Exchange Online 커넥터에 대한 향상된 필터링
올바르게 구성된 인바운드 커넥터는 Microsoft 365 또는 Office 365 들어오는 메일의 신뢰할 수 있는 원본입니다. 그러나 Microsoft 365 또는 Office 365 도메인에 대한 전자 메일이 다른 곳으로 먼저 라우팅되는 복잡한 라우팅 시나리오에서는 인바운드 커넥터의 원본이 일반적으로 메시지의 출처를 나타내는 진정한 지표가 아닙니다. 복잡한 라우팅 시나리오는 다음과 같습니다.
- 타사 클라우드 필터링 서비스
- 관리되는 필터링 어플라이언스
- 하이브리드 환경(예: 온-프레미스 Exchange)
복잡한 시나리오의 메일 라우팅은 다음과 같습니다.
이 메시지는 Microsoft 365 앞에 있는 서비스, 어플라이언스 또는 온-프레미스 Exchange organization 원본 IP를 채택합니다. 메시지는 다른 원본 IP 주소를 사용하여 Microsoft 365에 도착합니다. 이 동작은 Microsoft 365의 제한 사항이 아닙니다. 단순히 SMTP의 작동 방식입니다.
이러한 시나리오에서는 커넥터에 대한 향상된 필터링(목록 건너뛰기이라고도 함)을 사용하여 EOP(Exchange Online Protection)를 최대한 활용하고 Office 365용 Microsoft Defender 수 있습니다.
커넥터에 대한 향상된 필터링을 사용하도록 설정하면 복잡한 라우팅 시나리오의 메일 라우팅은 다음과 같습니다.
볼 수 있듯이 커넥터에 대한 향상된 필터링을 사용하면 IP 주소 및 보낸 사람 정보를 보존할 수 있습니다.
이러한 라우팅 시나리오에서 ARC Seal 은 일반적으로 DKIM을 사용하여 원본 정보 및 메시지 무결성을 유지하는 데 사용됩니다. 그러나 메시지를 수정하는 많은 서비스가 ARC를 지원하지 않으므로 DKIM은 자주 실패합니다. 이러한 상황을 돕기 위해 커넥터에 대한 향상된 필터링은 이전 홉의 IP 주소를 유지할 뿐만 아니라 DKIM 서명 오류로부터 지능적으로 복구됩니다. 이 동작은 메시지가 스푸핑 인텔리전스 필터를 통해 인증을 전달하는 데 도움이 됩니다.
커넥터에 대한 필터링 향상을 사용하도록 설정하면 다음과 같은 이점이 있습니다.
- 다음을 포함하는 Microsoft 필터링 스택 및 기계 학습 모델에 대한 정확도가 향상되었습니다.
- 콘텐츠 수정 및 ARC Seal 부족으로 인해 DMARC의 가양성이 감소했습니다.
- 계층적 군집화
- 스푸핑 방지
- 피싱 방지
- AIR(자동화된 조사 및 대응)의 향상된 위반 후 기능
- 명시적 이메일 인증(SPF, DKIM 및 DMARC)을 사용하여 가장 및 스푸핑 검색을 위해 보내는 도메인의 평판을 확인할 수 있습니다. 명시적 및 암시적 전자 메일 인증에 대한 자세한 내용은 EOP에서 Email 인증을 참조하세요.
자세한 내용은 이 문서의 뒷부분에 있는 커넥터에 대해 향상된 필터링을 사용하도록 설정하면 어떻게 되나요? 섹션을 참조하세요.
이 문서의 절차를 사용하여 개별 커넥터에서 커넥터에 대한 향상된 필터링을 사용하도록 설정합니다. Exchange Online 커넥터에 대한 자세한 내용은 커넥터를 사용하여 메일 흐름 구성을 참조하세요.
참고
- 복잡성을 줄이려면 항상 MX 레코드를 Microsoft 365 또는 Office 365 가리키는 것이 좋습니다. 예를 들어 일부 호스트는 DKIM 서명을 무효화하여 가양성일 수 있습니다. 두 시스템이 전자 메일 보호를 담당하는 경우 메시지에 대해 어떤 시스템이 행동했는지 확인하는 것이 더 복잡합니다.
