Microsoft 365의 피싱 방지 정책

• 적용 대상:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

팁

Microsoft Defender XDR Office 365 플랜 2의 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. 여기에서 등록 및 평가판 조건에 대해 알아봅니 다.

피싱 방지 보호 설정을 구성하는 정책은 Exchange Online 사서함이 있는 Microsoft 365 조직, Exchange Online 사서함이 없는 독립 실행형 Exchange Online Protection(EOP) 조직 및 Office 365용 Microsoft Defender 조직.

Office 365용 Microsoft Defender 조직의 예는 다음과 같습니다.

• Microsoft 365 Enterprise E5, Microsoft 365 Education A5 등
• Microsoft 365 Enterprise
• Microsoft 365 Business
• 추가 기능으로 Office 365용 Microsoft Defender

EOP의 피싱 방지 정책과 Office 365용 Defender 피싱 방지 정책 간의 개략적인 차이점은 다음 표에 설명되어 있습니다.

기능	피싱 방지 정책 EOP에서	피싱 방지 정책 Office 365용 Defender
자동으로 생성된 기본 정책	✔	✔
사용자 지정 정책 생성	✔	✔
일반 정책 설정*	✔	✔
스푸핑 설정	✔	✔
첫 번째 연락처 안전 팁	✔	✔
가장 설정		✔
고급 피싱 임곗값		✔

^* 기본 정책에서 정책 이름 및 설명은 읽기 전용이며(설명은 비어 있음) 정책이 적용되는 사람을 지정할 수 없습니다(기본 정책은 모든 받는 사람에게 적용됨).

피싱 방지 정책을 구성하려면 다음 문서를 참조하세요.

• EOP에서 스팸 방지 정책 구성
• Office 365용 Microsoft Defender 피싱 방지 정책 구성

이 문서의 나머지 부분에는 EOP 및 Office 365용 Defender 피싱 방지 정책에서 사용할 수 있는 설정이 설명되어 있습니다.

일반 정책 설정

다음 정책 설정은 EOP 및 Office 365용 Defender 피싱 방지 정책에서 사용할 수 있습니다.

• 이름: 기본 피싱 방지 정책의 이름을 바꿀 수 없습니다. 사용자 지정 피싱 방지 정책을 만든 후에는 Microsoft Defender 포털에서 정책 이름을 바꿀 수 없습니다.

• 설명 기본 피싱 방지 정책에 설명을 추가할 수는 없지만 만든 사용자 지정 정책에 대한 설명을 추가하고 변경할 수 있습니다.

• 사용자, 그룹 및 도메인 및 이러한 사용자, 그룹 및 도메인 제외: 받는 사람 필터를 사용하여 정책이 적용되는 내부 받는 사람을 식별합니다. 사용자 지정 정책에는 하나 이상의 조건이 필요합니다. 조건 및 예외는 기본 정책에서 사용할 수 없습니다(기본 정책은 모든 받는 사람에게 적용됨). 조건 및 예외에 대해 다음 받는 사람 필터를 사용할 수 있습니다.

  • 사용자: organization 하나 이상의 사서함, 메일 사용자 또는 메일 연락처
  • 그룹:
    • 지정된 메일 그룹 또는 메일 사용 보안 그룹의 구성원입니다(동적 메일 그룹은 지원되지 않음).
    • 지정된 Microsoft 365 그룹.
  • 도메인: Microsoft 365에서 구성된 허용 도메인 중 하나 이상. 받는 사람의 기본 메일 주소 지정된 도메인에 있습니다.

  조건 또는 예외는 한 번만 사용할 수 있지만 조건 또는 예외에는 여러 값이 포함될 수 있습니다.

  • 동일한 조건 또는 예외의 여러 값은 OR 논리(예: <recipient1> 또는<recipient2>)를 사용합니다.

    • 조건: 받는 사람이 지정된 값과 일치하는 경우 정책이 적용됩니다.
    • 예외: 받는 사람이 지정된 값과 일치하는 경우 정책이 적용되지 않습니다.

  • 다른 유형의 예외는 OR 논리(예<: recipient1 또는 group1 또는 domain1><>>의 멤버)를 사용합니다.< 받는 사람이 지정된 예외 값과 일치하는 경우 정책이 적용되지 않습니다.

