다음을 통해 공유


테넌트 허용/차단 목록을 사용하여 전자 메일 허용 또는 차단

Microsoft Defender XDR Office 365 플랜 2의 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. Office 365용 Microsoft Defender 시도에서 누가 등록하고 평가판을 사용할 수 있는지에 대해 알아봅니다.

Exchange Online 사서함이 없는 Exchange Online 또는 EOP(독립 실행형 Exchange Online Protection) 조직에 사서함이 있는 Microsoft 365 조직에서 관리자는 테넌트 허용/차단 목록에서 도메인 및 전자 메일 주소(스푸핑된 보낸 사람 포함)에 대한 항목을 만들고 관리할 수 있습니다. 테넌트 허용/차단 목록에 대한 자세한 내용은 테 넌트 허용/차단 목록에서 허용 및 블록 관리를 참조하세요.

이 문서에서는 관리자가 Microsoft Defender 포털 및 Exchange Online PowerShell에서 전자 메일 보낸 사람의 항목을 관리하는 방법을 설명합니다.

시작하기 전에 알아야 할 사항은 무엇인가요?

  • 에서 Microsoft Defender 포털을 https://security.microsoft.com엽니다. 테넌트 허용/차단 Lists 페이지로 직접 이동하려면 를 사용합니다https://security.microsoft.com/tenantAllowBlockList. 제출 페이지로 직접 이동하려면 를 사용합니다https://security.microsoft.com/reportsubmission.

  • Exchange Online PowerShell에 연결하려면 Exchange Online PowerShell에 연결을 참조하세요. 독립 실행형 EOP PowerShell에 연결하려면 Exchange Online Protection PowerShell에 연결을 참조하세요.

  • 도메인 및 전자 메일 주소에 대한 항목 제한:

    • Exchange Online Protection: 허용 항목의 최대 수는 500개이고 블록 항목의 최대 수는 500개(도메인 및 전자 메일 주소 항목 총 1,000개)입니다.
    • Office 365용 Defender 플랜 1: 허용 항목의 최대 수는 1000개이고 최대 블록 항목 수는 1000개입니다(총 도메인 및 전자 메일 주소 항목 2000개).
    • Office 365용 Defender 플랜 2: 허용 항목의 최대 수는 5,000개이며, 최대 블록 항목 수는 10000개(도메인 및 전자 메일 주소 항목 총 15,000개)입니다.
  • 스푸핑된 보낸 사람의 경우 허용 항목 및 블록 항목의 최대 수는 1024개입니다(1024개 허용 항목 및 블록 항목 없음, 512개의 허용 항목 및 512개의 블록 항목 등).

  • 스푸핑된 보낸 사람의 항목은 만료되지 않습니다.

  • 도메인에서 인바운드 및 아웃바운드 전자 메일, 해당 도메인의 하위 도메인 및 해당 도메인의 모든 전자 메일 주소를 차단하려면 구문을 *.TLD사용하여 블록 항목을 만듭니다. 여기서 TLD 은 최상위 도메인, 내부 도메인 또는 전자 메일 주소 도메인일 수 있습니다.

  • 도메인의 sudomain 및 해당 하위 도메인의 전자 메일 주소에서 인바운드 및 아웃바운드 전자 메일을 차단하려면 내부 도메인 및 전자 메일 주소 도메인의 경우 , , *.SD2.SD1.TLD*.SD3.SD2.SD1.TLD등 구문을 *.SD1.TLD사용하여 블록 항목을 만듭니다.

  • 스푸핑된 보낸 사람 항목의 구문에 대한 자세한 내용은 이 문서의 뒷부분에 있는 스푸핑된 보낸 사람 항목에 대한 도메인 쌍 구문 섹션을 참조하세요.

  • 항목은 5분 이내에 활성화되어야 합니다.

  • 이 문서의 절차를 수행하려면 권한이 할당되어야 합니다. 다음과 같은 옵션을 선택할 수 있습니다.

    • MICROSOFT DEFENDER XDR RBAC(통합 역할 기반 액세스 제어)(협업>을 Email & 경우Office 365용 Defender 권한은 활성입니다. PowerShell이 아닌 Defender 포털에만 영향을 줍니다. 권한 부여 및 설정/보안 설정/검색 튜닝(관리) 또는 권한 부여 및 설정/보안 설정/핵심 보안 설정(읽기).

