메일 서버 게시 규칙을 만들 때 ISA Server 2004는 클라이언트가 메일 서버에 액세스할 수 있도록 허용하는 데 필요한 게시 규칙을 만듭니다. 지정하는 메일 서버 유형에 따라 사용자가 지정한 프로토콜을 사용하여 메일 서버에 액세스할 수 있도록 웹 게시 규칙 또는 서버 게시 규칙이 구성됩니다. 게시된 메일 서버에서 제공하는 다음 액세스 유형 중 하나를 선택할 수 있습니다. * 웹 클라이언트 액세스: 클라이언트가 Outlook Web Access, Outlook Mobile Access 또는 Exchange Application Services 서버에 액세스할 수 있도록 허용합니다. 이 옵션을 선택하면 ISA Server가 적절한 웹 게시 규칙으로 구성됩니다. * 클라이언트 액세스: 클라이언트가 RPC(원격 프로시저 호출), IMAP4(Internet Message Access Protocol 버전 4revl), POP3(Post Office Protocol 버전 3) 또는 SMTP(Simple Mail Transfer Protocol)를 사용하여 메일에 액세스할 수 있도록 허용합니다. 이 옵션을 선택하면 선택한 각 프로토콜에 대해 서버 게시 규칙이 생성됩니다. * 서버 간 통신. SMTP(메일) 서버 및 NNTP(뉴스) 서버 액세스를 허용합니다. 메일 서버를 게시할 때 메일 서버의 FQDN 이름을 ISA Server 컴퓨터의 외부 DNS 이름으로 구성하는 것이 좋습니다. 이렇게 하면 메일 서버의 내부 이름이 공개되지 않으므로 공격에 덜 취약해집니다. 1. SMTP 필터링 SMTP 필터가 설치되어 활성화된 경우 SMTP 필터링을 적용할 수 있습니다. ISA Server 2004는 위험한 바이러스 및 웜을 포함하여 원치 않는 이메일을 차단하도록 구성할 수 있는 정교한 응용 프로그램 계층 인식 방화벽입니다. ISA Server는 위험한 코드와 원치 않는 이메일이 회사 네트워크에 들어오는 것을 방지하기 위해 SMTP 이메일 감지를 수행합니다. ISA Server는 회사 네트워크를 보호하기 위해 두 가지 구성 요소를 사용합니다. 1) SMTP 필터 ISA 서버는 ISA 서버 컴퓨터의 포트 25에 도착하는 모든 SMTP 통신을 차단합니다. SMTP 필터는 트래픽을 수락하고 검사하며 규칙에서 허용하는 경우에만 전달합니다. SMTP 필터는 메시지 필터와 함께 작동하여 보다 심층적인 콘텐츠 검사를 제공할 수 있습니다. 기본적으로 SMTP 필터는 SMTP 및 SMTP 서버 프로토콜에 적용됩니다. ISA Server는 통신이 보안 채널(TLS 사용)을 통해 이루어지는 경우에만 Exchange 서버 컴퓨터 간의 포리스트 간 통신을 지원합니다. SMTP 필터 이벤트 경고가 활성화되면 SMTP 필터 조건 중 하나를 위반하여 SMTP 명령이 차단되는 경우 차단된 메시지만 기록됩니다. 이 경고는 기본적으로 비활성화되어 있습니다. SMTP 필터는 인터넷 SMTP 서버 및 클라이언트가 보낸 SMTP 명령을 확인합니다. 이 필터는 SMTP 명령을 가로채서 명령이 원래 크기보다 큰지 확인할 수 있습니다. 크기가 구성된 제한을 초과하는 SMTP 명령은 SMTP 서버에 대한 공격으로 간주되어 SMTP 필터에 의해 차단될 수 있습니다. 모든 SMTP 명령에는 연관된 최대 길이가 있습니다. 이 길이는 각 명령에 허용되는 바이트 수를 나타냅니다. 공격자가 허용된 명령 바이트 수를 초과하는 명령을 보내면 ISA 서버의 연결이 끊어지고 공격자가 회사 메일 서버와 통신할 수 없게 됩니다. 클라이언트가 정의되었지만 비활성화된 명령을 사용하는 경우 필터는 연결을 닫습니다. 클라이언트가 SMTP 필터에서 인식되지 않는 명령을 사용하는 경우 해당 메시지에 대해 필터링이 수행되지 않습니다. 클라이언트가 TURN 명령을 사용하는 경우 필터는 모든 이메일 메시지를 삭제합니다. RFC는 AUTH 명령을 MAIL FROM 명령의 일부로 간주합니다. 이러한 이유로 SMTP 필터는 MAIL FROM 명령이 실행된 MAIL FROM 및 AUTH 명령 길이의 합을 초과하는 경우에만 MAIL FROM 명령을 차단합니다(AUTH가 활성화된 경우). 예를 들어 MAIL FROM에 최대 길이를 266바이트, AUTH에 1024바이트로 지정하면 MAIL FROM 명령이 1290바이트를 초과하는 경우에만 메시지가 차단됩니다.