  • 다양한 유형의 조건은 AND 논리를 사용합니다. 받는 사람은 정책이 적용되도록 지정된 모든 조건과 일치해야 합니다. 예를 들어 다음 값을 사용하여 조건을 구성합니다.

    • 사용자: romain@contoso.com
    • 그룹: 임원

    이 정책은 그가 임원 그룹의 구성원이기도 한 경우에만 적용 romain@contoso.com 됩니다. 그렇지 않으면 정책이 적용되지 않습니다.

  팁

  정책이 적용되는 메시지 수신자를 식별하려면 사용자, 그룹 및 도메인 설정에서 하나 이상의 선택 항목이 사용자 지정 피싱 방지 정책에 필요합니다. Office 365용 Defender 피싱 방지 정책에는 이 문서의 뒷부분에 설명된 대로 가장 보호를 받는 보낸 사람 전자 메일 주소 또는 보낸 사람 도메인을 지정할 수 있는 가장 설정도 있습니다.

스푸핑 설정

스푸핑은 전자 메일 메시지의 보낸 사람 주소(이메일 클라이언트에 표시된 보낸 사람 주소)가 전자 메일 원본의 도메인과 일치하지 않는 경우입니다. 스푸핑에 대한 자세한 내용은 Microsoft 365의 스푸핑 방지 보호를 참조하세요.

다음 스푸핑 설정은 EOP 및 Office 365용 Defender 피싱 방지 정책에서 사용할 수 있습니다.

• 스푸핑 인텔리전스 사용: 스푸핑 인텔리전스를 켜거나 끕니다. 켜져 있는 상태로 두는 것이 좋습니다.

  스푸핑 인텔리전스를 사용하도록 설정하면 스푸핑 인텔리전스 인사이트는 스푸핑 인텔리전스에 의해 자동으로 검색되고 허용되거나 차단된 스푸핑된 보낸 사람이 표시됩니다. 스푸핑 인텔리전스 평결을 수동으로 재정의하여 검색된 스푸핑된 보낸 사람이 인사이트를 허용하거나 차단할 수 있습니다. 그러나 스푸핑된 보낸 사람이 스푸핑 인텔리전스 인사이트에서 사라지고 의 테넌트 허용/차단 Lists 페이지의 스푸핑된 보낸 사람 탭에서https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem만 표시됩니다. 또는 스푸핑 인텔리전스 인사이트에서 검색되지 않더라도 테넌트 허용/차단 목록에서 스푸핑된 보낸 사람의 허용 또는 차단 항목을 수동으로 만들 수 있습니다. 자세한 내용은 다음 문서를 참조하세요.

  • EOP에서 스푸핑 인텔리전스 인사이트
  • 테넌트 허용/차단 목록에서 스푸핑된 보낸 사람

  참고

  • 스푸핑 방지 보호는 표준 및 엄격한 사전 설정 보안 정책에서 사용하도록 설정되며 기본적으로 기본 피싱 방지 정책 및 사용자가 만든 새 사용자 지정 피싱 방지 정책에서 사용하도록 설정됩니다.
  • MX 레코드가 Microsoft 365를 가리키지 않는 경우 스푸핑 방지 보호를 사용하지 않도록 설정할 필요가 없습니다. 대신 커넥터에 대해 향상된 필터링을 사용하도록 설정합니다. 자세한 내용은 Exchange Online의 커넥터에 대한 향상된 필터링을 참조하세요.
  • 스푸핑 방지 보호를 사용하지 않도록 설정하면 복합 인증 검사에서 암시적 스푸핑 보호만 비활성화됩니다. 명시적DMARC 검사가 스푸핑 방지 보호의 영향을 받는 방법 및 원본 도메인의 DMARC 정책 구성(p=quarantine또는 p=reject DMARC TXT 레코드)에 대한 자세한 내용은 스푸핑 보호 및 보낸 사람 DMARC 정책 섹션을 참조하세요.

• 인증되지 않은 보낸 사람 표시기: 스푸핑 인텔리전스가 켜져 있는 경우에만 안전 팁 & 표시기 섹션에서 사용할 수 있습니다. 다음 섹션의 세부 정보를 참조하세요.

