Microsoft 365의 스팸 방지 메시지 헤더
팁
Microsoft Defender XDR Office 365 플랜 2의 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. Office 365용 Microsoft Defender 시도에서 누가 등록하고 평가판을 사용할 수 있는지에 대해 알아봅니다.
모든 Microsoft 365 조직에서 EOP(Exchange Online Protection)는 들어오는 모든 메시지에 대해 스팸, 멀웨어 및 기타 위협을 검색합니다. 이러한 검색 결과는 메시지의 다음 헤더 필드에 추가됩니다.
- X-Forefront-Antispam-Report: 메시지에 대한 정보와 메시지 처리 방법에 대한 정보를 포함합니다.
- X-Microsoft-Antispam: 대량 메일 및 피싱에 대한 추가 정보가 포함되어 있습니다.
- 인증-결과: SPF, DKIM 및 DMARC(전자 메일 인증) 결과에 대한 정보가 포함되어 있습니다.
이 문서에서는 이러한 헤더 필드에서 사용할 수 있는 항목에 대해 설명합니다.
다양한 전자 메일 클라이언트에서 전자 메일 메시지 헤더를 보는 방법에 대한 자세한 내용은 Outlook에서 인터넷 메시지 헤더 보기를 참조하세요.
팁
메시지 헤더의 내용을 복사하여 메시지 헤더 분석기 도구에 붙여 넣을 수 있습니다. 이 도구는 헤더를 구문 분석하여 더 판독하기 쉬운 형식으로 삽입합니다.
X-Forefront-Antispam-Report 메시지 헤더 필드
메시지 헤더 정보를 받은 후 X-Forefront-Antispam-Report 헤더를 찾습니다. 이 헤더에는 세미콜론(;))으로 구분된 여러 필드와 값 쌍이 있습니다. 예시:
...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;SFTY:;...
개별 필드 및 값에 대해 설명이 다음 표에 설명되어 있습니다.
참고
X-Forefront-Antispam-Report 헤더에는 다양한 필드 및 값이 포함되어 있습니다. 표에 설명되어 있지 않은 필드는 Microsoft 스팸 방지 팀에서 진단용으로만 사용합니다.
필드 | 설명 |
---|---|
ARC |
ARC 프로토콜에는 다음 필드가 있습니다.
|
CAT: |
메시지에 적용되는 보호 정책의 범주:
*Office 365용 Defender. 인바운드 메시지는 여러 형태의 보호 및 여러 검색 검사에 의해 플래그가 지정될 수 있습니다. 정책은 우선 순위 순서로 적용되고 우선 순위가 가장 높은 정책이 먼저 적용됩니다. 자세한 내용을 알고 싶다면 전자 메일에 여러 보호 방법과 검색 검사가 실행될 때 어떤 정책이 적용되는지를 확인합니다. |
CIP:[IP address] |
연결할 IP 주소. IP 허용 목록 또는 IP 차단 목록에 이 IP 주소를 사용할 수 있습니다. 자세한 내용은 연결 필터링 구성을 참조하십시오. |
CTRY |
연결 IP 주소에 의해 결정되는 원본 국가/지역이며, 이는 원래 보내는 IP 주소와 동일하지 않을 수 있습니다. |
DIR |
메시지의 방향성:
|
H:[helostring] |
연결 전자 메일 서버의 HELO 또는 EHLO 문자열입니다. |
IPV:CAL |
원본 IP 주소가 IP 허용 목록에 있기 때문에 메시지가 스팸 필터링을 건너뛰었습니다. 자세한 내용은 연결 필터링 구성을 참조하십시오. |
IPV:NLI |
IP 평판 목록에서 IP 주소를 찾을 수 없습니다. |
LANG |
메시지가 국가 코드에 지정된 대로 작성된 언어입니다(예: 러시아어의 경우 ru_RU). |
PTR:[ReverseDNS] |
원본 IP 주소의 PTR 레코드 (역 DNS 조회라고도 함). |
SCL |
메시지의 SCL(스팸 지수)입니다. 값이 높을수록 메시지가 스팸일 가능성이 더 높습니다. 자세한 내용은 SCL(스팸 지수)을 참조하세요. |
SFTY |
메시지는 피싱으로 식별되었으며 다음 값 중 하나로도 표시됩니다.
|
SFV:BLK |
사용자의 차단된 보낸 사람 목록에 있는 주소에서 보낸 메시지이므로 필터링을 건너뛰고 메시지를 차단했습니다. 관리자가 사용자의 차단된 보낸 사람 목록을 관리하는 방법에 대한 자세한 내용은 Exchange Online 사서함에서 정크 전자 메일 설정 구성을 참조하시기 바랍니다. |
SFV:NSPM |
스팸 필터링은 메시지를 비스팸으로 표시하고 메시지가 의도한 받는 사람에게 전송되었습니다. |
SFV:SFE |
필터를 건너뛰고 사용자의 안전 보낸 사람 목록에 있는 주소에서 보낸 메시지이므로 이 메시지가 허용되었습니다. 관리자가 사용자의 안전한 보낸 사람 목록을 관리하는 방법에 대한 자세한 내용은 Exchange Online 사서함에서 정크 전자 메일 설정 구성을 참조하시기 바랍니다. |
SFV:SKA |
보낸 사람이 안티스팸 정책의 허용된 보낸 사람 목록 또는 허용된 도메인 목록에 있으므로 스팸 필터링을 건너뛰고 받은 편지함으로 배달되었습니다. 자세한 내용은 안티스팸 정책 구성을(를) 참조합니다. |
SFV:SKB |
메시지는 차단된 보낸 사람 목록 또는 안티스팸 정책의 차단된 도메인 목록의 보낸 사람과 일치하기 때문에 스팸으로 표시되었습니다. 자세한 내용은 안티스팸 정책 구성을(를) 참조합니다. |
SFV:SKN |
스팸 필터링을 통해 처리하기 전에 메시지가 비스팸으로 표시되었습니다. 예를 들어 메일 흐름 규칙에 의해 메시지가 SCL -1 또는 스팸 필터링으로 표시되었습니다. |
SFV:SKQ |
메시지가 검역소에서 릴리스되어 원하는 수신자에게 전송되었습니다. |
SFV:SKS |
스팸 필터링을 통해 처리하기 전에 메시지가 스팸으로 표시되었습니다. 예를 들어, 메시지는 메일 흐름 규칙에 의해 SCL 5 - 9로 표시되었습니다. |
SFV:SPM |
메시지가 스팸 필터링에 의해 스팸으로 표시되었습니다. |
SRV:BULK |
메시지가 스팸 필터링 및 BCL(대량 불만 수준) 임계값에 의해 벌크 메일로 식별되었습니다.
