다음을 통해 공유


EOP에서 안전한 보낸 사람 목록 만들기

Microsoft Defender XDR Office 365 플랜 2의 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. Office 365용 Microsoft Defender 시도에서 누가 등록하고 평가판을 사용할 수 있는지에 대해 알아봅니다.

사서함이 Exchange Online 있는 Microsoft 365 고객 또는 Exchange Online 사서함이 없는 독립 실행형 EOP(Exchange Online Protection) 고객인 경우 EOP는 사용자가 신뢰할 수 있는 보낸 사람으로부터 전자 메일을 받도록 하는 여러 가지 방법을 제공합니다. 전체적으로 이러한 옵션은 안전한 보낸 사람 목록으로 간주할 수 있습니다.

다음 목록에는 EOP에서 보낸 사람이 가장 권장되는 방법부터 최소 권장까지 사용할 수 있는 메서드가 포함되어 있습니다.

  1. 테넌트 허용/차단 목록에서 도메인 및 전자 메일 주소(스푸핑된 보낸 사람 포함)에 대한 항목을 허용합니다.
  2. Exchange 메일 흐름 규칙(전송 규칙이라고도 함).
  3. Outlook 수신 허용 보낸 사람(해당 사서함에만 영향을 주는 각 사서함의 수신 허용 보낸 사람 목록)
  4. IP 허용 목록(연결 필터링)
  5. 허용된 보낸 사람 목록 또는 허용된 도메인 목록(스팸 방지 정책)

이 문서의 나머지 부분에는 각 메서드에 대한 세부 정보가 포함되어 있습니다.

중요

맬웨어* 또는 높은 신뢰도 피싱으로 식별되는 메시지는 사용하는 안전한 보낸 사람 목록 옵션에 관계없이 항상 격리됩니다. 자세한 내용은 Office 365 기본적으로 보안을 참조하세요.

* 고급 배달 정책에서 식별되는 SecOps 사서함에서 맬웨어 필터링을 건너뜁니다. 자세한 내용은 타사 피싱 시뮬레이션에 대한 고급 배달 정책 구성 및 SecOps 사서함으로의 전자 메일 배달을 참조하세요.

안전한 보낸 사람 목록을 사용하여 스팸 필터링에 대한 예외를 면밀히 모니터링해야 합니다.

분석을 위해 항상 안전한 보낸 사람 목록의 메시지를 Microsoft에 제출합니다. 지침은 Microsoft에 좋은 전자 메일 보고를 참조하세요. 메시지 또는 메시지 원본이 무해한 것으로 확인되면 Microsoft에서 메시지를 자동으로 허용할 수 있으며 안전한 보낸 사람 목록에서 항목을 수동으로 유지할 필요가 없습니다.

전자 메일을 허용하는 대신 차단된 보낸 사람 목록을 사용하여 특정 원본의 전자 메일을 차단하는 몇 가지 옵션도 있습니다. 자세한 내용은 EOP에서 차단할 보낸 사람 목록 만들기를 참조하세요.

테넌트 허용/차단 목록에서 허용 항목 사용

보낸 사람 또는 도메인의 메일을 허용하는 가장 권장되는 옵션은 테넌트 허용/차단 목록입니다. 지침은 도메인 및 전자 메일 주소에 대한 허용 항목 만들기 및스푸핑된 보낸 사람의 허용 항목 만들기를 참조하세요.

어떤 이유로 테넌트 허용/차단 목록을 사용할 수 없는 경우에만 다른 메서드를 사용하여 보낸 사람 허용을 고려해야 합니다.

메일 흐름 규칙 사용

참고

메시지 헤더 및 메일 흐름 규칙을 사용하여 내부 발신자를 안전한 보낸 사람으로 지정할 수 없습니다. 이 섹션의 절차는 외부 보낸 사람에게만 작동합니다.

Exchange Online 및 독립 실행형 EOP의 메일 흐름 규칙은 조건 및 예외를 사용하여 메시지를 식별하고 해당 메시지에 수행해야 하는 작업을 지정합니다. 자세한 내용은 Exchange Online 메일 흐름 규칙(전송 규칙)을 참조하세요.

