RBL(RealTime Blocking List) 기능은 무엇인가요?

  • 업데이트 시간

안녕하세요.

사용자의 눈높이에 맞춘 이메일보안 지킴이 지란지니입니다.

 

Q. RBL이란 무엇인가요?

RBL은 스팸 메일을 실시간으로 차단하기 위해 전 세계적으로 범용 사용되는 표준 보안 기술입니다.

RBL(Real-time Blocking List / Real-time Blackhole List)은 메일 송신 측의 IP가 유해 IP 목록에 등록되어 있는지를 DNS 쿼리(도메인 기반 실시간 조회)를 통해 확인하고 차단하는 방식입니다. SMTP 연결(메일 서버 간 통신 연결) 수립 시 송신 IP를 실시간으로 조회하기 때문에 DNSBL이라고도 부릅니다.

Q. RBL IP 목록은 어디서 관리하나요?

RBL IP는 전 세계 여러 기관에서 독립적으로 수집·관리합니다.

대표적인 관리 기관 및 업체는 다음과 같습니다.

기관/업체 유형 비고
SPAMHAUS Project 비영리 영국 런던 설립, 전 세계 가장 널리 참조됨
BARRACUDA 영리 자체 RBL 주소 공개 제공
SPAMCOP 비영리 범용 블랙리스트 운영
Cisco TALOS 글로벌 보안 기업 자체 블랙리스트 운영
Broadcom(구 Symantec) 글로벌 보안 기업 자체 블랙리스트 운영

Q. RBL 조회는 어떤 방식으로 동작하나요?

송신 IP를 역순으로 배열한 뒤, 조회 대상 RBL 서버 주소를 붙여 DNS 쿼리를 실행하는 방식으로 동작합니다.

예를 들어 58.229.237.142라는 IP를 SPAMHAUS(zen.spamhaus.org)에서 조회할 경우, 아래와 같이 입력합니다.

 
nslookup 142.237.229.58.zen.spamhaus.org
  • 정상 IP(블랙리스트 미등록): NXDOMAIN 응답 반환 → 등록된 항목 없음을 의미하며, 정상 상태입니다.
  • 차단 IP(블랙리스트 등록): 127.0.0.x 형태의 응답 반환 → 해당 IP가 블랙리스트에 등록된 상태입니다.

NXDOMAIN 응답은 오류가 아니며, 블랙리스트에 등록되지 않은 정상 IP임을 나타냅니다.

블랙리스트 조회 및 해제

Q. 발송 서버 IP가 RBL에 등록되어 있는지 어떻게 확인하나요?

MXToolBox 사이트를 이용하면 여러 RBL 기관에 대한 등록 여부를 한 번에 조회할 수 있습니다.

조회 방법:

  1. MXToolBox Blacklist 조회 페이지 접속
  2. Blacklist 항목에 조회할 IP 입력
  3. Blacklist Check 선택

조회 결과에서 LISTED 항목이 있을 경우 Detail을 선택하면 해당 기관의 블랙리스트 해제 신청 페이지로 이동할 수 있습니다.

Q. 발송 서버 IP가 RBL에 등록된 경우 해제는 어떻게 하나요?

각 RBL 운영 기관의 해제 신청 페이지에서 직접 신청해야 하며, 기관마다 절차가 다릅니다.

일반적인 해제 절차는 다음과 같습니다.

  1. 해당 기관 사이트의 Removal 또는 Delist Request 메뉴 접속
  2. 다음 정보 입력 후 티켓 접수:
    • 해제 신청 IP
    • 관리자 이메일 주소 (인증 메일 수신용)
    • 신청 사유 (영문 작성 필요)
  3. 처리 기간: 기관에 따라 당일~2~3일 소요
  4. 해제 완료 후 별도 회신이 없는 경우가 대부분이므로, 주기적으로 직접 조회하여 해제 여부를 확인합니다.

발송 서버 IP가 RBL에 등록되는 원인은 복합적일 수 있습니다. 원인을 파악하지 않고 해제만 반복할 경우 재등록될 수 있으므로, 이메일 서비스 공급업체를 통해 원인을 먼저 확인하는 것을 권장합니다.

주요 등록 원인 예시:

  • PTR 레코드(Reverse DNS, 발송 서버 IP의 역방향 도메인 등록)가 설정되지 않은 경우
  • 이메일 계정 정보가 탈취되어 해당 서버를 통한 스팸 대량 발송이 감지된 경우
  • 방화벽의 NAT(네트워크 주소 변환) 설정 오류로 다른 서버가 메일 서버 공인 IP를 공유하여 의도치 않게 대량 발송 IP로 탐지된 경우

자주 발생하는 문제

Q. RBL 기능이 활성화되어 있는데 차단 건수가 0건입니다.

서버에 설정된 DNS가 Google Public DNS(8.8.8.8)인 경우 RBL 조회가 정상 동작하지 않을 수 있습니다.

Google Public DNS는 RBL 쿼리에 대해 항상 NXDOMAIN을 반환하도록 설계되어 있어, RBL 차단이 전혀 이루어지지 않습니다.

조치 방법: 서버의 1차 DNS를 8.8.8.8이 아닌 자체 네임서버 또는 국내 공개 DNS로 변경한 후 조회 결과를 다시 확인합니다.

참고: 동일한 이유로, 관리자 PC의 DNS가 8.8.8.8로 설정된 경우 로컬 명령어 테스트에서 차단이 안 되는 것으로 표시될 수 있습니다. 서버 환경에서 직접 테스트하는 것을 권장합니다.

Q. AWS 환경에 설치 후 정상 IP임에도 수신 메일 전체가 RBL로 차단됩니다.

AWS에서 제공하는 기본 DNS를 사용하는 경우, SPAMHAUS의 정책에 따라 오류 응답(127.255.255.254)이 반환되어 모든 IP가 차단 대상으로 처리됩니다.

SPAMHAUS는 소규모 비상업적 용도에 한해 무료 조회를 제공하며, AWS와 같은 상업용 클라우드 환경에서는 정상 조회 대신 오류 코드를 반환하도록 구성되어 있습니다. 스팸 차단 솔루션이 이 오류 코드를 블랙리스트 등록 응답으로 해석하여 전체 차단이 발생합니다.

조치 방법: AWS에서 제공하는 기본 DNS 대신, 별도의 공개 DNS로 변경하여 운영합니다.

참고: SPAMHAUS 공식 가이드 - AWS DNS 관련 안내

Q. SPAMHAUS 사이트에서는 정상으로 표시되는데, 스팸 솔루션에서는 여전히 RBL로 차단됩니다.

블랙리스트 해제 후 DNS 캐시(일시적으로 저장된 이전 조회 결과)가 갱신되기 전까지 일시적으로 발생할 수 있는 현상입니다.

DNS 전파에는 시간이 소요될 수 있으므로, 해제 확인 후 다음 날 서버에서 직접 재조회하여 정상 해제 여부를 확인합니다.

추가 문의 사항이 있으시면 기술지원팀(1600-8300)으로 언제든지 연락해 주시기 바랍니다.'

관련 문서