보내지도 않은 메일에 대한 반송메일이 와요

1UP님의 포스팅을 보고 조금 설명해볼까 합니다.

메일을 이용하다보면, 보내지도 않은 메일에 대한 반송메일이 오는 경우가 많습니다. 바로 아래와 같은 경우입니다.

사용자 삽입 이미지

물론 저 드림위즈 계정을 사용하시는 분은 dholen@tctc.edu 라는 곳에 메일을 보낸 기록이 없습니다. 그런데도 뜬금없이 반송메일이 날아온 것입니다. 보낸 적도 없기 때문에, 대부분의 메일 사용자들은 이때 계정 해킹을 의심하게 되고, 그에 따라 이용하는 메일 서비스 회사에 컴플레인하는 경우가 부지기수입니다.

그러나 이 반송메일이 도착하기까지의 경위는 서비스 회사와 아무런 관련이 없고, 계정 해킹도 당하지 않았으며, 메일 서비스 회사(위의 예에서는 드림위즈)는 단지 저 반송메일을 받아서 절차에 따라 사용자 메일함에 넣어준 죄 밖에는 없습니다. 왜?

인터넷 메시지 포맷을 정의한 RFC 2822에 의하면, 메일의 작성/발송자(Originator)를 의미하는 필드는 from, sender, reply-to가 있습니다(RFC 2822 3.6.2 Originator fields). 반송을 야기한 메일 원문에 보면, from 필드에 드림위즈 사용자의 메일 주소가 명기되어있습니다. 그러나, 어디까지나 조작입니다.

일단 위의 메일 원문 중 헤더를 보면, @tctc.edu의 메일 서버로 메일을 보낸 곳을 찾아낼 수 있습니다.

Received: from host-217-170-216-67.arctel.ru (unknown [217.170.216.67])
 by tcim1.tctc.edu (Spam Firewall) with ESMTP id 29783549928
 for <dholden@tctc.edu>; Tue, 17 Apr 2007 06:36:11 -0400 (EDT)

from host-217-170-216-67.arctel.ru (unknown [217.170.216.67]) 이라고 되어있습니다. 즉, host-217-170-216-67.arctel.ru 라는 rDNS를 가진 IP, 217.170.216.67에서 메일이 발송되어(당연히 드림위즈 메일이 발송되는 곳은 아닙니다. 러시아IP입니다), tcim1.tctc.edu, 즉 스팸 파이어월(필터링 게이트웨이)에 도착했습니다. 그리고 나서 스팸 파이어월은 해당 메일을 스팸으로 판단, 반송시킬 곳을 찾는데, 아뿔싸, 헤더에 return-path가 없습니다. 그럼 어디로 반송을 시켜야?

이전 포스트에서 아래와 같이 언급한 대목이 있습니다.

이 리턴패스에 지정된 메일 주소는 상대방이 메일을 수신하지 못하는 경우 또는 거절하는 경우 반송사유가 명기된 반송메일을 수신하는 용도로도 사용하게 됩니다. 즉, 상대방에서 내가 이용하는 서버에서 발송된 메일은 스팸이기 때문에 아예 거절한다(reject)는 의사 표명을 하거나, 내가 보낸 메일이 바이러스에 감염된 경우, 서버간 접속 문제때문에 메일을 전송하지 못하는 경우 발송서버는 해당 반송메일을 return-path에 명기된 메일 주소로 전송하게 됩니다.

위와 같이 반송시키기 위해서는, trace fields 중 하나인 return-path가 있어야합니다(서버에 따라 envelope-from으로 표현하는 경우도 있습니다). 그런데 없다면, 반송 메일은 from 에 명기된 메일 주소로 들어갑니다(SMTP의 취약점인 발송자 인증 기술의 결여로 인해 return-path 자체를 조작하는 경우가 대부분이기는 합니다). 결국 순전히 외부에서만 스팸메일이 발송되었는데, 결과물만 엉뚱한 사람이 받아버리는 경우가 발생하는 겁니다. 1UP 님이 받으신 반송 메일은 바로 이 유형입니다. 계정이 크래킹당해서 네이버 메일에서 직접 보내는 것도 아니지만, 구질구질한 스패머들의 결과물(반송메일)만 받아버리게 된겁니다.

이런 반송 메일은 솔직히 스팸신고를 하더라도 처리되지 않습니다. 반송 메일을 거부하게 되면 그 메일 서버와의 전면적인 상호 차단도 발생할 수 있습니다. “왜 니가 반송되는지 알려주는데, 그게 필요없다 이거지? 좋다, 그럼 아예 보내지 말라” 하면서 반송메일을 다시 반송하는 메일 서비스를 차단하는, 어떻게 보면 웃기지도 않는 경우가 실제로 발생할 수 있습니다. 그렇기 때문에, 반송메일을 보낸다는 이유만으로 그 메일 서버를 스팸차단하는 경우는 대부분 없다고 보셔도 됩니다. 메일 서비스 회사는 스팸도 막아야하지만, 무엇보다도 원활한 메일 송수신이 최우선이기 때문이죠.

심한 경우는 이 반송메일이 순식간에 몇백통이 쏟아지는 경우도 있습니다. 스패머가 메일러 한번 돌려서 수만통 쏴버리면, 발송 메일 주소를 계속 바꿔가면서(한정된 수량 내에서) 발송하는데, 이 과정에서 필터링된 메일들이 한꺼번에 반송처리되는 것입니다. 이럴 때는, 각 메일 서비스 내에 마련되어있는 메일 자동 분류 기능을 이용하여 반송메일을 다른 편지함으로 분류하거나 바로 삭제하도록 설정하는 것이 좋으며, 어쩌면 최선의 방법일 수도 있습니다. 위에 언급했다시피, 반송메일을 아무리 스팸신고해봤자 처리되는 경우는 거의 없으니까요. 물론 서비스 운영자도 이런 유형의 신고 때문에 고역입니다.

이와는 별개로, 유마님이 언급하신 사례도 있습니다. 이 사례는 다른 건 다 냅두고, reply-to만 변경하여 메일을 받은 사람이 답장을 하는 경우 다른 주소로 답장이 가도록 설정하는 것입니다(모든 웹메일에서 회신주소 설정으로 구현되어있는 기능입니다 – 이 기능 때문에 운영중인 카페 회원들이 욕메일 보내는 인간 말종에 의해 피해를 본 적이 있습니다). 그러나 답장이 아닌 차단, 네트웍 장애, 휴면 혹은 계정 없음 등의 사유로 반송되는 메일은 reply-to의 메일 주소로 반송되지 않고, return-path 혹은 from의 메일 주소로 반송처리됩니다. 스팸이나 이상한 메일을 보낸 사람에게 욕이나 한바탕 해주려고 답장을 눌렀는데 보낸 사람과 다른 메일 주소가 받는 이 주소에 뜬다면, 자제하시는 게 좋습니다. 엉뚱한 사람이 피해를 입으니까 말이죠. 🙂 ⓣ

5 댓글

  1. 역시, 업계 관계자분이 더 확실하군요. ^_^a 안그래도 호수님이 글을 쓸 것 같았는데… +_+ 주제넘게 나선 꼴이~

  2. 잘 읽었습니다. 스패머들을 골탕먹이고 싶다는 생각 밖에 안드네요 -_-++
    으- 약은것들..~~

답글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.