EOP에서 스팸 방지 보호
팁
Office 365 플랜 2용 Microsoft Defender XDR에서 무료로 기능을 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 Office 365용 90일 Defender 평가판을 사용합니다. Office 365용 Microsoft Defender 사용해 보기에서 누가 등록하고 평가판을 사용할 수 있는지에 대해 알아봅니다.
참고
이 항목은 관리자를 위한 것입니다. 최종 사용자 항목은 정크 메일 필터 개요 및 정크 메일 및 피싱에 대한 자세한 정보를 참조하세요.
Exchange Online에 사서함이 있는 Microsoft 365 조직 또는 Exchange Online 사서함이 없는 독립 실행형 EOP(Exchange Online Protection) 조직에서 전자 메일 메시지는 EOP에 의해 스팸(정크 메일)으로부터 자동으로 보호됩니다.
정크 메일을 줄이기 위해 EOP에는 독점 스팸 필터링( 콘텐츠 필터링이라고도 함) 기술을 사용하여 합법적인 전자 메일에서 정크 메일을 식별하고 분리하는 정크 메일 보호 기능이 포함되어 있습니다. EOP 스팸 필터링은 소비자 플랫폼 Outlook.com 알려진 스팸 및 피싱 위협 및 사용자 피드백에서 학습합니다. 관리자 및 사용자의 지속적인 피드백은 EOP 기술이 지속적으로 학습되고 개선되도록 하는 데 도움이 됩니다.
EOP는 다음과 같은 스팸 필터링 판정을 사용하여 메시지를 분류합니다.
- 스팸: 메시지가 5 또는 6의 SCL(스팸 신뢰도 수준) 을 받았습니다.
- 높은 신뢰도 스팸: 메시지가 7, 8 또는 9의 SCL을 받았습니다.
- 피싱
- 높은 신뢰도 피싱: 기본적으로 보안의 일부로 높은 신뢰도 피싱으로 식별되는 메시지는 항상 격리되며, 사용자는 관리자가 구성하는 사용 가능한 설정에 관계없이 자체 격리된 높은 신뢰도 피싱 메시지를 해제할 수 없습니다.
- 대량: 메시지 원본이 구성된 BCL(대량 불만 수준) 임계값을 충족하거나 초과했습니다.
스팸 방지 보호에 대한 자세한 내용은 스팸 방지 FAQ를 참조하세요.
기본 스팸 방지 정책 및 사용자 지정 스팸 방지 정책에서 이러한 결과에 따라 수행할 작업을 구성할 수 있습니다. 표준 및 엄격한 사전 설정 보안 정책에서 작업은 EOP 스팸 방지 정책 설정에 설명된 대로 이미 구성되고 수정할 수 없습니다.
기본 스팸 방지 정책을 구성하고 사용자 지정 스팸 방지 정책을 생성, 수정 및 제거하려면 Microsoft 365에서 스팸 방지 정책 구성을 참조하세요.
팁
스팸 필터링 판결에 동의하지 않는 경우 Microsoft에 메시지를 가양성(잘못된 것으로 표시된 양호한 메일) 또는 거짓 부정(잘못된 전자 메일 허용)으로 보고할 수 있습니다. 자세한 내용은 다음 항목을 참조하세요.
- 의심스러운 이메일 또는 파일을 Microsoft에 보고하려면 어떻게 해야 하나요?
- Office 365용 Microsoft Defender를 사용하여 합법적인 전자 메일 차단(가양성)을 처리하는 방법
- Office 365용 Microsoft Defender를 사용하여 받는 사람에게 전달되는 악성 전자 메일(거짓 부정)을 처리하는 방법
스팸 방지 메시지 헤더는 메시지가 스팸으로 표시된 이유 또는 스팸 필터링을 건너뛴 이유를 알 수 있습니다. 자세한 내용은 스팸 방지 메시지 헤더를 참조하세요.
Microsoft 365에서는 스팸 필터링을 완전히 끌 수는 없지만 Exchange 메일 흐름 규칙(전송 규칙이라고도 함)을 사용하여 들어오는 메시지에 대한 대부분의 스팸 필터링을 무시할 수 있습니다(예: Microsoft 365로 배달하기 전에 타사 보호 서비스 또는 디바이스를 통해 이메일을 라우팅하는 경우). 자세한 내용은 메일 흐름 규칙을 사용하여 메시지의 SCL(스팸 지수) 설정을 참조하세요.
