스푸핑 방지 모범 사례 가이드

이 문서 정보

이 문서는 Cisco Email Security를 구축할 Cisco 고객, Cisco 채널 파트너 및 Cisco 엔지니어를 위한 것입니다.이 문서에서는 다음 내용을 다룹니다.

• 이메일 스푸핑이란?
• 이메일 스푸핑 방어 워크플로
• 스푸핑 방지로 무엇을 더 할 수 있을까요?

이메일 스푸핑이란?

Email Spoofing은 메시지가 실제 소스가 아닌 다른 누군가로부터 시작된 것으로 보이는 이메일 헤더 위조입니다.이메일 스푸핑은 피싱 및 스팸 캠페인에서 사용되는 전술입니다. 사람들이 합법적인 신뢰할 수 있는 소스에 의해 전송된 것으로 생각할 때 이메일을 열 가능성이 높기 때문입니다.스푸핑에 대한 자세한 내용은 http://blogs.cisco.com/security/what-is-email-spoofing-and-how-to-detect-it을 참조하십시오.

이메일 스푸핑은 다음 범주로 분류됩니다.

범주	설명	주 대상
직접 도메인 스푸핑	"Envelope From"의 동일한 도메인을 수신자의 도메인으로 가장합니다.	직원
표시 이름 기만	"From" 헤더는 조직의 임원 이름을 가진 합법적인 발신자를 표시합니다.BEC(Business Email Compromise)라고도 합니다.	직원
브랜드 이름 가장	"보낸 사람" 헤더에는 잘 알려진 조직의 브랜드 이름을 가진 합법적인 발송인이 표시됩니다.	고객/파트너
URL 기반 공격 피싱	피해자로부터 중요한 데이터 및/또는 로그인 정보를 도용하려는 URL이 포함된 이메일.링크를 클릭하고 계정 세부 정보를 확인하라는 은행의 가짜 이메일이 피싱 URL 기반 공격의 예입니다.	직원/파트너
사촌 또는 유사 도메인 공격	"Envelope from" 또는 "From" 헤더 값은 SPF, DKIM 및 DMARC 검사를 우회하려는 시도에서 실제 주소를 가장하는 유사한 발신자 주소를 표시합니다.	직원/파트너
어카운트 인수/어카운트 손상	다른 사람의 실제 이메일 계정에 무단 액세스한 다음 합법적인 이메일 계정 소유자로 다른 피해자에게 이메일을 전송합니다.	모든 사용자

첫 번째 범주는 이메일의 인터넷 헤더에 있는 "Envelope From" 값에서 소유자의 도메인 이름 남용과 관련이 있습니다.Cisco Email Security는 발신자 DNS 확인을 사용하여 합법적인 발신자만 허용하고 DMARC, DKIM 및 SPF 확인을 사용하여 동일한 결과를 전역적으로 달성할 수 있으므로 이 공격을 해결할 수 있습니다.

그러나 다른 범주는 발신자 이메일 주소의 도메인 부분을 완전히 위반하는 것은 아니므로 DNS 텍스트 레코드 또는 발신자 확인만 사용하여 단념하기가 쉽지 않습니다.이러한 지능형 위협에 맞서기 위해 일부 Cisco Email Security 기능과 함께 기본 제공 Cisco APP(Advanced Phishing Protection)를 결합하는 것이 가장 좋습니다.Cisco Email Security 기능의 적용은 조직마다 다를 수 있으며, 부적절한 애플리케이션으로 인해 오탐 발생률이 높습니다. 따라서 조직의 비즈니스 요구 사항을 파악하고 그에 따라 기능을 조정하는 것이 중요합니다.

이메일 스푸핑 방어 워크플로

스푸핑 공격을 모니터링, 경고 및 실행하는 모범 사례를 다루는 보안 기능은 아래 다이어그램에 나와 있습니다(그림 1). 각 기능에 대한 자세한 내용은 이 문서에서 제공됩니다.모범 사례는 이메일 스푸핑을 탐지하는 심층 방어 방법입니다.공격자는 시간이 지남에 따라 조직에 대한 방법을 변경할 것이므로, 관리자가 발생한 변경 사항을 모니터링하고 적절한 경고 및 시행을 추적하는 것이 매우 중요합니다.

