다음을 통해 공유


전자 메일 보호의 순서 및 우선 순위

Microsoft Defender XDR Office 365 플랜 2의 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. Office 365용 Microsoft Defender 시도에서 누가 등록하고 평가판을 사용할 수 있는지에 대해 알아봅니다.

사서함이 Exchange Online 또는 EOP(독립 실행형 Exchange Online Protection) 조직에 사서함이 있는 Microsoft 365 조직에서 Exchange Online 사서함이 없는 경우 인바운드 전자 메일은 여러 형태의 보호에 의해 플래그가 지정될 수 있습니다. 예를 들어 모든 Microsoft 365 고객이 사용할 수 있는 스푸핑 방지 보호와 Office 365용 Microsoft Defender 고객에게만 제공되는 가장 보호가 있습니다. 또한 메시지는 맬웨어, 스팸, 피싱 등에 대한 여러 검색 검사를 통과합니다. 이 모든 활동을 감안할 때 어떤 정책이 적용되는지에 대해 약간의 혼란이 있을 수 있습니다.

일반적으로 메시지에 적용되는 정책은 CAT(Category) 속성의 X-Forefront-Antispam-Report 헤더에서 식별됩니다. 자세한 내용은 스팸 방지 메시지 헤더를 참조하세요.

메시지에 적용되는 정책을 결정하는 두 가지 주요 요소가 있습니다.

  • 전자 메일 보호 유형에 대한 처리 순서: 이 순서는 구성할 수 없으며 다음 표에 설명되어 있습니다.

    주문 Email 보호 범주 관리할 위치
    1 맬웨어 CAT:MALW EOP에서 맬웨어 방지 정책 구성
    2 높은 정확도 피싱 CAT:HPHSH EOP에서 스팸 방지 정책 구성하기
    3 피싱 CAT:PHSH EOP에서 스팸 방지 정책 구성하기
    4 높은 정확도 스팸 CAT:HSPM EOP에서 스팸 방지 정책 구성하기
    5 스푸핑 CAT:SPOOF EOP에서 스푸핑 인텔리전스 인사이트
    6* 사용자 가장(보호된 사용자) CAT:UIMP Office 365용 Microsoft Defender 피싱 방지 정책 구성
    7* 도메인 가장(보호된 도메인) CAT:DIMP Office 365용 Microsoft Defender 피싱 방지 정책 구성
    8* 사서함 인텔리전스(연락처 그래프) CAT:GIMP Office 365용 Microsoft Defender 피싱 방지 정책 구성
    9 스팸 CAT:SPM EOP에서 스팸 방지 정책 구성하기
    10 대량 CAT:BULK EOP에서 스팸 방지 정책 구성하기

    *이러한 기능은 Office 365용 Microsoft Defender 피싱 방지 정책에서만 사용할 수 있습니다.

  • 정책의 우선 순위 순서: 정책 우선 순위 순서는 다음 목록에 표시됩니다.

    1. 엄격한 사전 설정 보안 정책(활성화된 경우)의 스팸 방지, 맬웨어 방지, 피싱 방지, 안전한 링크* 및 안전한 첨부 파일* 정책입니다.

    2. 표준 사전 설정 보안 정책(활성화된 경우)의 스팸 방지, 맬웨어 방지, 피싱 방지, 안전한 링크* 및 안전한 첨부 파일* 정책입니다.

    3. 사용자 지정 스팸 방지, 맬웨어 방지, 피싱 방지, 안전한 링크* 및 안전한 첨부 파일* 정책(생성 시).

      사용자 지정 정책은 정책을 만들 때 기본 우선 순위 값이 할당되지만(최신 정책은 더 높음) 언제든지 우선 순위 값을 변경할 수 있습니다. 이 우선 순위 값은 해당 유형의 사용자 지정 정책 (스팸 방지, 맬웨어 방지, 피싱 방지 등)이 적용되는 순서에 영향을 주지만 사용자 지정 정책이 전체 순서로 적용되는 위치에는 영향을 주지 않습니다.