- 높은 정확도의 피싱 메시지는 여전히 필터링됩니다. EOP의 다른 기능은 영향을 받지 않습니다(예: 메시지는 항상 맬웨어 검색).
- SecOps 사서함 또는 피싱 시뮬레이션에 대해 스팸 필터링을 바이패스해야 하는 경우 메일 흐름 규칙을 사용하지 않습니다. 자세한 내용은 타사 피싱 시뮬레이션을 사용자에게 전달하고 필터링되지 않은 메시지를 SecOps 사서함에 전달하도록 구성을 참조하세요.
EOP가 온-프레미스 Exchange 사서함을 보호하는 하이브리드 환경에서는 메시지에 추가된 EOP 스팸 헤더를 인식하도록 온-프레미스 Exchange 조직에서 두 개의 메일 흐름 규칙(전송 규칙이라고도 함)을 구성해야 합니다. 자세한 내용은 하이브리드 환경에서 스팸을 정크 메일 폴더로 배달하도록 EOP 구성하기를 참조하세요.
스팸 방지 정책.
스팸 방지 정책은 스팸 필터링에 대한 구성 가능한 설정을 제어합니다. 스팸 방지 정책의 중요한 설정은 다음 하위 섹션에서 설명합니다.
팁
기본 정책, 표준 사전 설정 보안 정책 및 엄격한 사전 설정 보안 정책에서 스팸 방지 정책 설정을 보려면 EOP 스팸 방지 정책 설정을 참조하세요.
스팸 방지 정책의 받는 사람 필터
받는 사람 필터는 조건 및 예외를 사용하여 정책이 적용되는 내부 수신자를 식별합니다. 사용자 지정 정책에는 하나 이상의 조건이 필요합니다. 조건 및 예외는 기본 정책에서 사용할 수 없습니다(기본 정책은 모든 받는 사람에게 적용됨). 조건 및 예외에 대해 다음 받는 사람 필터를 사용할 수 있습니다.
- 사용자: 조직의 하나 이상의 사서함, 메일 사용자 또는 메일 연락처.
-
그룹:
- 지정된 메일 그룹 또는 메일 사용 보안 그룹의 구성원입니다(동적 메일 그룹은 지원되지 않음).
- 지정된 Microsoft 365 그룹.
- 도메인: Microsoft 365에서 구성된 허용 도메인 중 하나 이상. 받는 사람의 기본 전자 메일 주소는 지정된 도메인에 있습니다.
조건 또는 예외는 한 번만 사용할 수 있지만 조건 또는 예외에는 여러 값이 포함될 수 있습니다.
동일한 조건 또는 예외의 여러 값은 OR 논리(예: <recipient1> 또는<recipient2>)를 사용합니다.
- 조건: 받는 사람이 지정된 값과 일치하는 경우 정책이 적용됩니다.
- 예외: 받는 사람이 지정된 값과 일치하는 경우 정책이 적용되지 않습니다.
다른 유형의 예외는 OR 논리(예<: recipient1 또는 group1 또는 domain1><>>의 멤버)를 사용합니다.< 받는 사람이 지정된 예외 값과 일치하는 경우 정책이 적용되지 않습니다.
다양한 유형의 조건은 AND 논리를 사용합니다. 받는 사람은 정책이 적용되도록 지정된 모든 조건과 일치해야 합니다. 예를 들어 다음 값을 사용하여 조건을 구성합니다.
- 사용자:
romain@contoso.com
- 그룹: 임원
이 정책은 그가 임원 그룹의 구성원이기도 한 경우에만 적용
romain@contoso.com
됩니다. 그렇지 않으면 정책이 적용되지 않습니다.- 사용자:
스팸 방지 정책의 BCL(대량 불만 임계값)
EOP는 대량 보낸 사람의 인바운드 메시지에 BCL(대량 불만 수준) 값을 할당합니다. 대량 보낸 사람의 메시지를 대량 메일 또는 회색 메일이라고도 합니다.
BCL에 대한 자세한 내용은 EOP의 BCL(대량 불만 수준)을 참조하세요.
팁
기본적으로 PowerShell만 MarkAsSpamBulkMail 설정은 On
Exchange Online PowerShell의 스팸 방지 정책에 있습니다. 이 설정은 BCL(대량 규격 수준)이 필터링 평결을 충족하거나 초과한 결과에 크게 영향을 줍니다.
