본문 바로가기
it

스팸 메일을 차단해보자

by soLow 2018. 9. 20.
SMALL



요즘 유행하는 스펨 메일 유형이 있다.


대략..아래와 같은 내용으로 온다.



 


저희는한개의 RAT 소프트웨어를귀하의장치에설치했습니다.

이순간에귀하의이메일계정이해킹됐습니다. ("from address" 를확인하세요,지금저는귀하의계정에접근해있습니다.)
저는귀하의시스템에서모든비밀정보를다운로드했고더많은증거가있습니다.
제가발견한가장흥미로운순간은귀하의자위행위비디오기록입니다.

저는포르노사이트에제바이러스를올렸고,귀하는그것을귀하의운영시스템에설치했습니다.
귀하가포르노비디오를재생했을때저의트로잔이귀하의장치에다운로드됐습니다.
설치후에당신의카메라는귀하가자위행위를할때마다비디오를찍으며, 게다가소프트웨어는귀하가선택하는비디오와동조됩니다.
그순간에소프트웨어는소셜네트워크에서귀하의모든연락정보와이메일주소를수집했습니다.

만약수집된귀하의모든정보를지우고싶다면,저에게 $500 BTC (암호화폐)를보내십시오.
이것이저의비트코인지갑입니다: 1DjCRLNBHGjC2wjWtDx4hwqgShzdNvakmq

이편지를읽은후에귀하는2일의시간이있습니다.
귀하의송금후에저는귀하의모든데이터를지울것입니다.
그렇지않으면, 저는귀하의행위가담긴비디오를귀하의모든동료와친구들에게보낼것입니다.

차후에는주의하십시오!!
보안된사이트에만접속하십시오!
안녕히계십시오!






저는 국제 해커 그룹의 맴버입니다. 2018년 7월23일부터 2018년 9월15일까지 귀하가 방문한 포르노-웹사이트를 통해 귀하는 저희가 만든 바이러스에 감염됐습니다. 지금까지 저희는 귀하의 메시지, 소셜 미디어 계정, 그리고 메신저에 접속하고 있습니다. 더욱이 저희는 이 자료들의 모든 정보를 가지고 있습니다. 저희는 귀하의 작고 큰 비밀들을 알고 있습니다… 네, 귀하는 그것을 가지고 있습니다. 저희는 포르노 사이트에서 귀하의 행위를 보고 녹화했습니다. 귀하의 취향이 정말 특이합니다. 그러나 중요한 것은 때때로 저희는 귀하가 본 것과 녹화를 동조해서 귀하의 웹카메라로 귀하를 녹화했습니다. 저는 귀하가 귀하의 친구, 친척에 의해, 그리고 귀하의 은밀한 것이 밝혀지는 것을 원치 않을거라 생각합니다. 저희의 Bitcoin 지갑으로 $500를 송금하십시오: 1HoQp6d9wSQEpAdfimpX7jeK695Rx82Mpv 저는 송금 후에, 우리가 귀하의 모든 “데이터”를 삭제하는 것을 보장합니다 :D 귀하가 이 메시지를 읽을 때부터 시간이 시작됩니다. 귀하는 위에 제시된 금액을 48시간 안에 지불하면 됩니다. 귀하의 데이터는 돈이 저희의 계좌에 송금되면 삭제될 것입니다. 송금되지 않으면, 기록된 귀하의 모든 메시지와 비디오가 감염 당시 귀하의 장치에서 발견된 모든 연락처에 자동으로 보내질 것입니다. 귀하는 보안을 항상 생각해야 합니다. 저희는 이번 경우가 귀하가 비밀을 유지하는데 가르침이 되기를 바랍니다. 조심하십시오.




위와같은 내용도 있고...



법원사칭 메일 패턴도있었다..




메일이 오는 패턴은 계속 바뀌긴하지만


가장 마지막에 오는 패턴은 자신의 메일 도메인을 발신자로 보내는 방식이다..


예를들어 메일서버가 company.com 이란 도메인을 쓴다면..


보낸사람이 xxx@company.com 인 경우다..


보낸사람을 속이는 케이스다.



이런경우 자신의 도메인이다 보니 키워드등으로 막아보는 경우도 있긴하지만



가장 좋은방법은 보낸이가 보낸 메일서버와 발신인의 도메인이 맞는지 체크하는 방법이다..



SPF Record를 작성하는 방법인데 



KISA 의 불법 스팸 대응센터에서 손쉽게 작성하도록 안내하고있다.




요약하자면 이렇다..


일단 메일서버의 주소를 DNS 서버의 아이피와 도메인을 매칭시켜주는 방법이다.


이렇게 한다면 도메인과 아이피가 동일하지 않으면 스펨메일로 판단하여 메일서버까지 가기전에 드롭을 해버린다.



주의해야할점은 


~ALL과 -ALL


옵션의 차이다..




~ALL을 하게되면 메일서버에서 정책대로 판단하도록 하는데


요즘 메일페턴은 폭탄메일로 보낸다...



스팸필터링에 부하를 줘서 스펨 필터 서버를 다운시키는 공격과 함께 들어온다..


만일 장비가 노후화 되어 다운이 된다면 골치아파지는데..



-ALL 옵션을 주어 메일이 서버까지 가기전에 DROP 시켜버리는 방법이 효과적이다..




대부분의 DNS 서버에서 옵션을 주게되면 바로 적응이안되고 몇시간정도 모니터링을 해야한다.



"v=spf1 ip4:xx.xx.xx.xx -all "


위와같은패턴으로 메일서버의 아이피를 추가해주면된다..





unix 와 window 계열서버의 세팅방법이 다르니 아래 사이트에서 상세한 방법을 확인한다




현재 SPF 레코드가 등록이 된상태인지도 친절하게 확인해준다.



https://spam.kisa.or.kr/white/sub1.do




위 KISA 사이트에 자세한 설명이 나와있다.



LIST
저작자표시 비영리 변경금지

'it' 카테고리의 다른 글

최근 스펨메일 패턴..  (0) 2020.07.30
한성 컴퓨터 구매기  (0) 2020.07.28
배드섹터를 무료로 검사하고 복구해주는 프로그램을 발견했다.  (0) 2018.09.12
구글 애널리틱스  (0) 2018.03.19
A kis met  (0) 2018.03.19

관련글

티스토리툴바