그림 1. Cisco Email Security Spoof Defense Pipeline

레이어 1:발신자 도메인에 대한 유효성 검사

발신자 확인은 사촌 도메인 스푸핑과 같은 가짜 이메일 도메인에서 보내는 이메일을 방지하는 더 간단한 방법입니다(예: 'c1sc0.com'은 'cisco.com'의 포스터). Cisco Email Security는 발신자 이메일 주소의 도메인에 대해 MX 레코드 쿼리를 만들고 SMTP 대화 중에 MX 레코드에 대한 A 레코드 조회를 수행합니다.DNS 쿼리가 NXDOMAIN을 반환하면 도메인이 존재하지 않는 것으로 처리됩니다.공격자가 봉투 발신자 정보를 위조하여 검증되지 않은 발신자의 이메일이 더 많이 수락 및 처리되도록 하는 일반적인 기술입니다.이 기능을 사용하면 발신자의 도메인 또는 IP 주소가 "예외 테이블"에 사전 추가되지 않은 경우 확인 확인에 실패한 모든 수신 메시지가 Cisco Email Security에 의해 거부됩니다.

모범 사례:봉투 발신자 필드의 이메일 도메인이 유효하지 않은 경우 SMTP 대화를 거부하도록 Cisco Email Security를 구성하고 메일 플로우 정책, 발신자 확인 및 예외 테이블을 구성하여 합법적인 발신자만 허용합니다(선택 사항). 자세한 내용은 다음을 참조하십시오.https://www.cisco.com/c/en/us/support/docs/security/email-security-appliance/200057-Spoof-Protection-using-Sender-Verificati.html

그림 2. 기본 메일 플로우 정책의 발신자 확인 섹션.

레이어 2:DMARC를 사용하여 "From" 헤더 확인

DMARC 확인은 "Direct Domain Spoofing(직접 도메인 스푸핑)"에 맞서 싸우는 강력한 기능이며 "Display Name(표시 이름)" 및 "Brand Impersonation(브랜드 가장)" 공격도 포함합니다.DMARC는 SPF 또는 DKIM(발신 도메인 소스 또는 서명)으로 인증된 정보에 "From" 헤더에서 최종 수신자에게 표시되는 내용을 연결하고 SPF 및/또는 DKIM 식별자가 FROM 헤더 식별자와 일치하는지 확인합니다.

DMARC 확인을 통과하려면 수신 이메일이 이러한 인증 메커니즘 중 하나 이상을 통과해야 합니다.또한 관리자는 Cisco Email Security를 통해 DMARC 확인 프로필을 정의하여 도메인 소유자의 DMARC 정책을 재정의하고 RUA(aggregate) 및 RUF(failure/forensic) 보고서를 도메인 소유자에게 전송하여 인증 구축을 강화할 수 있습니다.

모범 사례:발신자가 권고하는 DMARC 정책 작업을 따르는 기본 DMARC 프로필을 수정합니다.또한 올바른 보고서 생성을 사용하려면 DMARC 확인의 전역 설정을 편집해야 합니다.프로파일이 적절하게 구성되면 메일 플로우 정책의 기본 정책에서 DMARC 확인 서비스를 활성화해야 합니다.

그림 3. DMARC 확인 프로필

참고:DMARC는 전송 도메인의 소유자가 Cisco Domain Protection과 같은 도메인 모니터링 툴과 함께 구현해야 합니다.Cisco Email Security의 DMARC 시행은 적절하게 구현될 경우, 무단 발신자 또는 도메인으로부터 직원에게 보내는 피싱 이메일으로부터 보호하도록 지원합니다.Cisco Domain Protection에 대한 자세한 내용은 다음 링크를 참조하십시오.https://www.cisco.com/c/dam/en/us/products/collateral/security/cloud-email-security/at-a-glance-c45-740937.pdf

레이어 3:스팸 발송자가 스푸핑된 이메일을 보내지 못하도록 방지

스푸핑 공격은 스팸 캠페인의 또 다른 일반적인 형태일 수 있으므로 스팸/피싱 요소가 포함된 사기성 이메일을 효과적으로 식별하고 이를 긍정적으로 차단하는 데 안티스팸 보호를 활성화하는 것이 여전히 중요합니다.안티스팸 엔진을 다른 모범 사례 작업과 결합할 경우 이 문서에서 자세히 설명하면 합법적인 이메일이 손실되지 않도록 최상의 결과를 제공합니다.

