MTA-STS란 무엇인가요? 올바른 MTA STS 정책 설정하기

널리 알려진 인터넷 표준으로 SMTP(Simple Mail Transfer Protocol) 서버 간의 연결 보안을 개선하는 SMTP 메일 전송 에이전트-엄격한 전송 보안(MTA-STS)이 있습니다. MTA-STS는 SMTP의 기존 문제를 해결합니다. 이메일 보안 전송 시 TLS 암호화를 적용하여 기존의 문제를 해결합니다. SMTP에서 암호화는 선택 사항이므로 이메일이 일반 텍스트로 전송될 수 있습니다. 메일 서비스 제공업체는 MTA-STS를 통해 TLS(전송 계층 보안)를 적용하여 SMTP 연결을 보호하고, 보내는 SMTP 서버가 신뢰할 수 있는 서버 인증서를 사용하여 TLS를 지원하지 않는 MX 호스트에 대한 이메일 전송을 거부할지 여부를 지정할 수 있습니다. 이 기능은 TLS 다운그레이드 공격과 중간자(MITM) 공격을 성공적으로 완화하는 것으로 입증되었습니다.

MTA-STS의 역사와 기원 

1982년에 SMTP가 처음 지정되었으며, 메일 전송 에이전트 간의 통신을 보호하기 위해 전송 수준에서 보안을 제공하는 메커니즘이 포함되어 있지 않았습니다. 그러나 1999년에 서버 간 이메일 암호화를 지원하는 STARTTLS 명령이 SMTP에 추가되어 비보안 연결을 TLS 프로토콜을 사용하여 암호화된 보안 연결로 변환할 수 있는 기능이 제공되었습니다.

그렇다면 SMTP가 서버 간 연결을 보호하기 위해 STARTTLS를 채택했는지, 왜 MTA-STS로 전환해야 했는지, 그리고 그 이유는 무엇인지 궁금할 것입니다. 이 블로그의 다음 섹션에서 이에 대해 자세히 알아보세요!

PowerDMARC로 보안을 간소화하세요!

MTA-STS란 무엇인가요? (메일 전송 에이전트 엄격한 전송 보안 - 설명)

MTA-STS는 메일 전송 에이전트 - 엄격한 전송 보안의 약자입니다. 암호화된 SMTP 연결을 통해 이메일의 안전한 전송을 보장하는 보안 표준입니다. 약어 MTA는 컴퓨터 간에 이메일 메시지를 전송하는 프로그램인 메시지 전송 에이전트의 약자입니다. 약어 STS는 엄격한 전송 보안의 약자로, 표준을 구현하는 데 사용되는 프로토콜입니다. MTA-STS 인식 메일 전송 에이전트(MTA) 또는 보안 메시지 전송 에이전트(SMTA)는 이 사양에 따라 작동하며 보안되지 않은 네트워크를 통해 이메일을 전송하기 위한 안전한 엔드투엔드 채널을 제공합니다.

MTA-STS 프로토콜을 사용하면 SMTP 클라이언트는 서버가 TLS 핸드셰이크에서 인증서 지문을 제공하도록 요구하여 서버 신원을 확인하고 사기꾼에게 연결하지 않는지 확인할 수 있습니다. 그런 다음 클라이언트는 알려진 서버의 인증서가 포함된 신뢰 저장소에 대해 인증서를 확인합니다.

MTA-STS 이메일 보안 소개 

MTA-STS는 SMTP 통신 중 보안의 격차를 해소하기 위해 도입되었습니다. 보안 표준인 MTA-STS는 암호화된 SMTP 연결을 통해 이메일의 안전한 전송을 보장합니다.

약어 MTA는 메시지 전송 에이전트의 약자로, 컴퓨터 간에 이메일 메시지를 전송하는 프로그램입니다. 약어 STS는 표준을 구현하는 데 사용되는 프로토콜인 엄격한 전송 보안의 약자입니다. MTA-STS 인식 메일 전송 에이전트(MTA) 또는 보안 메시지 전송 에이전트(SMTA)는 이 사양에 따라 작동하며 보안되지 않은 네트워크를 통해 이메일을 전송하기 위한 안전한 엔드투엔드 채널을 제공합니다.

MTA-STS 프로토콜을 사용하면 SMTP 클라이언트는 서버가 TLS 핸드셰이크에서 인증서 지문을 제공하도록 요구하여 서버 신원을 확인하고 사기꾼에게 연결하지 않는지 확인할 수 있습니다. 그런 다음 클라이언트는 알려진 서버의 인증서가 포함된 신뢰 저장소에 대해 인증서를 확인합니다.

