헤더 방화벽
적용 대상: Exchange Server 2013
2013년 Microsoft Exchange Server 헤더 방화벽은 인바운드 및 아웃바운드 메시지에서 특정 헤더 필드를 제거하는 메커니즘입니다. 헤더 방화벽의 영향을 받는, 다음과 같은 두 가지 유형의 헤더 필드가 있습니다.
X 헤더: X 헤더 는 사용자 정의 비공식 헤더 필드입니다. X-헤더는 RFC 2822에 구체적으로 언급되어 있지 않지만 X- 로 시작하는 정의되지 않은 헤더 필드의 사용은 메시지에 비공식적인 헤더 필드를 추가하는 일반적인 방법이 되었습니다. 스팸 방지, 바이러스 백신 및 메시징 서버와 같은 메시징 응용 프로그램은 고유한 X-헤더를 메시지에 추가할 수 있습니다. Exchange에서 X-헤더 필드에는 SCL(스팸 지수), 콘텐츠 필터링 결과 및 규칙 처리 상태와 같이 전송 서비스에서 메시지에 대해 수행하는 작업에 대한 자세한 정보가 포함되어 있습니다. 이러한 정보를 인증되지 않은 소스에 공개하는 것은 잠재적 보안 위험을 내포할 수 있습니다.
라우팅 헤더: 라우팅 헤더는 RFC 2821 및 RFC 2822에 정의된 표준 SMTP 헤더 필드입니다. 라우팅 헤더는 메시지를 받는 사람에게 전달하는 데 사용된 서로 다른 메시징 서버에 대한 정보를 사용하여 메시지를 스탬프 처리합니다. 악의적인 사용자에 의해 메시지에 삽입된 라우팅 헤더는 메시지가 받는 사람에게 도달하기 위해 이동한 라우팅 경로를 잘못 표시할 수 있습니다.
헤더 방화벽은 신뢰되지 않은 원본에서 Exchange 조직에 들어오는 인바운드 메시지에서 X-헤더를 제거하여 이러한 Exchange 관련 X-헤더의 스푸핑을 방지합니다. 헤더 방화벽은 Exchange 조직 외부의 신뢰되지 않은 대상으로 이동하는 아웃바운드 메시지에서 X-헤더를 제거하여 이러한 Exchange 관련 X-헤더의 노출을 방지합니다. 헤더 방화벽은 또한 메시지의 라우팅 기록을 추적하는 데 사용되는 표준 라우팅 헤더의 스푸핑을 방지합니다.
Exchange의 헤더 방화벽의 영향을 받는 메시지 헤더 필드
다음과 같은 유형의 X-헤더 및 라우팅 헤더가 헤더 방화벽의 영향을 받습니다.
조직 X-헤더: 이러한 X-헤더 필드는 X-MS-Exchange-Organization-로 시작합니다.
포리스트 X-헤더: 이러한 X 헤더 필드는 X-MS-Exchange-Forest-로 시작합니다.
조직 X-헤더 및 포리스트 X-헤더의 예를 보려면 이 항목 끝부분에 있는 Organization X-headers and forest X-headers in Exchange 섹션을 참조하십시오.
수신됨: 라우팅 헤더: 메시지를 수락하고 받는 사람에게 전달한 모든 메시징 서버에서 이 헤더 필드의 다른 인스턴스를 메시지 헤더에 추가합니다. Received: 헤더에는 일반적으로 메시징 서버의 이름과 날짜 타임스탬프가 포함됩니다.
Resent-*: 라우팅 헤더: 재진입 헤더 필드는 사용자가 메시지를 전달했는지 여부를 확인하는 데 사용할 수 있는 정보 헤더 필드입니다. 여기서는 Resent-Date:, Resent-From:, Resent-Sender:, Resent-To:, Resent-Cc:, Resent-Bcc: 및 Resent-Message-ID: 와 같은 Resent 헤더 필드를 사용할 수 있습니다. Resent- 필드는 메시지가 원래 보낸 사람이 직접 보낸 것처럼 받는 사람에게 나타나도록 하는 데 사용됩니다. 받는 사람은 메시지 머리글을 보고 메시지를 전달한 사람을 알 수 있습니다.
Exchange에서는 다음과 같은 두 개의 방법을 사용하여 메시지에 있는 조직 X-헤더, 포리스트 X-헤더 및 라우팅 헤더에 헤더 방화벽을 적용합니다.
