SharePoint Server 팜에 대한 보내는 전자 메일 계획
적용 대상:2013 2016 2019 Subscription Edition SharePoint in Microsoft 365
발신 전자 메일은 사이트 관리자가 여러 전자 메일 알림 기능을 구현할 수 있는 기반입니다. 최종 사용자는 이러한 기능을 통해 개별 사이트 모음에 대한 변경 내용 및 업데이트를 추적할 수 있으며, 사이트 관리자는 상태 메시지를 전달할 수 있습니다.
발신 메일 정보
발신 메일을 올바르게 구성하는 것은 전자 메일 경고 및 알림을 구현하기 위한 요구 사항입니다. 나가는 전자 메일 기능은 아웃바운드 SMTP(Simple Mail Transfer Protocol) 서비스를 사용하여 이메일 경고 및 알림을 릴레이합니다. 이러한 이메일 기능에는 다음이 포함되어 있습니다.
경고
크고 성장하는 사이트 모음에서 사용자는 목록, 라이브러리 및 토론에 대한 업데이트를 따라갈 방법이 필요합니다. 경고는 사용자가 변경 내용을 인식하도록 하는 데 도움이 됩니다. 예를 들어 많은 사용자가 동일한 문서에 대해 작업하는 경우 문서 소유자는 이 문서가 변경될 때마다 알림을 받도록 경고를 설정할 수 있습니다. 사용자는 추적할 사이트 모음 영역 또는 문서를 지정하고 경고를 받을 빈도를 결정할 수 있습니다.
참고
경고를 설정하려면 사용자에게 최소한 보기 권한이 있어야 합니다.
관리 메시지
사이트 관리자는 사용자가 사이트에 대한 액세스 권한을 요청하거나 사이트 소유자의 지정된 저장 공간이 초과될 때 알림을 받을 수 있습니다. 보내는 전자 메일을 설정하면 사이트 관리자가 사이트 관리 문제에 대한 자동 알림을 받을 수 있습니다.
보내는 전자 메일 지원은 서버 팜 수준(SharePoint 중앙 관리 웹 사이트의 시스템 설정 섹션 및 웹 애플리케이션 수준(중앙 관리의 애플리케이션 관리 섹션에서 사용 가능)에서 모두 사용하도록 설정할 수 있습니다. 웹 애플리케이션 수준에서 보내는 전자 메일 설정은 서버 팜 수준에서 설정된 설정을 재정의합니다. 특정 웹 애플리케이션에 대해 다른 설정을 지정할 수도 있습니다.
발신 메일의 주요 계획 단계
보내는 전자 메일 설정을 계획할 때 다음 구성 요소를 고려해야 합니다.
이메일 경고 및 알림을 릴레이하는 SMTP 서비스입니다. 사용할 SMTP 메일 서버의 DNS 이름이나 IP 주소가 필요합니다.
메시지를 보낸 사람을 식별하는 경고 메시지 헤더에 사용할 주소
사용자가 경고 또는 알림에 회신할 때 메시지의 To 필드에 표시되는 회신 주소입니다.
경고 메시지 본문에 사용할 문자 집합
아웃바운드 SMTP 서버
SMTP 서비스는 IIS(인터넷 정보 서비스)의 구성 요소입니다. 그러나 IIS에서는 기본적으로 사용하도록 설정되지 않습니다. 서버 관리자에서 역할 및 기능 추가 마법사 를 사용하여 사용하도록 설정할 수 있습니다.
사용할 SMTP 서버를 결정한 후 익명 액세스를 허용하고 전자 메일 메시지를 릴레이할 수 있도록 SMTP 서버를 구성해야 합니다. 또한 외부 전자 메일 주소로 메시지를 보낼 수 있도록 하려면 SMTP 서버에 인터넷에 액세스할 수 있어야 합니다.
SMTP 서비스 설치, 구성 및 관리에 대한 자세한 내용은 보내는 전자 메일 구성 을 참조하세요.
참고
Farm Administrators 그룹 구성원만 SMTP 서버를 구성할 수 있습니다. 또한 이 사용자는 서버의 로컬 Administrators 그룹 구성원이기도 해야 합니다.
보낸 사람 및 회신 주소
보내는 전자 메일을 구성할 때 다음 두 개의 주소를 구성할 수 있습니다.