    • Exchange Online 권한:

      • 테넌트 허용/차단 목록: 다음 역할 그룹 중 하나의 멤버 자격에서 항목을 추가하고 제거합니다.
        • 조직 관리 또는 보안 관리자 (보안 관리자 역할).
        • 보안 연산자 (테넌트 AllowBlockList Manager).
      • 테넌트 허용/차단 목록에 대한 읽기 전용 액세스: 다음 역할 그룹 중 하나의 멤버 자격:
        • 전역 읽기 권한자
        • 보안 읽기 권한자
        • 보기 전용 구성
        • View-Only Organization Management
    • Microsoft Entra 권한: 전역 관리자, 보안 관리자*, 전역 읽기 권한자 또는 보안 읽기 권한자 역할의 멤버 자격은 사용자에게 Microsoft 365의 다른 기능에 대한 필요한 권한 권한을 제공합니다.

      중요

      * 사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 사용 권한이 낮은 계정을 사용하면 organization 대한 보안을 개선하는 데 도움이 됩니다. 전역 관리자는 기존 역할을 사용할 수 없는 경우 긴급 시나리오로 제한해야 하는 매우 권한이 높은 역할입니다.

테넌트 허용/차단 목록의 도메인 및 전자 메일 주소

도메인 및 전자 메일 주소에 대한 허용 항목 만들기

테넌트 허용/차단 목록에서 도메인 및 전자 메일 주소에 대한 허용 항목을 직접 만들 수 없습니다. 불필요한 허용 항목은 시스템에 의해 필터링되었을 악성 전자 메일에 organization 노출합니다.

대신 의 제출 페이지에서 https://security.microsoft.com/reportsubmission?viewid=email이메일 탭을 사용합니다. 차단된 메시지를 클린 확인한이 메시지 허용을 선택하면 테넌트 허용/차단Lists 페이지의 도메인 & 전자 메일 주소 탭에 보낸 사람의 허용 항목이 추가됩니다. 지침은 Microsoft에 좋은 전자 메일 제출을 참조하세요.

제출의 허용 항목은 메시지가 악의적이라고 판단한 필터에 따라 메일 흐름 중에 추가됩니다. 예를 들어 보낸 사람 전자 메일 주소와 메시지의 URL이 악의적인 것으로 확인되면 보낸 사람(전자 메일 주소 또는 도메인) 및 URL에 대한 허용 항목이 만들어집니다.

메일 흐름 또는 클릭 시간 동안 허용 항목에 엔터티가 포함된 메시지가 필터링 스택에서 다른 검사를 통과하면 메시지가 전달됩니다(허용된 엔터티와 연결된 모든 필터는 건너뜁니다). 예를 들어 메시지가 전자 메일 인증 검사, URL 필터링 및 파일 필터링을 통과하면 허용된 보낸 사람 전자 메일 주소의 메시지도 허용된 보낸 사람에게 전달됩니다.

기본적으로 도메인 및 전자 메일 주소, 파일URL에 대한 허용 항목은 필터링 시스템에서 엔터티가 클린 것을 확인한 후 허용 항목이 제거된 후 45일 동안 유지됩니다. 또는 항목을 만든 후 최대 30일까지 만료되도록 허용 항목을 설정할 수 있습니다. 스푸핑된 보낸 사람의 항목이 만료되지 않도록 허용합니다.

도메인 및 전자 메일 주소에 대한 블록 항목 만들기

도메인 및 전자 메일 주소에 대한 블록 항목을 만들려면 다음 방법 중 하나를 사용합니다.

스푸핑된 보낸 사람의 블록 항목을 만들려면 이 문서의 뒷부분에 있는 이 섹션을 참조하세요.

이러한 차단된 보낸 사람의 Email 높은 신뢰도 피싱으로 표시되고 격리됩니다.

참고

현재 지정된 도메인의 하위 도메인은 차단되지 않습니다. 예를 들어 contoso.com 전자 메일에 대한 차단 항목을 만드는 경우 marketing.contoso.com 메일도 차단되지 않습니다. marketing.contoso.com 별도의 블록 항목을 만들어야 합니다.

organization 사용자는 이러한 차단된 도메인 및 주소로 전자 메일을 보낼 수도 없습니다. 메시지는 다음 배달 못 함 보고서(NDR 또는 반송 메시지라고도 함)에서 반환됩니다. 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. 메시지의 모든 내부 및 외부 받는 사람에 대해 전체 메시지가 차단됩니다. 받는 사람 전자 메일 주소 또는 도메인이 블록 항목에 정의되어 있더라도 전체 메시지는 차단됩니다.

