다음을 통해 공유


Exchange Online에서 타사 클라우드 서비스를 사용하여 메일 흐름 관리

이 항목에서는 Exchange Online을 사용하는 다음과 같은 복잡한 메일 흐름 시나리오에 대해 설명합니다.

시나리오 1 - MX 레코드가 타사 스팸 필터링을 가리킵니다.

시나리오 2 - MX 레코드가 스팸 필터링 없이 타사 솔루션을 가리킵니다.

참고

이 항목의 예제에서는 도메인 contoso.com 소유하고 Exchange Online의 테넌트인 가상의 조직 Contoso를 사용합니다. 이것은 단지 예일 뿐입니다. 필요한 경우 조직의 도메인 이름 및 타사 서비스 IP 주소에 맞게 이 예제를 조정할 수 있습니다.

Microsoft 365 또는 Office 365에서 타사 클라우드 서비스 사용

시나리오 1 - MX 레코드가 타사 스팸 필터링을 가리킵니다.

중요

Microsoft는 커넥터에 대해 향상된 필터링을 사용하도록 설정하거나 메일 흐름 규칙을 사용하여 필터링을 완전히 우회하는 것이 좋습니다(체크 아웃 지점 5). 이 단계를 수행하지 못하면 필연적으로 조직에 대한 인바운드 주 분류가 잘못 분류되고 Microsoft 365 전자 메일 및 보호 기능에 대한 하위 환경이 발생합니다.

또한 서비스에서 ARC 봉인을 지원하는 경우 전송 중인 메시지를 신뢰할 수 있는 ARC 실러로 수정하는 타사 서비스를 추가하는 것이 좋습니다. 서비스를 신뢰할 수 있는 ARC 실러로 추가하면 영향을 받는 메시지가 전자 메일 인증 검사를 통과하는 데 도움이 되며 합법적인 메시지가 정크 메일 폴더로 배달되거나 격리되거나 거부되지 않도록 방지할 수 있습니다. 메시지를 수정하고 ARC 봉인을 지원하지 않는 타사 서비스는 해당 메시지의 DKIM 서명을 무효화합니다. 이러한 경우 스푸핑 검색 보고서를 검토하고 스푸핑된 보낸 사람이 합법적인 메시지에 대한 전자 메일 인증 실패를 재정의할 수 있도록 허용 항목을 만들어야 합니다.

Exchange Online을 사용하여 조직의 모든 사서함을 호스트할 계획입니다. 조직에서는 스팸, 맬웨어 및 피싱 필터링에 타사 클라우드 서비스를 사용합니다. 인터넷의 모든 전자 메일은 먼저 Microsoft 365 또는 Office 365로 라우팅되기 전에 이 타사 클라우드 서비스에 의해 필터링되어야 합니다.

이 시나리오의 경우, 조직의 메일 흐름 설정은 다음 다이어그램과 유사합니다.

인터넷에서 타사 필터링 서비스로 Microsoft 365 또는 Office 365로의 인바운드 전자 메일과 Microsoft 365 또는 Office 365에서 인터넷으로의 아웃바운드 메일을 보여 주는 메일 흐름 다이어그램

Microsoft 365 또는 Office 365에서 타사 클라우드 필터링 서비스를 사용하는 모범 사례

  1. Microsoft 365 또는 Office 365에서 사용자 지정 도메인을 추가합니다. 도메인 소유권을 증명하려면 Microsoft 365에서 도메인 추가를 참조하세요.

  2. Exchange Online에서 사용자 사서함 만들기 또는 Microsoft 365 또는 Office 365로 모든 사용자 사서함 이동하기.

  3. 1단계에서 추가한 도메인의 DNS 레코드를 업데이트합니다. (어떻게 해야 할지 모르겠습니까? 이 페이지의 지침을 따릅니다.) 다음 DNS 레코드는 메일 흐름을 제어합니다.

    • MX 레코드: 도메인의 MX 레코드는 타사 서비스 공급자를 가리킵니다. MX 레코드를 구성하는 방법에 대한 지침을 따릅니다.

    • SPF 레코드: 도메인에서 인터넷으로 보낸 모든 메일은 Microsoft 365 또는 Office 365에서 시작되므로 SPF 레코드에는 Microsoft 365 또는 Office 365의 표준 값이 필요합니다.

      v=spf1 include:spf.protection.outlook.com -all
      

      조직에서 서비스를 통해 아웃바운드 인터넷 전자 메일을 보내는 경우에만 SPF 레코드에 타사 서비스를 포함해야 합니다(여기서 타사 서비스는 도메인에서 전자 메일의 원본이 됩니다).

    이 시나리오를 구성하는 경우 타사 서비스에서 전자 메일을 받도록 구성해야 하는 "호스트"가 MX 레코드에 지정됩니다. 예를 들면

    예제 호스트 이름 값입니다.

    이 예제에서는 Microsoft 365 또는 Office 365 호스트의 호스트 이름을 hubstream-mx.mail.protection.outlook.com 합니다. 이 값은 도메인마다 다를 수 있으므로 구성>도메인><선택 도메인> 에서 값을 확인하여 실제 값을 확인합니다.