보낸 사람 주소
경고 및 알림은 서버 팜의 관리 계정에서 전송됩니다. 이 계정은 전자 메일 메시지의 보낸 사람 필드에 표시하려는 계정이 아닐 수 있습니다. 사용하는 주소는 실제 전자 메일 계정에 해당할 필요가 없습니다. 최종 사용자가 인식할 수 있는 간단한 친숙한 주소일 수 있습니다. 예를 들어 보낸 사람 주소로 "사이트 관리자"를 사용할 수 있습니다.
회신 주소
사용자가 경고 또는 알림에 회신할 때 메시지의 To 필드에 표시되는 주소입니다. 최종 사용자가 겪고 있는 문제에 대한 의견을 신속하게 받을 수 있도록 하려면 회신 주소에도 모니터링되는 계정을 사용해야 합니다. 예를 들어 지원 센터 별칭을 회신 주소로 사용할 수 있습니다.
문자 집합
발신 전자 메일을 구성할 때 전자 메일 메시지 본문에 사용할 문자 집합을 지정해야 합니다. 문자 집합은 식별 코드 값에 대한 문자 매핑입니다. 보내는 전자 메일의 기본 문자 집합은 유니코드 UTF-8로, 대부분의 문자 조합(양방향 텍스트 포함)이 단일 문서에 공존할 수 있습니다. 대부분의 경우에는 기본 설정인 UTF-8을 사용하면 되지만, 동아시아 언어의 경우에는 자체 문자 집합을 사용하는 경우 가장 효율적으로 렌더링됩니다.
특정 언어 코드를 선택하는 경우에는 다른 언어를 사용하도록 구성한 메일 읽는 이에게 텍스트가 제대로 표시되지 않을 수 있습니다.
SMTP 서버 인증
SMTP 서버 인증 기능은 SharePoint Server 2019에서만 사용할 수 있습니다.
SharePoint Server 2019는 익명으로 또는 인증을 사용하여 SMTP 서버에 연결할 수 있도록 지원합니다. SMTP 서버에 인증이 필요한 경우 SharePoint가 SMTP 서버에 인증하는 데 사용할 자격 증명을 제공해야 합니다. 보낸 사람의 주소와 일치하는 계정 자격 증명을 사용하는 것이 좋습니다. 다른 계정에 대한 자격 증명을 사용하려면 계정에 보낸 사람 주소를 가장할 수 있는 "다른 이름으로 보내기" 권한이 있는지 확인합니다.
참고
Windows 계정을 사용하여 SMTP 서버에 인증하는 경우 UPN(유니버설 보안 주체 이름) 형식() 또는 NT4 로그인 형식(user@domain.comDOMAIN\user)을 사용하여 사용자 이름을 지정할 수 있습니다. 비 Windows 계정을 사용하여 SMTP 서버에 인증하는 경우 이메일 관리자에게 문의하여 올바른 사용자 이름 형식을 확인합니다.
자격 증명을 제공하기 전에 팜의 각 서버에서 애플리케이션 자격 증명 키를 설정해야 합니다. 애플리케이션 자격 증명 키는 SMTP 암호를 암호화하고 암호 해독하는 데 사용되는 별도의 암호입니다. 애플리케이션 자격 증명 키는 팜의 모든 서버에서 동일해야 합니다. Microsoft는 애플리케이션 자격 증명 키에 강력한 암호를 사용하고 팜 암호, 팜 서비스 계정 등과 동일한 암호를 다시 사용하지 않는 것이 좋습니다.
SharePoint는 SMTP 서버에 인증하는 다음과 같은 SASL(단순 인증 및 보안 계층) 메커니즘을 지원합니다.
GSSAPI(Kerberos, NTLM)
NTLM
로그인
참고
SharePoint는 다음 SPN(서비스 사용자 이름)을 사용하여 Kerberos 및 NTLM 인증 중에 SMTP 서버에 인증합니다. 여기서 <호스트> 는 사용자가 제공한 SMTP 서버 이름입니다.
SMTPSVC/<호스트>
TLS 연결 암호화 사용
전자 메일을 보내기 전에 SharePoint가 SMTP 서버에 암호화된 연결을 설정하도록 요구하려면 TLS 연결 암호화 사용을 예로 설정합니다. 암호화된 연결을 설정하려면 SMTP 서버에 유효한 서버 인증서를 설치해야 합니다. 이 설정이 예로 설정되고 암호화된 연결을 설정할 수 없는 경우 전자 메일이 전송되지 않습니다.
