최초 문서 게시일: 2011년 10월 7일 금요일

다음 문서에 설명된 한 가지 복잡한 사항만 제외한다면 DNS 도메인에 대한 인바운드 메일을 허용하고 Exchange 조직 외부의 담당 메일 호스트로 릴레이하는 것은 Exchange 2003에서 간단한 프로세스였습니다.

  • KB 321721 Exchange 2000 Server 및 Exchange Server 2003에서 SMTP 주소 공간 공유
  • KB 315511 XADM: 독립 조직을 위해 Exchange 2000 Server에서 중앙 집중화된 SMTP 도메인 공유를 설정하는 방법

Exchange 2003에서는 받는 사람 정책을 사용하여 Exchange 서버가 전자 메일을 허용할 도메인을 정의하고, 해당 도메인을 사용하여 받는 사람의 전자 메일 주소를 생성했습니다.

또한 받는 사람 정책을 통해 Exchange 2003의 MRM(Messaging Retention Management)에 해당하는 사서함 관리자 설정을 적용할 수 있었습니다.

허용 도메인 및 전자 메일 주소 정책

Exchange 2007에서는 받는 사람 정책 기능이 허용 도메인전자 메일 주소 정책이라는 두 개의 구성 요소로 분할되었습니다. 이름에서 알 수 있듯이 허용 도메인은 전송 서버가 전자 메일을 허용할 SMTP 도메인을 정의하는 데 사용되고, 전자 메일 주소 정책(EAP)은 받는 사람의 전자 메일 주소를 생성하는 데 사용됩니다. EAP는 허용 도메인을 사용합니다. 따라서 허용 도메인이 있어야 해당 도메인을 사용하여 전자 메일 주소를 만들 수 있습니다. 예를 들어 받는 사람이 contoso.comtailspintoys.com 도메인의 전자 메일 주소를 갖도록 하려면 먼저 이 두 도메인 각각에 대한 허용 도메인을 만든 후에 전자 메일 주소 정책을 사용하여 자동으로 생성되는 전자 메일 주소 형식을 정의합니다(예: firstname.lastname@contoso.com).

Exchange 2003에서는 LDAP 필터를 사용하여 받는 사람 정책을 적용할 수 있었던 반면에 Exchange 2010 및 2007은 OPATH 필터링 구문을 사용하여 받는 사람을 필터링함으로써 EAP를 적용합니다. 다수의 미리 만든 필터EMC의 전자 메일 주소 정책 인터페이스에 포함되어 있거나 셸에 매개 변수로 포함되어 있습니다. 따라서 회사 이름, 부서, 시/도, 사용자 지정 특성 1-15 등 흔히 사용되는 받는 사람 속성들을 쉽게 사용할 수 있습니다. 미리 만든 필터는 대부분의 Exchange 구축 환경에서 요구 조건을 충족시킵니다. 좀 더 복잡한 필터가 필요한 경우에는 셸에서 RecipientFilter 매개 변수를 사용하여 사용자 지정 받는 사람 필터를 만들 수 있습니다. 사용자 지정 받는 사람 필터를 만들면 받는 사람 필터에서 필터링할 수 있는 속성이라는 긴 목록의 받는 사람 속성을 사용할 수 있습니다. 필터링할 수 있는 속성의 목록은 Exchange 2007 SP1 및 SP2에서 필터링할 수 있는 -RecipientFilter 매개 변수 속성에서 찾을 수 있습니다.

허용 도메인 및 SMTP 주소 공간 공유

도메인 이름 및 전자 메일 주소 정책 개체가 분리됨으로써 SMTP 주소 공간을 훨씬 더 쉽게 공유할 수 있게 되었습니다. Exchange 2010 및 Exchange 2007에서 다음과 같은 세 가지 유형의 허용 도메인을 만들 수 있습니다.

