SMTP 25번 포트 차단

방송통신위원회/KISA에서 올해 들어 드디어 추진하기 시작한 정책 중 ISP의 25번 포트 차단이 있습니다. 25번 포트는 아웃룩 등의 MUA(메일 유저에이전트/메일 클라이언트 소프트웨어) – SMTP 서버간 접속시(Message Submission), 서버간 메일 전송시(Message Transmission) 사용되는 포트로, 현재 한국내 대부분의 ISP에서는 오픈되어있습니다. 이를 막겠다는 겁니다.

“어, 그러면 메시지 트랜스미션 때도 막히지 않나요. 집에서 아웃룩 쓰지 말라는 얘긴가요” 라고 반문하실 수도 있지만, ISP에서 25번 포트를 차단한다는 것은 메시지 서브미션 단계를 차단한다는 것을 뜻합니다. 즉, 메시지 서브미션을 다른 포트를 통해 진행할 수 있다면 집 PC에서 아웃룩 등을 이용하여 메일을 전송하는 것은 전혀 지장이 없습니다.

실제로 일본내 대부분의 ISP에서는 가정 회선에서 25번 포트가 차단되어있습니다. 한국내에서도 메일 서비스 업체(ESP)를 중심으로 25번 포트 차단에 대한 요구는 끊임없이 있어왔습니다만, 거의 5년만에 본격 추진하는 셈이 됩니다.

25번 포트 차단의 가장 큰 목적은 스팸메일의 감소요, 좀 더 미시적으로 본다면 좀비PC로 인한 폐해를 줄이는데 그 목적이 있습니다. 웜 등의 정크웨어에 감염된 PC에서는 사용자가 모르는새 SMTP 데몬이 기동하여 그 자신을 다른 곳에 전파하고 있는데, 기본적으로 열려있는 25번 포트를 통해 메시지 트랜스미션을 진행하고 있습니다(좀비PC 자체가 하나의 SMTP 서버로 작동하므로 메시지 서브미션 단계 없이 받는 쪽 메일 서버에 바로 붙습니다).

만약 25번 포트가 차단된다면 웜 등의 정크웨어 스스로 발송을 시도하는 메일 자체가 전송이 되지 않습니다. 게이트웨이 단에서 25번 포트를 차단하기 때문에 불필요한 정크 트래픽을 감소시키는 효과도 기대할 수 있습니다. 웜이 다른 포트를 통해 전송을 시도한다 하더라도 어차피 서버간 통신에서는 25번 외에 다른 포트를 통해 들어오는 트랜스미션을 무시하면 그만입니다. 그래서 그간 ESP에서 줄기차게 25번 포트 차단을 요청했는데, 앞서 말한대로 거의 5년만에 구체적으로 진행이 시작된 거고, 그 5년간 좀비PC로 인한 문제는 줄어들 일이 없었죠. 쩝.

현재도 ESP에서는 ISP의 가정용 유동 IP 대역에서 25번 포트를 통해 직접 발송되는 메시지 트랜스미션을 무시하면 좀비PC로부터 전송되는 정크 메일은 안 받을 수 있습니다만, ISP는 ESP에게 어떤 IP 대역이 어떤 용도로 사용되는지 알려주지 않습니다(IPWHOIS 결과가 점점 빈약해지는 것을 보면 ISP가 할당 정보를 가급적 공개하지 않는 쪽으로 간다는 것을 알 수 있습니다). 그렇다고 ESP에서 멋대로 추측할 수도 없고(할당 정보는 수시로 변동되니..), 25번 포트를 통한 모든 메시지 트랜스미션을 막자니 서버간 통신시에 25번 포트를 사용해야하기 때문에 그럴 수도 없습니다.

따라서 이번 정책은 ISP에서 움직이는 것이 주(主)가 됩니다. 이 상태에서 ESP는 아무것도 안하고 놀면 되느냐, 그건 아니지요. ISP에서 25번 포트를 막기 때문에, 사용자들의 SMTP 접속을 보장하기 위해(메시지 서브미션을 위해) 25번 외에 다른 포트를 제공해야하고, 보통 587번 포트를 사용합니다. SMTP에 SSL을 지원하여 SMTP over SSL 환경이 가능하다면 465번 포트를 사용할 수도 있습니다.