커넥터를 통해 메시지가 전송될 때 메시지에 특정 유형의 헤더를 보존하거나 제거하는 데 사용할 수 있는 사용 권한을 송신 커넥터 또는 수신 커넥터에 할당합니다.
다른 유형의 메시지 전송 동안 헤더 방화벽이 메시지의 특정 유형의 헤더에 대해 자동으로 구현됩니다.
헤더 방화벽을 수신 커넥터 및 송신 커넥터에 적용하는 방법
헤더 방화벽은 커넥터에 할당된 특정 사용 권한을 바탕으로 수신 커넥터 및 송신 커넥터를 통과하는 메시지에 적용됩니다.
사용 권한이 수신 커넥터나 송신 커넥터에 할당된 경우 헤더 방화벽은 커넥터를 통과하는 메시지에 적용되지 않습니다. 영향을 받는 헤더 필드는 메시지에 보존됩니다.
사용 권한이 수신 커넥터나 송신 커넥터에 할당되지 않은 경우에는 헤더 방화벽이 커넥터를 통과하는 메시지에 적용됩니다. 영향을 받는 헤더 필드는 메시지에서 제거됩니다.
다음 표에는 헤더 방화벽을 적용하는 데 사용되는 송신 커넥터 및 수신 커넥터에 대한 사용 권한 및 영향을 받는 헤더 필드가 나와 있습니다.
| 커넥터 유형 | 사용 권한 | 설명 |
|---|---|---|
| 수신 커넥터 | Ms-Exch-Accept-Headers-Organization | 이 사용 권한은 인바운드 메시지에서 X-MS-Exchange-Organization-으로 시작하는 조직 X-헤더 필드에 영향을 줍니다. |
| 수신 커넥터 | Ms-Exch-Accept-Headers-Forest | 이 사용 권한은 인바운드 메시지에서 X-MS-Exchange-Forest-로 시작하는 포리스트 X-헤더 필드에 영향을 줍니다. |
| 수신 커넥터 | Ms-Exch-Accept-Headers-Routing | 이 사용 권한은 인바운드 메시지에서 Received: 및 Resent-*: 라우팅 헤더 필드에 영향을 줍니다. |
| 송신 커넥터 | Ms-Exch-Send-Headers-Organization | 이 사용 권한은 아웃바운드 메시지에서 X-MS-Exchange-Organization-으로 시작하는 조직 X-헤더 필드에 영향을 줍니다. |
| 송신 커넥터 | Ms-Exch-Send-Headers-Forest | 이 사용 권한은 아웃바운드 메시지에서 X-MS-Exchange-Forest-로 시작하는 포리스트 X-헤더 필드에 영향을 줍니다. |
| 송신 커넥터 | Ms-Exch-Send-Headers-Routing | 이 사용 권한은 아웃바운드 메시지에서 Received: 및 Resent-*: 라우팅 헤더 필드에 영향을 줍니다. |
수신 커넥터의 인바운드 메시지에 대한 헤더 방화벽
다음 표에서는 수신 커넥터에서 헤더 방화벽 사용 권한의 기본 적용에 대해 설명합니다.
| 사용 권한 | 할당된 사용 권한이 있는 기본 Exchange 보안 주체 | 보안 주체가 구성원인 사용 권한 그룹 | 사용 권한 그룹을 수신 커넥터에 할당하는 기본 사용 유형 |
|---|---|---|---|
| Ms-Exch-Accept-Headers-Organization 및 Ms-Exch-Accept-Headers-Forest |
|
ExchangeServers | Internal |
| Ms-Exch-Accept-Headers-Routing | 익명 사용자 계정 | 익명 | Internet |
| Ms-Exch-Accept-Headers-Routing | 인증된 사용자 계정 | ExchangeUsers | Client (Edge 전송 서버에서는 사용할 수 없음) |
| Ms-Exch-Accept-Headers-Routing |
|
ExchangeServers | Internal |
| Ms-Exch-Accept-Headers-Routing | 파트너 서버 계정 | 파트너 | Internet 및 Partner |
사용자 지정 수신 커넥터의 헤더 방화벽
사용자 지정 수신 커넥터 시나리오에서 헤더 방화벽을 메시지에 적용하려는 경우 다음 방법을 사용합니다.
메시지에 헤더 방화벽이 자동으로 적용되는 사용 유형의 수신 커넥터를 만듭니다. 사용 유형은 수신 커넥터를 만들 때에만 설정할 수 있습니다.