Microsoft Defender 포털을 사용하여 테넌트 허용/차단 목록에서 도메인 및 전자 메일 주소에 대한 블록 항목을 만듭니다.

  1. 의 Microsoft Defender 포털에서 https://security.microsoft.com정책 & 규칙위협 정책>규칙> 섹션 >테넌트 허용/차단 Lists 이동합니다. 또는 테넌트 허용/차단 Lists 페이지로 직접 이동하려면 를 사용합니다https://security.microsoft.com/tenantAllowBlockList.

  2. 테넌트 허용/차단 Lists 페이지에서 도메인 & 주소 탭이 선택되어 있는지 확인합니다.

  3. 도메인 & 주소 탭에서차단을 선택합니다.

  4. 도메인 차단 & 열리는 플라이아웃 을 해결 하려면 다음 설정을 구성합니다.

    • 도메인 & 주소: 한 줄당 최대 20개의 전자 메일 주소 또는 도메인을 입력합니다.

    • 블록 항목 제거 후: 다음 값 중에서 선택합니다.

      • 1일
      • 7일
      • 30일 (기본값)
      • 만료되지 않음
      • 특정 날짜: 최대값은 오늘부터 90일입니다.
    • 선택 사항: 전자 메일 주소 또는 도메인을 차단하는 이유에 대한 설명 텍스트를 입력합니다.

  5. 도메인 차단 & 주소 플라이아웃을 마쳤으면 추가를 선택합니다.

도메인 & 전자 메일 주소 탭으로 돌아가면 항목이 나열됩니다.

PowerShell을 사용하여 테넌트 허용/차단 목록에서 도메인 및 전자 메일 주소에 대한 블록 항목을 만듭니다.

Exchange Online PowerShell에서 다음 구문을 사용합니다.

New-TenantAllowBlockListItems -ListType Sender -Block -Entries "DomainOrEmailAddress1","DomainOrEmailAddress1",..."DomainOrEmailAddressN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

다음은 특정 날짜에 만료되는 지정된 전자 메일 주소에 대한 블록 항목을 추가하는 예제입니다.

New-TenantAllowBlockListItems -ListType Sender -Block -Entries "test@badattackerdomain.com","test2@anotherattackerdomain.com" -ExpirationDate 8/20/2022

자세한 구문 및 매개 변수 정보는 New-TenantAllowBlockListItems를 참조하세요.

Microsoft Defender 포털을 사용하여 테넌트 허용/차단 목록에서 도메인 및 전자 메일 주소에 대한 항목을 볼 수 있습니다.

의 Microsoft Defender 포털에서 https://security.microsoft.com정책 & 규칙>위협 정책>테넌트 허용/차단 Lists규칙 섹션으로 이동합니다. 또는 테넌트 허용/차단 Lists 페이지로 직접 이동하려면 를 사용합니다https://security.microsoft.com/tenantAllowBlockList.

도메인 & 주소 탭이 선택되어 있는지 확인합니다.

도메인 & 주소 탭에서 사용 가능한 열 머리글을 클릭하여 항목을 정렬할 수 있습니다. 다음 열을 사용할 수 있습니다.

  • : 도메인 또는 전자 메일 주소입니다.
  • 작업: 허용 또는 차단 값입니다.
  • 수정한 날짜:
  • 마지막 업데이트
  • 마지막으로 사용한 날짜: 필터링 시스템에서 항목을 마지막으로 사용하여 평결을 재정의한 날짜입니다.
  • 제거 날짜: 만료 날짜입니다.
  • 참고

항목을 필터링하려면 필터를 선택합니다. 다음 필터는 열리는 필터 플라이아웃에서 사용할 수 있습니다.

  • 작업: 값은 허용차단입니다.
  • 만료되지 않음: 또는
  • 마지막 업데이트: 날짜 부터 날짜를 선택합니다.
  • 마지막으로 사용한 날짜: FromTo 날짜를 선택합니다.
  • 제거 대상: 날짜 에서및 대상을 선택합니다.

필터 플라이아웃을 마쳤으면 적용을 선택합니다. 필터를 지우려면 필터 지우기를 선택합니다.

검색 상자와 해당 값을 사용하여 특정 항목을 찾습니다.

항목을 그룹화하려면 그룹을 선택한 다음 작업을 선택합니다. 항목을 그룹 해제하려면 없음을 선택합니다.