    4. Office 365용 Defender 평가 정책의 피싱 방지, 안전한 링크 및 안전한 첨부 파일(사용하도록 설정된 경우)입니다.

    5. 같은 값의 경우:

      기본 제공 보호 사전 설정 보안 정책에 대한 예외를 구성할 수 있지만 기본 정책에 대한 예외를 구성할 수는 없습니다(모든 받는 사람에게 적용되며 해제할 수 없음).

    *Office 365용 Defender.

    해당 유형의 첫 번째 정책(스팸 방지, 맬웨어 방지, 피싱 방지 등) 받는 사람이 포함된 다른 정책 수에 관계없이 해당 수신자에게 적용되므로 동일한 수신자가 의도적으로 또는 의도치 않게 여러 정책에 포함된 경우 우선 순위 순서가 중요합니다. 받는 사람에 대한 여러 정책에서 설정을 병합하거나 결합하는 것은 없습니다. 받는 사람은 해당 형식의 나머지 정책 설정에 영향을 받지 않습니다.

예를 들어 "Contoso Executives"라는 그룹은 다음 정책에 포함됩니다.

  • 엄격한 미리 설정된 보안 정책
  • 우선 순위 값이 0인 사용자 지정 스팸 방지 정책(우선 순위가 가장 높음)
  • 우선 순위 값이 1인 사용자 지정 스팸 방지 정책입니다.

Contoso 임원의 구성원에게 적용되는 스팸 방지 정책 설정은 무엇입니까? 엄격한 사전 설정 보안 정책입니다. 엄격한 사전 설정 보안 정책이 항상 먼저 적용되므로 사용자 지정 스팸 방지 정책의 설정은 Contoso 임원의 구성원에 대해 무시됩니다.

또 다른 예로, 동일한 수신자에게 적용되는 Office 365용 Microsoft Defender 다음과 같은 사용자 지정 피싱 방지 정책과 사용자 가장 및 스푸핑이 모두 포함된 메시지를 고려합니다.

정책 이름 우선 순위 사용자 가장 스푸핑 방지
정책 A 1 켜짐 해제
정책 B 2 해제 켜짐
  1. 스푸핑(5)은 전자 메일 보호 유형에 대한 처리 순서대로 사용자 가장(6) 전에 평가되기 때문에 메시지는 스푸핑으로 식별됩니다.
  2. 정책 A는 정책 B보다 우선 순위가 높기 때문에 먼저 적용됩니다.
  3. 정책 A의 설정에 따라 스푸핑 방지가 꺼져 있으므로 메시지에 대해 아무 작업도 수행되지 않습니다.
  4. 포함된 모든 수신자에 대해 피싱 방지 정책 처리가 중지되므로 정책 B는 정책 A에도 있는 받는 사람에게 적용되지 않습니다.

받는 사람이 원하는 보호 설정을 받도록 하려면 정책 멤버 자격에 대해 다음 지침을 사용합니다.

  • 더 높은 우선 순위 정책에 더 적은 수의 사용자를 할당하고 우선 순위 정책을 낮추려면 더 많은 수의 사용자를 할당합니다. 기본 정책은 항상 마지막으로 적용됩니다.
  • 우선 순위가 낮은 정책보다 더 엄격하거나 더 특수한 설정을 갖도록 더 높은 우선 순위 정책을 구성합니다. 사용자 지정 정책 및 기본 정책의 설정을 완전히 제어할 수 있지만 미리 설정된 보안 정책의 대부분의 설정은 제어할 수 없습니다.
  • 더 적은 수의 사용자 지정 정책을 사용하는 것이 좋습니다(표준 또는 엄격한 사전 설정된 보안 정책 또는 기본 정책보다 더 특수한 설정이 필요한 사용자에 대해서만 사용자 지정 정책 사용).

부록

사용자가 EOP에서 스택 평결을 허용 및 차단하고, 테넌트 허용 및 차단을 허용하고, 필터링하고, 서로 보완하거나 모순하는 Office 365용 Defender 이해하는 것이 중요합니다.