메시지에서 조직 X-헤더 또는 포리스트 X-헤더를 제거하려면 수신 커넥터를 만들고 이외의
Internal사용 유형을 선택합니다.메시지에서 라우팅 헤더를 제거하려면 다음 작업 중 하나를 수행합니다.
수신 커넥터를 만들고 사용 유형을
Custom선택합니다. 수신 커넥터에 사용 권한을 할당하지 마십시오.기존 Receive 커넥터를 수정하고 PermissionGroups 매개 변수를 값
None으로 설정합니다.수신 커넥터에 할당된 사용 권한 그룹이 없는 수신 커넥터가 있는 경우 마지막 단계에서 설명한 대로 수신 커넥터에 보안 주체를 추가해야 합니다.
Remove-ADPermission cmdlet을 사용하여 수신 커넥터에 대해 구성된 보안 주체에서 Ms-Exch-Accept-Headers-Organization 사용 권한, Ms-Exch-Accept-Headers-Forest 사용 권한 및 Ms-Exch-Accept-Headers-Routing 사용 권한을 제거합니다. 사용 권한 그룹의 그룹 구성원 자격이나 사용 권한 할당을 수정할 수 없으므로 사용 권한이 수신 커넥터의 사용 권한 그룹을 사용하여 보안 주체에 할당된 경우에는 이 방법을 실행할 수 없습니다.
Add-ADPermission cmdlet을 사용하여 수신 커넥터의 메일 흐름에 필요한 해당 보안 주체를 추가합니다. 보안 주체에 Ms-Exch-Accept-Headers-Organization 사용 권한, Ms-Exch-Accept-Headers-Forest 사용 권한 및 Ms-Exch-Accept-Headers-Routing 사용 권한이 할당되지 않았는지 확인합니다. 필요한 경우 Add-ADPermission cmdlet을 사용하여 수신 커넥터에 대해 구성된 보안 주체에 대한 Ms-Exch-Accept-Headers-Organization 사용 권한, Ms-Exch-Accept-Headers-Forest 사용 권한 및 Ms-Exch-Accept-Headers-Routing 사용 권한을 거부합니다.
자세한 내용은 다음 항목을 참조하십시오.
송신 커넥터의 아웃바운드 메시지에 대한 헤더 방화벽
다음 표에서는 송신 커넥터에서 헤더 방화벽 사용 권한의 기본 적용에 대해 설명합니다.
| 사용 권한 | 할당된 사용 권한이 있는 기본 Exchange 보안 주체 | 보안 주체를 송신 커넥터에 할당하는 기본 사용 유형 |
|---|---|---|
| Ms-Exch-Send-Headers-Organization 및 Ms-Exch-Send-Headers-Forest |
|
Internal |
| Ms-Exch-Send-Headers-Routing |
|
Internal |
| Ms-Exch-Send-Headers-Routing | 익명 사용자 계정 | Internet |
| Ms-Exch-Send-Headers-Routing | 파트너 서버 | Partner |
사용자 지정 송신 커넥터의 헤더 방화벽
사용자 지정 송신 커넥터 시나리오에서 헤더 방화벽을 메시지에 적용하려는 경우 다음 방법을 사용합니다.
메시지에 헤더 방화벽이 자동으로 적용되는 사용 유형의 송신 커넥터를 만듭니다. 사용 유형은 송신 커넥터를 만들 때에만 설정할 수 있습니다.
메시지에서 조직 X-헤더 또는 포리스트 X-헤더를 제거하려면 송신 커넥터를 만들고 또는
Partner이외의Internal사용 유형을 선택합니다.메시지에서 라우팅 헤더를 제거하려면 송신 커넥터를 만들고 사용 유형
Custom을 선택합니다. Ms-Exch-Send-Headers-Routing 권한은 를 제외한Custom모든 송신 커넥터 사용 유형에 할당됩니다.
커넥터에서 Ms-Exch-Send-Headers-Organization 사용 권한, Ms-Exch-Send-Headers-Forest 및 Ms-Exch-Send-Headers-Routing 사용 권한을 할당하는 보안 주체를 제거합니다.
Remove-ADPermission cmdlet을 사용하여 송신 커넥터에 대해 구성된 보안 주체 중 하나에서 Ms-Exch-Send-Headers-Organization 사용 권한, Ms-Exch-Send-Headers-Forest 사용 권한 및 Ms-Exch-Send-Headers-Routing 사용 권한을 제거합니다.
