EOP에서 안전한 보낸 사람 목록 Create

• 적용 대상:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

팁

Microsoft Defender XDR Office 365 플랜 2의 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. 여기에서 등록 및 평가판 조건에 대해 알아봅니 다.

사서함이 Exchange Online 있는 Microsoft 365 고객 또는 Exchange Online 사서함이 없는 독립 실행형 EOP(Exchange Online Protection) 고객인 경우 EOP는 사용자가 신뢰할 수 있는 보낸 사람으로부터 전자 메일을 받도록 하는 여러 가지 방법을 제공합니다. 전체적으로 이러한 옵션은 안전한 보낸 사람 목록으로 간주할 수 있습니다.

사용 가능한 안전한 보낸 사람 목록은 가장 권장되는 것부터 가장 권장되지 않는 것까지 순서대로 다음 목록에 설명되어 있습니다.

1. 테넌트 허용/차단 목록에서 도메인 및 전자 메일 주소(스푸핑된 보낸 사람 포함)에 대한 항목을 허용합니다.
2. 메일 흐름 규칙(전송 규칙이라고도 함).
3. Outlook 수신 허용 보낸 사람(해당 사서함에만 영향을 주는 각 사서함에 저장된 수신 허용 보낸 사람 목록)
4. IP 허용 목록(연결 필터링)
5. 허용된 보낸 사람 목록 또는 허용된 도메인 목록(스팸 방지 정책)

이 문서의 나머지 부분에는 각 메서드에 대한 세부 정보가 포함되어 있습니다.

중요

맬웨어^* 또는 높은 신뢰도 피싱으로 식별되는 메시지는 사용하는 안전한 보낸 사람 목록 옵션에 관계없이 항상 격리됩니다. 자세한 내용은 Office 365 기본적으로 보안을 참조하세요.

^* 고급 배달 정책에서 식별되는 SecOps 사서함에서 맬웨어 필터링을 건너뜁니다. 자세한 내용은 타사 피싱 시뮬레이션에 대한 고급 배달 정책 구성 및 SecOps 사서함으로의 전자 메일 배달을 참조하세요.

안전한 보낸 사람 목록을 사용하여 스팸 필터링에 대한 예외를 면밀히 모니터링해야 합니다.

분석을 위해 항상 안전한 보낸 사람 목록의 메시지를 Microsoft에 제출합니다. 지침은 Microsoft에 좋은 전자 메일 보고를 참조하세요. 메시지 또는 메시지 원본이 무해한 것으로 확인되면 Microsoft에서 메시지를 자동으로 허용할 수 있으며 안전한 보낸 사람 목록에서 항목을 수동으로 유지할 필요가 없습니다.

전자 메일을 허용하는 대신 차단된 보낸 사람 목록을 사용하여 특정 원본의 전자 메일을 차단하는 몇 가지 옵션도 있습니다. 자세한 내용은 EOP에서 차단할 보낸 사람 목록 만들기를 참조하세요.

테넌트 허용/차단 목록에서 허용 항목 사용

보낸 사람 또는 도메인의 메일을 허용하는 가장 권장되는 옵션은 테넌트 허용/차단 목록입니다. 지침은 도메인 및 전자 메일 주소에 대한 항목 허용 Create 및 스푸핑된 보낸 사람의 항목 허용 Create 참조하세요.

어떤 이유로 테넌트 허용/차단 목록을 사용할 수 없는 경우에만 다른 메서드를 사용하여 보낸 사람 허용을 고려해야 합니다.

메일 흐름 규칙 사용

참고

메시지 헤더 및 메일 흐름 규칙을 사용하여 내부 발신자를 안전한 보낸 사람으로 지정할 수 없습니다. 이 섹션의 절차는 외부 보낸 사람에게만 작동합니다.

Exchange Online 및 독립 실행형 EOP의 메일 흐름 규칙은 조건 및 예외를 사용하여 메시지를 식별하고 해당 메시지에 수행해야 하는 작업을 지정합니다. 자세한 내용은 Exchange Online 메일 흐름 규칙(전송 규칙)을 참조하세요.

다음 예제에서는 스팸 필터링을 건너뛰기 위해 contoso.com 전자 메일이 필요하다고 가정합니다. 이렇게 하려면 다음 설정을 구성합니다.

1. 조건: 보낸 사람>도메인이> contoso.com.

2. 다음 설정 중 하나를 구성합니다.

