어떤 특정 서버에서 스팸메일이 날아오는, 그리고 신고되서 차단되는 원인은 몇가지가 있습니다.
1. 릴레이가 오픈되어 스패머들에게 “나 좀 써주세요”하면서 광고하는 서버
릴레이가 오픈된다면, 즉 아무나 메일을 보내는 과정에서 그 서버를 마음대로 거쳐갈 수 있다면 십중팔구 스패머들의 전송경로 세탁용도로 쓰입니다. 요즘이야 서버 데몬 인스톨하는 과정에서 선택할 수 있게 하던지, 아니면 기본값으로 릴레이가 클로징되어있는 경우가 대부분입니다만, 불과 재작년까지만 하더라도 오픈 릴레이로 인해 차단되는 메일 서버가 적잖았습니다. 요즘은 거의 없다시피 하지만, 간혹 개념이 약간 가출한 서버 관리자가 테스트하느라 열어놓고 닫는 걸 망각하는 경우가 있습니다.
2. 웹메일 등으로 자동포워딩 시켜놓고, 웹메일에서 스팸신고 해버리는 경우
B메일 서버에서 A메일 서버에 도착한 메일을 볼 수 있는 방법은 두가지입니다. B메일 서버에서 POP3로 A메일 서버에 접속하여 메일을 받아오는 것, 즉 끌어오는(pull) 방법이 한가지고, 다른 한가지는 A메일 서버로 메일이 도착하면 A메일 서버에서 B메일 서버로 메일을 자동포워딩해주는 것, 즉, 밀어내는(push) 방법입니다. 어찌보면 결과물은 같을 수 있지만 서버 사이드에서는 다르게 처리됩니다.
A서버의 메일을 POP3 프로토콜을 이용하여 다운로드받아오는 경우, 최종 발송서버는 A서버에 메일을 보낸 서버가 됩니다. 즉, 이 경우는 B서버로 다운로드한 메일을 스팸신고하더라도 A서버와는 아무런 관계가 없습니다. 그러나 자동포워딩을 하는 경우, 최종 발송서버는 A서버가 됩니다. 포워딩을 한다는 것 자체가 메일을 발송하는 행위니까요. 결국 이 메일을 스팸신고하면, A서버가 스팸 발송 서버로 오인되어 차단될 위험성이 높아집니다.
스팸필터 운영자의 입장에는 모든 아이피에 대한 정보를 알고 있지 않는 한 이게 진짜 스팸을 발송한 서버인지 아님 포워딩한 서버인지 모릅니다. Reverse DNS라도 보이면 조치가 가능하겠지만, 웃기는게 자동 포워딩 지원하는 서버치고 RDNS 제대로 박아놓은 서버 흔치 않습니다. 결국 판단할 수 있는 정보가 부족한 상태에서 계속 신고가 들어오니까 차단할 수 밖에요.
자동포워딩받으시는 분들, 왠만하면 자동포워딩 끄시고 POP3로 다운로드(외부메일확인)해서 메일 확인하세요. 그런거 신고해서 혼자만 피보면 모를까 그 서버가자칫 KISA RBL같이 공용으로 쓰는 RBL에 등록되면 그 서버 사용하는 모든 사용자들이 전부 개피봅니다.
3. 테크노트 2002(mail cgi 미패치) 설치하고 방치한 서버.
테크노트는 제로보드가 득세하기전 나름대로 마켓셰어를 차지하면서 이름을 날리던(?) 게시판 CGI 프로그램입니다. 그리고 이 녀석은 2002 버전에 폼메일이 아무렇게나 쓰이던 중대한 버그가 있었습니다(물론 패치가 발표되었고 현재 배포되는 버전에는 그 문제점을 해결했습니다만). 패치가 분명히 존재하지만, 무릇 사람들은 자기들이 쓰는 기능에 문제가 없으면 어떤 문제가 심각한지 잘 인지하지 못하게 마련이지요.
이 문제가 있는 서버로부터 날아온 메일은 아래 모양입니다.
원문에 테크노트2002를 이용해 발송한 흔적이 남아있습니다.
… 이 놈은 안 들키려고 한건지 서비스 홍보 링크를 숨기려고 〈!– 코멘터리까지 해놨군요.
이런 메일들이 가장 많이 날아드는 서버는 대학교 서버들입니다. 위에 예시로 든 스팸메일도 C대학 ㄱ학과(부? 연구실?) 서버에서 날아왔습니다.
대학교에는 단대마다, 연구실마다, 학과마다, 기관마다 서버를 여러대씩 사용하고 있습니다. 참 많죠. 여기저기. 아이피들도 왠만한 회사보다 많이 가지고 있고(국립대 정도되면 B클래스 하나 가지고 있는 건 흔하죠), 그만큼 통제가 덜되는 측면이 많습니다.
아무리 근래 들어 학내 메일 서버들을 통합하고 하더라도, 결국 이런 식으로 산하 부서의 웹서버에 악성 CGI가 깔려있다면 학교 전산원이 관리하기에는 한계가 있습니다. 물론 요즘은 스팸필터링 게이트웨이라던지 방화벽을 거쳐나가게 하고는 있지만, 또 웃기는게 어떤 부서의 서버들은 그런 것도 안 거치고 바로 아웃바운딩되더라구요.
이런게 하도 있어서 필터링하면 또 그 부서 소속원이 메일 보내던지 전화해서 따집니다. 여기 “학교”인데 왜 필터링하냐, 다른 곳은 안 그런데! 라는 식으로. 그럼 전 그래줍니다. 위에 내용 설명해주고, 그런데 다른 학교 서버들은 안 그런데 그 서버만 그러네요. 라고 말이죠. 세상에나, 다른 곳이 어떻게 하던지 무슨 관계랍니까. 다른 회사야 무슨 사정이 있어서 필터링을 안하는지 몰라도 뻔히 구멍 보이는데 방치하면 안되는 것 아니겠어요? 어차피 제가 먼저 감지해서 연락해봤자 이 학교라는 곳들은 해당 서버 관리자 찾기가 KT 어뷰징팀 찾기만큼 빡세니, 차단해버리면 그쪽에서 먼저 연락이 오겠죠. 답답한 사람이 우물 파야지 않겠습니까.
KISA에도 몇번 얘기해보고, 교육인적자원부에 한번 찔러볼까도 했는데 뭐 별 차도도 없고, 공무원들하고 말 섞어봤자 저만 피곤해지니 신경끄고 차단에 주력하고 있습니다만, 학내 구성원 여러분. 학내 서버 차단되었다고 욕하고 투덜거리지 말고(아쒸, 학내 구성원 중에서 거칠게(?) 나오는 사람들 대부분이 학부생 아니면 연구실 석사과정 들이던데, 댁들보다 나이 많다 싶으면 입에 필터 좀 걸죠? 얼마전에는 누군지도 모르지만 학교 후배 색히가 그 짓거리해서 확 학번 들이대고 입 다물게 하려다가 말았구만), 서버 관리부터 제대로 하세요. 원인 제공 해놓고 어따 대고 성질이십니까.
허허허헛..
-ㅁ-;;
으흑 친절한 영자씨..
전화는 조낸 불친절한데(…)
스팸들을 원천적으로 봉쇄할 방법이 없을지;
제 밥그릇이 사라집니다. 안되요. (…)