MTA의 내부 메일과 외부 메일 구분 방법

메일 릴레이 작업을 차단하려면 MTA는 먼저 사용자 사이트에서 전송된 내부 메일과 외부 인터넷에서 전송되어 사용자 시스템을 경유하여 다시 인터넷으로 나가는 외부 메일을 구분할 수 있어야 합니다. 내부 메일은 허용하고 외부 메일은 차단하려 합니다. 인바운드 SMTP 채널(일반적으로 tcp_local 채널이며 기본적으로 설정됨)에서 switchchannel 키워드를 사용하여 구분할 수 있습니다.

switchchannel 키워드를 사용하여 SMTP 서버가 들어오는 SMTP 연결에 연관된 실제 IP 주소를 조사합니다. Messaging Server는 이 IP 주소와 다시 쓰기 규칙을 결합하여 도메인 내에서 보낸 SMTP와 도메인 외부로부터의 연결을 구분합니다. 그런 다음 이 정보는 내부 메일 트래픽과 외부 메일 트래픽을 분리하는 데 사용될 수 있습니다.

아래 설명된 MTA 구성은 기본적으로 서버가 내부 메일 트래픽과 외부 메일 트래픽을 구분할 수 있도록 설정됩니다.

• 구성 파일에서 로컬 채널 바로 앞에 noswitchchannel 키워드가 지정된 defaults 채널이 옵니다.

  ! final rewrite rules defaults noswitchchannel ! Local store ims-ms ...

• 받는 TCP/IP 채널은 switchchannel과 remotehost 키워드를 지정하며, 예를 들면 다음과 같습니다.

  tcp_local smtp single_sys mx switchchannel remotehost TCP-DAEMON

• 받는 TCP/IP 채널 정의 뒷부분은 이름은 다르지만 비슷한 채널입니다. 예를 들면 다음과 같습니다.

  tcp_intranet smtp single_sys mx allowswitchchannel routelocal tcp_intranet-daemon

  routelocal 채널 키워드는 채널에 주소를 다시 쓸 때 MTA가 해당 주소의 모든 명시적 라우팅을 이 채널을 통해 “단락”하도록 하여 명시적으로 소스 라우팅된 주소를 통해 내부 SMTP 호스트를 거친 루핑 방식으로 릴레이 시도를 차단합니다.

위 구성 설정으로 도메인 내에서 생성된 SMTP 메일은 tcp_intranet 채널을 통해 들어옵니다. 다른 모든 SMTP 메일은 tcp_local 채널을 통해 들어옵니다. 이렇게 해당 메일이 들어오는 채널을 기준으로 내부 메일과 외부 메일이 구분됩니다.

이 작업의 작동 방식에 대해 알아보겠습니다. 여기서 핵심은 switchchannel 키워드이며,tcp_local 채널에 적용됩니다. 서버는 메일이 SMTP 서버에 들어오면 키워드를 통해 받는 연결과 연관된 소스 IP 주소를 검사합니다. 서버는 받는 연결의 리터럴 IP 주소에 대해 역방향 지정 봉투 다시 쓰기를 시도하여 연관된 채널을 찾습니다. 소스 IP 주소가 INTERNAL_IP 매핑 테이블 내의 IP 주소나 서브넷과 일치하는 경우 해당 매핑 테이블을 호출하는 다시 쓰기 규칙을 통해 해당 주소가 tcp_intranet 채널로 다시 쓰여집니다.

tcp_intranet 채널은 allowswitchchannel 키워드로 표시되기 때문에 메일은 tcp_intranet 채널로 전환되어 해당 채널로 들어갑니다. 메일이 INTERNAL_IP 매핑 테이블에 없는 IP 주소의 시스템에서 들어오는 경우 역방향 지정 봉투 다시 쓰기로 tcp_local 또는 다른 채널로 다시 씁니다. 하지만 tcp_intranet 채널로는 다시 쓰지 않으며 다른 모든 채널은 기본적으로 noswitchchannel로 표시되어 있으므로 메일은 다른 채널로 전환되지 않고 tcp_local 채널로 남아 있게 됩니다.

“tcp_local” 문자열을 사용하는 모든 매핑 테이블이나 변환 파일 항목은 사용법에 따라 “tcp_*” 또는 “tcp_intranet”으로 변경해야 할 수 있습니다.