- 고급 필터링이 설계된 가장 일반적인 시나리오는 하이브리드 환경입니다. 그러나 온-프레미스 사서함(아웃바운드 메일)으로 향하는 메일은 EOP에서 필터링되지 않습니다. 모든 사서함에서 전체 EOP 검사를 가져오는 유일한 방법은 MX 레코드를 Microsoft 365 또는 Office 365 이동하는 것입니다.
- MX가 온-프레미스 서버를 가리키는 선형 인바운드 라우팅 시나리오를 제외하고 온-프레미스 하이브리드 서버 IP를 향상된 필터 건너뛰기 목록에 추가하는 것은 중앙 메일 흐름 시나리오에서 지원되지 않습니다. 이렇게 하면 EOP가 온-프레미스 하이브리드 서버 전자 메일을 검사하고, compauth 헤더 값을 추가하고, EOP에서 메시지를 스팸으로 플래그 지정하게 될 수 있습니다. 구성된 하이브리드 환경에서는 건너뛰기 목록에 추가할 필요가 없습니다. 건너뛰기 목록은 주로 Microsoft 365 테넌트 앞에 타사 디바이스/필터가 있는 시나리오를 해결하기 위한 것입니다. 자세한 내용은 타사 스팸 필터링에 대한 MX 레코드 지점을 참조하세요.
- EOP 다음에 다른 검사 서비스 또는 호스트를 배치하지 마세요. EOP가 메시지를 검사한 후에는 클라우드 또는 온-프레미스 organization 포함되지 않은 비 Exchange 서버를 통해 메일을 라우팅하여 신뢰 체인을 끊지 않도록 주의해야 합니다. 메시지가 최종적으로 대상 사서함에 도착하면 첫 번째 검사 평결의 헤더가 더 이상 정확하지 않을 수 있습니다. 중앙 집중식 메일 전송 은 메일 흐름 경로에 Exchange 이외의 서버를 도입하는 데 사용하면 안 됩니다.
커넥터에 대한 향상된 필터링 구성
참고
현재 IPv6 주소는 PowerShell에서만 지원됩니다. PowerShell을 사용하여 커넥터에 대한 향상된 필터링을 구성하려면 이 문서의 뒷부분에 있는 인바운드 커넥터에서 Exchange Online PowerShell 또는 Exchange Online Protection PowerShell을 사용하여 커넥터에 대한 향상된 필터링 구성 섹션을 참조하세요.
시작하기 전에 알아야 할 사항은 무엇인가요?
공용 IP 주소가 있는 중간 홉을 포함하여 온-프레미스 호스트 또는 Microsoft 365 또는 Office 365 organization 전자 메일을 보내는 타사 필터와 연결된 모든 신뢰할 수 있는 IP 주소를 포함합니다. 이러한 IP 주소를 얻으려면 서비스와 함께 제공되는 설명서 또는 지원을 참조하세요.
이 커넥터를 통과하는 메시지에 대해 SCL을 -1 로 설정하는 메일 흐름 규칙(전송 규칙이라고도 함)이 있는 경우 커넥터에 대한 향상된 필터링을 사용하도록 설정한 후 해당 메일 흐름 규칙을 사용하지 않도록 설정 해야 합니다.
Microsoft Defender 포털을 열려면 로 https://security.microsoft.com이동합니다. 커넥터에 대한 향상된 필터링 페이지로 직접 이동하려면 를 사용합니다https://security.microsoft.com/skiplisting.
Exchange Online PowerShell에 연결하려면 Exchange Online PowerShell에 연결을 참조하세요. Exchange Online Protection PowerShell에 연결하려면 Exchange Online Protection PowerShell에 연결을 참조하세요.
커넥터에 대한 향상된 필터링을 구성하려면 다음 역할 그룹 중 하나의 멤버여야 합니다.
- Microsoft Defender 포털의 조직 관리 또는 보안 관리자.
- Exchange Online조직 관리.
커넥터에 대한 향상된 필터링은 중앙 집중식 메일 전송을 사용하는 하이브리드 환경에서 지원되지 않습니다.
Microsoft Defender 포털을 사용하여 인바운드 커넥터에서 커넥터에 대한 향상된 필터링 구성
Microsoft Defender 포털에서 Email & 협업>정책 & 규칙>위협 정책 페이지 >규칙 섹션 >향상된 필터링으로 이동합니다.