참고
SharePoint는 STARTTLS를 지원하여 SMTP 서버에 대한 TLS 연결 암호화를 설정합니다. SMTP 서버에 대한 SSL 연결 암호화를 설정하는 것은 SMTPS를 지원하지 않습니다.
참고
SharePoint는 SMTP 서버로 전자 메일을 보낼 때 TLS 연결 암호화를 요구할 수 있지만 해당 SMTP 서버가 다른 SMTP 서버로 전자 메일을 보낼 때 연결 암호화를 사용할지 여부를 제어할 수 없습니다. 메일 관리자와 협력하여 연결 암호화를 선호하도록 SMTP 서버를 구성합니다.
SMTP 서버에서 클라이언트 인증서 인증 사용
참고
SMTP 서버 기능에서 클라이언트 인증서 인증 사용 기능은 SharePoint Server 구독 버전에서만 사용할 수 있습니다.
SMTP를 통한 클라이언트 인증서 인증은 "클라이언트"(이 시나리오에서 SharePoint)가 클라이언트가 서버에 제공하는 X.509 인증서를 사용하여 SMTP 서버에 인증할 수 있는 선택적 고급 인증 구성입니다. 이 인증은 사용자 이름/암호 자격 증명을 "대신" 또는 "추가"합니다. 이 구성은 일반적이지는 않지만 표준 사용자 이름/암호 인증이 충분하지 않은 높은 보안 환경에서 사용할 수 있습니다.
참고
SMTP 서버에 대한 TLS 연결 암호화를 사용하려면 클라이언트 인증서 인증을 사용할 필요가 없습니다.
다음은 SharePoint가 SMTP 서버에서 클라이언트 인증서 인증을 사용하기 위한 요구 사항입니다.
- TLS 연결 암호화에 대한 STARTTLS를 지원하도록 SMTP 서버를 구성해야 합니다.
- STARTTLS를 사용하여 TLS 연결을 설정할 때 클라이언트 인증서를 수락하거나 요구하도록 SMTP 서버를 구성해야 합니다.
- SMTP 서버에 대한 TLS 연결 암호화를 사용하도록 SharePoint를 구성해야 합니다.
- SMTP 서버에 연결할 때 클라이언트 인증서를 사용하도록 SharePoint를 구성해야 합니다.
- 메일을 보내는 SharePoint 프로세스 계정(SharePoint 팜 서비스 계정 및 웹 애플리케이션 서비스 계정을 포함할 수 있음)에는 X.509 인증서의 프라이빗 키를 읽을 수 있는 권한이 있어야 합니다.
- X.509 인증서는 다음 요구 사항을 충족해야 합니다.
- X.509 인증서는 SharePoint의 "End Entity" 인증서 저장소에 있어야 합니다.
- X.509 인증서는 RSA 또는 ECC(ECDSA) 키를 사용해야 합니다. DSA 키는 지원되지 않습니다.
- X.509 인증서에는 프라이빗 키가 있어야 합니다.
- X.509 인증서에 키 사용 확장이 있는 경우 확장에는 "디지털 서명" 사용이 포함되어야 합니다.
- X.509 인증서에 확장 키 사용 확장이 있는 경우 확장에는 "클라이언트 인증"(OID: 1.3.6.1.5.5.7.3.2) 사용이 포함되어야 합니다.
중앙 관리에서 구성되는 방법의 예제 스크린샷:
전자 메일 가장
일부 SharePoint 기능은 메시지를 개인 설정하기 위해 전자 메일을 보낼 때 최종 사용자를 가장할 수 있습니다. 예를 들어 사용자가 사이트에 대한 액세스를 요청하는 경우 SharePoint는 이메일 알림의 "보낸 사람" 주소를 요청을 한 사용자로 설정합니다.
일부 SMTP 서버는 사용자가 자신의 ID를 스푸핑하려는 무단 시도로부터 사용자를 보호하기 위해 가장을 차단할 수 있습니다. SMTP 서버가 가장을 차단하는 경우 SharePoint 전자 메일을 보낼 수 있도록 허용하는 몇 가지 옵션이 있습니다.
사용자를 가장하기 위해 SharePoint 인증 전자 메일 계정에 대한 권한 부여
Microsoft Exchange Server를 사용하면 수신 커넥터를 통해 이메일을 보낼 때 사용자가 다른 사용자를 가장할 수 있는 권한을 부여할 수 있습니다. 이러한 권한은 다음과 같습니다.
