Exchange Server 기본인증 및 익명릴레이 설정에 대해서

 

기본적으로 사내에 많은 시스템에서 메일을 전달하도록 사용합니다.
백업결과에 대한 알림이나 Mantis 혹은 Jira 등과 같은 TMS나 그룹웨어에서의 결재 알림, 혹은 Cacti나 What's up과 같은 모니터링 툴 등
수 없이 많은 경우에 사용됩니다.

기본인증과 익명릴레이는 어떤 경우에 구분해서 쓰게 될까요?

기업 내부의 시나리오에 따라서 다를 수 있지만 제가 생각했을 때 대표적인 부분은 다음과 같습니다.

• 기본인증 : POP3 혹은 IMAP프로토콜 사용시 보내는 메일 서버의 인증처리
• 익명릴레이 : 내부 기타 인프라 연동

기본인증의 경우 Sender 혹은 Mail from이 인증 시도하는 계정과 일치해야 하며, 만약 다르게 설정할 경우 Exchange에서 Send As에 대한
권한을 Delegation 해 주어야 합니다.
그렇지 않을 경우 다음과 같이 5.7.1권한 에러가 나타납니다.(하기오류는 JAVA Mail Module 입니다.)

익명릴레이를 릴레이를 사용하는 경우 메일 데몬의 IP만 등록해 주면 Sender 혹은 Mail from이 달라도 아무런 문제가 없습니다.
때문에 익명릴레이 커넥터를 잘못 만들면 외부에 스팸릴레이 서버로 사용되게 되죠

제 경우 익명릴레이를 주로 사용합니다. 내부의 개발자에게서 요청이 오면 IP로 등록을 해주고 있죠
사실 둘 다 보안상 권장되는 방법은 아닙니다. 기본인증의 경우도 ID/PW가 유출되면 스팸릴레이 서버로 운영됩니다.
따라서 Exchange Server를 내부에서 사용하고 있다면 암호정책을 반드시 가져가셔서 주기적으로 PW를 변경하도록 관리하시기 바랍니다.

정상 구성에 대한 검증은Telnet을 사용하시면 됩니다.

기본인증은 Auth login을 사용하시면 되고 익명릴레이는 인증과정이 필요 없기 때문에 그냥 Mail from으로 넘어가시면 됩니다.
예제는 다음과 같습니다.(기본인증을 끝까지 테스트하려면 ID와 PW는 base64로 인코딩해서 넣어야 합니다.

Telnet을 이용하여 기본인증을 테스트 하는 방법

텔넷 클라이언트의 경우 Windows Vista이후로는 프로그램 추가/제거에서 추가 설치해 주셔야 합니다.
Putty를 쓰시면 더 간단하죠
helo 이후 Auth login을 입력했을 때 334가 떨어지면 기본인증이 활성화 되어있다고 보시면 됩니다.
이후 ID/PW를 인코딩해서 넣으면 최종적으로 인증성공이 뜹니다.

Telnet을 이용하여 익명릴레이를 테스트 하는 방법

익명릴레이는 인증과정이 필요 없습니다.
Mail from을 실제 계정이 아닌 걸로 진행해도 익명릴레이 되어 있으면 OK가 떨어집니다.
즉 내부에서 인프라가 어떤 이름으로 보내건 설정하기 나름이라는 거죠~
익명릴레이 등록 전과 후를 보여 드리겠습니다.

익명릴레이 등록 전
다음과 같이 Auth login과정이 없고 mail from을 내부에 없는 사용자로 한 경우 Unable To relay가 나타납니다.

익명릴레이를 등록한 경우

IP를 릴레이 커넥터에 등록 후 시도하면 실제로 없는 계정임에도 불구하고 OK가 뜹니다.

차이를 아시겠죠? 익명릴레이는 Sender를 체크하지 않기 때문에 시나리오에 따라서는 매우 유용합니다.
단, 보안을 철저히 해야 합니다.