  1. 신뢰할 수 있는 도메인: 신뢰할 수 있는 도메인은 Exchange 조직이 해당 도메인을 신뢰하고 그 도메인 안의 모든 받는 사람을 알고 있음을 의미합니다. 일반적으로 신뢰할 수 있는 도메인에 있는 모든 받는 사람은 Exchange 받는 사람(사서함, 메일 그룹, 메일 사용 가능 공용 폴더)입니다. 받는 사람이 다른 전자 메일 시스템에도 있을 수 있지만 Exchange에는 이들을 위한 메일 사용 가능 연락처(MailContact) 또는 메일 사용 가능 사용자(MailUser)가 있어야 합니다. 일회용 메일 연락처나 메일 사용자를 수동으로 만들 수도 있지만 일반적으로는 다음 시나리오에서와 같이 디렉터리 동기화를 사용하여 생성됩니다.

    • 자체적인 Active Directory 포리스트가 있는 다른 사업부
    • 같은 조직 내에서 사용 중인 다른 메시징 시스템/디렉터리

    복제한 이후에는 Exchange가 이들 받는 사람에게 메일을 어떻게 보내야 하는지를 알게 됩니다.

    Exchange에서 도메인을 신뢰하기 때문에 어떠한 이유로든 허용되었는데 배달되지 못한 메시지에 대해서는 배달 못 함 보고서(NDR)를 생성해야 합니다. 예를 들어 Active Directory에서 받는 사람을 찾지 못해서 배달하지 못했을 수도 있습니다. 그럴 경우 받는 사람 필터링을 사용하여 존재하지 않는 받는 사람에 대한 메일을 자동으로 없앨 수 있습니다.

  2. 외부 릴레이 도메인: Exchange 서버에서 받는 사람이 없는 도메인에 대해 전자 메일을 허용한 후에 이러한 전자 메일을 모두 다른 메일 호스트로 전달해야 하는 경우에는 외부 릴레이 도메인을 만들면 됩니다. 이 경우에는 Exchange가 받는 사람을 모르므로 받는 사람 필터링을 수행하거나 존재하지 않는 받는 사람에 대한 메일을 없애는 등의 조치를 취할 수 없습니다. 중앙 메시싱 인프라를 통해 인바운드 메일을 허용하는 것은 흔한 시나리오입니다. Exchange는 도메인을 신뢰하지 않기 때문에 해당 도메인의 다음 홉으로 메일을 전달하는 것까지만 책임집니다. 배달하지 못할 경우에는 NDR을 생성해야 합니다.

    외부 릴레이 도메인을 위한 전자 메일을 해당 도메인을 신뢰하는 메일 호스트(또는 릴레이할 수 있는 다음 홉)로 전달하려면 해당 도메인에 대한 송신 커넥터를 만들고 다음 홉을 smarthost로 지정해야 합니다. Edge 전송 서버를 사용하는 토폴로지에서는 이러한 전자 메일이 Edge 전송에 의해 릴레이되며 허브 전송 서버는 메시지를 처리할 필요가 전혀 없습니다.

  3. 내부 릴레이 도메인: 내부 필레이 도메인은 중요한 요구를 하나 충족시켜 주며, 이를 위해서는 Exchange 2003에서 복잡한 설정이 필요합니다. 내부 릴레이 도메인을 사용하면 일부 받는 사람은 Exchange 조직에 있고 또 다른 일부는 다른 메시징 시스템에 있는 도메인에 대해 전자 메일을 허용할 수 있습니다. Exchange는 전자 메일 연락처 또는 메일 사용자를 사용하여 다른 메시징 시스템에 있는 받는 사람에 대해 알 수 있습니다. 또는 로컬에서(조직에 있는 Exchange 서버에서) 배달할 수 있는 모든 메시지를 배달하고, 알 수 없는 받는 사람에 대한 메시지는 같은 도메인의 송신 커넥터를 사용하여 다른 메일 호스트로 릴레이할 수 있습니다. Exchange에서 이 도메인을 신뢰하지 않기 때문에 책임지지 않는 받는 사람에 대해서는 NDR을 생성하지 않습니다.

    내부 릴레이 도메인 및 송신 커넥터
    내부 릴레이 도메인을 사용할 때 고려해야 할 중요한 사항 한 가지는 알 수 없는 받는 사람에 대한 메일을 다른 메일 호스트로 보내는 데 사용하는 송신 커넥터를 Edge 전송 서버에서 가져올 수 없다는 것입니다. Edge 전송 서버는 이미 해당 도메인에 대한 모든 메일을 허용하고 허브 전송 서버로 전달하도록 지시를 받았기 때문입니다. 따라서 대신 허브 전송 서버에서 송신 커넥터를 가져오고 다른 메일 호스트를 smarthost로 지정해야 합니다.