수신 커넥터 사용 권한 | 설명 |
---|---|
ms-Exch-SMTP-Submit |
세션에 이 권한이 부여되어야 합니다. 그렇지 않으면 이 수신 커넥터에 메시지를 제출할 수 없습니다. 세션에 이 사용 권한이 없으면 MAIL FROM 및 AUTH 명령이 실패합니다. |
ms-Exch-SMTP-Accept-Any-Recipient |
이 사용 권한은 세션에서 해당 커넥터를 통해 메시지를 릴레이할 수 있도록 허용합니다. 이 사용 권한이 부여되지 않으면 허용 도메인의 받는 사람으로 주소가 지정된 메시지만 이 커넥터에 의해 수락됩니다. |
ms-Exch-SMTP-Accept-Any-Sender |
이 사용 권한은 세션에서 보낸 사람 주소 스푸핑 검사를 건너뛸 수 있도록 허용합니다. 메모: 이 권한은 SharePoint가 조직에서 메일 계정을 관리하지 않는 사용자를 가장하는 경우에만 필요합니다. |
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender |
이 권한을 사용하면 신뢰할 수 있는 도메인에 전자 메일 주소가 있는 보낸 사람이 이 수신 커넥터에 대한 세션을 설정할 수 있습니다. |
ms-Exch-Accept-Headers-Routing |
이 사용 권한은 세션에서 모든 수신 헤더가 변경되지 않은 상태인 메시지를 전송할 수 있도록 허용합니다. 이 사용 권한이 부여되지 않으면 서버에서 수신한 헤더를 모두 제거합니다. |
Microsoft Exchange Server에서 이 명령을 실행하여 SharePoint 인증 전자 메일 계정에 대한 권한을 부여하여 수신 커넥터를 통해 다른 사용자를 가장합니다.
Get-ReceiveConnector "<Receive Connector Name>" | Add-ADPermission -User <DOMAIN\AuthenticatedEmailAccount> -ExtendedRights ms-Exch-SMTP-Submit, ms-Exch-SMTP-Accept-Any-Recipient, ms-Exch-SMTP-Accept-Any-Sender, ms-Exch-SMTP-Accept-Authoritative-Domain-Sender, ms-Exch-Accept-Headers-Routing
참고
Microsoft Exchange Server 2013 이상을 사용하는 경우 이 권한은 클라이언트 프록시 수신 커넥터에 적용되어야 합니다. Microsoft Exchange Server 2010 이하를 사용하는 경우 이 권한을 클라이언트 프런트 엔드 수신 커넥터에 적용해야 합니다.
SharePoint 전자 메일 가장 사용 안 함
전자 메일 가장을 사용하지 않도록 각 SharePoint 웹 애플리케이션을 구성할 수 있습니다. 이렇게 하면 SharePoint가 항상 웹 애플리케이션 수준에서 지정된 보낸 사용자 및 Reply-To 주소를 사용합니다. 다음을 실행하여 SharePoint 전자 메일 가장을 사용하지 않도록 설정합니다.
SharePoint 2019 관리 셸을 시작합니다.
다음의 명령을 실행합니다.
$webapp = Get-SPWebApplication <web application URL> $webapp.OutboundMailOverrideEnvelopeSender = $true $webapp.Update()
외부 보안 수신 커넥터 사용
인증이 수행되지 않더라도 모든 전자 메일을 인증된 것으로 자동으로 신뢰하도록 Microsoft Exchange Server 수신 커넥터를 구성할 수 있습니다. 그러면 SharePoint에서 이 수신 커넥터에 익명으로 전자 메일을 보냅니다. 외부 보안 수신 커넥터를 만들려면 다음 단계를 수행합니다.
- SharePoint 팜에 대한 전용 "사용자 지정" 수신 커넥터를 만듭니다.
- 수신 커넥터의 사용 권한 그룹을 "Exchange 서버"로 설정합니다.
- 수신 커넥터의 인증 유형을 "외부 보안"으로 설정합니다.
이 구성에서 스푸핑의 위험으로 인해 이 수신 커넥터가 에서 SharePoint 팜의 서버로의 전자 메일 메시지를 수락하는 IP 주소를 제한하는 것이 좋습니다.