  4. Exchange Online 조직을 잠그고 타사 서비스의 메일만 수락합니다.

    TlsSenderCertificateName(기본 설정) 또는 SenderIpAddresses 매개 변수를 사용하여 파트너 인바운드 커넥터를 만들고 구성한 다음 해당 RestrictDomainsToCertificate 또는 RestrictDomainsToIPAddresses 매개 변수를 $True 설정합니다. 스마트 호스트가 Exchange Online으로 직접 라우팅되는 모든 메시지는 거부됩니다(지정된 인증서를 사용하거나 지정된 IP 주소에서 연결을 통해 도착하지 않았기 때문).

    예를 들면

    New-InboundConnector -Name "Reject mail not routed through MX (third-party service name)" -ConnectorType Partner -SenderDomains * -RestrictDomainsToCertificate $true -TlsSenderCertificateName *.contoso.com -RequireTls $true
    

    또는

    New-InboundConnector -Name "Reject mail not routed through MX (third-party service name)" -ConnectorType Partner -SenderDomains * -RestrictDomainsToIPAddresses $true -SenderIpAddresses <#static list of on-premises IPs or IP ranges of the third-party service>
    

    참고

    동일한 인증서 또는 보낸 사람 IP 주소 에 대한 OnPremises 인바운드 커넥터가 이미 있는 경우 파트너 인바운드 커넥터를 만들어야 합니다( RestrictDomainsToCertificateRestrictDomainsToIPAddresses 매개 변수는 파트너 커넥터에만 적용됨). 두 커넥터는 문제 없이 공존할 수 있습니다.

  5. 이 단계에는 두 가지 옵션이 있습니다.

    • 커넥터에 대한 향상된 필터링 사용(권장): 타사 애플리케이션에서 메시지를 수신하는 파트너 인바운드 커넥터에서 커넥터에 대한 향상된 필터링 (목록 건너뛰기라고도 함)을 사용합니다. 이렇게 하면 EOP 및 Office 365용 Microsoft Defender XDR이 메시지를 검사할 수 있습니다.

      참고

      타사 애플리케이션이 Exchange Online으로 보내기 위해 온-프레미스 Exchange 서버를 사용하는 하이브리드 시나리오의 경우 Exchange Online의 OnPremises 인바운드 커넥터에서 커넥터에 대한 향상된 필터링을 사용하도록 설정해야 합니다.

    • 스팸 필터링 무시: 메일 흐름 규칙(전송 규칙이라고도 함)을 사용하여 스팸 필터링을 우회합니다. 이 옵션은 대부분의 EOP 및 Defender for Office 365 컨트롤을 방지하므로 이중 스팸 방지 검사를 방지합니다.

      이중 검사를 방지하기 위한 메일 흐름 규칙입니다.

      중요

      메일 흐름 규칙을 사용하여 스팸 필터링을 우회하는 대신 커넥터에 대한 향상된 필터링(목록 건너뛰기이라고도 함)을 사용하도록 설정하는 것이 좋습니다. 대부분의 타사 클라우드 스팸 방지 공급자는 많은 고객 간에 IP 주소를 공유합니다. 이러한 IP에서 검사를 우회하면 이러한 IP 주소에서 스푸핑 및 피싱 메시지가 허용될 수 있습니다.

시나리오 2 - MX 레코드가 스팸 필터링 없이 타사 솔루션을 가리킵니다.

Exchange Online을 사용하여 조직의 모든 사서함을 호스트할 계획입니다. 인터넷에서 내 도메인으로 전송되는 모든 전자 메일은 Exchange Online에 도착하기 전에 먼저 타사 보관 또는 감사 서비스를 통해 전달되어야 합니다. Exchange Online 조직에서 인터넷으로 전송되는 모든 아웃바운드 전자 메일도 서비스를 통해 전달되어야 합니다. 그러나 서비스는 스팸 필터링 솔루션을 제공하지 않습니다.

이 시나리오에서는 커넥터에 대해 향상된 필터링을 사용해야 합니다. 그렇지 않으면 모든 인터넷 보낸 사람의 메일이 인터넷의 실제 원본이 아닌 타사 서비스에서 시작된 것으로 보입니다.

인터넷에서 타사 솔루션으로 Office 365 또는 Microsoft 365로의 인바운드 메일을 보여 주는 메일 흐름 다이어그램 및 Microsoft 365 또는 Office 365에서 타사 솔루션으로의 아웃바운드 메일을 표시한 다음 인터넷에 표시합니다.

Microsoft 365 또는 Office 365에서 타사 클라우드 서비스를 사용하는 모범 사례

Microsoft 365 및 Office 365에서 제공하는 보관 및 감사 솔루션을 사용하는 것이 좋습니다.

참고 항목

Exchange Online, Microsoft 365, Office 365에 대한 메일 흐름 모범 사례(개요)

중앙 집중식 메일 전송을 사용하는 경우 일부 메시지는 온-프레미스 조직을 통해 라우팅되지 않습니다.

파트너 조직과의 보안 메일 흐름을 위한 커넥터 설정

Microsoft 365 또는 Office 365를 사용하여 모든 사서함 및 메일 흐름 관리

여러 위치에서 사서함을 사용하여 메일 흐름 관리(Microsoft 365 또는 Office 365 및 온-프레미스 Exchange)

Exchange Online 및 온-프레미스 사서함에서 타사 클라우드 서비스를 사용하여 메일 흐름 관리

Microsoft 365 또는 Office 365 메일 흐름 문제 해결

커넥터를 검사하여 메일 흐름을 테스트