[AWS] zoho 메일 서비스와 Gophish로 침해대응(악성메일) 훈련 진행기 2

들어가며

DISCLAIMER
설명하는 모든 서비스는 사전 협의된 환경이나 연구 목적으로만 사용해야 한다. 외부망에서 실 사용자를 대상으로 배포는 금지하며 사용 시 발생하는 피해에 대해서 책임지지 않는다.

AWS SES 샌드박스 해제 요청 후 대기 시간동안 메일을 전송하는 다른 방법은 없는지 탐색하던 중 무료 ESP(Email Service Provider)를 찾게 되어 설정하는 과정을 공유한다. 이전 게시글의 도메인은 그대로 사용하지만, AWS SES와는 별개의 서비스임을 유의한다.

이전 게시글:[AWS] Amazon SES와 Gophish로 침해대응(악성메일) 훈련 진행기 1

사용하는 AWS 서비스 : Route 53

사용하는 서드 파티 서비스: zoho mail

 

설정

https://www.zoho.com/mail/ 페이지에서 회원가입 한다. 도메인을 등록하면 다섯 개의 계정까지 무료티어로 생성할 수 있다. 홈페이지 접속 후 Pricing 메뉴에서 아래로 스크롤하면 Forever Free Plan이 있다. 'Try NOW'를 선택한다. 프리 티어의 경우 5개의 사용자 계정, 25MB의 첨부파일 용량 제한이 있지만 피싱메일 훈련이라는 사용 목적으로는 충분하다.

Free Plan 메뉴 접근

계정을 등록한 이후에는 소유하고 있는 도메인을 등록하여 해당 도메인으로 메일을 전송할 수 있게 설정한다.

도메인을 등록한 이후에는 DNS 질의에 대한 답변을 받을 수 있도록 zoho의 주소를 각 필드에 맞게 등록한다. 사진의 경우 이미 등록 되어 있는 화면이지만, 단계 별로 어떤 값을 등록하면 되는지 상세하게 안내하고 있으므로 어렵지 않게 등록할 수 있다. 예를 들어 MX 레코드의 값은 다음과 같다.

zoho mail 서비스에서 확인한 mx 필드 주소
Route53 호스팅 영역으로 등록한 필드

MX를 포함하여, SPF, DKIM 등 필요한 필드를 동일하게 작성한 후 zoho 페이지에서 검증(verify)하면 정상적으로 도메인을 등록하고 메일 서비스를 사용할 수 있다.

 

사용자 등록

사용자 등록의 경우 피싱 메일을 송신할 때 발송인을 등록한다. 프리 티어의 경우 5개의 계정 생성이 가능하다. 피싱 메일을 전송할 때, 사용자가 혼동할만한 계정명(Administrator, no-reply 등)을 사용하면 훈련 시 감염률을 높일 수 있다.

 

테스트 메일 전송

spamassassin등 피싱메일 필터링 여부를 확인하기 위해 https://www.mail-tester.com/ 사이트를 이용할 수 있다. 페이지 접속 시 제시하는 이메일 주소로 테스트 메일을 전송하면, 전달 성공 가능성을 점수로 보여준다. 이전 단계에서 등록한 사용자로 로그인한 다음, 새로운 메일을 작성한다.

mail-tester에서 메일 주소 확인
테스트 메일 작성
점수 확인

필드 값이 제대로 등록 되었다면, 메일 전달에 성공하였으며 비교적 양호한 점수를 확인할 수 있다. 정상 전달 여부를 확인하였다면 실제 테스팅이 필요한 도메인에도 전송하여 전달 성공 여부를 확인할 수 있다.

메일이 전달되지 않거나 점수가 낮은 경우 SPF, DKIM, rDNS 등 필요한 필드가 정상적으로 DNS 서비스에 등록이 되어 있는지 확인한다.

 

장점

다른 ESP를 통해서 메일을 전송하는 경우 수신측에서의 도메인 평판 조회나 스팸 필터링에서 조금이나마 덜 걸러진다. 직접 메일 서버를 구축하는 것이 아닌 서비스를 이용하기 때문에 탐지되어 차단되더라도 다른 서비스를 선택할 수 있다.

직관적이고 사용자 친화적인 UI를 제공하기 때문에 쉬운 메일 전송이 가능하다.

반응형