Installation of Anti-spam Sendmail 8.9.3
POSTECH Laboratory for UNIX Security
sinclair@postech.ac.kr
1. 개요
센드메일(sendmail)은 대표적인 Mail Transport Agent (MTA)로서, 현재 시중에서 사용되는 유닉스에는 기본적으로 포함되어 있는 아주 대중적인 프로그램 중의 하나이다. 그러나 이 센드메일은 많은 버그가 끊임없이 보고되는 프로그램으로, 더군다나 그 대부분의 버그가 보안 문제와 직결되는 부분이기 때문에, 시스템 관리자들은 센드메일의 새로운 버전이 나올 때마다 그에 발맞추어 업그레이드를 해주어야 하는 매우 귀찮은 프로그램이기도 하다. 한편 최근에는 스팸(spam) 메일이라 불리우는 악성 광고 메일이 극성을 부리는 바람에, 관리자들은 센드메일의 환경 설정 방법에도 보다 신경을 써줄 필요가 있게 되었다. 하지만 많은 관리자들이 센드메일의 설치법과 그 환경 설정 방법을 몰라 버그가 많은 구 버전의 센드메일을 아직도 쓰고 있는 경우가 비일비재한 것이 안타까운 현실이기도 하다.우리 PLUS에서는 몇 년전부터 `PSEC(Postech SECurity level)'이라는 보안 강화 툴을 교내외에 보급하면서, 영문 센드메일과 PLUS에서 자체 제작한 한글 메일 관련 랩퍼(wrapper) 프로그램을 같이 포함시켜, 관리자들이 손쉽게 센드메일을 설치할 수 있도록 하고, 또 사용자들로 하여금 한글 메일을 불편없이 서로 주고 받을 수 있도록 지원해 왔었다. 하지만 센드메일이 단지 버그가 많다는 이유만으로 PSEC에 계속 같이 배포되기에는 PSEC의 본래 목표와 약간의 어긋남이 있는 관계로 이제부터는 센드메일 부분을 따로 독립시켜 배포하기로 결정하고, 1998년 여름에 첫번째 배포본을 발표한데 이어 이번에 영문 센드메일 8.9.3을 기반으로 한 두번째 배포본을 발표하게 되었다.
2. 설치 방법
이번 배포본에는 솔라리스(Solaris) 2.6에 대해서만 바이너리가 준비되어 있다. 하지만 솔라리스 2.x에서는 그대로 설치를 해도 무방하리라 생각된다. (주의: 솔라리스 2.6 이외의 머쉰에서는 충분히 테스트를 해보지 못했으므로, 가급적이면 센드메일 바이너리만은 `직접' 컴파일하여 설치하기를 권한다.) 모두 NIS(혹은 NIS+)를 쓰고 있다는 가정 하에서 컴파일하였으며, 따로 설치할 필요가 없는 NDBM을 사용하여 DB를 구축하도록 하였다. 더 자세한 것은 이후에 설명할 ``4. 직접 컴파일하여 설치하기''라는 부분을 참조하기 바란다.솔라리스 2.6을 사용하는 머쉰에서는 다음과 같이 함으로써 아주 간편하게 센드메일을 설치할 수가 있다.
% cd /afs/p/ftp/pub/psec/sendmail % su root # ./runinstall센드메일을 설치할 것인가에 대한 대답을 해주면 관련 파일들을 알아서 자동적으로 설치해 준다.
ftp://ftp.postech.ac.kr/pub/psec에서 sendmail.tar.gz란 파일을 가져와 다음과 같이 적절한 디렉토리에서 그것의 압축을 풀도록 한다.
% gtar zxvf sendmail.tar.gz프롬프트 상에서 다음과 같은 명령을 내린다.
% su root # cd sendmail # ./runinstallAFS에서 설치할 때와 마찬가지로 센드메일을 설치할 것인가에 대한 대답을 해주면 관련 파일들을 알아서 자동적으로 설치해준다.