MarkAsSpamBulkMail 매개 변수가 On 인 경우(기본적으로 켜져 있음) 벌크 메일 메시지는 스팸(SCL 6)으로 표시됩니다. 자세한 내용은 스팸 방지 정책 구성하기를 참조하세요. |
X-CustomSpam: [ASFOption] |
메시지가 ASF(고급 스팸 필터) 설정과 일치합니다. 각 ASF 설정의 X-헤더 값을 보려면 ASF(고급 스팸 필터) 설정을 참조하세요. 참고: ASF는 메시지가 Exchange 메일 흐름 규칙(전송 규칙이라고도 함)에 의해 처리된 후 메시지에 X 헤더 필드를 추가 X-CustomSpam: 하므로 메일 흐름 규칙을 사용하여 ASF에서 필터링된 메시지를 식별하고 작업할 수 없습니다. |
X-Microsoft-Antispam 메시지 헤더 필드
다음 표에서는 X-Microsoft-Antispam 메시지 헤더의 유용한 필드에 대해 설명합니다. 이 헤더의 다른 필드는 Microsoft 스팸 방지 팀에서 진단용으로만 사용합니다.
필드 | 설명 |
---|---|
BCL |
메시지의 BCL(대량 불만 수준)입니다. BCL이 높을수록 대량 메일 메시지가 불만을 발생시킬 가능성이 높으므로 스팸일 가능성이 더 높습니다. 자세한 내용은 EOP의 BCL(대량 불만 수준)을 참조하세요. |
Authentication-Results 메시지 헤더
SPF, DKIM 및 DMARC에 대한 전자 메일 인증 확인 결과는 인바운드 메시지의 인증-결과 메시지 헤더에 기록(스탬프됨)됩니다. 인증 결과 헤더는 RFC 7001에 정의되어 있습니다.
다음 목록에서는 각 전자 메일 인증 확인 유형에 대해 인증-결과 헤더에 추가된 텍스트를 설명합니다.
SPF는 다음 구문을 사용합니다.
spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>
예를 들어 다음과 같습니다.
spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com
DKIM은 다음 구문을 사용합니다.
dkim=<pass|fail (reason)|none> header.d=<domain>
예를 들어 다음과 같습니다.
dkim=pass (signature was verified) header.d=contoso.com dkim=fail (body hash did not verify) header.d=contoso.com
DMARC는 다음 구문을 사용합니다.
dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>
예를 들어 다음과 같습니다.
dmarc=pass action=none header.from=contoso.com dmarc=bestguesspass action=none header.from=contoso.com dmarc=fail action=none header.from=contoso.com dmarc=fail action=oreject header.from=contoso.com
인증확인 - 메시지 헤더 필드를 생성합니다.
다음 표에서는 각 전자 메일 인증 검사에 대한 필드 및 가능한 값에 대해 설명합니다.
필드 | 설명 |
---|---|
action |
DMARC 검사 결과에 따라 스팸 필터에서 수행하는 작업을 표시합니다. 예:
|
compauth |
복합 인증 결과 Microsoft 365에서 여러 유형의 인증(SPF, DKIM 및 DMARC) 또는 메시지의 다른 부분을 결합하여 메시지의 인증 여부를 결정하는 데 사용됩니다. 평가 기준으로 보낸 사람: 도메인을 사용합니다.
참고: 실패에도 compauth 불구하고 다른 평가가 의심스러운 성격을 나타내지 않으면 메시지가 여전히 허용될 수 있습니다. |
dkim |
메시지의 DKIM 검사 결과를 설명합니다. 가능한 값은 다음과 같습니다.
|
dmarc |
메시지에 대한 DMARC 검사 결과를 설명합니다. 가능한 값은 다음과 같습니다.
|
header.d |
해당하는 경우, DKIM 서명에서 식별된 도메인입니다. 이는 공개 키에 대해 쿼리된 도메인입니다. |
header.from |
전자 메일 메시지 헤더에 있는 5322.From 주소(보낸 사람 주소 또는 P2 보낸 사람이라고도 함)의 도메인입니다. 받는 사람은 전자 메일 클라이언트에서 보낸 사람 주소를 봅니다. |
reason |
복합 인증을 통과 또는 실패한 이유입니다. 값은 세 자리 코드입니다. 예시:
|
smtp.mailfrom |
5321.MailFrom 주소(메일 보낸 사람 주소, P1 보낸 사람 또는 봉투 보낸 사람이라고도 함)의 도메인입니다. 이 이메일 주소는 배달되지 않는 보고서(NDR 또는 반송 메시지라고도 함)에 사용됩니다. |
spf |
메시지에 대한 SPF 검사 결과를 설명합니다. 가능한 값은 다음과 같습니다.
|