모범 사례:기본 메일 정책에서 안티스팸 검사를 활성화하고 격리 작업을 양성으로 식별된 스팸 설정으로 설정합니다.전역 설정에서 스팸 메시지의 최소 검사 크기를 2M 이상으로 늘립니다.

그림 4. 기본 메일 정책의 안티스팸 설정

스팸 임계값은 Positive 및 Suspected Spam에 맞게 조정하여 민감도를 높이거나 낮출 수 있습니다(그림 5).그러나 Cisco에서는 달리 알리지 않는 한 관리자가 이를 수행하도록 지시하고 기본 임계값만 기준으로 사용합니다.

그림 5. 기본 메일 정책에서 안티스팸 임계값 설정

참고로, Cisco Email Security는 안티스팸 엔진과 다른 조합을 제공하는 애드온 IMS(Intelligent Multi-Scan) 엔진을 제공하여 스팸 포착률(가장 공격적인 탐지율)을 높입니다.

레이어 4:이메일 도메인을 통해 악성 발신자 확인

IP 기반 평판 탐지(SBRS)를 사용하여 스푸핑 공격을 방어하는 것은 여러 가지 이유로 인해 더 이상 충분하지 않습니다. 특히 동일한 IP 주소 소스를 사용하여 여러 전송 도메인을 호스팅할 수 있습니다. 이 경우 각 도메인의 특성이 다를 수 있으므로 SBRS는 악의적인 감염 메시지 및 스푸핑 캠페인을 방지하는 데 더 효과적이지 않습니다.SDR(Sender Domain Reputation)은 이러한 문제를 해결하는 데 유용합니다.

SMTP 연결 레이어에서 IP 평판 필터링을 유지하면, SMTP 대화에서 제공하는 전송 도메인 정보 및 메시지 헤더에 기반한 평판 판정을 고려하여 수신 메일 정책에서 이메일을 허용할지 여부를 결정합니다.SDR은 악성 소스 또는 최근 등록된 도메인으로부터 스푸핑을 효과적으로 방지하는 면에서 1위를 차지하고 있습니다. 예를 들어, 평판 검사 기능을 능가하려는 명백한 시도로 인해 1주일도 채 되지 않습니다.

모범 사례:SDR 평판 판정이 Abled / Flured / Blacked 또는 Domain Age가 5일보다 작거나 같은 전송 도메인을 캡처하는 수신 콘텐츠 필터를 생성합니다.메시지를 격리하고 이메일 보안 관리자 및 원래 수신자에게 알림을 보내는 것이 좋습니다.SDR 구성 방법에 대한 자세한 내용은 Cisco 비디오(https://www.youtube.com/watch?v=IBLRQMT3SHU)을 참조하십시오.

그림 6. 알림 및 격리 작업이 모두 포함된 SDR 평판 및 도메인 사용 기간에 대한 콘텐츠 필터

레이어 5:SPF 또는 DKIM 확인 결과를 통해 오탐 감소

대부분의 공격 유형에 대해 다중 계층의 스푸핑 이메일 탐지를 구축하려면 SPF 또는 DKIM 확인(둘 다 또는 하나)을 적용해야 합니다.최종 작업(예: 삭제 또는 격리)을 수행하는 대신, SPF 또는 DKIM 확인에 실패한 메시지에 [X-SPF-DKIM]과 같은 새 헤더를 추가하고 나중에 다룰 FED(Forged Email Detection) 기능을 사용하여 결과를 공동 운영하는 것이 좋습니다. 이 기능은 스푸핑 이메일의 향상된 탐지율을 지원합니다.

모범 사례:이전 검사를 통과한 각 수신 메시지의 SPF 또는 DKIM 확인 결과를 검사하는 콘텐츠 필터를 만듭니다.SPF 또는 DKIM 확인에 실패하고 다음 스캐닝 계층(FED)에 전달하는 메시지에 새 X-헤더(예: X-SPF-DKIM=Fail)를 추가합니다.