다음 예제에서는 스팸 필터링을 건너뛰기 위해 contoso.com 전자 메일이 필요하다고 가정합니다. 다음 설정을 구성합니다.

  1. (조건): 보낸 사람>도메인이> contoso.com 경우 이 규칙을 적용합니다.

  2. 다음 설정 중 하나를 구성합니다.

    • (추가 조건): 메시지 헤더에다음 단어가 포함된경우 이 규칙을 적용합니다>.

      • 텍스트 입력(헤더 이름): Authentication-Results
      • 단어 (헤더 값): dmarc=pass 또는 dmarc=bestguesspass (두 값 모두 추가)을 입력합니다.

      이 조건은 보내는 전자 메일 도메인의 전자 메일 인증 상태 확인하여 보내는 도메인이 스푸핑되지 않는지 확인합니다. 전자 메일 인증에 대한 자세한 내용은 Microsoft 365의 Email 인증을 참조하세요.

    • IP 허용 목록: 연결 필터 정책에서 원본 IP 주소 또는 주소 범위를 지정합니다. 자세한 내용은 연결 필터링 구성을 참조하세요.

      보내는 도메인이 전자 메일 인증을 사용하지 않는 경우 이 설정을 사용합니다. IP 허용 목록의 원본 IP 주소에 관해서는 최대한 제한적이어야 합니다. IP 주소 범위는 /24 이하(더 적으면 더 낫다)하는 것이 좋습니다. 소비자 서비스(예: outlook.com) 또는 공유 인프라에 속하는 IP 주소 범위를 사용하지 마세요.

    중요

    • 보낸 사람 도메인 스팸 필터링을 건너뛰는 조건으로 메일 흐름 규칙을 구성하지 마세요. 이렇게 하면 공격자가 보내는 도메인을 스푸핑하거나 전체 전자 메일 주소를 가장하고, 모든 스팸 필터링을 건너뛰고, 보낸 사람 인증 검사를 건너뛰어 메시지가 받는 사람의 받은 편지함에 도착할 가능성이 크게 높아집니다.

    • 사용자가 소유한 도메인(허용된 도메인이라고도 함) 또는 인기 있는 도메인(예: microsoft.com)을 메일 흐름 규칙의 조건으로 사용하지 마세요. 공격자가 필터링할 수 있는 이메일을 보낼 수 있는 기회가 생기기 때문입니다.

    • NAT(네트워크 주소 변환) 게이트웨이 뒤에 있는 IP 주소를 허용하는 경우 NAT 풀에 관련된 서버를 알아야 합니다. IP 주소 및 NAT 참가자는 변경할 수 있습니다. 표준 유지 관리 절차의 일부로 IP 허용 목록 항목을 주기적으로 검사 합니다.

  3. 선택적 조건:

    • 보낸 사람>내부/외부>organization 외부에서: 이 조건은 암시적이지만 올바르게 구성되지 않을 수 있는 온-프레미스 전자 메일 서버를 고려해도 괜찮습니다.
    • 주체 또는 본문>제목 또는 본문에는 이러한 단어가>< 포함됩니다.>키워드: 제목 줄 또는 메시지 본문에서 키워드 또는 구로 메시지를 추가로 제한할 수 있는 경우 해당 단어를 조건으로 사용할 수 있습니다.
  4. 다음( 작업) 수행: 규칙에서 다음 작업을 모두 구성합니다.

    1. 메시지 속성> 수정SCL(스팸 신뢰도 수준)> 설정스팸 필터링을 무시합니다.

    2. 메시지 속성> 수정메시지 헤더 설정:

      • 텍스트 (헤더 이름): 예를 들어 X-ETR를 입력합니다.
      • 단어 (헤더 값)를 입력합니다(예: Bypass spam filtering for authenticated sender 'contoso.com').

      규칙에서 둘 이상의 도메인에 대해 헤더 텍스트를 적절하게 사용자 지정할 수 있습니다.

