맬웨어 방지 기능의 Exchange Server

  • 아티클
  • 읽는 데 8분 걸림

Exchange Server 2016의 맬웨어 방지 보호 기능은 전자 메일 메시징 환경에서 바이러스 및 스파이웨어를 방지하는 데 도움이 됩니다. 바이러스 는 다른 프로그램 및 데이터를 감염시키며 컴퓨터 전체로 전파되어 감염시킬 프로그램을 찾습니다. 스파이웨어 는 로그인 정보 및 개인 데이터와 같은 개인 정보를 수집하여 작성자에게 다시 전송합니다.

Exchange Server 맬웨어 방지 보호는 Exchange 2013에서 도입되어 맬웨어 에이전트라는 전송 에이전트에서 제공됩니다. 에이전트는 사서함 서버의 전송 서비스를 통과하는 메시지를 검색합니다. 다음을 사용하여 맬웨어 필터링을 구성합니다.

  • 맬웨어 방지 정책: 맬웨어 필터링에 대한 인바운드 및 아웃바운드 검사 및 알림 옵션을 지정합니다. Exchange 조직의 모든 받는 사람에게 적용되는 기본 정책이 있으며 특정 순서로 적용되는 추가 정책을 만들 수 있습니다.

  • 맬웨어 방지 서버 설정: 오류 및 다시 시도 작업 및 맬웨어 필터링에 대한 엔진 및 정의 업데이트 설정을 지정합니다. 맬웨어 에이전트는 TCP 포트 80(HTTP)에서 인터넷 액세스를 사용하여 매시간 엔진 및 정의 업데이트를 확인합니다.

  • 맬웨어 방지 스크립트: 서버에서 맬웨어 필터링을 사용 또는 사용하지 않도록 설정하고 엔진 및 정의 업데이트를 수동으로 다운로드합니다.

맬웨어 필터링과 관련된 절차는 Procedures for malware protection in Exchange Server. Exchange Server 기능에 대한 자세한 내용은 Exchange Server.

맬웨어 방지 정책

맬웨어 방지 정책은 맬웨어 검색에 대한 작업 및 알림 옵션을 제어합니다. 맬웨어 방지 정책의 중요한 설정은 다음입니다.

  • 작업: 메시지가 맬웨어를 포함하는 것으로 발견된 경우 취할 작업을 지정합니다. 다음과 같은 옵션이 있습니다.

    • 메시지를 삭제합니다(기본값).

    • 모든 첨부 파일을 이 기본 텍스트가 포함된 텍스트 파일로 바니다.

      이 전자 메일에 포함된 하나 이상의 첨부 파일에서 맬웨어가 검색되었습니다. 모든 첨부 파일이 삭제되었습니다.

    • 모든 첨부 파일을 지정한 사용자 지정 텍스트가 포함된 텍스트 파일로 바니다.

  • 알림: 맬웨어 방지 정책이 메시지를 삭제하도록 구성된 경우 보낸 사람에 대해 알림 메시지를 보낼지 여부를 선택할 수 있습니다. 보낸 사람이 내부인지 외부인지에 따라 알림 메시지를 보낼 수 있습니다. 기본 알림 메시지에는 다음 속성이 있습니다.

    • From: Postmaster postmaster@ <defaultdomain>.com

    • 제목: 전송할 수 없는 메시지

    • 메시지 텍스트: 이 메시지는 메일 배달 소프트웨어에 의해 자동으로 만들어졌습니다. 맬웨어가 검색된 경우 전자 메일 메시지가 의도된 받는 사람에게 배달되지 않습니다.

    내부 및 외부 알림에 대한 메시지 속성을 사용자 지정할 수 있습니다. 또한 내부 또는 외부 보낸 사람의 배달할 수 없는 메시지에 대한 알림을 받을 받는 사람(관리자)을 추가로 지정할 수도 있습니다.

  • 받는 사람 필터: 사용자 지정 맬웨어 방지 정책의 경우 정책이 적용되는 사람을 결정하는 받는 사람 조건 및 예외를 지정할 수 있습니다. 조건 및 예외에 대해 다음 속성을 사용할 수 있습니다.

    • 받는 사람에 의해

    • 허용 도메인에 의해

    • 그룹 구성원 자격

    조건 또는 예외는 한 번만 사용할 수 있지만 조건 또는 예외에 여러 값이 포함될 수 있습니다. 동일한 조건의 여러 값이나 예외는 OR 논리를 사용합니다(예: <recipient1> 혹은 <recipient2>). 다양한 조건이나 예외는 AND 논리를 사용합니다(예: <recipient1><member of group 1>).