PowerShell을 사용하여 테넌트 허용/차단 목록에서 도메인 및 전자 메일 주소에 대한 항목을 볼 수 있습니다.

Exchange Online PowerShell에서 다음 구문을 사용합니다.

Get-TenantAllowBlockListItems -ListType Sender [-Allow] [-Block] [-Entry <Domain or Email address value>] [<-ExpirationDate Date | -NoExpiration>]

이 예제에서는 도메인 및 전자 메일 주소에 대한 모든 허용 및 차단 항목을 반환합니다.

Get-TenantAllowBlockListItems -ListType Sender

이 예제에서는 도메인 및 전자 메일 주소에 대한 블록 항목에 대한 결과를 필터링합니다.

Get-TenantAllowBlockListItems -ListType Sender -Block

자세한 구문 및 매개 변수 정보는 Get-TenantAllowBlockListItems를 참조하세요.

Microsoft Defender 포털을 사용하여 테넌트 허용/차단 목록에서 도메인 및 전자 메일 주소에 대한 항목을 수정합니다.

기존 도메인 및 전자 메일 주소 항목에서 만료 날짜 및 메모를 변경할 수 있습니다.

  1. 의 Microsoft Defender 포털에서 https://security.microsoft.com정책 & 규칙위협 정책>규칙> 섹션 >테넌트 허용/차단 Lists 이동합니다. 또는 테넌트 허용/차단 Lists 페이지로 직접 이동하려면 를 사용합니다https://security.microsoft.com/tenantAllowBlockList.

  2. 도메인 & 주소 탭이 선택되어 있는지 확인합니다.

  3. 도메인 & 주소 탭에서 첫 번째 열 옆에 있는 검사 상자를 선택하여 목록에서 항목을 선택한 다음 나타나는 편집 작업을 선택합니다.

  4. 열리는 도메인 편집 & 주소 플라이아웃에서 다음 설정을 사용할 수 있습니다.

    • 차단 항목:
      • 블록 항목 제거 후: 다음 값 중에서 선택합니다.
        • 1일
        • 7일
        • 30일
        • 만료되지 않음
        • 특정 날짜: 최대값은 오늘부터 90일입니다.
      • 선택적 참고 사항
    • 항목 허용:
      • 허용 항목 제거 후: 다음 값 중에서 선택합니다.
        • 1일
        • 7일
        • 30일
        • 마지막으로 사용한 날짜 이후 45일
        • 특정 날짜: 최대값은 오늘부터 30일입니다.
      • 선택적 참고 사항

    도메인 편집 & 주소 플라이아웃을 마쳤으면 저장을 선택합니다.

도메인 & 주소 탭에 있는 항목의 세부 정보 플라이아웃에서 플라이아웃 맨 위에 있는 제출 보기를 사용하여 제출 페이지에서 해당 항목의 세부 정보로 이동합니다. 이 작업은 제출이 테넌트 허용/차단 목록에 항목을 만드는 작업을 담당한 경우에 사용할 수 있습니다.

PowerShell을 사용하여 테넌트 허용/차단 목록에서 도메인 및 전자 메일 주소에 대한 항목을 수정합니다.

Exchange Online PowerShell에서 다음 구문을 사용합니다.

Set-TenantAllowBlockListItems -ListType Sender <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

다음은 보낸 사람 전자 메일 주소에 대해 지정된 블록 항목의 만료 날짜를 변경하는 예제입니다.

Set-TenantAllowBlockListItems -ListType Sender -Entries "julia@fabrikam.com" -ExpirationDate "9/1/2022"

자세한 구문 및 매개 변수 정보는 Set-TenantAllowBlockListItems를 참조하세요.

Microsoft Defender 포털을 사용하여 테넌트 허용/차단 목록에서 도메인 및 전자 메일 주소에 대한 항목을 제거합니다.

  1. 의 Microsoft Defender 포털에서 https://security.microsoft.com정책 & 규칙위협 정책>규칙> 섹션 >테넌트 허용/차단 Lists 이동합니다. 또는 테넌트 허용/차단 Lists 페이지로 직접 이동하려면 를 사용합니다https://security.microsoft.com/tenantAllowBlockList.

  2. 도메인 & 주소 탭이 선택되어 있는지 확인합니다.

  3. 도메인 & 주소 탭에서 다음 단계 중 하나를 수행합니다.

    • 첫 번째 열 옆에 있는 검사 상자를 선택하여 목록에서 항목을 선택한 다음 나타나는 삭제 작업을 선택합니다.