강제 TLS 암호화로의 전환의 필요성

STARTTLS는 완벽하지 않았고 두 가지 주요 문제를 해결하지 못했습니다. 첫 번째는 선택적 조치이기 때문에 중간자(MITM) 공격을 막지 못한다는 점입니다. 이는 MITM 공격자가 연결을 쉽게 수정하여 암호화 업데이트가 이루어지지 않도록 할 수 있기 때문입니다. 두 번째 문제점은 STARTTLS를 구현하더라도 전송 서버의 신원을 인증할 수 있는 방법이 없다는 것입니다. SMTP 메일 서버가 인증서의 유효성을 검사하지 않기 때문입니다.

오늘날 대부분의 발신 이메일은 다음을 통해 보호되지만 전송 계층 보안(TLS) 암호화로 보호되지만, 공격자는 이메일이 암호화되기 전에도 여전히 이메일을 방해하고 변조할 수 있습니다. 클라이언트가 TLS를 지원하지 않는 경우 통신이 일반 텍스트로 되돌아가기 때문에 TLS 암호화를 시작하기 위해 STARTTLS 명령을 추가하여 이전 버전과 호환되도록 SMTP의 보안을 강화해야 했습니다. 이렇게 하면 전송 중인 이메일은 사이버 범죄자가 메시지를 도청하고 암호화 명령(STARTTLS)을 대체하거나 삭제하여 통신을 일반 텍스트로 되돌려 정보를 변경 및 변조하는 MITM과 같은 만연한 모니터링 공격의 희생양이 될 수 있습니다. MITM 공격자는 클라이언트가 식별하지 못하는 가비지 문자열로 STARTTLS를 간단히 대체할 수 있습니다. 따라서 클라이언트는 쉽게 일반 텍스트로 이메일을 다시 전송하게 됩니다. 보안 연결을 통해 이메일을 전송하지 않으면 사이버 공격자에 의해 데이터가 손상되거나 심지어 수정 및 변조될 수도 있습니다.

이 문제를 해결하고 이메일의 안전한 전송을 보장할 뿐만 아니라 MITM 공격을 성공적으로 완화하는 것이 바로 MTA-STS의 역할입니다. MTA-STS는 이메일이 TLS 암호화 경로를 통해 전송되도록 하고, 암호화된 연결이 설정되지 않을 경우 이메일이 일반 텍스트로 전송되는 대신 전혀 전송되지 않도록 합니다. 또한 MTA는 MTA-STS 정책 파일을 저장하므로 공격자가 다음과 같은 DNS 스푸핑 공격. 주요 목표는 SMTP 통신 중 전송 수준 보안을 개선하고 이메일 트래픽의 프라이버시를 보장하는 것입니다. 또한 인바운드 및 아웃바운드 메시지의 암호화는 전자 정보를 보호하기 위해 암호화를 사용하여 정보 보안을 강화합니다.

PowerDMARC로 MTA-STS를 설정하세요!

MTA-STS는 어떻게 작동하나요?

MTA-STS 프로토콜은 메일 서버가 특정 하위 도메인에서 정책 파일을 가져올 수 있도록 지정하는 DNS 레코드를 보유함으로써 배포됩니다. 이 정책 파일은 HTTPS를 통해 가져오고 받는 사람의 메일 서버 이름 목록과 함께 인증서로 인증됩니다. 메일 서버 소프트웨어에서 지원해야 하므로 보내는 쪽에 비해 받는 쪽에서 MTA-STS를 구현하는 것이 더 쉽습니다. 다음과 같은 일부 메일 서버는 MTA-STS를 지원하지만 PostFix와 같은 일부 메일 서버가 지원하지만 모든 서버가 지원하는 것은 아닙니다. MTA-STS를 사용하면 서버가 TLS를 지원한다는 것을 표시할 수 있으므로 TLS 업그레이드 협상이 이루어지지 않을 경우 서버가 실패(즉, 이메일을 보내지 않음)하여 TLS 다운그레이드 공격이 발생하지 않도록 할 수 있습니다.

Microsoft, Oath, Google과 같은 주요 메일 서비스 제공업체는 MTA-STS를 지원합니다. Google의 Gmail은 이미 최근에 MTA-STS 정책을 채택했습니다. MTA-STS는 지원되는 메일 서버에서 연결 보안 프로세스를 쉽고 간편하게 이용할 수 있도록 함으로써 이메일 연결 보안의 단점을 제거했습니다.

사용자와 메일 서버 간의 연결은 일반적으로 TLS 프로토콜로 보호 및 암호화되지만, MTA-STS가 구현되기 전에는 메일 서버 간의 연결에 보안이 부족했습니다. 최근 이메일 보안에 대한 인식이 높아지고 전 세계 주요 메일 제공업체의 지원으로 조만간 대부분의 서버 연결이 암호화될 것으로 예상됩니다. 또한 MTA-STS는 네트워크상의 사이버 범죄자가 이메일 콘텐츠를 읽을 수 없도록 효과적으로 보장합니다.