• 작업: 스푸핑된 보낸 사람이 차단되거나(스푸핑 인텔리전스에 의해 자동으로 차단되거나(복합 인증 실패 및 악의적인 의도) 테넌트 허용/차단 목록에서 수동으로 차단된 메시지의 경우 메시지에 대해 수행할 작업을 지정할 수도 있습니다.

  • 받는 사람의 정크 Email 폴더로 메시지 이동: 기본값입니다. 메시지가 사서함으로 배달되고 정크 Email 폴더로 이동됩니다. 자세한 내용은 Microsoft 365의 Exchange Online 사서함에서 정크 메일 설정 구성을 참조하세요.

  • 메시지 격리: 의도한 받는 사람 대신 격리할 메시지를 보냅니다. 격리에 대한 자세한 내용은 다음 게시물을 참조하세요.

    • Microsoft 365에서 격리
    • Microsoft 365에서 관리자 권한으로 격리된 메시지 및 파일 관리
    • Microsoft 365에서 사용자로 격리된 메시지 찾기 및 해제

    메시지 격리를 선택하는 경우 스푸핑 인텔리전스 보호로 격리된 메시지에 적용되는 격리 정책을 선택할 수도 있습니다. 격리 정책은 사용자가 격리된 메시지에 대해 수행할 수 있는 작업을 정의하고 사용자가 격리 알림을 받을지 여부를 정의합니다. 자세한 내용은 격리 정책 분석을 참조하세요.

스푸핑 보호 및 보낸 사람 DMARC 정책

피싱 방지 정책에서 보낸 사람 DMARC 정책의 값이 적용되는지 여부를 p=quarantinep=reject 제어할 수 있습니다. 메시지가 DMARC 검사에 실패하는 경우 보낸 사람의 DMARC 정책에 대해 또는 p=reject 에 대해 p=quarantine 별도의 작업을 지정할 수 있습니다. 관련된 설정은 다음과 같습니다.

• 메시지가 스푸핑으로 검색되면 DMARC 레코드 정책 적용: 이 설정은 명시적 전자 메일 인증 실패에 대해 보낸 사람의 DMARC 정책을 적용합니다. 이 설정을 선택하면 다음 설정을 사용할 수 있습니다.

  • 메시지가 스푸핑으로 검색되고 DMARC 정책이 p=격리로 설정된 경우: 사용 가능한 작업은 다음과 같습니다.
    • 메시지 격리
    • 받는 사람의 정크 Email 폴더로 메시지 이동
  • 메시지가 스푸핑으로 검색되고 DMARC 정책이 p=reject로 설정된 경우: 사용 가능한 작업은 다음과 같습니다.
    • 메시지 격리
    • 메시지 거부

  메시지 격리를 작업으로 선택하면 스푸핑 인텔리전스 보호를 위해 선택된 격리 정책이 사용됩니다.

스푸핑 인텔리전스와 보낸 사람 DMARC 정책 적용 여부 간의 관계는 다음 표에 설명되어 있습니다.

	DMARC 정책 적용 켜기	DMARC 정책 적용 해제
스푸핑 인텔리전스 켜기	암시적 및 명시적 이메일 인증 실패에 대한 별도의 작업: 암시적 오류: 피싱 방지 정책 에서 스푸핑 인텔리전스 동작에 의해 메시지가 스푸핑으로 검색되면 을 사용합니다. 명시적 오류: DMARC 정책 p=quarantine: 메시지가 스푸핑으로 검색되고 DMARC 정책이 피싱 방지 정책에서 p=격리 작업으로 설정된 경우 를 사용합니다. DMARC 정책 p=reject: 메시지가 스푸핑으로 검색되고 DMARC 정책이 피싱 방지 정책에서 p=reject 작업으로 설정된 경우 를 사용합니다. DMARC 정책 p=none: Microsoft 365에서는 아무 작업도 적용되지 않지만 필터링 스택의 다른 보호 기능은 여전히 메시지에 대해 작동할 수 있습니다.	피싱 방지 정책 에서 스푸핑 인텔리전스 동작에 의해 스푸핑으로 메시지가 검색되면 암시적 및 명시적 이메일 인증 실패 모두에 사용됩니다. 명시적 이메일 인증 실패는 DMARC 정책의 , p=reject, p=none또는 기타 값을 무시p=quarantine합니다.
스푸핑 인텔리전스 끄기	암시적 전자 메일 인증 검사는 사용되지 않습니다. 명시적 이메일 인증 실패: DMARC 정책 p=quarantine: 메시지가 스푸핑으로 검색되고 DMARC 정책이 피싱 방지 정책에서 p=격리 작업으로 설정된 경우 를 사용합니다. DMARC 정책 p=reject: 메시지가 스푸핑으로 검색되고 DMARC 정책이 피싱 방지 정책에서 p=reject 작업으로 설정된 경우 를 사용합니다. DMARC 정책 p=none: 메시지는 Microsoft 365에서 스푸핑으로 식별되지 않지만 필터링 스택의 다른 보호 기능은 여전히 메시지에 대해 작동할 수 있습니다.	암시적 전자 메일 인증 검사는 사용되지 않습니다. 명시적 이메일 인증 실패: DMARC 정책 p=quarantine: 메시지가 격리됩니다. DMARC 정책 p=reject: 메시지가 격리됩니다. DMARC 정책 p=none: Microsoft 365에서는 아무 작업도 적용되지 않지만 필터링 스택의 다른 보호 기능은 여전히 메시지에 대해 작동할 수 있습니다.