    • 검사 상자 이외의 행의 아무 곳이나 클릭하여 목록에서 항목을 선택합니다. 열리는 세부 정보 플라이아웃에서 플라이아웃 맨 위에서 삭제를 선택합니다.

      • 세부 정보 플라이아웃을 벗어나지 않고 다른 항목에 대한 세부 정보를 보려면 플라이아웃 맨 위에 있는 이전 항목다음 항목을 사용합니다.
      • 각 검사 상자를 선택하여 여러 항목을 선택하거나 열 머리글 옆에 있는 검사 상자를 선택하여 모든 항목을 선택할 수 있습니다.
  4. 열리는 경고 대화 상자에서 삭제를 선택합니다.

도메인 & 주소 탭으로 돌아가면 항목이 더 이상 나열되지 않습니다.

PowerShell을 사용하여 테넌트 허용/차단 목록에서 도메인 및 전자 메일 주소에 대한 항목을 제거합니다.

Exchange Online PowerShell에서 다음 구문을 사용합니다.

Remove-TenantAllowBlockListItems -ListType Sender `<-Ids <Identity value> | -Entries <Value>>

다음은 테넌트 허용/차단 목록에서 도메인 및 전자 메일 주소에 대해 지정된 항목을 제거하는 예제입니다.

Remove-TenantAllowBlockListItems -ListType Sender -Entries "adatum.com"

자세한 구문 및 매개 변수 정보는 Remove-TenantAllowBlockListItems를 참조하세요.

테넌트 허용/차단 목록에서 스푸핑된 보낸 사람

스푸핑 인텔리전스 인사이트에서 판결을 재정의하면 스푸핑된 보낸 사람이 테넌트 허용/차단 Lists 페이지의 스푸핑된 보낸 사람 탭에만 표시되는 수동 허용 또는 차단 항목이 됩니다.

스푸핑된 보낸 사람의 허용 항목 만들기

스푸핑된 보낸 사람의 허용 항목을 만들려면 다음 방법 중 일부를 사용합니다.

참고

조직 내, 조직 간 및 DMARC 스푸핑에 대해 스푸핑된 보낸 사람 계정에 대한 항목을 허용합니다.

스푸핑된 사용자 도메인 쌍 에 정의된 전송 인프라의 조합만 스푸핑할 수 있습니다.

스푸핑된 보낸 사람의 항목이 만료되지 않도록 허용합니다.

Microsoft Defender 포털을 사용하여 테넌트 허용/차단 목록에서 스푸핑된 보낸 사람의 허용 항목을 만듭니다.

테넌트 허용/차단 목록에서 스푸핑된 보낸 사람이 스푸 핑 인텔리전스에 의해 검색되고 차단되기 전에 허용 항목을 만들 수 있습니다.

  1. 의 Microsoft Defender 포털에서 https://security.microsoft.com정책 & 규칙위협 정책>규칙> 섹션 >테넌트 허용/차단 Lists 이동합니다. 또는 테넌트 허용/차단 Lists 페이지로 직접 이동하려면 를 사용합니다https://security.microsoft.com/tenantAllowBlockList.

  2. 테넌트 허용/차단 Lists 페이지에서 스푸핑된 보낸 사람 탭을 선택합니다.

  3. 스푸핑된 보낸 사람 탭에서추가를 선택합니다.

  4. 열리는 새 도메인 쌍 플라이아웃 추가에서 다음 설정을 구성합니다.

    • 와일드카드를 사용하여 도메인 쌍 추가: 줄당 최대 20개의 도메인 쌍을 입력합니다. 스푸핑된 보낸 사람 항목의 구문에 대한 자세한 내용은 이 문서의 뒷부분에 있는 스푸핑된 보낸 사람 항목에 대한 도메인 쌍 구문 섹션을 참조하세요.

    • 스푸핑 유형: 다음 값 중 하나를 선택합니다.

      • 내부: 스푸핑된 발신자는 organization 속한 도메인(허용된 도메인)에 있습니다.
      • 외부: 스푸핑된 발신자가 외부 도메인에 있습니다.
    • 작업: 허용 또는 차단을 선택합니다.

    새 도메인 쌍 추가 플라이아웃에서 완료되면 추가를 선택합니다.

스푸핑된 보낸 사람 탭으로 돌아가면 항목이 나열됩니다.

PowerShell을 사용하여 테넌트 허용/차단 목록에서 스푸핑된 보낸 사람의 허용 항목을 만듭니다.