   • 메일 흐름 규칙 조건: 메시지 헤더에는다음 단어가 포함됩니다>.

     • 헤더 이름: Authentication-Results
     • 헤더 값: dmarc=pass 또는 dmarc=bestguesspass (두 값 모두 추가).

     이 조건은 보내는 전자 메일 도메인의 전자 메일 인증 상태 확인하여 보내는 도메인이 스푸핑되지 않는지 확인합니다. 전자 메일 인증에 대한 자세한 내용은 SPF, DKIM 및 DMARC를 참조하세요.

   • IP 허용 목록: 연결 필터 정책에서 원본 IP 주소 또는 주소 범위를 지정합니다. 자세한 내용은 연결 필터링 구성을 참조하세요.

     보내는 도메인이 전자 메일 인증을 사용하지 않는 경우 이 설정을 사용합니다. IP 허용 목록의 원본 IP 주소에 관해서는 최대한 제한적이어야 합니다. IP 주소 범위는 /24 이하(더 적으면 더 낫다)하는 것이 좋습니다. 소비자 서비스(예: outlook.com) 또는 공유 인프라에 속하는 IP 주소 범위를 사용하지 마세요.

   중요

   • 보낸 사람 도메인 만 스팸 필터링을 건너뛰는 조건으로 메일 흐름 규칙을 구성하지 마세요. 이렇게 하면 공격자가 보내는 도메인을 스푸핑하거나 전체 전자 메일 주소를 가장하고, 모든 스팸 필터링을 건너뛰고, 보낸 사람 인증 검사를 건너뛰어 메시지가 받는 사람의 받은 편지함에 도착할 가능성이 크게 높아집니다.

   • 소유한 도메인(허용된 도메인이라고도 함) 또는 인기 있는 도메인(예: microsoft.com)을 메일 흐름 규칙의 조건으로 사용하지 마세요. 이렇게 하면 공격자가 필터링할 수 있는 이메일을 보낼 수 있는 기회가 생기기 때문에 높은 위험으로 간주됩니다.

   • NAT(네트워크 주소 변환) 게이트웨이 뒤에 있는 IP 주소를 허용하는 경우 IP 허용 목록의 scope 알기 위해 NAT 풀에 관련된 서버를 알아야 합니다. IP 주소 및 NAT 참가자는 변경할 수 있습니다. 표준 유지 관리 절차의 일부로 IP 허용 목록 항목을 주기적으로 검사 합니다.

3. 선택적 조건:

   • 보낸 사람>내부/외부>organization 외부에서: 이 조건은 암시적이지만 올바르게 구성되지 않을 수 있는 온-프레미스 전자 메일 서버를 고려해도 괜찮습니다.
   • 주체 또는 본문>제목 또는 본문에는 이러한 단어가>< 포함됩니다.>키워드: 제목 줄 또는 메시지 본문에서 키워드 또는 구로 메시지를 추가로 제한할 수 있는 경우 해당 단어를 조건으로 사용할 수 있습니다.

4. 작업: 규칙에서 다음 작업을 모두 구성합니다.

   1. 메시지 속성> 수정SCL(스팸 신뢰도 수준)> 설정스팸 필터링을 무시합니다.

   2. 메시지 속성> 수정메시지 헤더 설정:

      • 헤더 이름: 예를 들어 입니다 X-ETR.
      • 헤더 값: 예를 들어 입니다 Bypass spam filtering for authenticated sender 'contoso.com'.

      규칙에 도메인이 두 개 이상 있는 경우 헤더 텍스트를 적절하게 사용자 지정할 수 있습니다.

메일 흐름 규칙으로 인해 메시지가 스팸 필터링을 건너뛰면 X-Forefront-Antispam-Report 헤더에 값 SFV:SKN 이 스탬프됩니다. 메시지가 IP 허용 목록에 있는 원본에서 온 경우 값 IPV:CAL 도 추가됩니다. 이러한 값은 문제 해결에 도움이 될 수 있습니다.

Outlook 수신 허용 보낸 사람 사용

주의

이 메서드는 공격자가 메일을 받은 편지함으로 성공적으로 배달할 위험이 높으며, 그렇지 않으면 필터링됩니다. 그러나 사용자의 수신 허용 보낸 사람 또는 안전한 도메인 목록에 있는 항목의 메시지가 맬웨어 또는 높은 신뢰도 피싱으로 확인되면 메시지가 필터링됩니다.