Add-ADPermission cmdlet을 사용하여 송신 커넥터에 대해 구성된 보안 주체 중 하나에 대한 Ms-Exch-Send-Headers-Organization 사용 권한, Ms-Exch-Send-Headers-Forest 사용 권한 및 Ms-Exch-Send-Headers-Routing 사용 권한을 거부합니다.
자세한 내용은 다음 항목을 참조하십시오.
다른 메시지 원본의 헤더 방화벽
송신 커넥터 또는 수신 커넥터를 사용하지 않고 메시지가 사서함 서버 또는 Edge 전송 서버의 전송 파이프라인에 들어갈 수 있습니다. 헤더 방화벽은 다음 목록에 설명된 대로 다음과 같은 다른 메시지 원본에 적용됩니다.
픽업 디렉터리 및 재생 디렉터리: 픽업 디렉터리 는 관리자 또는 애플리케이션에서 메시지 파일을 제출하는 데 사용됩니다. Replay 디렉터리는 Exchange 메시지 큐에서 내보낸 메시지를 다시 전송하는 데 사용됩니다. Pickup 및 Replay 디렉터리에 대한 자세한 내용은 Pickup 디렉터리 및 Replay 디렉터리를 참조하십시오.
조직 X-헤더, 포리스트 X-헤더 및 라우팅 헤더가 Pickup 디렉터리의 메시지 파일에서 제거됩니다.
라우팅 헤더는 Replay 디렉터리에서 전송된 메시지에 보존됩니다.
조직 X-헤더 및 포리스트 X-헤더가 Replay 디렉터리의 메시지에 보존되는지 이 메시지에서 제거되는지 여부는 메시지 파일의 X-CreatedBy: 헤더 필드에 의해 제어됩니다.
- X-CreatedBy: 값이
MSExchange15이면 조직 X-헤더 및 포리스트 X-헤더가 메시지에 유지됩니다. - X-CreatedBy: 값이 이 아닌
MSExchange15경우 조직 X-헤더 및 포리스트 X 헤더가 메시지에서 제거됩니다. - 메시지 파일에 X-CreatedBy: 헤더 필드가 없는 경우 조직 X-헤더 및 포리스트 X-헤더는 메시지에서 제거됩니다.
- X-CreatedBy: 값이
드롭 디렉터리: Drop 디렉터리 는 사서함 서버의 Foreign 커넥터에서 SMTP를 사용하여 메시지를 전송하지 않는 메시징 서버로 메시지를 보내는 데 사용됩니다. 외부 커넥터에 대한 자세한 내용은 외부 커넥터를 참조하십시오.
조직 X-헤더 및 포리스트 X-헤더가 메시지 파일이 Drop 디렉터리에 저장되기 전에 메시지 파일에서 제거됩니다.
라우팅 헤더는 Drop 디렉터리에서 전송된 메시지에 보존됩니다.
사서함 전송: 사서함 서버의 사서함과 메시지를 전송하는 사서함 전송 서비스가 사서함 서버에 있습니다. 사서함 전송 서비스에 대한 자세한 내용은 메일 흐름을 참조하세요.
조직 X-헤더, 포리스트 X-헤더 및 라우팅 헤더는 사서함 전송 제출 서비스에 의해 사서함에서 전송된 보내는 메시지에서 제거됩니다.
라우팅 헤더는 사서함 전송 배달 서비스에 의해 사서함 받는 사람에게 배달되는 인바운드 메시지에서 보존됩니다. 다음 조직 X-헤더는 사서함 전송 배달 서비스에 의해 사서함 받는 사람에게 배달되는 인바운드 메시지에서 보존됩니다.
- X-MS-Exchange-Organization-SCL
- X-MS-Exchange-Organization-AuthDomain
- X-MS-Exchange-Organization-AuthMechanism
- X-MS-Exchange-Organization-AuthSource
- X-MS-Exchange-Organization-AuthAs
- X-MS-Exchange-Organization-OriginalArrivalTime
- X-MS-Exchange-Organization-OriginalSize
DSN 메시지: 조직 X-헤더, 포리스트 X-헤더 및 라우팅 헤더는 DSN 메시지에 연결된 원본 메시지 또는 원본 메시지 헤더에서 제거됩니다. DSN 메시지에 대한 자세한 내용은 Exchange 2013의 Dsn 및 Ndr을 참조하십시오.
전송 에이전트 제출: 조직 X-헤더, 포리스트 X-헤더 및 라우팅 헤더는 전송 에이전트가 제출한 메시지에 유지됩니다.
