸을 확률이 높습니다. 꼭 공공장소가 아니더라도 실제 사용자의 메일 패스워드가 무작위 대입 공격「Brute Force Attack」에 비밀번호가 유출되어 스패머가 대량스팸메일을 발송했을 경우에도 차단될 확률이 높습니다.

 

 

「Removal from XBL」 버튼이 무조건 활성화되어 있는 건 아닙니다. 만약 IP 평판이 최악일 경우 일정시간이 지나야 해제를 할 수도 있습니다. 그나마 조정의 여지가 있다면 위와 같이 바로 즉시 제거 요청이 가능합니다. 「SBL/PBL」도 있다면 동일합니다.

 

「RBL 참고」

◇ Spamhaus Blocklist 「SBL」 : Spamhaus Project 연구진들이 직접 만든 차단 목록 리스트

◇ Exploits Blocklist 「XBL」 : cbl.abuseat.org 정책과 Combined Spam Sources (CSS) 정책과 결합된 스팸 소스 차단 목록 리스트

◇ Policy Blocklist 「PBL」 : 인증되지 않은 SMTP 전자 메일을 인터넷 메일 서버로 직접 배달하려고 시도해서는 안 되는 최종 사용자 IP 주소 범위를 검색, 즉 서버에 인증(Auth)을 받지 않고 릴레이를 통해 바로 발송하는 것을 말함

◇ 「ZEN」 Blocklist : 위 모든 정책을 포함하여 하나의 강력하고 포괄적인 차단 목록으로 결합 (스팸서버에 적용하기에는 차단 범위가 너무 넓어서 호스팅 서비스에는 적합하지 않음)

---

차단 해제가 되더라도 서버에 반영되기까지는 최소 24시간 이상 소요될 수 있습니다.

 

요즘은 관리자가 발신자의 IP를 수동으로 차단하는 경우는 잘 없습니다. 대부분 별도의 수신/발신 스팸솔루션을 도입하여 자동으로 처리합니다. 스팸메일이 점점 고도로 발전하면서 사람이 직접 메일을 분석하고 차단하는 데에는 한계가 있기 때문입니다. 위와 같은 리턴메일은 꼭 Spamhaus 뿐만 아니라 다양한 형태의 RBL 제공을 하고 있으니 상황에 맞게 대처하시기 바랍니다.