사용자 또는 관리자는 조직 설정 대신 사서함의 수신 허용 보낸 사람 목록에 보낸 사람 전자 메일 주소를 추가할 수 있습니다. 자세한 내용은 Office 365 Exchange Online 사서함에서 정크 메일 설정 구성을 참조하세요. 사서함의 수신 허용 보낸 사람 목록 항목은 해당 사서함에만 영향을 미칩니다.

보낸 사람이 필터링 스택의 일부를 무시하므로 대부분의 경우 이 메서드는 바람직하지 않습니다. 발신자를 신뢰하지만 발신자는 여전히 손상되어 악의적인 콘텐츠를 보낼 수 있습니다. 필터가 모든 메시지를 검사 잘못된 경우 Microsoft에 가양성/부정을 보고해야 합니다. 필터링 스택을 우회하면 ZAP(0시간 자동 제거)도 방해됩니다.

사용자의 수신 허용 보낸 사람 목록의 항목으로 인해 메시지가 스팸 필터링을 건너뛰면 X-Forefront-Antispam-Report 헤더 필드에는 스팸, 스푸핑 및 피싱에 대한 필터링(높은 신뢰도 피싱이 아님)이 무시되었음을 나타내는 값 SFV:SFE이 포함됩니다.

참고:

• Exchange Online 수신 허용 보낸 사람 목록의 항목이 작동하는지 또는 작동하지 않는지는 메시지를 식별한 정책의 평결 및 작업에 따라 달라집니다.
  • 정크 Email 폴더로 메시지 이동: 도메인 항목 및 보낸 사람 전자 메일 주소 항목이 적용됩니다. 해당 보낸 사람의 메시지는 정크 Email 폴더로 이동되지 않습니다.
  • 격리: 도메인 항목은 적용되지 않습니다(해당 보낸 사람의 메시지는 격리됨). 다음 명령문 중 하나가 true인 경우 Email 주소 항목이 적용됩니다(보낸 사람의 메시지는 격리되지 않음).
    • 메시지는 맬웨어 또는 높은 신뢰도 피싱(맬웨어 및 높은 신뢰도 피싱 메시지가 격리됨)으로 식별되지 않습니다.
    • 전자 메일 주소는 테넌트 허용/차단 목록의 블록 항목에도 없습니다.
• 차단된 보낸 사람 및 차단된 도메인에 대한 항목이 적용됩니다(해당 보낸 사람의 메시지는 정크 Email 폴더로 이동됨). 안전한 메일 그룹 설정은 무시됩니다.

IP 허용 목록 사용

주의

메일 흐름 규칙과 같은 추가 확인이 없으면 IP 허용 목록의 원본에서 보낸 전자 메일은 스팸 필터링 및 보낸 사람 인증(SPF, DKIM, DMARC) 검사를 건너뜁니다. 이렇게 하면 공격자가 필터링할 받은 편지함으로 전자 메일을 성공적으로 배달할 위험이 높아집니다. 그러나 IP 허용 목록에 있는 항목의 메시지가 맬웨어 또는 높은 신뢰도 피싱으로 확인되면 메시지가 필터링됩니다.

다음으로 가장 좋은 옵션은 연결 필터 정책의 IP 허용 목록에 원본 전자 메일 서버 또는 서버를 추가하는 것입니다. 자세한 내용은 EOP에서 연결 필터링 구성을 참조하세요.

참고:

• 허용되는 IP 주소 수를 최소한으로 유지하는 것이 중요하므로 가능하면 전체 IP 주소 범위를 사용하지 마세요.
• 소비자 서비스(예: outlook.com) 또는 공유 인프라에 속하는 IP 주소 범위를 사용하지 마세요.
• IP 허용 목록의 항목을 정기적으로 검토하고 더 이상 필요하지 않은 항목을 제거합니다.

허용된 보낸 사람 목록 또는 허용된 도메인 목록 사용

주의

이 메서드는 공격자가 메일을 받은 편지함으로 성공적으로 배달할 위험이 높으며, 그렇지 않으면 필터링됩니다. 그러나 허용된 보낸 사람 또는 허용된 도메인 목록에 있는 항목의 메시지가 맬웨어 또는 높은 신뢰도 피싱으로 확인되면 메시지가 필터링됩니다.