3. 사용한 소프트웨어
기본적으로 지난 2월 4일에 발표된 센드메일 버전 8.9.3을 사용하고 있다. 다만 한글 메일의 처리(ISO-2022-KR로 인코딩된 메일의 디코딩)를 위해서 procmail과 hmconv 등의 부수적인 프로그램들도 같이 포함되어 있다. 한글 메일의 처리는 예전에 PSEC에서 해주던 랩퍼(wrapper) 방식이 아닌 신정식씨의 procmail을 이용한 한글 메일 처리법을 바탕으로 하고 있는데, 이에 대한 상세한 설명은 신정식씨의 홈페이지(http://pantheon.cis.yale.edu/한편 사용한 소프트웨어의 리스트와 구할 수 있는 곳은 다음과 같다.
- Sendmail 8.9.3
ftp://ftp.sendmail.org/pub/sendmail/sendmail.8.9.3.tar.gz - Procmail 3.11pre7
ftp://ftp.informatik.rwth-aachen.de/pub/packages/procmail/procmail-3.11pre7.tar.gz - hmconv 1.0pl5
http://pantheon.cis.yale.edu/~jshin/faq/hmconv.c
4. 직접 컴파일하여 설치하기
솔라리스가 아닌 다른 OS(예를 들면 SunOS 4.x, HP-UX, OSF1 등)를 쓰는 곳에서는 관리자가 직접 위의 프로그램들을 컴파일하여야 한다. 혹은 솔라리스를 쓰더라도 제공되는 바이너리들과 자신이 쓰는 시스템 간의 호환성이 의심스러운 경우(예를 들어 NIS를 쓰고 있지 않다던가, NDBM이 아닌 버클리 DB를 사용하고자 할 때)에도 바이너리들을 직접 컴파일할 필요가 있다. 현존하는 모든 UNIX 시스템에 대해서 우리 PLUS가 바이너리를 배포한다는 것은 사실 무모한 짓이고, 또 배포한 바이너리가 각각의 시스템에서 제대로 동작한다는 보장 또한 없는 것이므로, 프로그램들을 컴파일하는 수고만큼은 해당 시스템의 관리자들이 직접 맡아주길 간절히 바라는 바이다.한편 이 센드메일 설치 스크립트가 동작하기 위해서 필요로 하는 파일들의 목록은 다음과 같으니 참고하기 바란다.
sendmail* 센드메일 8.9.3의 바이너리
sendmail.cf* 센드메일의 동작을 제어하는 환경 설정 파일
sendmail.hf 센드메일의 도움말 파일
sendmail.st 메일 트래픽(traffic)의 통계가 저장되는 파일
makemap* 앨리아스(alias) 파일이나 액세스(access) DB를 만드는 프로그램
procmail* 메일 필터링 프로그램
procmailrc 프락메일의 환경 설정 파일
formail* 메일 포맷터(formatter) 프로그램
hmconv* ISO-2022-KR과 EUC-KR 코드를 서로 바꿔주는 프로그램
위의 파일들 중 ``*''한 것들을 해당 시스템에 맞게 컴파일시켜주어야 한다. 나머지 파일들은 같이 배포되는 솔라리스의 것들을 다시 사용해도 무방하다. 위의 9개의 파일들 중 하나라도 소스 디렉토리 -- 설치할 프로그램들이 들어있는 디렉토리 -- 에 들어있지 않으면, 설치 스크립트는 에러 메세지를 내고 프로그램을 종료하므로 설치하기전에 리스트를 한번쯤은 체크해보기 바란다.
설치 스크립트는 해당 시스템의 OS 이름과 major revision의 조합을 설치할 프로그램들이 들어있는 소스 디렉토리로 인식한다. 예를 들면, 다음과 같은 식이다. (오른편이 소스 디렉토리로 인식하는 문자열이다.)
