'스팸메일'에 해당되는 글 3건

  1. 2011.02.07 2011년 스팸방지 종합대책
  2. 2010.02.05 MS Internet Explorer 정보유출 취약점 주의
  3. 2009.09.29 스팸메일 필터 Bogofilter 설치
2011.02.07 19:03

2011년 스팸방지 종합대책

방송통신위원회와 한국인터넷진흥원(KISA)은 「2009년 스팸방지 종합대책」 발표(’09.10월) 이후, 그간의 실현효과와 환경변화를 분석하여 스팸으로 인한 국민의 불편을 줄이기 위한 보다 체계적이고 강도 높은 종합대책을 마련하였습니다. 

이번 대책은 ▲사업자의 책임의식 고취 등 「사업자의 자율규제」 강화, ▲전송경로별 취약요인 점검․개선을 통한 「스팸발송 최소화」, ▲실시간 스팸대응 고도화를 통한 「스팸차단의 효율성 제고」를 기본방향으로 하고 있습니다. 

전체적으로는 ①휴대전화 스팸 방지 ②신종 스팸 방지 ③스팸지수 발표, 스팸대응 기반 고도화 및 국제협력 확대 ④이용자 스팸방지 인식제고의 4개 영역으로 구성되어 있으며, 그 아래에 총 13개의 세부추진과제를 담고 있습니다. 

출처 : KISA

Trackback 0 Comment 0
2010.02.05 22:09

MS Internet Explorer 정보유출 취약점 주의

□ 개요
   o MS Internet Explorer에서 로컬 시스템 파일이 원격의 공격자에 의해 유출될 수 있는 정보유출
     취약점이 공개됨 [1, 2, 3]
     - 공격자는 스팸 메일이나 메신저의 링크를 통해 특수하게 조작된 콘텐트로 구성된 악의적인 
       웹 사이트에 방문하도록 사용자를 유도하여, 해당 사용자 시스템의 로컬 파일의 내용을 유출할
       수 있음
   o 모든 버전의 Internet Explorer을 대상으로 공격이 가능한 취약점이 공개되었으므로 인터넷
     사용자의 주의가 요구됨

□ 해당시스템 
   o 영향 받는 소프트웨어 [1]
     - Internet Explorer 5.01 SP4 for Microsoft Windows 2000 SP4
     - Internet Explorer 6 SP1 on Microsoft Windows 2000 SP4
     - Internet Explorer 6 for Windows XP SP2, SP3,
     - Internet Explorer 6 for Windows XP Professional x64 Edition SP2
     - Internet Explorer 6 for Windows Server 2003 SP2
     - Internet Explorer 6 for Windows Server 2003 with SP2 for Itanium-based Systems
     - Internet Explorer 6 for Windows Server 2003 x64 Edition SP2
     - Internet Explorer 7 for Windows XP SP2, SP3,
     - Internet Explorer 7 for Windows XP Professional x64 Edition SP2
     - Internet Explorer 7 for Windows Server 2003 SP2
     - Internet Explorer 7 for Windows Server 2003 with SP2 for Itanium-based Systems
     - Internet Explorer 7 for Windows Server 2003 x64 Edition SP2
     - Internet Explorer 7 in Windows Vista, SP1, SP2
     - Internet Explorer 7 in Windows Vista x64 Edition, SP1, SP2
     - Internet Explorer 7 in Windows Server 2008 for 32-bit Systems, SP2
     - Internet Explorer 7 in Windows Server 2008 for Itanium-based Systems, SP2
     - Internet Explorer 7 in Windows Server 2008 for x64-based Systems, SP2
     - Internet Explorer 8 for Windows XP SP2, SP3
     - Internet Explorer 8 for Windows XP Professional x64 Edition SP2
     - Internet Explorer 8 for Windows Server 2003 SP2
     - Internet Explorer 8 for Windows Server 2003 x64 Edition SP2
     - Internet Explorer 8 in Windows Vista, SP1, SP2,
     - Internet Explorer 8 in Windows Vista x64 Edition, SP1, SP2
     - Internet Explorer 8 in Windows Server 2008 for 32-bit Systems, SP2
     - Internet Explorer 8 in Windows Server 2008 for x64-based Systems, SP2
     - Internet Explorer 8 in Windows 7 for 32-bit Systems
     - Internet Explorer 8 in Windows 7 for x64-based Systems
     - Internet Explorer 8 in Windows Server 2008 R2 for x64-based Systems
     - Internet Explorer 8 in Windows Server 2008 R2 for Itanium-based Systems