허용된 도메인 목록에서 인기 있는 도메인(예: microsoft.com)을 사용하지 마세요.

가장 바람직하지 않은 옵션은 스팸 방지 정책에서 허용된 보낸 사람 목록 또는 허용된 도메인 목록을 사용하는 것입니다. 발신자가 모든 스팸, 스푸핑, 피싱 보호(높은 신뢰도 피싱 제외) 및 보낸 사람 인증(SPF, DKIM, DMARC)을 무시하므로 가능한 경우 이 옵션을 피해야 합니다. 이 방법은 임시 테스트에만 사용하는 것이 가장 좋습니다. 자세한 단계는 EOP에서 스팸 방지 정책 구성 항목에서 찾을 수 있습니다.

이러한 목록의 최대 한도는 약 1,000개 항목입니다. 하지만 포털에 30개의 항목만 입력할 수 있습니다. PowerShell을 사용하여 30개 이상의 항목을 추가해야 합니다.

참고

2022년 9월부터 허용된 보낸 사람, 도메인 또는 하위 도메인이 organization 허용된 도메인에 있는 경우 해당 보낸 사람, 도메인 또는 하위 도메인은 스팸 방지 필터링을 건너뛰기 위해 이메일 인증 검사를 통과해야 합니다.

대량 전자 메일에 대한 고려 사항

표준 SMTP 전자 메일 메시지는 메시지 봉투 및 메시지 콘텐츠로 구성됩니다. 메시지 봉투에는 SMTP 서버 간에 메시지를 전송하고 전달하는 데 필요한 정보가 포함되어 있습니다. 메시지 콘텐츠에는 메시지 헤더 필드(전체적으로 메시지 헤더라고 함) 및 메시지 본문이 포함됩니다. 메시지 봉투는 RFC 5321에 설명되어 있으며 메시지 헤더는 RFC 5322에 설명되어 있습니다. 수신자는 메시지 전송 프로세스에 의해 생성되고 실제로 메시지의 일부가 아니기 때문에 실제 메시지 봉투를 볼 수 없습니다.

• 5321.MailFrom 주소(MAIL FROM 주소, P1 보낸 사람 또는 봉투 보낸 사람라고도 함)는 메시지의 SMTP 전송에 사용되는 이메일 주소입니다. 이 전자 메일 주소는 일반적으로 메시지 헤더의 Return-Path 헤더 필드에 기록됩니다(보낸 사용자가 다른 Return-Path 전자 메일 주소를 지정할 수 있지만). 메시지를 배달할 수 없는 경우 배달 못 함 보고서(NDR 또는 반송 메시지라고도 함)의 수신자입니다.
• 5322.From 보낸 사람 주소 또는 P2 발신자라고도 하는 주소는 보낸 사람 헤더 필드의 전자 메일 주소이며 전자 메일 클라이언트에 표시되는 보낸 사람의 전자 메일 주소입니다.

및 주소가 5321.MailFrom5322.From 동일한 경우가 많습니다(개인 간 통신). 그러나 다른 사람을 대신하여 전자 메일을 보내면 주소가 다를 수 있습니다. 대량 전자 메일 메시지의 경우 가장 자주 발생합니다.

예를 들어 Blue Yonder Airlines가 광고 이메일 메시지를 보내기 위해 Margie's Travel을 고용한 경우를 가정해 보겠습니다. 받은 편지함에서 받는 메시지에는 다음과 같은 속성이 있습니다.

• 주소는 5321.MailFrom 입니다 blueyonder.airlines@margiestravel.com.
• 주소는 5322.Fromblueyonder@news.blueyonderairlines.comOutlook에 표시되는 주소입니다.

EOP에서 스팸 방지 정책의 안전한 보낸 사람 목록 및 안전한 도메인 목록은 주소만 5322.From 검사합니다. 이 동작은 주소를 사용하는 Outlook 수신 허용 보낸 사람과 유사합니다 5322.From .

이 메시지가 필터링되지 않도록 하려면 다음 단계를 수행할 수 있습니다.

• Outlook Safe Sender로 (5322.From주소)를 추가 blueyonder@news.blueyonderairlines.com 합니다.
• (주소), (5322.From5321.MailFrom 주소) blueyonder.airlines@margiestravel.com 또는 둘 다에서 blueyonder@news.blueyonderairlines.com 메시지를 찾는 조건과 함께 메일 흐름 규칙을 사용합니다.