커넥터에 대한 향상된 필터링 페이지에서 이름을 클릭하여 구성할 인바운드 커넥터를 선택합니다.
표시되는 커넥터 세부 정보 플라이아웃에서 다음 설정을 구성합니다.
건너뛸 IP 주소: 다음 값 중 하나를 선택합니다.
커넥터에 대한 향상된 필터링 사용 안 함: 커넥터에서 커넥터에 대한 향상된 필터링을 끕니다.
마지막 IP 주소를 자동으로 검색하고 건너뜁니다. 마지막 메시지 원본만 건너뛰어야 하는 경우 이 값을 사용하는 것이 좋습니다.
커넥터와 연결된 이러한 IP 주소 건너뛰기: 건너뛸 IP 주소 목록을 구성하려면 이 값을 선택합니다.
중요
- Microsoft 365 또는 Office 365 IP 주소 입력은 지원되지 않습니다. 지원되지 않는 전자 메일 라우팅 경로에서 발생하는 문제를 보상하려면 이 기능을 사용하지 마세요. Microsoft 365 또는 Office 365 전에 사용자 고유의 organization 메시지를 처리하는 전자 메일 시스템으로만 IP 범위를 제한합니다.
- RFC 1918(10.0.0.0/8, 172.16.0.0/12 및 192.168.0.0/16)에서 정의된 루프백 주소(127.0.0.0/8) 또는 개인 IP 주소 입력은 지원되지 않습니다. 향상된 필터링은 루프백 주소와 개인 IP 주소를 자동으로 검색하고 건너뜁니다. 이전 홉이 개인 IP 주소를 할당하는 NAT(네트워크 주소 변환) 디바이스 뒤에 있는 이메일 서버인 경우 전자 메일 서버에 공용 IP 주소를 할당하도록 NAT를 구성하는 것이 좋습니다.
- 현재 IPv6 주소는 PowerShell에서만 지원됩니다.
마지막 IP 주소 자동 검색 및 건너뛰기 또는 커넥터와 연결된 이러한 IP 주소 건너뛰기를 선택한 경우 다음 사용자에게 적용 섹션이 나타납니다.
전체 organization 적용: 먼저 몇 명의 받는 사람에 대해 기능을 테스트한 후 이 값을 사용하는 것이 좋습니다.
작은 사용자 집합에 적용: 커넥터에 대한 향상된 필터링이 적용되는 받는 사람 전자 메일 주소 목록을 구성하려면 이 값을 선택합니다. 이 값은 기능의 초기 테스트로 사용하는 것이 좋습니다.
참고
- 이 값은 지정한 실제 전자 메일 주소에만 적용됩니다. 예를 들어 사용자에게 사서함과 연결된 5개의 전자 메일 주소( 프록시 주소라고도 함)가 있는 경우 여기서 5개의 전자 메일 주소를 모두 지정해야 합니다. 그렇지 않으면 다른 4개의 전자 메일 주소로 전송되는 메시지는 정상적인 필터링을 거닐게 됩니다.
- 인바운드 메일이 온-프레미스 Exchange를 통해 흐르는 하이브리드 환경에서는 MailUser 개체의 targetAddress를 지정해야 합니다. 예를 들면
michelle@contoso.mail.onmicrosoft.com
와 같습니다. - 이 값은 모든 수신자가 여기에 지정된 메시지에만 적용됩니다. 메시지에 여기에 지정되지 않은 받는 사람이 포함된 경우 메시지의 모든 받는 사람에게 일반 필터링이 적용됩니다.
전체 organization 적용: 먼저 몇 명의 받는 사람에 대해 기능을 테스트한 후 이 값을 사용하는 것이 좋습니다.
작업을 마치면 저장을 선택합니다.
Exchange Online PowerShell 또는 Exchange Online Protection PowerShell을 사용하여 인바운드 커넥터에서 커넥터에 대한 향상된 필터링 구성
인바운드 커넥터에서 커넥터에 대한 향상된 필터링을 구성하려면 다음 구문을 사용합니다.
Set-InboundConnector -Identity <ConnectorIdentity> [-EFSkipLastIP <$true | $false>] [-EFSkipIPs <IPAddresses>] [-EFUsers "emailaddress1","emailaddress2",..."emailaddressN"]
EFSkipLastIP: 유효한 값은 다음과 같습니다.
