[Security] E-Mail 보안

📌 본 게시물은 자기 학습 목적으로 작성되어 일부 내용이 부정확하거나 최신 정보와는 다를 수 있습니다.
💬 잘못된 부분이나 보완할 점이 있다면 댓글로 공유하여 주시면 감사하겠습니다!

1️⃣ E-Mail 전송 및 수신

📌 SMTP (Simple Mail Transfer Protocol)

• 이메일을 발신 서버에서 수신서버로 전달하는 프로토콜
• SMTP 서버는 수신자 주소를 기반으로 적절한 메일 서버로 메일을 전송
• TCP/25를 사용하며 응용 계층에서 동작

✅ 동작 방식

• 구성 요소
  1. 메일 사용자 에이전트(MUA, Mail User Agent) : 사용자의 이메일 클라이언트로 메시지를 작성하고 받은 메일을 읽음
  2. 메일 전송 에이전트(MTA, Mail Transfer Agent) : 메일을 수신하고 전달하는 서버로 SMTP를 사용하여 메시지 전송
  3. 메시지 전달 에이전트(MDA, Mail Delivery Agent) : 메시지를 최종 수진자의 메일박스에 배달하는 서버

1. 사용자가 MUA를 통해 이메일 작성 및 발송 요청
2. MUA는 이메일을 발신자의 MTA로 전송
3. 발신자의 MTA는 DNS를 사용하여 수신자의 메일 서버 주소를 확인
4. 발신자의 MTA는 SMTP를 사용하여 수신자의 MTA로 이메일 전달
5. 수신자의 MTA는 이메일 MDA로 전달
6. MDA는 에미일을 수신자의 메일박스로 배달
7. 수신자가 자신의 MUA를 통해 메일박스 확인하고 이메일을 읽음

📌 POP3 (Post Office Protocol v3)

• 메일 서버에서 클라이언트로 이메일을 다운로드 후 메일 서버의 이메일 삭제
• TCP/110을 사용하며 메일 서버에 접속하여 저장된 메일을 내려받는 MDA 프로그램
• 특징
  1. 로컬 저장 방식이므로 인터넷이 없어도 이메일 확인 가능
  2. 서버에 읽지 않은 메일만 보관하며 읽은 메일은 삭제
  3. 사용자는 메일의 Local 복사본을 검색하고 오프라인으로 읽기 가능
  4. 다중 기기 동기화 불가능 (하나의 기기에서만 사용 가능)

📌 IMAP (Internet Message Access Protocol) 및 IMAP4

• 메일 서버에 이메일을 저장하며 클라이언트에서 동기화
• 특징
  1. 메일을 서버에 저장하며 여러 기기에서 동기화 가능
  2. 오프라인 작업 시에 MUA 측에서 트랜잭션을 저장하고 서버에 연결되면 Commit한 것을 반영
  3. 메일은 메일 서버에 항상 저장되며 Local 복사본을 검색한 시점에 서버에서 제거 가능
  4. 메일 소프트웨어와 관계없이 메일을 관리하며 메일의 헤더만 검색하여 텍스트 부분만 가져오기 등의 작업 가능

📌 SMTP/POP3/IMAP

• 이메일 시스템에서 SMTP는 이메일을 전송하는 역할, POP3와 IMAP은 이메일을 수신하고 관리하는 역할을 담당

프로토콜	특징
POP3	- 이메일을 서버에서 다운로드하여 로컬 저장소에 저장함 - 기본적으로 다운로드 후 서버에서 이메일을 삭제하는 방식 - 한 기기에서만 이메일을 관리하는 데 적합 (다중 기기 동기화 어려움)
IMAP	- 이메일을 서버에서 직접 관리하며 클라이언트와 동기화함 - 여러 기기에서 동일한 메일박스를 동기화하는 데 적합 - 서버에 저장된 메일은 클라이언트에서 변경 시 실시간으로 반영됨

✅ POP3는 다운로드 후 서버에서 삭제하는 방식이라 로컬 저장소에서만 이메일을 관리하지만 IMAP은 서버에서 직접 이메일을 관리하여 여러 기기에서 동기화가 가능

---

2️⃣ E-Mail 보안

📌 PGP (Pretty Good Privacy)

• MIME(Multipurpose Internet Mail Extension) 객체에 암호화 및 전자서명 기능 추가한 암호화 프로토콜
• 메시지 암호화, 전자서명, 압축, 분할, 전자우편 호환성의 5가지 기능 제공
• 특징

1. 전자서명 : DSS/SHA 또는 RSA/SHA 기반 전자서명
2. 메시지 암호화 : CAST-128, IDEA, 3DES 기반 메시지 암호화
3. 1회용 세션키 생성 : Diffie-Hellam 또는 RSA 기반 키 교환 방식 사용
4. 이메일 호환 : RADIX-64 바이너리를 아스키코드로 변환
5. 세그먼테이션 : 메시지 최대 사이즈 제한

📌 PEM (Privacy Enhanced Mail)

• 중앙집중화된 키 인증 방식으로 구현이 어렵고 높은 보안성 제공
• 주로 군사 및 은행에서 사용
• 기밀성, 무결성, 인증, 세션키 분배 수행
• X.509 인증서 형식(PEM 파일)로 사용
• SSL/TLS 통신에서 인증서 및 개인 키를 저장하는 데 사용

📌 S/MIME (Secure/Multipurpose Internet Mail Extensions)

• 이메일 보안을 위한 공개 키 암호화 표준
• 메시지 내용의 Privacy를 보증하는 표준 보안 메일 프로토콜로 메일 전체를 암호화
• 인터넷 MIME 메시지에 전사 서명과 함께 암호화를 더한 프로토콜로 RSA 암호화 수행
• CA(인증기관)으로부터 자신의 공개키를 보증하는 인증서를 받아야함
• PGP보다 기업 환경에서 많이 사용됨
• 이메일 메시지 및 첨부 파일 보호
• S/MIME에서 사용하는 암호화 키
  1. DSS : 디저털 서명 알고리즘
  2. 3DES : 메시지 암호화
  3. SHA-1 : 디지털 서명을 위한 해시함수

---

📝 참고

https://blog.redsift.com/email/whats-the-difference-between-smtp-imap-and-pop3-email-protocols/
https://ccusean.tistory.com/entry/SMTP-%EA%B8%B0%EB%B3%B8-%EA%B0%9C%EB%85%90%EA%B3%BC-%EB%8F%99%EC%9E%91-%EC%9B%90%EB%A6%AC-%EC%9D%B4%EB%A9%94%EC%9D%BC-%EC%A0%84%EC%86%A1%EC%9D%98-%ED%95%B5%EC%8B%AC-%ED%94%84%EB%A1%9C%ED%86%A0%EC%BD%9C-%EC%95%8C%EC%95%84%EB%B3%B4%EA%B8%B0