2) SMTP 메시지 필터 ISA 서버에는 사용자가 메일 전달, 바이러스 침입 및 원치 않는 첨부 파일이 네트워크에 나타나는 것을 방지하는 데 도움이 되는 다음 두 가지 구성 요소, 즉 SMTP(Simple Mail Transfer Protocol) 필터와 메시지 필터가 포함되어 있습니다. 메시지 필터는 ISA Server의 선택적 구성 요소이며 ISA Server 및 ISA Server 관리와 별도로 설치할 수 있습니다. SMTP 메시지 필터는 SMTP 필터와 함께 작동하여 ISA Server 컴퓨터의 TCP 포트(포트 번호 25)에 도착하는 모든 SMTP 트래픽을 차단합니다. 메시지 필터는 스팸을 필터링하도록 설계되었습니다. 주요 목적은 원하지 않는 발신자 및 도메인에서 보낸 키워드, 첨부 파일 및 이메일을 사양에 따라 필터링하는 것입니다. 이 구성 요소는 IIS(인터넷 정보 서비스) 6.0 또는 IIS5.0을 실행하는 SMTP 서버에 설치되어야 합니다. 서버는 ISA 서버 컴퓨터일 필요는 없습니다. 예를 들어 메시지 필터는 ISA 서버 컴퓨터, Exchange 서버 컴퓨터 또는 IIS 6.0이나 IIS 5.0을 실행하는 기타 내부 SMTP 서버에 설치할 수 있습니다. 참고: ISA 서버 컴퓨터에 메시지 필터를 설치하지 않은 경우 메시지 필터가 MS 방화벽 제어 프로토콜을 사용하여 로컬 호스트 네트워크에 액세스할 수 있도록 허용하는 액세스 규칙을 적절하게 만들어야 합니다. SMTP 메시지 필터는 다음 기준에 따라 들어오는 메시지를 필터링할 수 있습니다. * MAIL FROM SMTP 명령으로 전송된 값입니다. 이 항목은 보낸 사람과 도메인 이름을 필터링하는 데 사용됩니다. * 각 첨부 파일의 콘텐츠 배포 헤더 필드입니다. 이 필드에는 일반적으로 첨부 파일 이름과 확장자가 포함됩니다. 메시지 필터는 확장명, 이름 또는 크기를 기준으로 첨부 파일을 필터링할 수 있습니다. * 키워드 필터. 이 항목은 이메일 제목과 본문(text/plain text 또는 text/html 콘텐츠 유형)을 필터링하는 데 사용됩니다. 이메일을 삭제하거나, 나중에 검사하기 위해 이메일을 보관하거나, 추가 검사 및 분석을 위해 보안 관리자 계정으로 이메일을 전달하도록 SMTP 메시지 필터를 구성할 수 있습니다. 예를 들어, 일반적인 바이러스가 특정 키워드가 포함된 스팸 이메일을 보낸다고 가정해 보겠습니다. 이 키워드가 포함된 전자 메일 메시지를 받은 후 세 가지 작업 중 하나를 수행하도록 메시지 필터를 구성할 수 있습니다. * 이메일을 삭제하세요. * 이메일을 보관하세요. * 이메일을 전달하세요. 2. RPC 필터링 RPC 유형의 메일 서버를 게시할 때 R2C 필터링을 적용할 수 있습니다. ISA Server는 네트워크 외부의 클라이언트와 네트워크 내부에 있는 RPC(원격 프로시저 호출) 서버 간의 모든 RPC 통신을 처리합니다. ISA Server RPC 필터를 사용하면 하나 이상의 UUID 인터페이스를 RPC 프로토콜 정의로 지정할 수 있습니다. 이 프로토콜 정의는 외부 클라이언트가 내부 RPC 서버의 UUID 인터페이스에 액세스할 수 있도록 서버의 ISA 서버 게시 규칙에 사용됩니다. 기본적으로 RPC 필터는 RPC 및 RPC 서버 프로토콜에 적용됩니다. 1) Exchange 서버 게시 및 RPC 필터 원격 사이트에서 Exchange 서버에 액세스하는 일반적인 방법은 전체 Outlook MAPI 클라이언트를 사용하는 것입니다. 사용자는 회사 네트워크에 직접 연결할 때 사용하는 전체 Outlook MAPI 클라이언트를 사용하여 전자 메일을 보내고 받는 것을 선호합니다. 방화벽 및 보안 관리자가 직면한 가장 큰 어려움은 전체 Outlook MAPI 클라이언트 원격 액세스 연결의 보안을 보장하는 것입니다. Microsoft Exchange RPC 서비스에 대한 원격 액세스(Outlook MAPI 클라이언트 액세스에 필요)에는 인터넷 에지 방화벽에 정적으로 열려 있는 포트가 많이 있어야 할 수 있습니다. Exchange RPC 서비스에 대한 원격 액세스를 허용하는 데 필요한 고정 개방 포트의 수는 원격 위치에서 Outlook을 사용하여 이메일을 보내고 받는 환경을 개선하는 데 장애가 되었습니다. 이러한 유형의 액세스를 활성화하려면 기존 방화벽에 고정적으로 열려 있는 포트가 너무 많아 보안 및 방화벽 관리자가 전체 Outlook MAPI 클라이언트를 사용하여 원격 액세스를 허용하는 것을 주저하게 만들 수 있습니다. 중요한 고려 사항은 RPC 및 DCOM 서비스가 특별히 설계된 바이러스 및 웜의 공격에 취약할 수 있다는 것입니다. RPC 응용 프로그램 계층을 인식하지 못하는 기존 방화벽을 사용하는 경우 RPC 웜이 이 포트 번호를 통해 네트워크를 공격할 수 있습니다.
