리턴 메일(메시지) : 550 5.7.1 Service unavailable, Client host IP blocked using Spamhaus (RBL)

◈ 리턴 메시지 예시

① 다음 받는 사람에게 배달할 수 없습니다.

'ID@Domain' 2025-09-11 오후 5:33

서버 오류: '553 [Sniper]Listed by XBL, see https://check.spamhaus.org/query/ip/클라이언트IP'

 

② does not like recipient.

Remote host said[Response Message]: 550 5.7.1 Service unavailable, Client host [IP] blocked  using Spamhaus. To request removal from this list see https://www.spamhaus.org/query/ip/클라이언트 IP AS(1440)

「번역」 수신자가 좋아하지 않습니다. 원격 호스트가 [응답 메시지]에 다음과 같이 말했습니다. 550 5.7.1 서비스를 사용할 수 없습니다. 클라이언트 호스트 [IP]가 Spamhaus를 통해 차단되었습니다. 이 목록에서 삭제를 요청하려면  URL 주소를 참조하세요.

▣ 리턴 메시지를 자세히 보면 공통점이 있습니다. 바로 실시간 블랙리스트 RBL(Real-time Black List)를 참조하는 Spamhaus라는 점입니다. 이는 수신 측 스팸 필터가 RBL 정책을 사용하고 있다는 의미이며, 실제로 RBL 서비스를 제공하는 업체가 여러 곳 있습니다. 대표적으로 전 세계에서 가장 많이 사용하는 Spamhaus, 그 외에 Spamcop, BarracudaCentral, Spamlist(국내 KISA-RBL, 현재 서비스 종료, 2024-01-31) 등이 있습니다.

 

일반적으로 리턴 메시지에는 관련 URL이 함께 제공되며, 관리자(또는 사용자)가 직접 접속해 차단 해제 요청을 할 수 있습니다. 특히 마이크로소프트 아웃룩 같은 클라이언트 프로그램을 사용할 때 수신은 정상인데 발송(SMTP) 단계에서 차단된다면, 해당 구간에서 스팸 필터가 RBL 조회를 수행하고 있을 확률이 높다는 뜻이기도 합니다. 이 내용은 이전 포스트에서도 한번 다룬 적이 있으므로, 여기에서는 간단히? 정리하는 수준으로 넘어가겠습니다.

---

◈ Spamhaus RBL 조회 및 차단 해제 요청

◇ 공식 홈페이지 URL 주소 : https://check.spamhaus.org/

 

리턴 메시지에 있던 Client host 또는 URL 주소 끝에 query/ip/IP 부분이 발신자 메일서버의 발송 IP 또는 사용자 PC 클라이언트 IP입니다. 혹시나 메시지가 잘려서 알 수가 없다면 메일서버 또는 네트워크 관리자에게 최종적으로 나가는 발송 공인 IP를 파악해야 합니다. (아웃룩 사용자 PC는 구글/네이버 검색란에 "내 아이피" 입력 후 나오는 IP주소 조회 사이트를 참고)

 

 

위와 같이 IP에 문제가 없다면 「IP has no issues」 메시지가 나오며, 차단되어 있으면 「IP has listing」 형태로 나옵니다. 그리고 차단된 사유가 나열되며 「More info」 자세히 보기를 클릭하면 좀 더 상세한 내용이 나옵니다.

 

 

내용 : 해당 IP가 다양한 봇넷과 밀접한 관련이 있는 방식으로 SMTP 프로토콜을 위반하고 있습니다.

 

즉 메일을 발송할 수 있는 SMTP 25 포트가 구성된 메일서버 외에 잘못된 접근 방식으로 인증을 하고 있거나 악용되고 있다는 뜻입니다. 이런 경우가 제일 심한 곳이 공공장소에서 공유기를 통해 하나의  IP에 여러 사용자가 접근할 수 있는 환경입니다. 주로 카페 / 음식점 / 지하철 / 모텔(호텔)등 패스워드가 없다면 더욱더 보안에 취약합니다. 모바일로 메일앱이나 아웃룩 같은 프로그램으로 SMTP 메일 발송할 때 갑자기 안되셨다면 시도하신 IP가 RBL에 걸렸을 확률이 높습니다. 꼭 공공장소가 아니더라도 실제 사용자의 메일 패스워드가 무작위 대입 공격「Brute Force Attack」에 비밀번호가 유출되어 스패머가 대량스팸메일을 발송했을 경우에도 차단될 확률이 높습니다.

 

 

「Removal from XBL」 버튼이 무조건 활성화되어 있는 건 아닙니다. 만약 IP 평판이 최악일 경우 일정시간이 지나야 해제를 할 수도 있습니다. 그나마 조정의 여지가 있다면 위와 같이 바로 즉시 제거 요청이 가능합니다. 「SBL/PBL」도 있다면 동일합니다.