그림 1: EMC에서 허용 도메인 만들기

자세한 내용은 허용 도메인 이해를 참조하십시오.

허용 도메인 및 받는 사람 필터링

허용 도메인을 만들 때 고려해야 할 중요한 사항은 받는 사람 필터링입니다. Exchange에 기본 제공되는 스팸 방지 필터를 사용하는 경우, 받는 사람 필터링을 사용하여 조직 내에 존재하지 않는 받는 사람을 필터링할 수 있습니다. 그러면 상당량의 스팸을 없앨 수 있습니다(Edge 전송 서버와 EdgeSync를 구축한 경우 게이트웨이에서). 또한 서버에서 존재하지 않는 받는 사람에 대한 메일을 처리하고 보낸 사람(이 역시 존재하지 않는 주소이거나 스패머가 스푸핑한 유효한 주소일 수 있음)에게 NDR을 생성하는 프로세스가 생략됩니다.

Edge 전송 서버를 사용하고 EdgeSync가 구성된 토폴로지에서는 받는 사람 정보가 허브 전송 서버에서 Edge 전송 서버로 동기화됩니다. 그러면 Edge 전송 서버가 이 정보를 사용하여 조직 내에 존재하지 않는 받는 사람에 대한 전자 메일을 없앨 수 있습니다. Edge 전송 서버가 구축되지 않은 경우에는 허브 전송 서버에 스팸 방지 에이전트를 설치하고 받는 사람 필터링을 사용할 수 있습니다.

일반적으로 경계 네트워크에 배포되는 많은 타사 SMTP 보안 솔루션도 Active Directory에서 받는 사람을 조회할 수 있습니다. 단, Active Directory 내부 네트워크에 있는 DC/GC에 대한 LDAP 연결이나 받는 사람 정보를 복제하기 위한 다른 수단을 필요로 할 수 있습니다. 상대적으로 EdgeSync 통신은 허브 전송 서버에서 Edge 전송 서버 방향으로 아웃바운드(보안 LDAP)이며 인바운드 트래픽을 위해 내부 방화벽에서 포트를 열 필요가 없습니다.

받는 사람 필터링이 다른 유형의 허용 도메인에 있는 받는 사람을 처리하는 방법 Exchange가 모든 받는 사람을 알고 있는 신뢰할 수 있는 도메인의 경우, 받는 사람 필터링은 Active Directory에 존재하지 않는 받는 사람에 대한 메일을 없앱니다. 외부 릴레이 도메인의 경우, Exchange에서는 받는 사람에 대해 알지 못하므로 이러한 필터링이 불가능합니다. 내부 릴레이 도메인은 회색 지대입니다. 즉, Exchange가 받는 사람에 대해 알 수도 있고 모를 수도 있습니다.

AddressBookEnabled 속성을 설정함으로써 허용 도메인에 대해 받는 사람 필터링을 허용할 것인지 여부를 구성할 수 있습니다. 각 허용 도메인 유형에 대한 기본값은 다음 표에 나와 있습니다.

허용 도메인 유형 AddressBookEnabled
신뢰할 수 있는 도메인 true
외부 릴레이 도메인 false
내부 릴레이 도메인 false

내부 릴레이 도메인의 경우, 기본적으로 false로 설정됩니다. 이것은 Exchange(즉, 받는 사람 필터링 에이전트. 단, 현재 사용 중이고 Active Directory에서 존재하지 않는 받는 사람에 대한 메일을 없애도록 구성된 경우)가 받는 사람이 존재하는지 여부를 확인하지 않는다는 것입니다. 다른 Exchange 조직 또는 비 Exchange 메시징 시스템의 받는 사람을 Active Directory로 복제하는 메커니즘을 사용하는 경우 이 속성을 true로 설정하여 받는 사람 필터가 유효한 받는 사람을 확인하도록 할 수 있습니다.

Set-AcceptedDomain foo.com –AddressBookEnabled $true

Bharat Suneja

이 문서는 번역된 블로그 게시물입니다. 원본 문서는 Accepted Domains, Shared SMTP Address Spaces and Recipient Filtering을 참조하십시오.