메일 흐름 규칙으로 인해 메시지가 스팸 필터링을 건너뛰면 X-Forefront-Antispam-Report 헤더에 값 SFV:SKN 이 스탬프됩니다. 메시지가 IP 허용 목록에 있는 원본에서 온 경우 값 IPV:CAL 도 추가됩니다. 이러한 값은 문제 해결에 도움이 될 수 있습니다.

스팸 필터링을 우회하기 위한 새 EAC의 메일 흐름 규칙 설정 예제입니다.

Outlook 수신 허용 보낸 사람 사용

주의

이 메서드는 공격자가 메일을 받은 편지함으로 성공적으로 배달할 위험이 높고, 그렇지 않으면 필터링됩니다. 맬웨어 또는 높은 신뢰도 피싱으로 확인된 메시지는 필터링됩니다. 자세한 내용은 사용자 및 테넌트 설정 충돌을 참조하세요.

사용자 또는 관리자는 조직 설정 대신 사서함의 수신 허용 보낸 사람 목록에 보낸 사람 전자 메일 주소를 추가할 수 있습니다. 사서함의 수신 허용 보낸 사람 목록 항목은 해당 사서함에만 영향을 미칩니다. 지침은 다음 문서를 참조하세요.

보낸 사람이 필터링 스택의 일부를 무시하므로 대부분의 경우 이 메서드는 바람직하지 않습니다. 발신자를 신뢰하지만 발신자는 여전히 손상되어 악의적인 콘텐츠를 보낼 수 있습니다. 필터가 모든 메시지를 검사 잘못된 경우 Microsoft에 가양성/부정을 보고해야 합니다. 필터링 스택을 우회하면 ZAP(0시간 자동 제거)도 방해됩니다.

사용자의 수신 허용 보낸 사람 목록의 항목으로 인해 메시지가 스팸 필터링을 건너뛰면 X-Forefront-Antispam-Report 헤더 필드에는 스팸, 스푸핑 및 피싱에 대한 필터링(높은 신뢰도 피싱이 아님)이 무시되었음을 나타내는 값 SFV:SFE이 포함됩니다.

  • Exchange Online 수신 허용 보낸 사람 목록의 항목이 작동하는지 또는 작동하지 않는지는 메시지를 식별한 정책의 평결 및 작업에 따라 달라집니다.
    • 정크 Email 폴더로 메시지 이동: 도메인 항목 및 보낸 사람 전자 메일 주소 항목이 적용됩니다. 해당 보낸 사람의 메시지는 정크 Email 폴더로 이동되지 않습니다.
    • 격리: 도메인 항목은 적용되지 않습니다(해당 보낸 사람의 메시지는 격리됨). 다음 문 중 하나가 true인 경우 Email 주소 항목이 적용됩니다(보낸 사람의 메시지는 격리되지 않음).
      • 메시지는 맬웨어 또는 높은 신뢰도 피싱(맬웨어 및 높은 신뢰도 피싱 메시지가 격리됨)으로 식별되지 않습니다.
      • 전자 메일 메시지의 이메일 주소, URL 또는 파일도 테넌트 허용/차단 목록의 블록 항목에 없습니다.
  • 차단된 보낸 사람 및 차단된 도메인에 대한 항목이 적용됩니다(해당 보낸 사람의 메시지는 정크 Email 폴더로 이동됨). 안전한 메일 그룹 설정은 무시됩니다.

IP 허용 목록 사용

주의

메일 흐름 규칙과 같은 추가 확인이 없으면 IP 허용 목록의 원본에서 보낸 전자 메일은 스팸 필터링 및 보낸 사람 인증(SPF, DKIM, DMARC) 검사를 건너뜁니다. 이 메서드는 공격자가 메일을 받은 편지함으로 성공적으로 배달할 위험이 높고, 그렇지 않으면 필터링됩니다. 맬웨어 또는 높은 신뢰도 피싱으로 확인된 메시지는 필터링됩니다. 자세한 내용은 사용자 및 테넌트 설정 충돌을 참조하세요.

다음으로 가장 좋은 옵션은 연결 필터 정책의 IP 허용 목록에 원본 전자 메일 서버를 추가하는 것입니다. 자세한 내용은 EOP에서 연결 필터링 구성을 참조하세요.