이러한 공격은 Exchange 서버를 감염시키고 이후 회사 네트워크의 다른 컴퓨터도 감염시킬 수 있습니다. ISA Server RPC 필터를 사용하면 회사 Exchange 서버에 대한 보안 Outlook MAPI 연결을 강제할 수 있습니다. RPC 필터는 회사 네트워크의 아웃바운드 RPC 웜 연결을 차단합니다. 이 필터는 사용자가 RPC 웜 연결이 회사 네트워크에 남아 있는 것을 방지하고 네트워크의 호스트가 인터넷의 컴퓨터를 감염시키는 것을 방지하는 데 도움이 됩니다. RPC 필터를 사용하여 Outlook MAPI 클라이언트에서 보안 RPC 연결을 강제할 수도 있습니다. 이 기능이 활성화된 경우 원격 Outlook MAPI 클라이언트의 연결 요청은 안전하고 암호화된 채널을 통해 완료되어야 합니다. 연결이 안전하지 않으면 ISA Server는 클라이언트 요청을 삭제합니다. 이를 통해 사용자가 아닌 ISA 서버가 보안 수준을 제어할 수 있습니다. 2) Outlook 클라이언트에 대한 RPC 필터링 다음은 Outlook MAPI 클라이언트와 ISA 서버 간에 초기 RPC 끝점 매퍼 연결이 설정되는 경우에 대해 설명합니다. *Outlook MAPI 클라이언트는 ISA 서버의 외부 인터페이스에서 TCP 포트 135에 대한 연결을 설정합니다. * RPC 필터는 연결의 패킷에 대한 상태 확인을 수행합니다. 잘못된 RPC 통신이 감지되면 연결이 끊어집니다. * Outlook MAPI 클라이언트의 유효한 RPC 연결은 Exchange 서버로 전달됩니다. Exchange 서버는 후속 데이터 연결을 위해 클라이언트가 사용하는 포트 번호로 요청에 응답합니다. * ISA 서버는 응답을 가로채고 포트 번호를 ISA 서버의 외부 인터페이스에서 Outlook MAPI 클라이언트에 사용할 수 있는 유효한 포트로 변경합니다. * ISA 서버는 Exchange 서버와의 후속 통신에 사용되는 포트 번호를 Outlook MAPI 클라이언트로 전달합니다. 다음은 끝점 매퍼 연결이 설정된 후 Outlook MAPI 클라이언트와 Exchange 서버 간의 통신 순서입니다. (1) Outlook MAPl 클라이언트는 ISA 서버에서 지정한 MAPI 포트와 연결을 설정합니다. ISA Server는 RPC 명령이 채널 내에서 악용되지 않도록 차단합니다. (2) ISA 서버는 Outlook MAPI 클라이언트가 보낸 정보를 Exchange 서버 RPC 서비스로 전달합니다. (3) Exchange 서버가 Outlook MAPI 클라이언트에 응답하지만 ISA 서버가 응답을 가로챕니다. RPC 필터는 이러한 응답을 차단하고 소스 포트 번호를 변경합니다. (4) ISA 서버는 Outlook MAPI 클라이언트에 응답을 전달합니다. 3) 엄격한 RPC 준수 아웃바운드 RPC 프로토콜은 규칙별로 구성되어 엄격한 RPC 준수를 시행할 수 있습니다. 기본적으로 RPC 프로토콜에는 엄격한 준수가 적용됩니다. 엄격한 규정 준수를 통해 RPC 유형 프로토콜(예: DCOM)은 ISA Server를 통해 허용되지 않습니다.