SunOS 5.x => SunOS5
SunOS 4.x => SunOS4
HP-UX 9.x => HP-UX9
HP-UX 10.x => HP-UX10
OSF1 => OSF1
관리자가 해야 할 일은 자신의 시스템에 맞는 디렉토리를 위와 같은 식으로 만든 다음, 직접 컴파일한 바이너리들을 그곳에 넣어두고 설치 스크립트를 실행시키는 것뿐이다. 그러면 기타 자질구례한 작업들은 설치 스크립트가 알아서 해주게 된다.
그럼 이제부터는 위에서 열거한 각각의 프로그램들을 어떻게 컴파일시키는가에 대해서 하나씩 살펴보도록 하자.
센드메일을 컴파일시키는 방법은 아주 간단하다. 센드메일의 소스가 들어 있는 디렉토리( sendmail-8.9.3/)src 로 가서 다음과 같이
% ./Build라고만 입력해주면, 대부분의 경우에 깨끗하게 컴파일 작업이 끝나게 된다. groff가 제대로 설치되어 있지 않은 머쉰에서는 마지막에 에러가 날 수도 있으나, 매뉴얼 페이지를 꼭 필요로 하는 상황이 아니라면 무시해도 상관은 없다.
위의 방식은 디폴트 설정 -- NIS 사용, NDBM 사용 -- 을 그대로 이용하여 컴파일하는 것인데, 만일 NIS를 사용하지 않는다거나 NDBM 대신 버클리 DB를 사용하고자 한다면,
BuildTools/의 파일들 중 해당 시스템에 맞는 파일을 불러들여 그 내용을 적절히 고쳐야 한다.OS
define(`confMAPDEF', `-DNDBM -DNIS')보통 위와 같은 형식으로 되어있는데, 버클리 DB를 쓴다면 `-DNDBM' 부분을 `-DNEWDB'로 바꾸고, 또 NIS를 사용하지 않는다면 `-DNIS' 부분을 삭제해야 한다. 버클리 DB를 쓴다면 해당 패키지를 가져와 시스템에 미리 인스톨해야 함은 물론이다. (버클리 DB의 자세한 인스톨 방법과 사용법은 배포 사이트인 http://www.sleepycat.com을 참조하기 바란다.)
컴파일된 센드메일 바이너리는
src/obj.{os_name}.{arch}에 저장되어지는데, 설치를 위해 이를 소스 디렉토리로 복사하도록 한다.
많은 관리자들이 센드메일 프로그램을 설치하는데 있어 가장 애로를 겪는 부분이 바로 이 파일을 만드는 법이 아닐까 한다. 이번에 배포된 센드메일이 아무리 anti-spam 기능이 있다고 해도, 이 파일을 적절히 만들지 못하면 무용지물이 되어버리기 때문에 관리자들은 이 파일의 생성 방법을 필히 익혀둘 필요가 있다. 자세한 것은cf에 있는README파일을 참고하길 바란다.메일 호스트를 관리하는 입장이라면 sendmail.cf의 내용을 이해하고 해당 호스트에 맞게끔 적절히 튜닝(tuning)하는 기술을 가지고 있는 것이 바람직한 현상이긴 하지만, 이것은 어디까지나 바램일 뿐 모든 관리자들이 이러한 능력을 지녔다고는 가정할 수가 없다. 따라서 이 설치 스크립트에는 관리자들의 편의를 위해서 POSTECH 도메인(domain)에 대한 설정이 추가되었다. 이 파일은
cf/라는 이름으로 존재하며,domain/ postech.m4 cf/디렉토리에 있는 generic-*.mc 안의 내용 중 `DOMAIN(generic)dnl'cf 이란 라인을 다음과 같이
DOMAIN(postech)dnl으로 바꿔주기만 함으로써 anti-spam 기능을 비롯한 여러 설정들을 손쉽게 이용할 수가 있다. 위와 같이 generic-*.mc 파일을 고쳤다면, 이제 그것을 sendmail.cf로 만들어야 하는데, M4 매크로 처리기를 통하여 다음과 같이
% /usr/ccs/bin/m4 ../m4/cf.m4 generic-solaris2.mc > sendmail.cf하면, sendmail.cf 파일이 만들어진다. (위의 예는 solaris 2.x에서 실행할 때의 예이다.) 여기서 한가지 유의할 점은 반드시 GNU m4를 써서 컴파일을 하여야 한다는 점이다. 만일 구식 버전의 m4 밖에 없다면, GNU의 프로그램 아카이브
(ftp://ftp.gnu.org/pub/gnu/) 에서 받아와 설치하도록 한다. 한편 어떤 m4 프로그램을 써서 컴파일해야 하는지는 BuildTools/bin 밑에 있는 `find_m4.sh'라는 스크립트를 써서 알아낼 수 있다.