Exchange Online PowerShell에서 다음 구문을 사용합니다.

New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SpoofedUser <Domain | EmailAddress> -SendingInfrastructure <Domain | IPAddress/24> -SpoofType <External | Internal>

이 예제에서는 원본 contoso.com 보낸 사람에게 bob@contoso.com 허용 항목을 만듭니다.

New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SendingInfrastructure contoso.com -SpoofedUser bob@contoso.com -SpoofType External

자세한 구문 및 매개 변수 정보는 New-TenantAllowBlockListSpoofItems를 참조하세요.

스푸핑된 보낸 사람의 블록 항목 만들기

스푸핑된 보낸 사람의 블록 항목을 만들려면 다음 방법 중 일부를 사용합니다.

참고

스푸핑된 사용자 도메인 쌍 에 정의된 전송 인프라의 조합만 스푸핑에서 차단됩니다.

이러한 보낸 사람의 Email 피싱으로 표시됩니다. 메시지는 받는 사람에 대한 메시지를 검색한 스팸 방지 정책에 따라 결정됩니다. 자세한 내용은 EOP 스팸 방지 정책 설정피싱 검색 작업을 참조하세요.

도메인 쌍에 대해 블록 항목을 구성하면 스푸핑된 보낸 사람이 테넌트 허용/차단 목록 의 스푸핑된 보낸 사람 탭에만 표시되는 수동 블록 항목이 됩니다.

스푸핑된 보낸 사람의 차단 항목은 만료되지 않습니다.

Microsoft Defender 포털을 사용하여 테넌트 허용/차단 목록에서 스푸핑된 보낸 사람의 블록 항목을 만듭니다.

이 단계는 이 문서에서 설명한 대로 스푸핑된 보낸 사람의 허용 항목을 만드는 것과 거의 동일합니다.

유일한 차이점은 4단계의 작업 값에 대해 허용 대신 차단을 선택합니다.

PowerShell을 사용하여 테넌트 허용/차단 목록에서 스푸핑된 보낸 사람의 블록 항목을 만듭니다.

Exchange Online PowerShell에서 다음 구문을 사용합니다.

New-TenantAllowBlockListSpoofItems -Identity Default -Action Block -SpoofedUser <Domain | EmailAddress> -SendingInfrastructure <Domain | IPAddress/24> -SpoofType <External | Internal>

이 예제에서는 원본 172.17.17.17/24에서 보낸 사람에게 laura@adatum.com 블록 항목을 만듭니다.

New-TenantAllowBlockListSpoofItems -Identity Default -Action Block -SendingInfrastructure 172.17.17.17/24 -SpoofedUser laura@adatum.com -SpoofType External

자세한 구문 및 매개 변수 정보는 New-TenantAllowBlockListSpoofItems를 참조하세요.

Microsoft Defender 포털을 사용하여 테넌트 허용/차단 목록에서 스푸핑된 보낸 사람의 항목을 볼 수 있습니다.

의 Microsoft Defender 포털에서 https://security.microsoft.com정책 & 규칙>위협 정책>테넌트 허용/차단 Lists규칙 섹션으로 이동합니다. 또는 테넌트 허용/차단 Lists 페이지로 직접 이동하려면 를 사용합니다https://security.microsoft.com/tenantAllowBlockList.

스푸핑된 보낸 사람 탭이 선택되어 있는지 확인합니다.

스푸핑된 보낸 사람 탭에서 사용 가능한 열 머리글을 클릭하여 항목을 정렬할 수 있습니다. 다음 열을 사용할 수 있습니다.

  • 스푸핑된 사용자
  • 인프라 보내기
  • 스푸핑 유형: 사용 가능한 값은 내부 또는 외부 값입니다.
  • 작업: 사용 가능한 값은 차단 또는 허용입니다.

항목을 필터링하려면 필터를 선택합니다. 다음 필터는 열리는 필터 플라이아웃에서 사용할 수 있습니다.

  • 작업: 사용 가능한 값은 허용차단입니다.
  • 스푸핑 유형: 사용 가능한 값은 내부외부 값입니다.

필터 플라이아웃을 마쳤으면 적용을 선택합니다. 필터를 지우려면 필터 지우기를 선택합니다.

검색 상자와 해당 값을 사용하여 특정 항목을 찾습니다.

항목을 그룹화하려면 그룹화 를 선택한 다음 다음 값 중 하나를 선택합니다.