  • 우선 순위: 사용자 지정 맬웨어 방지 정책을 여러 개 만드는 경우 적용되는 순서를 지정할 수 있습니다.

Exchange 관리 셸과 Exchange 맬웨어 방지 정책

맬웨어 방지 정책의 기본 요소는 다음입니다.

  • 맬웨어 필터 정책: 맬웨어 필터링에 대한 작업 및 알림 옵션을 지정합니다.

  • 맬웨어 필터 규칙: 맬웨어 필터 정책에 대한 우선 순위 및 받는 사람 필터(정책이 적용되는 사용자)를 지정합니다.

EAC(맬웨어 방지 센터)에서 맬웨어 방지 Exchange 두 요소의 차이는 명확하지 않습니다.

  • EAC에서 맬웨어 방지 정책을 만들면 실제로 둘 다에 대해 동일한 이름을 사용하여 맬웨어 필터 규칙과 연결된 맬웨어 필터 정책을 동시에 만들게 됩니다.

  • EAC에서 맬웨어 방지 정책을 수정할 때 이름, 우선 순위, 사용 또는 사용 안 하도록 설정 및 받는 사람 필터와 관련된 설정은 맬웨어 필터 규칙을 수정합니다. 기타 설정(작업 및 알림 옵션)은 연결된 맬웨어 필터 정책을 수정합니다.

  • EAC에서 맬웨어 방지 정책을 제거하면 맬웨어 필터 규칙 및 연결된 맬웨어 필터 정책이 제거됩니다.

맬웨어 Exchange 셸에서 맬웨어 필터 정책과 맬웨어 필터 규칙의 차이는 분명합니다. *-MalwareFilterPolicy cmdlet을 사용하여 맬웨어 필터 정책을 관리하고 -MalwareFilterRule cmdlet* 을 사용하여 맬웨어 필터 규칙을 관리합니다.

  • Exchange 관리 셸에서 먼저 맬웨어 필터 정책을 만든 다음 규칙이 적용되는 정책을 식별하는 맬웨어 필터 규칙을 생성합니다.

  • 관리 Exchange 맬웨어 필터 정책 및 맬웨어 필터 규칙의 설정을 개별적으로 수정합니다.

  • 맬웨어 필터 정책을 Exchange 관리 셸에서 제거하면 해당 맬웨어 필터 규칙이 자동으로 제거되지 않습니다.

기본 맬웨어 방지 정책

모든 사서함 서버에는 다음 속성이 있는 Default라는 기본 제공 맬웨어 방지 정책이 있습니다.

  • Default라는 맬웨어 필터 정책은 정책과 연결된 맬웨어 필터 규칙(받는 사람 필터)Exchange 조직에 있는 모든 받는 사람에게 적용됩니다.

  • Default 정책의 사용자 지정 우선순위 값은 가장 낮음이며 변경할 수 없습니다(이 정책은 항상 마지막으로 적용됨). 만든 모든 사용자 지정 맬웨어 방지 정책은 항상 Default라는 정책보다 우선 순위가 높습니다.

  • Default 정책은 기본 정책(IsDefault 속성의 값은 True)이고, 기본 정책은 삭제할 수 없습니다.

맬웨어 방지 서버 설정

Exchange 관리 셸에서 Get-MalwareFilteringServerSet-MalwareFilteringServer cmdlet을 사용하여 사서함 서버의 맬웨어 에이전트에 대한 업데이트, 시간 제한 및 다운로드 설정을 보고 구성할 수 있습니다. 이러한 cmdlet을 사용하는 절차는 Exchange 관리 셸을 사용하여 사서함 서버에서 맬웨어 필터링 무시 및 Exchange 관리 셸을 사용하여 EOP에서 이미 검사한 메시지를 다시 검사하도록 맬웨어 필터링 구성을 참조합니다.

맬웨어 방지 스크립트

Exchange 맬웨어 필터링을 Exchange 사용할 수 있는 두 가지 관리 셸 스크립트가 포함되어 있습니다.

  • Disable-Antimalwarescanning.ps1 사서함 서버에서 맬웨어 에이전트 및 맬웨어 엔진 및 정의 업데이트를 사용하지 않도록 설정

  • Enable-Antimalwarescanning.ps1 맬웨어 에이전트를 설정하고, 맬웨어 엔진 및 정의 업데이트를 사용할 수 있으며, 사서함 서버에서 엔진 및 정의 업데이트를 실행합니다.