- MarkAsSpamBulkMail 이 켜기: 임계값보다 크거나 같은 BCL이 스팸의 필터링 평결에 해당하는 SCL 6으로 변환되고 BCL(대량 준수 수준)에 대한 작업이 충족되거나 초과된 필터링 평결이 메시지에 적용됩니다.
- MarkAsSpamBulkMail이 꺼져 있습니다. 메시지는 BCL로 스탬프되지만 BCL(대량 규격 수준)이 충족되거나 필터링 평결을 초과한 경우 아무 작업도 수행되지 않습니다. 실제로 BCL 임계값 및 BCL(대량 규격 수준)이 충족되거나 초과된 필터링 결과 동작은 관련이 없습니다.
스팸 방지 정책의 스팸 속성
테스트 모드 설정, 스팸 점수 증가 설정 및 스팸으로 표시 설정의 대부분은 스팸 방지 정책의 ASF(고급 스팸 필터링)의 일부입니다.
이러한 설정은 기본적으로 기본 스팸 방지 정책 또는 표준 또는 엄격한 사전 설정 보안 정책에서 구성되지 않습니다.
ASF 설정에 대한 자세한 내용은 EOP의 ASF(고급 스팸 필터) 설정을 참조하세요.
이 범주에서 사용할 수 있는 다른 설정은 다음과 같습니다.
- 특정 언어 포함: 지정된 언어의 메시지는 자동으로 스팸으로 식별됩니다.
- 해당 국가: 지정된 국가의 메시지는 자동으로 스팸으로 식별됩니다.
이러한 설정은 기본적으로 기본 스팸 방지 정책 또는 표준 또는 엄격한 사전 설정 보안 정책에서 구성되지 않습니다.
스팸 방지 정책의 작업
사용자 지정 스팸 방지 정책 및 기본 스팸 방지 정책에서 스팸 필터링 평결에 사용할 수 있는 작업은 다음 표에 설명되어 있습니다.
- 확인 표시(✔)는 작업을 사용할 수 있음을 나타냅니다(모든 평결에 모든 작업을 사용할 수 있는 것은 아님).
- 확인 표시 후 별표(*)는 스팸 필터링 결과에 대한 기본 작업을 나타냅니다.
조치 스팸 높음
신뢰 수준
스팸피싱 높음
신뢰 수준
피싱대량 정크 Email 폴더로 메시지 이동: 메시지가 사서함으로 배달되고 정크 Email 폴더로 이동됩니다. ✔* ✔* ✔ ² ✔* X-헤더 추가: 메시지 헤더에 X-헤더를 추가하고, 메시지를 사서함에 배달합니다.
사용 가능한 X 헤더 추가 텍스트 상자에 X-헤더 필드 이름(값 아님)을 입력합니다.
스팸 및 높은 신뢰도 스팸 평결의 경우 메시지가 정크 Email 폴더로 이동됩니다.5✔ ✔ ✔ ✔ 텍스트를 제목 줄 앞에 추가: 메시지의 제목 줄 앞에 텍스트를 추가합니다. 메시지가 사서함으로 배달되고 정크 메일 폴더로 이동됩니다.1
이 텍스트 상자와 함께 사용 가능한 접두사 제목 줄에 텍스트를 입력합니다.✔ ✔ ✔ ✔ 전자 메일 주소로 메시지 리디렉션: 메시지를 의도된 받는 사람 대신 다른 받는 사람에게 보냅니다.
이 전자 메일 주소로 리디렉션 상자에 받는 사람을 지정합니다.✔ ✔ ✔ ✔ ✔ 메시지 삭제: 모든 첨부 파일을 포함하여 전체 메시지를 자동으로 삭제합니다. ✔ ✔ ✔ ✔ 메시지 격리: 메시지를 의도된 받는 사람에게 보내는 대신 격리로 보냅니다.
표시되는 격리 정책 선택 상자에서 스팸 필터링 평결에 대한 기본 격리 정책을 선택하거나 사용합니다.격리 정책은 사용자가 격리된 메시지에 대해 수행할 수 있는 작업과 사용자가 격리 알림을 받을지 여부를 정의합니다. 자세한 내용은 격리 정책 분석을 참조하세요.