  • 작업
  • 스푸핑 유형

항목을 그룹 해제하려면 없음을 선택합니다.

PowerShell을 사용하여 테넌트 허용/차단 목록에서 스푸핑된 보낸 사람의 항목을 봅니다.

Exchange Online PowerShell에서 다음 구문을 사용합니다.

Get-TenantAllowBlockListSpoofItems [-Action <Allow | Block>] [-SpoofType <External | Internal>

이 예제에서는 테넌트 허용/차단 목록에서 스푸핑된 모든 보낸 사람 항목을 반환합니다.

Get-TenantAllowBlockListSpoofItems

이 예제에서는 내부인 스푸핑된 모든 보낸 사람 항목을 반환합니다.

Get-TenantAllowBlockListSpoofItems -Action Allow -SpoofType Internal

이 예제에서는 외부에 있는 차단된 스푸핑된 모든 보낸 사람 항목을 반환합니다.

Get-TenantAllowBlockListSpoofItems -Action Block -SpoofType External

자세한 구문 및 매개 변수 정보는 Get-TenantAllowBlockListSpoofItems를 참조하세요.

Microsoft Defender 포털을 사용하여 테넌트 허용/차단 목록에서 스푸핑된 보낸 사람의 항목을 수정합니다.

테넌트 허용/차단 목록에서 스푸핑된 보낸 사람의 허용 또는 차단 항목을 수정하는 경우 허용에서 차단으로만 항목을 변경하거나 그 반대로 변경할 수 있습니다.

  1. 의 Microsoft Defender 포털에서 https://security.microsoft.com정책 & 규칙위협 정책>규칙> 섹션 >테넌트 허용/차단 Lists 이동합니다. 또는 테넌트 허용/차단 Lists 페이지로 직접 이동하려면 를 사용합니다https://security.microsoft.com/tenantAllowBlockList.

  2. 스푸핑된 보낸 사람 탭을 선택합니다.

  3. 첫 번째 열 옆에 있는 검사 상자를 선택하여 목록에서 항목을 선택한 다음 나타나는 편집 작업을 선택합니다.

  4. 푸핑된 보낸 사람 플라이아웃 편집 에서 허용 또는 차단을 선택한 다음 저장을 선택합니다.

PowerShell을 사용하여 테넌트 허용/차단 목록에서 스푸핑된 보낸 사람의 항목을 수정합니다.

Exchange Online PowerShell에서 다음 구문을 사용합니다.

Set-TenantAllowBlockListSpoofItems -Identity Default -Ids <Identity value> -Action <Allow | Block>

다음은 지정된 스푸핑된 보낸 사람 항목을 허용 항목에서 블록 항목으로 변경하는 예제입니다.

Set-TenantAllowBlockListItems -Identity Default -Ids 3429424b-781a-53c3-17f9-c0b5faa02847 -Action Block

자세한 구문 및 매개 변수 정보는 Set-TenantAllowBlockListSpoofItems를 참조하세요.

Microsoft Defender 포털을 사용하여 테넌트 허용/차단 목록에서 스푸핑된 보낸 사람의 항목을 제거합니다.

  1. 의 Microsoft Defender 포털에서 https://security.microsoft.com정책 & 규칙위협 정책>규칙> 섹션 >테넌트 허용/차단 Lists 이동합니다. 또는 테넌트 허용/차단 Lists 페이지로 직접 이동하려면 를 사용합니다https://security.microsoft.com/tenantAllowBlockList.

  2. 스푸핑된 보낸 사람 탭을 선택합니다.

  3. 스푸핑된 보낸 사람 탭에서 첫 번째 열 옆에 있는 검사 상자를 선택하여 목록에서 항목을 선택한 다음 나타나는 삭제 작업을 선택합니다.

    각 검사 상자를 선택하여 여러 항목을 선택하거나 스푸핑된 사용자 열 머리글 옆에 있는 검사 상자를 선택하여 모든 항목을 선택할 수 있습니다.

  4. 열리는 경고 대화 상자에서 삭제를 선택합니다.

PowerShell을 사용하여 테넌트 허용/차단 목록에서 스푸핑된 보낸 사람의 항목을 제거합니다.

Exchange Online PowerShell에서 다음 구문을 사용합니다.