-
$true
: 마지막 메시지 원본만 건너뜁습니다. -
$false
: EFSkipIPs 매개 변수로 지정된 IP 주소를 건너뜁니다. IP 주소가 지정되지 않은 경우 인바운드 커넥터에서 커넥터에 대한 향상된 필터링을 사용할 수 없습니다. 기본값은$false
입니다.
-
EFSkipIPs: EFSkipLastIP 매개 변수 값이 일 때 건너뛸 특정 IPv4 또는 IPv6 주소입니다
$false
. 유효한 값은 다음과 같습니다.-
단일 IP 주소: 예를 들어 입니다
192.168.1.1
. -
IP 주소 범위: 예를 들어 입니다
192.168.1.0-192.168.1.31
. -
CIDR(클래스리스 Inter-Domain 라우팅) IP: 예를 들면
192.168.1.0/25
입니다.
IP 주소에 대한 제한 사항은 이전 섹션의 커넥터 설명과 연결된 이러한 IP 주소 건너뛰기를 참조하세요.
-
단일 IP 주소: 예를 들어 입니다
EFUsers: 커넥터에 대한 향상된 필터링을 적용하려는 받는 사람 전자 메일 주소의 쉼표로 구분된 전자 메일 주소입니다. 개별 받는 사람에 대한 제한 사항은 이전 섹션 의 작은 사용자 집합에 적용 설명을 참조하세요. 기본값은 비어 있음(
$null
)입니다. 즉, 커넥터에 대한 향상된 필터링이 모든 받는 사람에게 적용됩니다.
이 예제에서는 다음 설정을 사용하여 스팸 방지 서비스에서 라는 인바운드 커넥터를 구성합니다.
- 커넥터에서 커넥터에 대한 향상된 필터링을 사용하도록 설정하고 마지막 메시지 원본의 IP 주소를 건너뜁니다.
- 커넥터에 대한 향상된 필터링은 받는 사람 이메일 주소
michelle@contoso.com
,laura@contoso.com
및julia@contoso.com
에만 적용됩니다.
Set-InboundConnector -Identity "From Anti-Spam Service" -EFSkipLastIP $true -EFUsers "michelle@contoso.com","laura@contoso.com","julia@contoso.com"
커넥터에 대한 향상된 필터링을 사용하지 않도록 설정하려면 EFSkipLastIP 매개 변수 값을 사용합니다$false
.
자세한 구문 및 매개 변수 정보는 Set-InboundConnector를 참조하세요.
커넥터에 대해 향상된 필터링을 사용하도록 설정하면 어떻게 되나요?
다음 표에서는 커넥터에 대해 향상된 필터링을 사용하도록 설정하기 전과 후에 연결이 어떻게 표시되는지 설명합니다.
기능 | 향상된 필터링을 사용하도록 설정하기 전에 | 향상된 필터링을 사용하도록 설정한 후 |
---|---|---|
도메인 인증 Email | 스푸핑 방지 보호 기술을 사용하는 암시적. | DNS에서 원본 도메인의 SPF, DKIM 및 DMARC 레코드를 기반으로 하는 명시적 |
X-MS-Exchange-ExternalOriginalInternetSender | 사용할 수 없음 | 이 헤더는 건너뛰기 목록이 성공하고 커넥터에서 사용하도록 설정되고 받는 사람 일치가 발생하는 경우 스탬프가 찍됩니다. 이 필드의 값에는 실제 원본 주소에 대한 정보가 포함됩니다. |
X-MS-Exchange-SkipListedInternetSender | 사용할 수 없음 | 수신자 일치와 관계없이 커넥터에서 건너뛰기 목록을 사용하도록 설정한 경우 이 헤더에 스탬프가 찍됩니다. 이 필드의 값에는 실제 원본 주소에 대한 정보가 포함됩니다. 이 헤더는 주로 보고 목적으로 사용되며 WhatIf 시나리오를 이해하는 데 도움이 됩니다. |
Microsoft Defender 포털에서 위협 방지 상태 보고서를 사용하여 필터링 및 보고의 향상된 기능을 볼 수 있습니다. 자세한 내용은 위협 방지 상태 보고서를 참조하세요.
참고 항목
Exchange Online, Microsoft 365 및 Office 365에 대한 메일 흐름 모범 사례(개요)