테넌트 허용/차단 목록에서 허용 및 차단 관리
팁
Microsoft Defender XDR Office 365 플랜 2의 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. Office 365용 Microsoft Defender 시도에서 누가 등록하고 평가판을 사용할 수 있는지에 대해 알아봅니다.
중요
타사 공격 시뮬레이션 학습의 일부인 피싱 URL을 허용하려면 고급 배달 구성 을 사용하여 URL을 지정합니다. 테넌트 허용/차단 목록을 사용하지 마세요.
Exchange Online 사서함이 없는 Exchange Online 또는 EOP(독립 실행형 Exchange Online Protection) 조직에 사서함이 있는 Microsoft 365 조직에서는 EOP 또는 Office 365용 Microsoft Defender 필터링 평결. 예를 들어 좋은 메시지가 잘못된 메시지(가양성)로 표시되거나 잘못된 메시지가 (거짓 부정)을 통해 허용될 수 있습니다.
Microsoft Defender 포털의 테넌트 허용/차단 목록을 사용하면 Office 365용 Defender 또는 EOP 필터링 평결을 수동으로 재정의할 수 있습니다. 이 목록은 외부 보낸 사람의 들어오는 메시지에 대해 메일 흐름 또는 클릭 시간 동안 사용됩니다.
도메인 및 전자 메일 주소 및 스푸핑된 보낸 사람의 항목은 organization 내에서 보낸 내부 메시지에 적용됩니다. 도메인 및 전자 메일 주소에 대한 항목을 차단하면 organization 사용자가 차단된 도메인 및 주소로 전자 메일을 보낼 수 없습니다.
테넌트 허용/차단 목록은 Email & 협업> 정책 & 규칙위협>정책 규칙> 섹션>테넌트 허용/차단 Lists Microsoft Defender 포털에서 https://security.microsoft.com 사용할 수 있습니다. 또는 테넌트 허용/차단 Lists 페이지로 직접 이동하려면 를 사용합니다https://security.microsoft.com/tenantAllowBlockList.
사용 및 구성 지침은 다음 문서를 참조하세요.
- 도메인 및 전자 메일 주소 및스푸핑된 보낸 사람: 테넌트 허용/차단 목록을 사용하여 전자 메일 허용 또는 차단
- 파일: 테넌트 허용/차단 목록을 사용하여 파일 허용 또는 차단
- URL: 테넌트 허용/차단 목록을 사용하여 URL을 허용하거나 차단합니다.
- IP 주소: 테넌트 허용/차단 목록을 사용하여 IP 주소를 허용하거나 차단합니다.
이러한 문서에는 Microsoft Defender 포털 및 PowerShell의 프로시저가 포함되어 있습니다.
테넌트 허용/차단 목록의 차단 항목
팁
테넌트 허용/차단 목록에서 블록 항목이 허용 항목보다 우선합니다.
에서 제출 페이지( 관리자 제출이라고도 함) https://security.microsoft.com/reportsubmission 를 사용하여 Microsoft에 거짓 부정으로 제출할 때 다음 유형의 항목에 대한 블록 항목을 만듭니다.
-
- 이러한 보낸 사람의 Email 메시지는 높은 신뢰도 피싱으로 표시된 다음 격리로 이동됩니다.
- organization 사용자는 이러한 차단된 도메인 및 주소로 전자 메일을 보낼 수 없습니다. 다음과 같은 배달 못 함 보고서(NDR 또는 반송 메시지라고도 함)
550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List.
를 받습니다. 전체 메시지는 하나의 받는 사람 전자 메일 주소 또는 도메인만 블록 항목에 정의되어 있더라도 메시지의 모든 내부 및 외부 받는 사람에 대해 차단됩니다.
팁
특정 보낸 사람으로부터 스팸만 차단하려면 스팸 방지 정책의 차단 목록에 이메일 주소 또는 도메인을 추가합니다. 보낸 사람으로부터 모든 전자 메일을 차단하려면 테넌트 허용/차단 목록에서 도메인 및 전자 메일 주소를 사용합니다.
파일: 이러한 차단된 파일이 포함된 Email 메시지는 맬웨어로 차단됩니다. 차단된 파일이 포함된 메시지는 격리됩니다.
URL: 이러한 차단된 URL을 포함하는 Email 메시지는 높은 신뢰도 피싱으로 차단됩니다. 차단된 URL이 포함된 메시지는 격리됩니다.
테넌트 허용/차단 목록에서 다음 유형의 항목에 대한 블록 항목을 직접 만들 수도 있습니다.
도메인 및 전자 메일 주소, 파일 및 URL.
스푸핑된 보낸 사람: 스푸핑 인텔리전스에서 기존 허용 평결을 수동으로 재정의하는 경우 차단된 스푸핑된 보낸 사람이 테넌트 허용/차단 목록 의 스푸핑된 보낸 사람 탭에만 표시되는 수동 블록 항목이 됩니다.
IP 주소: 블록 항목을 수동으로 만들면 해당 IP 주소에서 들어오는 모든 전자 메일 메시지가 서비스 가장자리에 삭제됩니다.
기본적으로 도메인 및 전자 메일 주소, 파일 및 URL 에 대한 항목은 30일 후에 만료되지만 최대 90일 동안 만료되거나 만료되지 않도록 설정할 수 있습니다.
스푸핑된 보낸 사람 및 IP 주소에 대한 차단 항목은 만료되지 않습니다.
테넌트 허용/차단 목록의 항목 허용
대부분의 경우 테넌트 허용/차단 목록에 허용 항목을 직접 만들 수 없습니다. 불필요한 허용 항목은 시스템에 의해 필터링되었을 수 있는 악의적인 전자 메일에 organization 노출합니다.