스팸 메일의 차단을 위한 access DB를 만드는데 필요한 프로그램이다. 센드메일 프로그램과 같이 배포되며,makemap이란 디렉토리에 위치하고 있다. 컴파일 방법은 센드메일 프로그램과 마찬가지로
% ./Build라고 치기만 하면 된다. 버클리 DB를 사용한다면 이 프로그램도 그에 맞게 컴파일되어야 하는데, 앞서 설명한 대로 BuildTools/OS 밑에 있는 파일을 고쳤다면, 더이상 고칠 부분은 없다.
procmail과 formail은 프락메일 패키지에 같이 들어있는 프로그램들로 어떻게 활용하는가에 따라 사용 분야가 무궁무진한 프로그램들이지만, 여기서는 ISO-2022-KR로 인코딩된 한글 메일을 EUC-KR로 바꿔주기 위한 용도로 사용되었다. 이들을 컴파일시키는 방법도 아주 간단한데, 압축을 풀면 나오는 procmail-3.11pre7이란 디렉토리로 들어가서 다음과 같이
% make procmail % make formail이라고만 해주면, new라는 디렉토리에 해당 프로그램들의 링크가 만들어 지게 된다. 라이브러리의 존재 유무에 따라 컴파일 시에 에러가 날 수도 있으나, 나오는 메세지를 잘 읽고 Makefile을 적절히 고쳐주면 아마도 별 무리없이 컴파일을 마칠 수 있을 것이다. 더 자세한 것은 이상로씨의 프락메일 홈페이지
(http://suny.multi.co.kr/ ~leesl/ )procmail/ index.html 를 참조하기 바란다.
실제로 ISO-2022-KR과 EUC-KR 간의 코드 변환을 해주는 프로그램이다. 위의 프로그램들과는 달리 이것은 파일 하나로만 이루어져 있는 아주 간단한 프로그램이므로 다음과 같은 명령을 통하여 쉽게 컴파일할 수 있다.
% gcc -o hmconv hmconv.c컴파일된 바이너리는 다른 프로그램들과 마찬가지로 소스 디렉토리로 복사하도록 한다.
5. Anti-spam 기능의 사용법
센드메일 8.9로 버전이 높아지면서 새롭게 추가된 기능이 바로 이 anti-spam과 관련된 기능이다. Access DB라는 새로운 데이터베이스를 도입해서 이것의 설정에 따라 특정 메일들을 받지 않도록 할 수가 있는데, 그 내부 형식은 다음의 예와 같다. spammer@aol.com REJECT
cyberspammer.com REJECT
sendmail.org OK
141.223 RELAY
첫번째 필드는 e-mail 주소, 도메인 네임, 네트웍 넘버 등이 올 수 있으며, 두번째 필드는 해당 주소로부터 오는 메일을 어떻게 처리할 것인가를 결정하는 데에 사용 한다. 즉 위의 예는 spammer@aol.com으로 오는 메일, cyberspammer.com 도메인으로 부터 오는 모든 메일은 거절하고, sendmail.org 도메인으로부터 오는 모든 메일은 받아들인다는 설정이다. 마지막의 것은 POSTECH 도메인 안으로의 릴레이는 허가한다는 뜻이다. 더 자세한 사용법은 cf/ 파일을 참조하길 바란다.