□ 임시 해결 방안  
   o 현재 해당 취약점에 대한 보안업데이트는 발표되지 않았음
   o Windows Vista 이후의 운영체제에서 보호모드로 설정된 Internet Explorer를 사용하는 경우
      취약점의 영향력을 낮출 수 있음
     ※ 보호모드(Protected Mode) : Windows Vista에서 매우 제한된 권한으로 Internet Explorer 
        프로세스가 실행되도록 하여 사용자 프로필이나 시스템 위치에 있는 파일, 레지스트리 키에 대한
        쓰기 액세스 권한을 제한함
   o 네트워크 프로토콜 잠금(Network Protocol Lockdown) 설정
     - Microsoft 기술자료문서[4]에 “자동 해결” 섹션의 “네트워크 프로톡콜 잠금 사용” 아래 링크를
       클릭하여 파일 다운로드 후 설치 (Microsoft Fix it 50365)
     - 네트워크 프로토콜 잠금 설정을 적용할 경우 file:// 프로토콜을 사용하는 스크립트나 ActiveX
        컨트롤이 “인터넷 영역”에서 실행되지 않도록 제한함
       ※ 해당 설정을 적용할 경우 IE 기반 일부 그룹웨어의 기능상 장애가 발생할 수 있음
       ※ 원상태로 복구하기 위해서는 “네트워크 프로토콜 잠금 해제”를 적용 (Microsoft Fix it 50366)
                           

   o KrCERT/CC와 MS 보안업데이트 사이트[5]를 주기적으로 확인하여 해당 취약점에 대한 
     보안업데이트 발표 시 신속히 최신 업데이트를 적용하거나 자동업데이트를 설정
     ※ 자동업데이트 설정 방법: 시작→제어판→보안센터→자동업데이트→자동(권장) 선택
   o 취약점에 의한 피해를 줄이기 위하여 사용자는 다음과 같은 사항을 준수해야함
     - 파일공유 기능 등을 사용하지 않으면 비활성화하고 개인방화벽을 반드시 사용
     - 사용하고 있는 백신프로그램의 최신 업데이트를 유지하고, 실시간 감시기능을 활성화
     - 신뢰되지 않는 웹 사이트의 방문 자제
     - 출처가 불분명한 이메일의 링크 클릭하거나 첨부파일 열어보기 자제
  
□ 기타 문의사항 
   o 보안업데이트는 언제 발표되나요?
     - 해당 보안업데이트의 발표 일정은 미정이나, 발표 시 KrCERT/CC 홈페이지를 통해 신속히 
       공지할 예정입니다.
   o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]
[1] http://www.microsoft.com/technet/security/advisory/980088.mspx
[2] http://www.coresecurity.com/content/internet-explorer-dynamic-object-tag
[3] http://www.coresecurity.com/content/Black-Hat-DC-2010
[4] http://support.microsoft.com/kb/980088
[5] http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ko

출처 : 인터넷침해대응센터


Trackback 0 Comment 0
2009.09.29 16:33

스팸메일 필터 Bogofilter 설치

보고필터를 설치하기 위해서는 BDB (Berkeley DB) 를 우선 설치해야 합니다.
BDB 는 다음 사이트에서 설치파일을 다운로드 받을 수 있습니다.

http://www.sleepycat.com

보고필터에서 다국어를 지원하므로 이를 위해 libiconv 를 설치해야합니다.
참고사이틑 다음과 같습니다.

http://www.gnu.org/software/libiconv/

보고필터 관련 사이트는 다음과 같습니다.

http://bogofilter.sourceforge.net/


[BDB 설치]

tar xvzf db-4.4.20.tar.gz
cd db-4.4.20/build_unix
../dist/configure --prefix=/usr/local/BDB
make
make install


[LIBICONV 설치]

tar xvzf libiconv-1.9.2.tar.gz
cd libiconv-1.9.2
./configure --prefix=/usr/local/LIBICONV
make
make install