이 수일 동안 사용 가능한 스팸 보존 격리 상자에서 메시지가 격리된 상태로 유지되는 기간을 지정합니다.✔ ✔ ✔* ✔* ⁵ ✔ 작업 없음 ✔ 1 EOP는 사서함의 정크 메일 규칙을 사용하는 대신 자체 메일 흐름 배달 에이전트를 사용하여 메시지를 정크 Email 폴더로 라우팅합니다. Exchange Online PowerShell의 Set-MailboxJunkEmailConfiguration cmdlet의 Enabled 매개 변수는 클라우드 사서함의 메일 흐름에 영향을 줍니다. 자세한 내용은 Exchange Online 사서함에 대한 정크 메일 설정 구성하기를 참조하세요.
² 높은 신뢰도 피싱의 경우 정크 Email 폴더로 메시지 이동 작업은 효과적으로 사용되지 않습니다. 정크 Email 폴더로 메시지 이동 작업을 선택할 수 있지만 높은 신뢰도의 피싱 메시지는 항상 격리됩니다(격리 메시지 선택과 동일).
1 메일 흐름 규칙의 조건으로 값을 사용하여 메시지를 필터링하거나 라우팅할 수 있습니다.
스팸 필터링 평결이 기본적으로 메시지를 격리하는 경우(페이지로 이동하면 격리 메시지가 이미 선택됨) 기본 격리 정책 이름이 격리 정책 선택 상자에 표시됩니다. 스팸 필터링 평결의 작업을 격리 메시지로 변경하면 기본적으로 격리 정책 선택 상자가 비어 있습니다. 빈 값은 해당 평결에 대한 기본 격리 정책이 사용됨을 의미합니다. 나중에 스팸 방지 정책 설정을 보거나 편집하면 격리 정책 이름이 표시됩니다. 스팸 필터 평결에 기본적으로 사용되는 격리 정책에 대한 자세한 내용은 EOP 스팸 방지 정책 설정을 참조하세요.
사용자는 격리 정책이 구성된 방식에 관계없이 신뢰도가 높은 피싱으로 격리된 자체 메시지를 해제할 수 없습니다. 정책에서 사용자가 자신의 격리된 메시지를 해제할 수 있도록 허용하는 경우 사용자는 대신 격리된 높은 신뢰도 피싱 메시지의 릴리스를 요청할 수 있습니다.
조치를 취할 조직 내 메시지: 스팸 필터링 및 해당 평결 작업이 내부 메시지(organization 내 사용자 간에 전송된 메시지)에 적용되는지 여부를 제어합니다. 지정된 스팸 필터 평결에 대한 정책에 구성된 작업은 내부 사용자 간에 전송된 메시지에 대해 수행됩니다. 사용 가능한 값은 다음과 같습니다.
- 기본값: 기본값입니다. 이 값은 높은 신뢰도 피싱 메시지를 선택하는 것과 같습니다.
- 없음
- 높은 신뢰도의 피싱 메시지
- 피싱 및 높은 신뢰도 피싱 메시지
- 모든 피싱 및 높은 신뢰도 스팸 메시지
- 모든 피싱 및 스팸 메시지
기본 스팸 방지 정책 및 표준 및 엄격한 사전 설정 보안 정책에서 사용되는 기본값은 EOP 스팸 방지 정책 설정의 항목에 대한 작업을 수행하는 조직 내 메시지를 참조하세요.
이 많은 일수 동안 스팸을 격리 상태로 유지: 스팸 필터링 결과에 대한 작업으로 메시지 격리를 선택한 경우, 메시지를 격리할 기간을 지정합니다. 기간이 만료되면 메시지가 삭제되고 복구할 수 없습니다. 유효한 값은 1~30일입니다.
기본 스팸 방지 정책 및 표준 및 엄격한 사전 설정 보안 정책에서 사용되는 기본값은 EOP 스팸 방지 정책 설정의 이 수일 동안 스팸 유지 항목을 참조하세요.
팁
또한 이 설정은 피싱 방지 정책에 의해 격리된 메시지가 보존되는 기간을 제어합니다. 자세한 내용은 격리 보존을 참조하세요.
스팸 방지 정책의 ZAP(0시간 자동 제거)
피싱용 ZAP 및 스팸용 ZAP는 Exchange Online 사서함으로 배달된 후 메시지에 대해 작동할 수 있습니다. 기본적으로 피싱용 ZAP 및 스팸에 대한 ZAP가 켜져 있으므로 그대로 두는 것이 좋습니다. 자세한 내용은 다음 항목을 참조하세요.