  • 허용되는 IP 주소 수를 최소한으로 유지하는 것이 중요하므로 가능하면 전체 IP 주소 범위를 사용하지 마세요.
  • 소비자 서비스(예: outlook.com) 또는 공유 인프라에 속하는 IP 주소 범위를 사용하지 마세요.
  • IP 허용 목록의 항목을 정기적으로 검토하고 더 이상 필요하지 않은 항목을 제거합니다.

허용된 보낸 사람 목록 또는 허용된 도메인 목록 사용

주의

이 메서드는 공격자가 메일을 받은 편지함으로 성공적으로 배달할 위험이 높고, 그렇지 않으면 필터링됩니다. 맬웨어 또는 높은 신뢰도 피싱으로 확인된 메시지는 필터링됩니다. 자세한 내용은 사용자 및 테넌트 설정 충돌을 참조하세요.

허용된 도메인 목록에서 인기 있는 도메인(예: microsoft.com)을 사용하지 마세요.

가장 바람직하지 않은 옵션은 사용자 지정 스팸 방지 정책 또는 기본 스팸 방지 정책에서 허용된 보낸 사람 목록 또는 허용된 도메인 목록을 사용하는 것입니다. 발신자가 모든 스팸, 스푸핑, 피싱 보호(높은 신뢰도 피싱 제외) 및 보낸 사람 인증(SPF, DKIM, DMARC)을 무시하므로 가능한 경우 이 옵션을 피해야 합니다. 이 방법은 임시 테스트에만 사용하는 것이 가장 좋습니다. 자세한 단계는 EOP에서 스팸 방지 정책 구성에서 찾을 수 있습니다.

이러한 목록의 최대 한도는 약 1,000개 항목이지만 Microsoft Defender 포털에서 최대 30개의 항목을 입력할 수 있습니다. PowerShell을 사용하여 30개 이상의 항목을 추가합니다.

참고

2022년 9월부터 허용된 보낸 사람, 도메인 또는 하위 도메인이 organization 허용된 도메인에 있는 경우 해당 보낸 사람, 도메인 또는 하위 도메인은 스팸 방지 필터링을 건너뛰기 위해 이메일 인증 검사를 통과해야 합니다.

대량 전자 메일에 대한 고려 사항

표준 SMTP 전자 메일 메시지에는 인터넷 전자 메일에 인증이 필요한 이유에 설명된 대로 다른 보낸 사람 전자 메일 주소가 포함될 수 있습니다. 다른 사람을 대신하여 전자 메일을 보내면 주소가 다를 수 있습니다. 이 조건은 대량 전자 메일 메시지에 대해 자주 발생합니다.

예를 들어 Blue Yonder Airlines가 광고 이메일 메시지를 보내기 위해 Margie's Travel을 고용한다고 가정해 보겠습니다. 받은 편지함에서 받는 메시지에는 다음과 같은 속성이 있습니다.

  • 메일 보낸 사람 주소(주소, P1 보낸 사람 또는 봉투 보낸 사람라고도 함 5321.MailFrom )는 입니다 blueyonder.airlines@margiestravel.com.
  • 보낸 사람 주소(주소 또는 P2 발신자라고도 함 5322.From )는 Outlook에 표시되는 입니다 blueyonder@news.blueyonderairlines.com.

EOP에서 스팸 방지 정책의 안전한 보낸 사람 목록 및 안전한 도메인 목록은 보낸 사람 주소만 검사합니다. 이 동작은 보낸 사람 주소를 사용하는 Outlook 수신 허용 보낸 사람과 유사합니다.

이 메시지가 필터링되지 않도록 하려면 다음 단계를 수행할 수 있습니다.

  • Outlook Safe Sender로 (보낸 사람 주소)를 추가 blueyonder@news.blueyonderairlines.com 합니다.
  • (보낸 사람 주소), (MAIL FROM 주소) blueyonder.airlines@margiestravel.com 또는 둘 다에서 blueyonder@news.blueyonderairlines.com 메시지를 찾는 조건과 함께 메일 흐름 규칙을 사용합니다.