MTA-STS 정책 파일

MTA-STS 정책 파일은 도메인의 웹 서버에서 HTTPS URL로 호스팅되는 일반 텍스트 MTA-STS 구성 파일입니다: 이 파일은 메일 서버 간의 보안 연결을 설정하고, TLS 암호화를 적용하며, 보안 연결을 설정할 수 없는 경우 취할 조치를 지정하는 규칙을 정의합니다. 

https://mta-sts.<domain>//.well-known/mta-sts.txt

MTA-STS 정책 파일의 구조 

MTA-STS 정책 예시

버전: STSv1 

모드: 시행 

mx: mail.example.com 

mx: backupmail.example.com 

max_age: 86400

MTA-STS 배포를 위한 전제 조건

MTA-STS 설정을 시작하기 전에 다음이 필요합니다: 

1. 등록된 도메인 이름 
2. 유효한 TLS 인증서

• TLS 인증서는 신뢰할 수 있는 CA에서 발급해야 합니다.
• 인증서는 최신 상태여야 하며 만료되지 않아야 합니다.
• TLS 버전 1.2 이상이어야 합니다. 

3. MTA-STS용 DNS TXT 레코드 
4. HTTPS 웹 서버 
5. TLS를 사용하도록 구성된 메일 서버 
6. 정책 파일의 mx 필드에 있는 항목과 일치하는 메일 서버 호스트 이름
7. 로그를 모니터링하고 필요할 때마다 조정할 수 있는 테스트 환경 또는 호스팅된 MTA-STS 서비스

도메인에 MTA-STS를 설정하는 단계

도메인에 MTA-STS를 설정하려면 아래 단계를 따르세요: 

• 도메인에 기존 MTA-STS 구성이 있는지 확인하세요. 이메일에 Google Workspace를 사용하는 경우 이 도움말을 참조하여 쉽게 설정할 수 있습니다. 가이드.
• 각 도메인에 대해 개별적으로 구성된 MTA-STS 정책을 만들고 게시합니다. MTA-STS 정책 파일은 해당 도메인에서 사용하는 MTA-STS 지원 이메일 서버를 정의합니다. 
• 정책 파일을 만들 때 원격 서버에서 쉽게 액세스할 수 있는 공개 웹 서버에 이 파일을 업로드해야 합니다. 
• 마지막으로, MTA-STS DNS 레코드("_mta-sts" TXT 레코드)를 생성 및 게시하여 수신 서버에 이메일이 TLS로 암호화되어야만 진본으로 간주되며, 전자의 경우에만 수신자의 받은 편지함에 대한 액세스가 허용되어야 한다고 지시합니다.

활성 정책 파일이 있으면 외부 메일 서버는 보안 연결 없이는 이메일에 대한 액세스를 허용하지 않습니다. 

3가지 MTA-STS 정책 모드: 없음, 테스트 및 적용

MTA-STS 정책 모드에 사용할 수 있는 세 가지 값은 다음과 같습니다: 

1. 없음: 이 정책은 외부 서버가 도메인에 대해 프로토콜이 비활성 상태인 것으로 간주하므로 MTA-STS 구성을 무효화합니다.
2. 테스트: 이 정책을 사용하는 동안에는 암호화되지 않은 연결을 통해 전송된 이메일은 거부되지 않으며, 대신 TLS-RPT를 활성화하면 전달 경로 및 이메일 동작에 대한 TLS 보고서를 계속 받게 됩니다.
3. 시행: 마지막으로 정책 적용을 설정하면 암호화되지 않은 SMTP 연결을 통해 전송된 이메일은 서버에서 거부됩니다.

에 대한 보호 기능을 제공합니다:

• 다운그레이드 공격
• 중간자 공격(MITM)
• 만료된 TLS 인증서, 보안 프로토콜 지원 부족, 신뢰할 수 있는 타사에서 발급하지 않은 인증서 등 여러 가지 SMTP 보안 문제를 해결합니다.

TLS 보고: MTA-STS 설정 후 이메일 전송률 격차 모니터링하기 

TLS-RPT (전송 계층 보안 보고)는 도메인 소유자가 이메일 통신의 TLS 암호화 실패에 대한 자세한 보고서를 받을 수 있는 프로토콜입니다. TLS 보고는 MTA-STS와 함께 작동합니다. 이를 통해 이메일을 전송하고 잘못된 구성을 감지하는 애플리케이션에서 발생하는 TLS 연결 문제를 보고할 수 있습니다. 이메일이 TLS로 암호화되지 않았을 때 발생하는 이메일 전송 문제를 보고할 수 있습니다. 2018년 9월에 이 표준은 RFC 8460에 처음 문서화되었습니다.