  • 스택 필터링 및 스택을 결합하는 방법에 대한 자세한 내용은 Office 365용 Microsoft Defender 단계별 위협 방지를 참조하세요.
  • 필터링 스택이 평결을 결정한 후에만 테넌트 정책과 구성된 작업이 평가됩니다.
  • 사용자의 수신 허용 보낸 사람 목록 및 수신 거부 목록에 동일한 전자 메일 주소 또는 도메인이 있는 경우 수신 허용 보낸 사람 목록이 우선합니다.
  • 동일한 엔터티(이메일 주소, 도메인, 스푸핑된 전송 인프라, 파일 또는 URL)가 허용 항목에 있고 테넌트 허용/차단 목록에 블록 항목이 있는 경우 블록 항목이 우선합니다.

사용자가 허용 및 차단

사용자 안전 목록 컬렉션 의 항목(수신 허용- 보낸 사람 목록, 수신 허용 받는 사람 목록 및 각 사서함의 수신 거부됨 목록)은 다음 표에 설명된 대로 일부 필터링 스택 평결을 재정의할 수 있습니다.

스택 평결 필터링 사용자의 수신 허용 보낸 사람/받는 사람 목록 사용자의 보낸 사람 차단 목록
맬웨어 필터 승리: Email 격리됨 필터 승리: Email 격리됨
높은 정확도 피싱 필터 승리: Email 격리됨 필터 승리: Email 격리됨
피싱 사용자 승리: Email 사용자의 받은 편지함으로 배달됨 테넌트 승리: 적용 가능한 스팸 방지 정책이 작업을 결정합니다.
높은 정확도 스팸 사용자 승리: Email 사용자의 받은 편지함으로 배달됨 테넌트 승리: 적용 가능한 스팸 방지 정책이 작업을 결정합니다.
스팸 사용자 승리: Email 사용자의 받은 편지함으로 배달됨 테넌트 승리: 적용 가능한 스팸 방지 정책이 작업을 결정합니다.
대량 사용자 승리: Email 사용자의 받은 편지함으로 배달됨 사용자 승리: Email 사용자의 정크 Email 폴더에 배달됨
스팸 없음 사용자 승리: Email 사용자의 받은 편지함으로 배달됨 사용자 승리: Email 사용자의 정크 Email 폴더에 배달됨
  • Exchange Online 다음 조건에 따라 메시지가 격리된 경우 안전한 보낸 사람 목록의 도메인 허용이 작동하지 않을 수 있습니다.
    • 메시지는 맬웨어 또는 높은 신뢰도 피싱(맬웨어 및 높은 신뢰도 피싱 메시지가 격리됨)으로 식별됩니다.
    • 스팸 방지 정책의 작업은 메일을 정크 Email 폴더로 이동하는 대신 격리하도록 구성됩니다.
    • 전자 메일 메시지의 이메일 주소, URL 또는 파일도 테넌트 허용/차단 목록의 블록 항목에 있습니다.

사용자 사서함의 안전 목록 컬렉션 및 스팸 방지 설정에 대한 자세한 내용은 Exchange Online 사서함에서 정크 메일 설정 구성을 참조하세요.

테넌트 허용 및 차단

테넌트 허용 및 블록은 다음 표에 설명된 대로 일부 필터링 스택 평결을 재정의할 수 있습니다.

  • 고급 배달 정책 (지정된 SecOps 사서함에 대한 필터링 및 피싱 시뮬레이션 URL 건너뛰기):

    스택 평결 필터링 고급 배달 정책 허용
    맬웨어 테넌트 승리: 사서함에 배달된 Email
    높은 정확도 피싱 테넌트 승리: 사서함에 배달된 Email
    피싱 테넌트 승리: 사서함에 배달된 Email
    높은 정확도 스팸 테넌트 승리: 사서함에 배달된 Email
    스팸 테넌트 승리: 사서함에 배달된 Email
    대량 테넌트 승리: 사서함에 배달된 Email
    스팸 없음 테넌트 승리: 사서함에 배달된 Email
  • Exchange 메일 흐름 규칙 (전송 규칙이라고도 함):