그림 7. 실패한 SPF 또는 DKIM 결과가 있는 메시지를 검사하는 콘텐츠 필터

레이어 6:위조된 발신자 이름이 있는 메시지 탐지

SPF, DKIM 및 DMARC 확인을 보완하는 FED(Forced Email Detection)는 이메일 스푸핑에 대한 또 다른 중요한 방어선입니다.FED는 메시지 본문의 "발신" 값을 악용하는 스푸핑 공격을 해결하는 데 이상적입니다.조직 내 경영 이름을 이미 알고 있는 경우, 이러한 이름의 사전을 만든 다음 콘텐츠 필터에 FED 조건이 있는 사전을 참조할 수 있습니다.임원 이름 외에도 DNSTWIST(https://github.com/elceef/dnstwist)를 사용하여 유사 도메인 스푸핑과 일치시켜 자신의 도메인을 기반으로 사촌 도메인 또는 유사 도메인 사전을 생성할 수도 있습니다.

모범 사례:메시지가 위조될 가능성이 있는 조직의 사용자를 식별합니다.경영진을 위한 사용자 지정 사전을 만듭니다.모든 경영진 이름에 대해 사전은 사용자 이름과 모든 가능한 사용자 이름을 용어로 포함해야 합니다(그림 8). 사전이 완료되면 콘텐츠 필터의 FED(Forged Email Detection)를 사용하여 이 사전 엔트리와 함께 수신 메시지의 "From" 값에 일치시킵니다.

그림 8. 위조된 이메일 탐지를 위한 맞춤형 디렉토리

FED 검사를 우회하기 위해 "Envelope Sender"에서 이메일 도메인에 대한 예외 조건을 추가하는 선택적 작업입니다.또는 "보낸 사람" 헤더에 표시되는 이메일 주소 목록에 FED 검사를 우회하기 위해 사용자 정의 "주소 목록"을 생성할 수 있습니다(그림 9).

그림 9. FED 검사를 우회할 주소 목록 생성

FED(Forced Email Detection) 독점 작업을 적용하여 "From" 값을 제거하고 메시지 받은 편지함에서 실제 봉투 발신자 이메일 주소를 검토합니다.최종 작업을 적용하지 않고 새 X-헤더를 추가합니다(예:X-FED=Match) 조건과 일치하는 메시지에 대해 메시지를 계속해서 다음 검사 레이어에 전달합니다(그림 10).

그림 10. FED의 권장 콘텐츠 필터 설정

레이어 7:양성으로 식별된 스푸핑 이메일

"SPF/DKIM Enforcement" 및 "FED"에서 생성되는 X-헤더 정보 등 파이프라인의 다양한 보안 기능에서 다른 판정을 참조하여 실제 스푸핑 캠페인을 식별하는 것이 더 효과적입니다.관리자는 실패한 SPF/DKIM 확인 결과(X-SPF-DKIM=Fail) 및 FED 사전 항목과 일치하는 "From" 헤더(X-FED=Match)로 인해 두 개의 새 X-헤더로 추가된 메시지를 식별하기 위해 콘텐츠 필터를 생성할 수 있습니다.

권장 작업은 메시지를 격리하고 수신자에게 통지하거나 원본 메시지를 계속 전달하되 [POSSIBLE FORGED] 단어를 "Subject(제목)" 행에 전하여 아래 그림과 같이 수신자에게 경고하는 것입니다(그림 11).

그림 11. 모든 X 헤더를 단일(최종) 규칙으로 결합

레이어 8:피싱 URL로부터 보호

피싱 URL 링크 차단 기능은 Cisco Email Security의 URL 및 Outbreak Filtering에 통합됩니다.혼합된 위협은 스푸핑 및 피싱 메시지를 결합하여 타겟에 더 합법적인 것처럼 보이도록 하므로, Outbreak Filtering을 사용하면 이러한 위협을 실시간으로 탐지, 분석 및 차단할 수 있습니다.URL 평판이 안티스팸 엔진 내에서 평가되며 스팸 탐지 결정에 사용될 것임을 알 필요가 있습니다.안티스팸 엔진이 URL을 스팸으로 사용하여 메시지를 중지하지 않으면 보안 파이프라인의 후단에서 URL 및 Outbreak Filtering에 의해 평가됩니다.