위와 같은 형식의 access DB는 /etc/mail/access란 이름으로 파일 시스템에 저장 되어지는데, 위와 같은 형식 그대로로는 센드메일 프로그램이 참조할 수가 없다. 따라서 센드메일이 인식할 수 있는 DB 형태로 만들어야 하는데, 이를 행하는 프로그램이 바로 makemap이란 프로그램이다.
# makemap dbm /etc/mail/access < /etc/mail/access
디렉토리를 /etc/mail으로 옮긴다음 위와 같은 명령을 쳐주면, access.dir과 access.pag라는 이름으로 DB가 만들어진다. /etc/mail/access 파일을 수정할 때마다 makemap을 사용해 새롭게 DB를 만들어주어야 하는데, 이 때 센드메일도 따라서 같이 재시동할 필요는 없다.
버클리 DB를 이용한다면 약간 형식이 틀려지는데, 그럴 때는 다음과 같이
# makemap hash /etc/mail/access < /etc/mail/access
해서 access.db란 파일을 만들어야 한다. 센드메일을 재시동할 필요가 없는 것은 앞의 NDBM의 경우와 동일하다.
6. 알려진 문제점들
센드메일 8.9는 그 이전 버전에 비교해서 보안 문제에 상당히 엄격해졌다. 보통 개개인이 설정하는 .forward 파일은 사용자의 홈디렉토리에 있게 되는데, 만약 그 홈디렉토리에 그룹 혹은 모든 유저에게 쓰기 권한이 주어져 있다면, 센드메일은 그 파일을 무시하고 포워딩에 사용을 하지 않는다. README 파일에는 다음과 같이 설명이 나와있다.Beginning with sendmail 8.9, these checks have become more strict to prevent users from being able to access files they would normally not be able to read. In particular, .forward and :include: files in unsafe directory paths (directory paths which are group or world writable) will no longer be allowed. This would mean that if user joe's home directory was writable by group staff, sendmail would not use his .forward file.
직접 테스트해본 결과 보통의 UNIX 파일 시스템에서는 위의 말대로 했을 경우 포워딩에 아무런 문제가 없었다. 그러나 AFS 파일 시스템에서는 센드메일이 퍼미션을 잘못 인식하는지, 다음과 같이 홈디렉토리가 모든 유저에게 쓰기 권한이 있다는 에러 메세지를 내며 포워딩을 하지 않는다.
forward /afs/p/home/sinclair/.forward: World writable directory근본적인 해결책은 아니지만, 이 문제는 /etc/sendmail.cf 파일에 다음과 같은 설정을 추가해줌으로써 해결할 수 있다.
O DontBlameSendmail=ForwardFileInUnsafeDirPath위의 설정은 .forward 파일이 들어있는 디렉토리가 그룹 혹은 모든 유저에게 쓰기 권한이 있더라도 더이상 불평하지 말고, 그 .forward 파일을 이용하여 포워딩을 하라는 설정이다. 물론 이렇게 하면 보안에 문제가 생기긴 하지만 홈디렉토리의 쓰기 권한이 자신 이외에 유저에게 있는 경우는 거의 없다고 봐도 무방하기 때문에 일시적인 해결책으로는 적당할 것이다.
이 문제는 앞서 언급한 포워딩 문제와 기본적으론 같은 문제이다. 왜냐하면 :include: 기능으로 명시한 파일에 대해서도 .forward 파일에 적용된 것과 똑같은 보안 검사를 하기 때문이다. 이 문제를 해결하기 위해서는 마찬가지로 다음과 같이
O DontBlameSendmail=IncludeFileInUnsafeDirPath라는 설정을 /etc/sendmail.cf에 추가해주면 된다. 앞의 포워딩 설정과 같이 이용하려면 다음과 같이 단순히 `콤마(,)'로 구분해서 연속적으로 적어주면 된다.