[BOGOFILTER 설치]

tar xvzf tar xvzf bogofilter-1.0.3.tar.gz
cd bogofilter-1.0.3
./configure --prefix=/usr/local/BOGOFILTER --with-libdb-prefix=/usr/local/BDB --with-libiconv-prefix=/usr/local/LIBICONV
make
make install

사용을 위해선 우선 스팸 메일들을 .Spam에 몰아두고, 스팸이 아닌 메일을 .Ham폴더에 몰아둔 뒤 아래와 같은 명령어를 이용해서 학습을 시켜야 합니다.

cd .Spam
for x in *;do bogofilter -S < $x ; done
cd ..
 
cd .Ham
for x in *;do bogofilter -N < $x; done

-S옵션은 이 메일이 스팸 메일이라는 것을 의미하고, -N은 이 메일이 스팸이 아니라는 것을 의미합니다.

만약 A라는 스팸 메일을 햄이라고 잘못 학습시킨 경우 아래와 같은 명령을 이용해서 결과를 바로 잡을 수 있습니다. (A는 메일 파일 이름)

bogofilter -Ns < A ; done

거꾸로 A라는 햄 메일을 스팸이라고 잘못 학습 시켰다면 아래와 같은 명령어를 이용해야합니다.

bogofilter -Sn < A ; done

제 메일함에 쌓여있던 이메일(햄: 약300통, 스팸: 약1,000통)을 기준으로 스팸/햄 확률을 업데이트한 뒤 3일째 테스트 중입니다. 3일동안 온 30개의 메일 중에 스팸 26통을 정확하게 걸러주었네요.

아래는 나중에 시스템에 적용시켰을 때 사용자들이 Spam 폴더를 지우지 않더라도 알아서 정리해주기 위해 사용하게 될 스크립트 초안입니다~

#!/bin/sh
 
for x in `cat /etc/passwd|awk -F: '{ print $6 }'`;do 
 
	if [ ${x:0:6} == "/home/" ]; then 
		if [ -d "$x/.maildir/.Spam" ]; then
			// this will be replaced to tmpwatch 
			echo $x;
		fi
	fi
done

제가 참고한 bsdforum 의 방준영 님의 글은 아래 링크에서 볼 수 있습니다 ;)
http://bsdforum.or.kr/viewtopic.php?t=33

그리고 bogofilter 없는 상태에서 스팸을 걸러낸 결과는 아래와 같습니다.

# 전체 받은 메일 수
unfix aqua # cat /var/log/procmail|grep ^[\\[F]|wc -l
5077

# Spf 에 걸린 메일
unfix aqua # cat /var/log/procmail|grep ^\\[Spf|wc -l
2482

# Broken Multipart
unfix aqua # cat /var/log/procmail|grep ^\\[Fake|wc -l
1499

# Bad-mailer
unfix aqua # cat /var/log/procmail|grep ^\\[BadMailer|wc -l
315

# Spam-word 를 포함한 경우
unfix aqua # cat /var/log/procmail|grep ^\\[Spam|wc -l
141

# Bad-library
unfix aqua # cat /var/log/procmail|grep ^\\[BadLibrary|wc -l
21

# 내용, 제목이 모두 없는 메일
unfix aqua # cat /var/log/procmail|grep ^\\[EmptyMail|wc -l
0

# 바이러스 메일
unfix aqua # cat /var/log/procmail|grep ^\\[Virus|wc -l
2

6일부터 12일까지의 5077 개의 메일 중에 Spf 에 2482 개, Fake/NoHTML + Fake/NoPlain 에 걸린게 1499 개, BadMailer 에 315개, SpamWord 에 141 개, BadLibrary 에 21개, Virus 가 2개 되겠습니다.

결과적으로 4460/5077 개로 87.8% 가 스팸으로 판정되었습니다.

그리고 bogoutil 을 통해 확인해본 결과 나름 인코딩 관련된 처리를 알아서 처리하고 있는 듯 싶길래 BadMailer, SpamWord, BadLibrary 에서 처리하던 부분을 bogofilter 로 대체시킬까 싶어서 관련된 rule 은 주석처리를 해 놓았습니다. 


출처 : http://blog.naver.com/lakeoffire


Trackback 0 Comment 0