주요 기능은 다음과 같습니다: 

• 오류 보고: 만료된 인증서 또는 오래된 TLS 버전, TLS 암호화 실패와 같은 TLS 문제로 인한 배달 문제 또는 실패에 대한 자세한 보고서를 제공합니다. TLS-RPT를 사용 설정하는 즉시 규정을 준수하는 메일 전송 에이전트가 통신 서버 간의 이메일 배달 문제에 관한 진단 보고서를 지정된 이메일 도메인으로 보내기 시작합니다. 이 보고서는 일반적으로 하루에 한 번 전송되며, 발신자가 관찰한 MTA-STS 정책, 트래픽 통계, 이메일 전송 실패 또는 문제에 대한 정보를 포함하고 전달합니다.
• 가시성: MTA-STS 구현 및 이메일 전달성 관련 문제를 모니터링하는 데 도움이 됩니다. TLS-RPT는 모든 이메일 채널에 대한 향상된 가시성을 제공하므로 전달에 실패한 메시지를 포함하여 도메인에서 일어나는 모든 일에 대해 더 나은 인사이트를 얻을 수 있습니다.
• 이메일 보안 강화: TLS 암호화 협상 실패로 인한 오류 문제를 해결함으로써 MTA-STS 설정의 전반적인 효율성을 개선하여 사이버 공격을 보다 효과적으로 방지할 수 있습니다. 또한 심층적인 진단 보고서를 제공하여 이메일 전송 문제의 원인을 파악하고 지체 없이 문제를 해결할 수 있습니다.

PowerDMARC를 통한 간편한 MTA-STS 배포

MTA-STS를 사용하려면 유효한 인증서, DNS 레코드 및 지속적인 유지 관리가 가능한 HTTPS 지원 웹 서버가 필요합니다. MTA-STS를 구현하는 것은 도입 과정에서 복잡하고 힘든 작업이 될 수 있습니다. 정책 파일 및 레코드 생성부터 웹 서버 유지 관리 및 인증서 호스팅에 이르기까지 오랜 시간이 걸리는 과정입니다. PowerDMARC의 DMARC 분석기 도구는 이 모든 과정을 백그라운드에서 완전히 처리하여 사용자의 삶을 훨씬 더 쉽게 만들어 줍니다. 저희가 설정을 도와드리면 다시는 고민할 필요가 없습니다.

PowerDMARC의 도움으로 다음을 배포할 수 있습니다. 호스팅된 MTA-STS 를 조직에 배포할 수 있습니다. 저희가 도와드리겠습니다:

• 몇 번의 클릭만으로 DNS CNAME 레코드를 게시하세요.
• DNS 설정에 액세스할 필요 없이 클릭 한 번으로 정책을 업데이트하고 레코드를 최적화할 수 있습니다.
• 정책 버전 및 인증서 유효성 검사 확인
• MTA-STS 정책 애플리케이션 장애 감지 
• MTA-STS 정책 텍스트 파일 호스팅
• 정책 웹 서버를 유지 관리하고 인증서를 호스팅할 책임이 있습니다.
• 간소화된 보고서로 연결 실패, 연결 성공 및 연결 문제를 더 빠르게 감지하세요.
• RFC 준수 및 최신 TLS 표준 지원 보장

PowerDMARC를 사용하면 SMTP TLS 보고(TLS-RPT)를 쉽고 빠르게 구현할 수 있습니다. 이메일 전송 문제에 대한 보고서가 포함된 복잡한 JSON 파일을 사용자가 쉽게 이해할 수 있는 간단하고 읽기 쉬운 문서(결과별 및 발신 소스별)로 변환합니다.
지금 가입 지금 바로 가입하여 TLS 암호화 연결을 통해 도메인으로 이메일을 신속하게 전송하도록 하고, MITM 및 기타 사이버 공격으로부터 연결을 안전하게 보호하세요.

"`

• 정보
• 최신 게시물

마이탐 알 라와티

사이버 보안 전문가, CEO PowerDMARC

마이담은 15년 이상의 업계 경력을 가진 기술 기업가이자 사이버 보안 전문가, PowerDMARC의 CEO 겸 설립자입니다. 마이담은 맨체스터 대학교에서 글로벌 MBA를 취득했으며 CISSP, CISM, CRISC, ISC2 CCSP를 비롯한 다양한 전문 자격증을 보유하고 있습니다.

마이탐 알 라와티의 최신 글 (전체 보기)

• DMARC 레코드를 생성하고 게시하는 방법 - 2025년 3월 3일
• 2025년에 "SPF 기록을 찾을 수 없음"을 수정하는 방법 - 2025년 1월 21일
• DMARC 보고서 읽는 방법 - 2025년 1월 19일