O DontBlameSendmail=ForwardFileInUnsafeDirPath, IncludeFileInUnsafeDirPath
개인용 PC가 많이 보급되고 이를 인터넷에 물려서 작업을 하는 경우가 많아지면서, 번거롭게 UNIX 기반의 메일 호스트에 접속하지 않고 자신의 로컬 PC에서 직접 이메일을 보내는 일은 이제 우리 주변에서 흔히 볼 수 있는 현상이 되었다. 이러한 환경은 SMTP 서버를 적절한 메일 호스트로 세팅하고 메일의 송신을 그 서버에게 위탁함으로써 가능한 것인데, 이것은 결국 해당 메일 호스트의 릴레이 기능을 이용한다는 말과 동일한 것이다.하지만 버전 8.9의 센드메일은 앞에서도 언급했듯이 릴레이를 기본적으로 허용하지 않고 있다. 따라서 센드메일과 같은 MTA가 없는 PC에서 메일을 보내도록 세팅하려면, SMTP 서버로 동작하는 메일 호스트의 액세스 DB에 각각의 PC들을 등록해주어야 한다. 액세스 DB에서 릴레이를 허용하도록 하는 방법은 ``5. Anti-spam 기능의 사용법''에서 이미 설명을 했지만, 노파심에서 다시 간단한 예를 보이면 다음과 같다.
141.223.121 RELAY 141.223.121.100 RELAY첫번째 것은 IP 주소가 141.223.121로 시작하는 서브넷의 모든 컴퓨터에게 릴레이를 허용한다는 것이며, 두번째 것은 141.223.121.100인 컴퓨터로부터 오는 릴레이 요청을 받아들이겠다는 뜻이다. 릴레이를 필요로 하는 PC들이 많을 경우에는 첫번째 방법같이 서브넷 단위로, 손가락으로 꼽을 만큼 몇 대 없는 경우에는 두번째 방법처럼 각 PC 단위로 등록해주면 될 것이다.
이 센드메일 설치 스크립트는 기본적으로 POSTECH 안의 머쉰에서 수행될 것을 미리 가정하고 있기 때문에, POSTECH 외부에서 수행을 시킬 때에는 약간의 수작업이 필요하다. 압축을 풀면 설치 스크립트와 더불어 `sendmail.domain'이라는 파일이 있는 것을 볼 수가 있는데, 이 파일에 디폴트로 저장되어져 있는 내용은 다음과 같다..postech.ac.kr여기에 무슨 내용이 들어가야 할 지는 충분히 짐작하리라 믿는다. 설치하려는 머쉰이 속한 도메인 네임을 위와 같은 형식으로 적어준 다음 설치 스크립트를 수행하면 별다른 문제 없이 설치가 진행될 것이다. (맨 앞에는 반드시 `.'이 먼저 와야 한다.)
7. 주의할 점
이 센드메일 설치 스크립트는 일반적인 설정에서 적절한 동작을 하도록 만들어졌으며, 기본적으로 POSTECH 안의 머쉰에서 수행될 것을 미리 가정하고 있다. 또한 만들어질 당시 예상하지 못했던 방식으로 설정된 기계에서는 잘못 동작할 수도 있다. 그리고 이 설치 스크립트를 실행한 후에 발생할 수 있는 어떠한 경우의 사고에도 우리 PLUS에서는 일체 책임을 지지 않으므로, 부디 이 점을 명심하고 설치를 하기 바란다.혹시 설치 도중 문제가 나타나거나 의문점이 있을 시에는 plus@postech.ac.kr로 메일을 보내주기 바란다.
댓글