권장 사항:"악성" 평판 점수가 있는 URL을 차단하고 "중립" 평판 점수가 있는 URL을 Cisco Security Proxy로 리디렉션하는 콘텐츠 필터 규칙을 생성합니다(그림 12). Message Modification(메시지 수정)을 활성화하여 Threat Outbreak Filter를 활성화합니다.URL 재작성은 의심스러운 URL을 Cisco Security Proxy에서 분석할 수 있도록 합니다(그림 13). 자세한 내용은 다음을 참조하십시오.https://www.cisco.com/c/en/us/support/docs/security/email-security-appliance/118775-technote-esa-00.html

그림 12. URL 평판을 위한 콘텐츠 필터

그림 13. Outbreak Filtering에서 URL 재작성 활성화

레이어 9:Cisco APP(Advanced Phishing Protection)로 스푸핑 탐지 기능 강화

Cisco는 머신 러닝을 통합하여 로컬 ID 및 관계 모델링과 동작 분석을 결합하는 APP(Advanced Phishing Protection)를 제공하여 ID 속임수 기반 위협으로부터 더 효과적으로 보호합니다.또한 관리자는 APP를 통해 사용자의 받은 편지함에서 악성 이메일을 제거하여 유선 사기 또는 기타 지능형 공격을 방지할 수 있습니다.이메일 공격 활동에 대한 자세한 가시성을 제공합니다. 여기에는 보안된 총 메시지 및 공격 방지 기능이 포함됩니다.자세한 내용은 다음 링크를 참조하십시오.https://www.cisco.com/c/dam/en/us/products/collateral/security/cloud-email-security/at-a-glance-c45-740894.pdf

권장 사항:Cisco APP는 클라우드에서 즉시 사용 가능한 솔루션입니다.관리자는 Cisco APP에 있는 모든 수신 메시지의 헤더 정보를 유지하여 사람의 프로그래밍 작업 없이 추가 분석을 위해 Exchange 및 Office 365와 같은 이메일 서버에서 이메일 저널링을 수행합니다.관리자는 Cisco APP에서 식별한 공격 클래스를 검토하고(그림 14) 관리자에게 알림을 보내거나, 메시지를 삭제하거나, 공격 유형에 따라 메시지를 대체 폴더로 격리하는 정책을 구성합니다(그림 15).

그림 14. Cisco APP는 기본 대시보드의 공격 클래스를 자동으로 채웁니다.

그림 15. 메시지가 선택한 공격 유형과 일치할 경우 작업을 자동화하는 Cisco APP의 정책 설정.

스푸핑 방지로 더 할 수 있는 일

다음과 같은 몇 가지 간단한 예방 조치를 실행함으로써 많은 스푸프를 해결할 수 있습니다.

• HAT(Host Access Table)의 화이트리스트에 포함된 도메인 사용을 소수의 핵심 비즈니스 파트너로 제한
• 모범 사례 링크의 지침에 따라 SPOOF_ALLOW 발신자 그룹에서 구성원을 생성한 경우 항상 추적 및 업데이트합니다.
• 그레이메일 탐지를 활성화하고 스팸 격리에 배치합니다.

그러나 무엇보다도 SPF, DKIM, DMARC를 활성화하고 적절하게 구현해야 합니다.그러나 SPF, DKIM 및 DMARC 레코드를 게시하는 방법에 대한 지침은 이 문서의 범위를 벗어납니다.자세한 내용은 다음 백서를 참조하십시오.https://www.cisco.com/c/dam/en/us/products/collateral/security/esa-spf-dkim-dmarc.pdf

또한 여기에서 다루는 스푸핑 캠페인과 같은 이메일 공격을 해결하는 데 따르는 문제도 파악합니다.이러한 모범 사례 구현에 대한 질문이 있는 경우 케이스를 열어 Cisco 기술 지원부에 문의하십시오.또는 Cisco 어카운트 팀에 문의하여 솔루션 및 설계 지침을 확인하십시오.Cisco Email Security에 대한 자세한 내용은 http://www.cisco.com/c/en/us/products/security/emailsecurity/index.html을 참조하십시오.