현재 ESP 중에서 Gmail(587), 한메일(465), 네이버(465), 드림위즈(유료·25/587/465) 정도가 25번 차단시 ESP에서의 별다른 추가 작업없이 바로 이용할 수 있고, 대부분의 호스팅 서비스처럼 25번만 제공하는 경우 비싼 SSL 인증서를 설치한 뒤 465번을 제공하던지, 587번을 제공하던지 해야 사용자들에게 불편함이 없습니다(물론 대부분의 메일 클라이언트 기본값이 25번으로 입력되어있기 때문에 이 부분에 대한 설정 변경 안내를 해줘야 합니다).

방통위/KISA에서 추진한다고 해서 당장 2월부터 시행되고 이런 것은 아닙니다만, 기존의 25번 포트를 제공하면서 587번 포트의 추가 제공 등은 미리 작업해서 손해볼 일은 없으니, 미지원 업체들의 빠른 대응이 필요할 듯 합니다. ⓣ

11 댓글

  1. 안녕하신가요^^
    초대장 보유가 제일 많으신거 보구, 초대장좀 받고 싶어서 이렇게 글을 남겨요.
    제가 처음 블로그좀 해보려고 하는데요. 티스토리가 괸찮다고 해서 여기서 시작을 해보려고 하는데요.
    귀찮으시더라도, 초대장 부탁드려 볼께요^^
    experian@daum.net

  2. 그런데… 시작은 했으되 갈길 멀어 보인다는 소문이 있던데요…

    올해 안에는 될까요?

    PS: 애플에서 연락이 왔습니다. URL 하나 알려주고 거기에 있는 담당자에게 연락해보라네요. 헐헐.

    1. ISP도 그렇고 호스팅도 그렇고 까칠하게 나와서요.. -_-;

      거기에 방통위 담당관도 덜컥 교체되는 바람에 쩝…

      애플껀은 잘 진행되면 좋겠네요. ㅎ

  3. 좀더 자세한 자료나
    작업을 할수있는 따라하기 형식의 문서라도 있으면 좀 주세요

    어떻게든 처리는 해야할듯하네요

    1. 관련한 지원 사이트를 현재 정보보호진흥원에서 준비중입니다. 업체마다 환경이 다르기 때문에, 저도 업체에 있는 입장인지라 자료를 더 드리기가 좀 모호한 상황이네요.

      관련 자료나 문의사항은 한국정보보호진흥원(http://www.kisa.or.kr)로 문의하시기 바랍니다.

  4. 좋은 자료라서 좀 퍼갔습니다..
    혹시 문제 되는 부분있음 말씀해주세요.. 자삭하겠습니다.

    감사합니다.

  5. 사람마다 보는 시각에 대한 차이는 있겠습니다만..
    본 정책은 각 호스팅회사/엔드유저/ISP 까지 엄청난 댓가를 치루면서 진행되어야 함에도 불구하고..
    실제로 그 효과는 “엇~ 한국은 유동IP 25번 막힌거야??” 라는 정보를 불특정 공격자(시도자)들이 습득할때 까지 입니다.
    좀비프로그램에서 587로 변경해서 배포하면 범 국가적으로 시행하는 이 정책은 아무런 힘을 발휘할 수 없습니다.
    결론적으로 며칠정도의 효과이고..
    시행이후 어느정도 시간이 지나면 지금과 달라질게 없는 그런 내용인거죠…
    말씀하신 일본은 시행을 했던것은 맞는데… 현재는 일본 전체에 적용되어있지도 않고..
    이미 “이전에 시행을 하긴했었지…” 하는 단계입니다…

    1. 며칠정도의 효과보다는 좀 더 나을 듯 하긴 합니다. 새로 배포되는 웜보다는 기존 배포되는 웜을 통한 좀비PC화가 좀 더 심각하니까요.

      그리고 서버간 전송되는 메시지 트랜스미션 구간에 25번 외에 다른 포트를 이용한 모든 메시지를 드롭시킨다면 말씀하신 것처럼 힘을 발휘할 수 없는 것은 아니다라고 봅니다. 좀비PC는 그 자체가 SMTP 서버가 되어서 다른 메일 서버로 직접 전송을 때려버리니까 문제가 된거고요.

답글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.