Exchange의 조직 X-헤더 및 포리스트 X-헤더
사서함 서버나 Edge 전송 서버의 전송 서비스는 메시지 헤더에 사용자 지정 X-헤더 필드를 삽입합니다.
조직 X-헤더는 X-MS-Exchange-Organization- 으로 시작합니다. 포리스트 X-헤더는 X-MS-Exchange-Forest- 로 시작합니다. 다음 표에서는 Exchange 조직의 메시지에 사용되는 몇 가지 조직 X-헤더 및 포리스트 X-헤더에 대해 설명합니다.
| X 헤더 | 설명 |
|---|---|
| X-MS-Exchange-Forest-RulesExecuted | 메시지에 대해 작동한 전송 규칙입니다. |
| X-MS-Exchange-Organization-Antispam-Report | 콘텐츠 필터 에이전트에 의해 메시지에 적용된 스팸 방지 필터 결과에 대한 요약입니다. |
| X-MS-Exchange-Organization-AuthAs | 인증 원본을 지정합니다. 이 X-헤더는 메시지 보안을 평가한 경우 항상 표시됩니다. 가능한 값은 , Internal, External또는 Partner입니다Anonymous. |
| X-MS-Exchange-Organization-AuthDomain | 도메인 보안 인증 동안 채워집니다. 이 값은 원격 인증 도메인의 FQDN입니다. |
| X-MS-Exchange-Organization-AuthMechanism | 메시지 전송을 위한 인증 메커니즘을 지정합니다. 값은 2자리 16진수입니다. |
| X-MS-Exchange-Organization-AuthSource | 조직 대신 메시지 인증을 평가한 서버 컴퓨터의 FQDN을 지정합니다. |
| X-MS-Exchange-Organization-Journal-Report | 전송 시 저널 보고서를 식별합니다. 메시지가 전송 서비스를 떠나는 즉시 헤더는 X-MS-Journal-Report가 됩니다. |
| X-MS-Exchange-Organization-OriginalArrivalTime | 메시지가 처음으로 Exchange 조직에 들어온 시간을 식별합니다. |
| X-MS-Exchange-Organization-Original-Sender | 격리된 메시지가 처음으로 Exchange 조직에 들어왔을 때 해당 메시지의 원래 보낸 사람을 식별합니다. |
| X-MS-Exchange-Organization-OriginalSize | 격리된 메시지가 처음으로 Exchange 조직에 들어왔을 때 해당 메시지의 원래 크기를 식별합니다. |
| X-MS-Exchange-Organization-Original-Scl | 격리된 메시지가 처음으로 Exchange 조직에 들어왔을 때 해당 메시지의 원래 SCL을 식별합니다. |
| X-MS-Exchange-Organization-PCL | 피싱 신뢰도 수준을 식별합니다. 가능한 피싱 신뢰도 수준 값은 1에서 8까지입니다. 값이 클수록 의심스러운 메시지가 표시됩니다. 자세한 내용은 스팸 방지 스탬프를 참조하십시오. |
| X-MS-Exchange-Organization-Quarantine | 메시지가 스팸 격리 사서함에 격리되었고 DSN(배달 상태 알림)이 전송되었음을 표시합니다. 또는 메시지가 관리자에 의해 격리되었다가 해제되었음을 표시합니다. 이 X-헤더 필드는 해제된 메시지가 스팸 격리 사서함에 다시 전송되지 않도록 합니다. 자세한 내용은 [스팸 격리 사서함에서 격리된 메시지 해제](release-quarantined-messages-from-the-spam-quarantine-mailbox-exchange-2013-help.md 참조하세요. |
| X-MS-Exchange-Organization-SCL | 메시지의 SCL을 식별합니다. 가능한 SCL 값은 0에서 9까지입니다. 값이 클수록 의심스러운 메시지가 표시됩니다. 특수 값 -1은 콘텐츠 필터 에이전트의 처리에서 메시지를 제외합니다. 자세한 내용은 콘텐츠 필터링를 참조하십시오. |
| X-MS-Exchange-Organization-SenderIdResult | 보낸 사람 ID 에이전트의 결과를 포함합니다. 보낸 사람 ID 에이전트는 SPF(Sender Policy Framework)를 사용하여 메시지 원본 IP 주소를 보낸 사람의 전자 메일 주소에서 사용된 도메인과 비교합니다. 보낸 사람 ID 결과는 메시지의 SCL을 계산하는 데 사용됩니다. 자세한 내용은 보낸 사람 ID를 참조하십시오. |