도메인 및 전자 메일 주소, 파일 및 URL: 테넌트 허용/차단 목록에 직접 허용 항목을 만들 수 없습니다. 대신 의 https://security.microsoft.com/reportsubmission제출 페이지를 사용하여 전자 메일, 전자 메일첨부 파일 또는 URL을 Microsoft에 제출합니다. 클린 확인했으면이 메시지 허용, 이 파일 허용 또는 이 URL 허용을 선택하여 도메인 및 전자 메일 주소, 파일 또는 URL에 대한 허용 항목을 만들 수 있습니다.
스푸핑된 보낸 사람:
- 스푸핑 인텔리전스가 이미 메시지를 스푸핑으로 차단한 경우 의 제출 페이지를 https://security.microsoft.com/reportsubmission 사용하여 클린 확인한 대로 Microsoft에 전자 메일을 보고한 다음, 이 메시지 허용을 선택합니다.
- 스푸핑 인텔리전스가 메시지를 스푸핑으로 식별하고 차단하기 전에 테넌트 허용/차단 목록의 스푸핑된 보낸 사람 탭에서 스푸핑된 발신자에 대한 허용 항목을 사전에 만들 수 있습니다.
IP 주소: 테넌트 허용/차단 목록의 IP 주소 탭에서 IP 주소에 대한 허용 항목을 사전에 만들어 들어오는 메시지에 대한 IP 필터를 재정의할 수 있습니다.
다음 목록에서는 제출 페이지에서 Microsoft에 가양성으로 제출할 때 테넌트 허용/차단 목록에서 발생하는 상황에 대해 설명 합니다 .
첨부 파일 및 URL Email: 허용 항목이 만들어지고 항목이 테넌트 허용/차단 목록의 파일 또는 URL 탭에 각각 표시됩니다.
가양성으로 보고된 URL의 경우 원래 URL의 변형이 포함된 후속 메시지를 허용합니다. 예를 들어 제출 페이지를 사용하여 잘못 차단된 URL
www.contoso.com/abc
을 보고합니다. organization 나중에 URL이 포함된 메시지를 수신하는 경우(예:www.contoso.com/abc
,www.contoso.com/abc?id=1
,www.contoso.com/abc/def/gty/uyt?id=5
또는www.contoso.com/abc/whatever
) URL에 따라 메시지가 차단되지 않습니다. 즉, 동일한 URL의 여러 변형을 Microsoft에 보고할 필요가 없습니다.Email: EOP 또는 Office 365용 Defender 필터링 스택에 의해 메시지가 차단된 경우 테넌트 허용/차단 목록에 허용 항목이 생성될 수 있습니다.
- 스 푸핑 인텔리전스에 의해 메시지가 차단된 경우 보낸 사람의 허용 항목이 만들어지고 테넌트 허용/차단 목록 의 스푸핑된 보낸 사람 탭에 항목이 나타납니다.
- Office 365용 Defender 사용자(또는 그래프) 가장 보호에 의해 메시지가 차단된 경우 테넌트 허용/차단 목록에 허용 항목이 만들어지지 않습니다. 대신 도메인 또는 보낸 사람이 메시지를 검색한 피싱 방지 정책의 신뢰할 수 있는 보낸 사람 및 도메인 섹션에 추가됩니다.
- 파일 기반 필터로 인해 메시지가 차단된 경우 파일에 대한 허용 항목이 만들어지고 테넌트 허용/차단 목록의 파일 탭에 항목이 나타납니다.
- URL 기반 필터로 인해 메시지가 차단된 경우 URL에 대한 허용 항목이 만들어지고 테넌트 허용/차단 목록의 URL 탭에 항목이 나타납니다.
- 다른 이유로 메시지가 차단된 경우 보낸 사람 전자 메일 주소 또는 도메인에 대한 허용 항목이 만들어지고 테넌트 허용/차단 목록의 도메인 & 주소 탭에 항목이 표시됩니다.
- 필터링으로 인해 메시지가 차단되지 않은 경우 아무 곳에도 허용 항목이 만들어지지 않습니다.
팁
제출의 허용 항목은 메시지가 악의적이라고 판단한 필터에 따라 메일 흐름 중에 추가됩니다. 예를 들어 보낸 사람 전자 메일 주소와 메시지의 URL이 악의적인 것으로 확인되면 보낸 사람(전자 메일 주소 또는 도메인) 및 URL에 대한 허용 항목이 만들어집니다.
메일 흐름 또는 클릭 시간 동안 허용 항목에 엔터티가 포함된 메시지가 필터링 스택에서 다른 검사를 통과하면 메시지가 전달됩니다(허용된 엔터티와 연결된 모든 필터는 건너뜁니다). 예를 들어 메시지가 전자 메일 인증 검사, URL 필터링 및 파일 필터링을 통과하면 허용된 보낸 사람 전자 메일 주소의 메시지도 허용된 보낸 사람에게 전달됩니다.
기본적으로 도메인 및 전자 메일 주소, 파일 및 URL에 대한 허용 항목은 필터링 시스템에서 엔터티가 클린 것을 확인한 후 허용 항목이 제거된 후 45일 동안 유지됩니다. 또는 항목을 만든 후 최대 30일까지 만료되도록 허용 항목을 설정할 수 있습니다. 스푸핑된 보낸 사람의 항목이 만료되지 않도록 허용합니다.
허용 또는 차단 항목을 추가한 후 예상되는 사항
제출 페이지에 허용 항목을 추가하거나 테넌트 허용/차단 목록에 블록 항목을 추가하면 항목이 즉시 작동하기 시작합니다(5분 이내).
Microsoft가 허용 항목에서 학습한 경우 테넌트 허용/차단 목록에서 항목 제거라는 기본 제공 경고 정책은 (이제 불필요한) 허용 항목이 제거되면 경고를 생성합니다.