Remove-TenantAllowBlockListSpoofItems -Identity domain.com\Default -Ids <Identity value>
Remove-TenantAllowBlockListSpoofItems -Identity domain.com\Default -Ids d86b3b4b-e751-a8eb-88cc-fe1e33ce3d0c

이 예제에서는 지정된 스푸핑된 보낸 사용자를 제거합니다. Get-TenantAllowBlockListSpoofItems 명령의 출력에 있는 Identity 속성에서 Ids 매개 변수 값을 가져옵니다.

자세한 구문 및 매개 변수 정보는 Remove-TenantAllowBlockListSpoofItems를 참조하세요.

스푸핑된 보낸 사람 항목에 대한 도메인 쌍 구문

테넌트 허용/차단 목록에서 스푸핑된 보낸 사람의 도메인 쌍은 구문을 <Spoofed user>, <Sending infrastructure>사용합니다.

  • 스푸핑된 사용자: 이 값에는 전자 메일 클라이언트의 보낸 사람 상자에 표시되는 스푸핑된 사용자의 이메일 주소가 포함됩니다. 이 주소를 또는 P2 보낸 사람 주소라고 5322.From 도 합니다. 사용할 수 있는 값은 다음과 같습니다.

    • 개별 이메일 주소(예: chris@contoso.com)입니다.
    • 전자 메일 도메인(예: contoso.com)입니다.
    • 와일드카드 문자(*)입니다.
  • 인프라 보내기: 이 값은 스푸핑된 사용자의 메시지 원본을 나타냅니다. 사용할 수 있는 값은 다음과 같습니다.

    • 원본 전자 메일 서버의 IP 주소(예: fabrikam.com)의 역방향 DNS 조회(PTR 레코드)에 있는 도메인입니다.
    • 원본 IP 주소에 PTR 레코드가 없는 경우 전송 인프라는 <원본 IP>/24(예: 192.168.100.100/24)로 식별됩니다.
    • 확인된 DKIM 도메인
    • 와일드카드 문자(*)입니다.

다음은 스푸핑된 보낸 사람 식별을 위한 유효한 도메인 쌍의 몇 가지 예입니다.

  • contoso.com, 192.168.100.100/24
  • chris@contoso.com, fabrikam.com
  • *, contoso.net

참고

전송 인프라 또는 스푸핑된 사용자에서 와일드카드를 지정할 수 있지만 둘 다 동시에 지정할 수는 없습니다. 예를 들어 는 *, * 허용되지 않습니다.

보내는 인프라에서 IP 주소 또는 IP 주소 범위 대신 도메인을 사용하는 경우 도메인은 인증 결과 헤더의 연결 IP에 대한 PTR 레코드와 일치해야 합니다. 명령을 ping -a <IP address>실행하여 PTR을 확인할 수 있습니다. 또한 PTR 조직 도메인을 도메인 값으로 사용하는 것이 좋습니다. 예를 들어 PTR이 "smtp.inbound.contoso.com"로 확인되면 "contoso.com"을 보내는 인프라로 사용해야 합니다.

도메인 쌍을 추가하면 스푸핑된 사용자 보내는 인프라의 조합 허용하거나 차단합니다. 예를 들어 다음 도메인 쌍에 대한 허용 항목을 추가합니다.

  • 도메인: gmail.com
  • 인프라 보내기: tms.mx.com

해당 도메인 전송 인프라 쌍의 메시지만 스푸핑할 수 있습니다. gmail.com 스푸핑하려는 다른 발신자는 허용되지 않습니다. tms.mx.com 다른 도메인의 보낸 사람이 보낸 메시지는 스푸핑 인텔리전스를 통해 확인됩니다.

가장된 도메인 또는 보낸 사람 정보

Office 365용 Defender 피싱 방지 정책에 의해 가장된 사용자 또는 가장된 도메인으로 검색된 메시지에 대한 테넌트 허용/차단 목록에 허용 항목을 만들 수 없습니다.

제출 페이지의https://security.microsoft.com/reportsubmission?viewid=email전자 메일 탭에서 가장으로 잘못 차단된 메시지를 제출해도 테넌트 허용/차단 목록에 보낸 사람 또는 도메인이 허용 항목으로 추가되지 않습니다.

대신 도메인 또는 보낸 사람이 메시지를 검색한 피싱 방지 정책의 신뢰할 수 있는 보낸 사람 및 도메인 섹션에 추가됩니다.

가양성 가장에 대한 제출 지침은 Microsoft에 양호한 전자 메일 보고를 참조하세요.

참고

현재 사용자(또는 그래프) 가장은 여기에서 처리되지 않습니다.