 

 

다음과 같이 인증 메일이 한 통 수신되며, 본문에 포함된 URL을 클릭하면 최종적으로 해제 요청이 완료됩니다. 아래 예시는 인증 시간이 만료되었거나, 이미 해제 요청이 처리된 상태에서 다시 시도했을 때 나타나는 화면입니다. 이후 재 조회 시 「IP has no issues」 메시지가 나오면 정상적으로 해제가 완료된 것입니다. 다만, 메인 서버만 반영되는 것이 아니라 RBL 정보를 조회하는 여러 서버들이 순차적으로 업데이트되기 때문에 실제 반영까지 시간이 걸릴 수 있습니다. 보통 여유 있게 1시간 간격으로 재확인하는 것이 좋습니다.

 

그리고 중요한 점은, RBL은 말 그대로 실시간(Real-time)으로 IP를 수집하고 평가하는 시스템이기 때문에, 동일한 발송 IP에서 비정상적인 네트워크 활동(프록시 사용, SMTP 비정상 발송 등)이 다시 감지되면 다시 차단될 수 있습니다. BAD 평판이 누적될 경우 즉시 해제가 불가능하거나, IP 재검토에 더 오랜 시간이 걸릴 수도 있으니 주의가 필요합니다.

---

사용자 PC 클라이언트 IP는 회사(사무실)의 ISP(인터넷 제공 사업자)에서 제공하는 유동/고정 IP이므로, 정확한 확인이 필요할 경우 네트워크 관리자에게 문의하는 것이 좋습니다. 만약 호스팅 서비스나 물리/클라우드 단독형 메일 서버를 이용하고 있다면, 메일 서버에 직접 할당된 고정 IP를 기준으로 확인해야 합니다.

(아래 ChatGPT 및 운영 경험 정리 내용 참고)

 

① SMTP 발송 서버 노출 최소화

• 외부에서 접근할 필요가 없다면 25, 465, 587 포트는 방화벽으로 특정 IP만 허용
• 인증(로그인) 후 발송만 허용하고 오픈 릴레이(Open Relay) 금지
• SMTP Auth 실패가 과도하게 발생한다면 → 무차별 로그인(Brute Force) 의심, 즉시 차단

 

② 발송량 급증 / 스팸 패턴 모니터링

• 갑자기 메일 발송량이 폭증하면 스팸으로 오인될 수 있음
• 웹메일 / SMTP 로그에서 수상한 대량 발송 기록 체크
• 정상 사용자 트래픽인지, 외부에서 탈취된 계정인지 확인 필요
• 특정 한 계정이 비정상적으로 발송량이 많다면 해당 계정 패스워드 즉시 변경

※ 특히 클라우드 서버는 공격자들의 타깃이기 때문에 자동 스팸 발송 악성 봇에 감염되면 바로 RBL에 등록될 확률이 매우 높습니다.

 

③ PTR / SPF / DKIM / DMARC 적용 (적용 시 평판 관리가 용이함)

항목	필수여부	설명
PTR	필수	IP → 도메인 역방향 조회 가능해야 함
SPF	필수	"이 발송 IP는 진짜 내 도메인에서 발송한 것이 맞다" 증명
DKIM	권장	메일 위변조 방지, 신뢰도 증가
DMARC	선택(권장)	SPF+DKIM 평가 후 정책 적용

※ PTR과 SPF는 안 되어 있으면 RBL보다 더 먼저 우선순위로 차단됩니다. DKIM, DMARC는 아직까지는 모든 기업메일이 체크하지 않거나 정책을 제대로 지키지 않아 우선순위가 낮지만 점차 사용률이 높아지고 있습니다.

 

④ 웹서버 / 메일서버 악성 스크립트 점검

• 워드프레스/게시판 취약점 악용으로 서버 내부에서 스팸 발송되는 경우 매우 많음
• 홈페이지 폼 메일이나 노출되어 있는 Contact 메일 주소를 악용하는 경우가 많음 (캡처나 인증 후 처리하는 방식 필요)
• 의심 프로세스가 있다면 즉시 중지 후 비밀번호 변경 및 패치 적용

 

⑤ 최악의 상황 서버 IP 재발급

IP 평판이 너무 낮아 도저히 차단 해제가 불가능한 상황까지 온다면, 새로운 고정 IP를 발급받은 뒤, DNS 레코드와 PTR/SPF만 변경하는 것이 가장 빠른 해결책입니다.

---

마무리(결론)

RBL뿐만 아니라 다른 IP 평판 정책 체크하는 서비스들도 시스템이 자동으로 판단을 하므로 단순히 「IP가 스팸처럼 보인다」는 이유만으로도 바로 등록될 수 있으며, 특히 개인 또는 소규모 서버는 평판 관리가 매우 중요합니다. 꾸준히 점검하고 정책 적용만 잘해도 필요 이상의 차단이나 메일 반송 문제를 충분히 예방살 수 있습니다. 내용에 참고가 되었으면 좋겠습니다.