    스택 평결 필터링 메일 흐름 규칙에서 허용* 메일 흐름 규칙 블록
    맬웨어 필터 승리: Email 격리됨 필터 승리: Email 격리됨
    높은 정확도 피싱 필터 승리: 복잡한 라우팅을 제외한 Email 격리됨 필터 승리: Email 격리됨
    피싱 테넌트 승리: 사서함에 배달된 Email 테넌트 승리: 해당 스팸 방지 정책의 피싱 작업
    높은 정확도 스팸 테넌트 승리: 사서함에 배달된 Email 테넌트 승리: 사용자의 정크 Email 폴더에 배달된 Email
    스팸 테넌트 승리: 사서함에 배달된 Email 테넌트 승리: 사용자의 정크 Email 폴더에 배달된 Email
    대량 테넌트 승리: 사서함에 배달된 Email 테넌트 승리: 사용자의 정크 Email 폴더에 배달된 Email
    스팸 없음 테넌트 승리: 사서함에 배달된 Email 테넌트 승리: 사용자의 정크 Email 폴더에 배달된 Email

    * Microsoft 365 앞에서 타사 보안 서비스 또는 디바이스를 사용하는 조직은 SCL=-1 메일 흐름 규칙 대신 ARC(인증된 수신 체인) (가용성을 위해 타사에 문의) 및 커넥터에 대한 향상된 필터링(목록 건너뛰기) 을 사용하는 것이 좋습니다. 이러한 향상된 방법은 이메일 인증 문제를 줄이고 심층 방어 이메일 보안을 장려합니다.

  • 연결 필터 정책의 IP 허용 목록 및 IP 차단 목록:

    스택 평결 필터링 IP 허용 목록 IP 블록 목록
    맬웨어 필터 승리: Email 격리됨 필터 승리: Email 격리됨
    높은 정확도 피싱 필터 승리: Email 격리됨 필터 승리: Email 격리됨
    피싱 테넌트 승리: 사서함에 배달된 Email 테넌트 승리: Email 자동으로 삭제됨
    높은 정확도 스팸 테넌트 승리: 사서함에 배달된 Email 테넌트 승리: Email 자동으로 삭제됨
    스팸 테넌트 승리: 사서함에 배달된 Email 테넌트 승리: Email 자동으로 삭제됨
    대량 테넌트 승리: 사서함에 배달된 Email 테넌트 승리: Email 자동으로 삭제됨
    스팸 없음 테넌트 승리: 사서함에 배달된 Email 테넌트 승리: Email 자동으로 삭제됨
  • 스팸 방지 정책에서 설정 허용 및 차단:

    • 허용된 보낸 사람 및 도메인 목록입니다.
    • 보낸 사람 및 도메인 목록이 차단되었습니다.
    • 특정 국가/지역 또는 특정 언어의 메시지를 차단합니다.
    • ASF(고급 스팸 필터) 설정에 따라 메시지를 차단합니다.
    스택 평결 필터링 스팸 방지 정책 허용 스팸 방지 정책 블록
    맬웨어 필터 승리: Email 격리됨 필터 승리: Email 격리됨
    높은 정확도 피싱 필터 승리: Email 격리됨 필터 승리: Email 격리됨
    피싱 테넌트 승리: 사서함에 배달된 Email 테넌트 승리: 해당 스팸 방지 정책의 피싱 작업
    높은 정확도 스팸 테넌트 승리: 사서함에 배달된 Email 테넌트 승리: 사용자의 정크 Email 폴더에 배달된 Email
    스팸 테넌트 승리: 사서함에 배달된 Email 테넌트 승리: 사용자의 정크 Email 폴더에 배달된 Email
    대량 테넌트 승리: 사서함에 배달된 Email 테넌트 승리: 사용자의 정크 Email 폴더에 배달된 Email
    스팸 없음 테넌트 승리: 사서함에 배달된 Email 테넌트 승리: 사용자의 정크 Email 폴더에 배달된 Email
  • 테넌트 허용/차단 목록의 항목 허용: 다음 두 가지 유형의 허용 항목이 있습니다.

