인터넷 스팸메일 발신 추적해보기

[알치]

글. 전설의 영웅

오늘은 스팸의 발신지를 추적해도록 할까요?
그럼 강좌....시작합니다.

스팸메일을 잠깐 분석해 보지요.

Received : from localhost.localdomain (anju.golbangi.net [203.???.???.??]) by r-mail3.genius.net (8.9.1/8.9.1) with ESMTP id WAA10042 for ; Wed, 8 Dec 1999 22:29:21 +0900
From : root@hi.com
Received : from http://www.test.com (localhost [127.0.0.1]) by localhost.localdomain (8.9.3/8.9.3) with ESMTP id XAA00726 for ; Wed, 8 Dec 1999 23:28:38 +0900
Date : Wed, 8 Dec 1999 23:28:38 +0900
Message-Id : <199912081428.XAA00726@localhost.localdomain>

Hi!
It"s me
Testing.

중요한 건 From: root@hi.com 이 아니지요. Received: 부분이 중요합니다. 이걸 살펴보면 Received 부분이 두 개 있는데 위에 것 보다 아래것이 좀 더 발송된 위치에서 가깝습니다.

Received : from http://www.test.com (localhost [127.0.0.1]) by localhost.localdomain (8.9.3/8.9.3) with ESMTP id XAA00726 for ; Wed, 8 Dec 1999 23:28:38 +0900

Received : from localhost.localdomain (anju.golbangi.net [203.???.???.??]) by r-mail3.genius.net (8.9.1/8.9.1) with ESMTP id WAA10042 for ; Wed, 8 Dec 1999 22:29:21 +0900

위의 건 http://www.test.com에서 왔다고 되어있는데 괄호에 주소가 나와있는데 로컬호스트 주소지요. 로컬 호스트에서 email이 만들어졌나는 내용이지요.

다음 Received는 중간 경유지인 anju.golbangi.net이지요.

중요한 건 이게 로컬 호스트라 추적이 가능하지 않습니다만, 중간 경유지가 어딘지 확인 되니까 막을 수는 있습니다. (만약 첫 번째가 로컬 호스트가 아니라면 Help란의 IP추적으로 대략 어느 곳인지 알아낼 수 있습니다.)

-----------------------------------------------------------

Relay기능이 sendmail에 추가 되었는데 /etc/mail/access 파일을 수정하면 될 겁니다. 기본적으로 확실치 않은 메일은 중간 경유지를 거부하는 설정이 되어 있습니다. 특히 스팸메일은 허술한 서버를 중간 경유지롤 사용하는데,(이걸로 우리나라 서버 관리자들 욕먹을 때 있습니다.) Relay기능만 잘 설정해두시면 매일 편합니다.^^

아직 Relay 설정에 대해 글쓴이가 잘 모르는 관계로 글을 이만 접고, 이글을 퍼가실 때는 여기서 퍼왔다는 걸 알려주시고 이 문서는 제가 Relay 설정을 아는 대로 조만간 업그레이드 될것입니다.