  • Update-MalwareFilteringServer.ps1 수동으로 사서함 서버에서 맬웨어 엔진 및 정의 업데이트를 실행합니다.

이러한 스크립트 사용에 대한 자세한 내용은 Use the Exchange Management Shell to enable or disable malware filtering on Mailbox serversDownload antimalware engine and definition updates를 참조하십시오.

맬웨어 방지 기능의 Exchange Server

이 목록에서는 다음과 같은 맬웨어 방지 옵션에 Exchange.

  • 기본 제공 맬웨어 방지 보호: 맬웨어 방지 기능의 기본 제공 맬웨어 방지 Exchange 맬웨어를 방지할 수 있습니다. 자체적으로 사용할 수도 있습니다. 또는 다른 맬웨어 방지 솔루션과 페어링하여 맬웨어에 대한 계층적 방어를 제공할 수 있습니다.

  • Exchange Online Protection(EOP): EOP(맬웨어 방지 솔루션)에 대한 구독 요금을 지불할 수 Microsoft 365 Office 365. EOP는 여러 맬웨어 방지 엔진과의 파트너 관계를 활용하여 효율적이고 비용 효율적인 다계층 맬웨어 방지 보호 기능을 제공합니다. EOP를 통해 기본 제공 맬웨어 방지 보호 기능을 구문 분석할 때의 이점은 다음입니다.

    • EOP는 여러 맬웨어 방지 엔진을 사용하면서 기본 제공 맬웨어 방지 보호는 단일 엔진을 사용 합니다.

    • EOP에는 맬웨어 통계를 비롯한 보고 기능이 있습니다.

    • EOP는 맬웨어 검색을 포함한 자체 문제 해결 메일 흐름 문제를 해결하기 위한 메시지 추적 기능을 제공합니다.

      EOP에 대한 자세한 내용은 EOP의 맬웨어 방지 보호를 참조하세요.

  • 타사 맬 웨어 방지 보호: 타사 맬웨어 방지 프로그램을 구입할 수 있습니다.

맬웨어 방지 FAQ(Exchange

이 섹션에서는 기본 제공 맬웨어 필터링 및 검색에 대한 질문과 대답을 Exchange.

다른 맬웨어 방지 서비스로 식별된 맬웨어가 맬웨어 방지 필터링을 Exchange 이유는 무엇입니까?

두 가지 이유가 있을 수 있습니다.

  • 가장 가능성이 큰 시나리오는 메시지 첨부 파일에 실제로 활성 악성 코드가 포함되어 있지 않습니다. 일부 맬웨어 방지 엔진은 다른 엔진보다 적극적입니다. 이러한 엔진은 실제로 아무 작업을 하지 않는 잘라 내는 맬웨어 페이로드가 포함되어 있기 때문에 메시지를 중지할 수 있습니다.

  • 수신한 맬웨어는 새로운 변형으로, 맬웨어 방지 엔진이 해당 맬웨어에 대한 패턴 파일을 릴리스하지 않았습니다(아직).

에 익숙하지 않은 첨부 파일이 있는 메시지를 수신했습니다. 이 맬웨어가 있나요 아니면 이 첨부 파일을 무시할 수 있나요?

인식할 수 없는 첨부 파일은 열지 않는 것이 좋습니다. 첨부 파일을 조사하고자 하는 경우 다음 항목에 설명된 바와 같이 첨부 파일을 제출합니다.

알려진 맬웨어, 의심스러운 파일 또는 거짓 긍정을 Microsoft에 제출하려면 어떻게 해야 합니까?

메시지 복사본을 저장하고 메시지를 검사할 Microsoft 보안 인텔리전스 웹 사이트에 업로드합니다.

샘플에 맬웨어가 포함된 경우 바이러스가 검색되지 않도록 수정 조치를 취할 것입니다. 샘플이 정리된 경우 파일이 맬웨어로 검색되지 않도록 수정 조치를 취할 것입니다.

맬웨어 필터에 의해 삭제된 메시지는 어디에서 가져올 수 있습니까?

확인할 수 없습니다. 활성 악성 코드가 포함된 것으로 확인된 메시지는 삭제되었습니다.

메일 흐름 규칙을 사용하여 맬웨어 필터링을 무시할 수 있나요?

아니요. 메일 흐름 규칙(전송 규칙)을 사용하여 맬웨어 에이전트를 무시할 수 없습니다. 대신 암호로 보호된 .zip 파일(암호로 보호된 파일.zip 파일을 맬웨어 필터링에 의해 무시됩니다.