    • 메시지 수준을 사용하면 메시지의 엔터티에 관계없이 전체 메시지에 대해 항목이 작동할 수 있습니다. 전자 메일 주소 및 도메인에 대한 허용 항목은 메시지 수준 허용 항목입니다.
    • 엔터티 수준 허용 항목은 엔터티의 필터링 평결에 따라 작동합니다. URL, 스푸핑된 보낸 사람 및 파일에 대한 항목 허용은 엔터티 수준 허용 항목입니다. 맬웨어 및 높은 신뢰도 피싱 평결을 재정의하려면 Microsoft 365에서 기본적으로 보안으로 인해 제출로만 만들 수 있는 엔터티 수준 허용 항목을 사용해야 합니다.
    스택 평결 필터링 주소/도메인 Email
    맬웨어 필터 승리: Email 격리됨
    높은 정확도 피싱 필터 승리: Email 격리됨
    피싱 테넌트 승리: 사서함에 배달된 Email
    높은 정확도 스팸 테넌트 승리: 사서함에 배달된 Email
    스팸 테넌트 승리: 사서함에 배달된 Email
    대량 테넌트 승리: 사서함에 배달된 Email
    스팸 없음 테넌트 승리: 사서함에 배달된 Email
  • 테넌트 허용/차단 목록의 차단 항목:

    스택 평결 필터링 주소/도메인 Email 스푸핑 File URL
    맬웨어 필터 승리: Email 격리됨 필터 승리: Email 격리됨 테넌트 승리: Email 격리됨 필터 승리: Email 격리됨
    높은 정확도 피싱 테넌트 승리: Email 격리됨 필터 승리: Email 격리됨 테넌트 승리: Email 격리됨 테넌트 승리: Email 격리됨
    피싱 테넌트 승리: Email 격리됨 테넌트 승리: 해당 피싱 방지 정책의 스푸핑 작업 테넌트 승리: Email 격리됨 테넌트 승리: Email 격리됨
    높은 정확도 스팸 테넌트 승리: Email 격리됨 테넌트 승리: 해당 피싱 방지 정책의 스푸핑 작업 테넌트 승리: Email 격리됨 테넌트 승리: Email 격리됨
    스팸 테넌트 승리: Email 격리됨 테넌트 승리: 해당 피싱 방지 정책의 스푸핑 작업 테넌트 승리: Email 격리됨 테넌트 승리: Email 격리됨
    대량 테넌트 승리: Email 격리됨 테넌트 승리: 해당 피싱 방지 정책의 스푸핑 작업 테넌트 승리: Email 격리됨 테넌트 승리: Email 격리됨
    스팸 없음 테넌트 승리: Email 격리됨 테넌트 승리: 해당 피싱 방지 정책의 스푸핑 작업 테넌트 승리: Email 격리됨 테넌트 승리: Email 격리됨

사용자 및 테넌트 설정 충돌

다음 표에서는 이메일이 사용자 허용/차단 설정과 테넌트 허용/차단 설정 모두에 의해 영향을 받는 경우 충돌을 해결하는 방법을 설명합니다.

테넌트 허용/차단 유형 사용자의 수신 허용 보낸 사람/받는 사람 목록 사용자의 보낸 사람 차단 목록
다음을 위해 테넌트 허용/차단 목록의 항목을 차단합니다.
  • Email 주소 및 도메인
  • 파일
  • URL
테넌트 승리: Email 격리됨 테넌트 승리: Email 격리됨
테넌트 허용/차단 목록에서 스푸핑된 보낸 사람의 항목 차단 테넌트 승리: 해당 피싱 방지 정책의 스푸핑 인텔리전스 작업 테넌트 승리: 해당 피싱 방지 정책의 스푸핑 인텔리전스 작업
고급 배달 정책 사용자 승리: 사서함에 배달된 Email 테넌트 승리: 사서함에 배달된 Email
스팸 방지 정책의 설정 차단 사용자 승리: 사서함에 배달된 Email 사용자 승리: Email 사용자의 정크 Email 폴더에 배달됨
DMARC 정책 적용 사용자 승리: 사서함에 배달된 Email 사용자 승리: Email 사용자의 정크 Email 폴더에 배달됨
메일 흐름 규칙별 차단 사용자 승리: 사서함에 배달된 Email 사용자 승리: Email 사용자의 정크 Email 폴더에 배달됨
허용 기준:
  • 메일 흐름 규칙
  • IP 허용 목록(연결 필터 정책)
  • 허용된 보낸 사람 및 도메인 목록(스팸 방지 정책)
  • 테넌트 허용/차단 목록
사용자 승리: 사서함에 배달된 Email 사용자 승리: Email 사용자의 정크 Email 폴더에 배달됨