스팸 방지 정책에서 정책 격리
스팸 방지 정책의 판결이 메시지를 격리하도록 구성된 경우 격리 정책은 격리된 메시지에 대해 사용자가 수행할 수 있는 작업을 정의하고 사용자가 격리 알림을 받을지 여부를 정의합니다. 자세한 내용은 격리 정책 분석을 참조하세요.
스팸 방지 정책에서 목록 허용 및 차단
스팸 방지 정책에는 특정 보낸 사람 또는 도메인을 허용하거나 차단하는 다음 목록이 포함되어 있습니다.
- 허용되는 보낸 사람 목록
- 허용되는 도메인 목록
- 차단된 보낸 사람 목록
- 차단된 도메인 목록
이러한 설정은 기본적으로 기본 스팸 방지 정책 또는 표준 또는 엄격한 사전 설정 보안 정책에서 구성되지 않습니다.
이러한 목록의 기능은 주로 다음으로 대체되었습니다.
도메인 및 전자 메일 주소에 대한 블록 항목 만들기에서 도메인 및 전자 메일 주소에 대한 항목을 차단합니다.
스팸 방지 정책에서 차단된 보낸 사람 목록 또는 차단된 도메인 목록을 사용하는 기본 이유: 테넌트 허용/차단 목록의 차단 항목은 organization 사용자가 해당 전자 메일 주소 또는 도메인으로 전자 메일을 보내지 못하도록 차단합니다.
Microsoft Defender 포털의 제출 페이지에서 Microsoft에 좋은 전자 메일을 보고합니다(유사한 특성을 가진 전자 메일 허용을 선택할 수 있습니다. 그러면 테넌트 허용/차단 목록에 필요한 임시 항목이 만들어집니다).
중요
허용된 보낸 사람 목록 또는 허용된 도메인 목록에 있는 항목의 메시지는 대부분의 전자 메일 보호(맬웨어 및 높은 신뢰도 피싱 제외) 및 이메일 인증 검사(SPF, DKIM 및 DMARC)를 무시합니다. 허용된 보낸 사람 목록 또는 허용된 도메인 목록의 항목은 공격자가 필터링될 받은 편지함으로 전자 메일을 성공적으로 배달할 위험이 높습니다. 이러한 목록은 임시 테스트에만 가장 적합합니다.
허용된 도메인 목록에 일반 도메인(예: microsoft.com 또는 office.com)을 추가하지 마세요. 공격자는 이러한 공통 도메인에서 스푸핑된 메시지를 organization 쉽게 보낼 수 있습니다.
2022년 9월부터 허용된 보낸 사람, 도메인 또는 하위 도메인이 organization 허용된 도메인에 있는 경우 해당 보낸 사람, 도메인 또는 하위 도메인은 스팸 필터링을 건너뛰기 위해 이메일 인증 검사를 통과해야 합니다.
허용된 도메인 항목을 목록에 장기간 유지하려는 경우 보낸 사람에게 해당 SPF 레코드가 해당 도메인에 대한 전자 메일 원본과 최신 상태인지, DMARC 레코드의 정책이 로 설정되어 있는지 확인하도록 지시
p=reject
합니다.
스팸 방지 정책의 우선 순위
설정된 경우 사용자 지정 스팸 방지 정책 또는 기본 정책(Strict는 항상 먼저)을 실행하기 전에 표준 및 엄격한 사전 설정 보안 정책이 적용됩니다. 여러 사용자 지정 스팸 방지 정책을 만드는 경우 적용되는 순서를 지정할 수 있습니다. 첫 번째 정책이 적용된 후 정책 처리가 중지됩니다(해당 수신자에 대한 가장 높은 우선 순위 정책).
우선 순위 및 여러 정책을 평가하는 방법에 대한 자세한 내용은 미리 설정된 보안 정책 및 기타 정책의 전자 메일 보호 순서 및 우선 순위 및 우선 순위를 참조하세요.
기본 스팸 방지 정책
모든 organization 기본 제공 스팸 방지 정책인 Default에는 다음과 같은 속성이 있습니다.
- 그 정책이 기본 정책(IsDefault 속성의 값은
True
)이고, 기본 정책은 삭제할 수 없습니다. - 정책은 organization 모든 받는 사람에게 자동으로 적용되며 해제할 수 없습니다.
- 정책은 항상 마지막으로 적용됩니다( 우선 순위 값은 가장 낮 으며 변경할 수 없음).