참고

Microsoft 365 도메인에 대한 MX 레코드가 Microsoft 365 앞에 있는 타사 서비스 또는 디바이스를 가리키는 경우 인바운드 메시지를 수신하는 커넥터에 대해 커넥터에 대해 향상된 필터링을 사용하도록 설정한 경우에만 DMARC 정책 설정이 적용됩니다.

고객은 다음 방법을 사용하여 특정 전자 메일 메시지 및/또는 보낸 사람의 명예 DMARC 정책 설정을 재정의할 수 있습니다.

• 관리자 또는 사용자는 보낸 사람이 사용자의 사서함에 있는 수신 허용 보낸 사람 목록에 추가할 수 있습니다.
• 관리자는 스푸핑 인텔리전스 인사이트 또는 테넌트 허용/차단 목록을 사용하여 스푸핑된 발신자의 메시지를 허용할 수 있습니다.
• 관리자는 특정 보낸 사람의 메시지를 허용하는 모든 사용자에 대해 Exchange 메일 흐름 규칙 (전송 규칙이라고도 함)을 만듭니다.
• 관리자는 organization DMARC 정책에 실패한 거부된 전자 메일에 대한 모든 사용자에 대한 Exchange 메일 흐름 규칙을 만듭니다.

인증되지 않은 보낸 사람 표시기

인증되지 않은 보낸 사람 표시기는 EOP 및 Office 365용 Defender 피싱 방지 정책의 안전 팁 & 표시기 섹션에서 사용할 수 있는 스푸핑 설정의 일부입니다. 다음 설정은 스푸핑 인텔리전스가 켜져 있는 경우에만 사용할 수 있습니다.

• 스푸핑에 인증되지 않은 보낸 사람 표시(?) : 메시지가 SPF 또는 DKIM 검사를 통과 하지 못하고 메시지가 DMARC 또는 복합 인증을 통과하지 못하는 경우 보낸 사람 상자에 보낸 사람의 사진에 물음표를 추가합니다. 이 설정을 해제하면 물음표가 보낸 사람의 사진에 추가되지 않습니다.

• "via" 태그 표시: 보낸 사람 주소(chris@contoso.com전자 메일 클라이언트에 표시되는 메시지 보낸 사람)의 도메인이 DKIM 서명 또는 MAIL FROM 주소의 도메인과 다른 경우 보낸 사람 상자에 "via" 태그(fabrikam.com 통해)를 추가합니다. 이러한 주소에 대한 자세한 내용은 전자 메일 메시지 표준 개요를 참조하세요.

물음표 또는 "via" 태그가 특정 보낸 사람의 메시지에 추가되지 않도록 하려면 다음 옵션이 있습니다.

• 스푸핑된 보낸 사람의 스 푸핑 인텔리전스 인사이트 또는 테넌트 허용/차단 목록에서 수동으로 허용합니다. 스푸핑된 발신자를 허용하면 정책에서 "via" 태그 표시 설정이 켜져 있더라도 보낸 사람의 메시지에 "via" 태그 가 표시되지 않습니다.
• 보낸 사람 도메인에 대한 전자 메일 인증을 구성합니다.
  • 보낸 사람의 사진에 물음표의 경우 SPF 또는 DKIM이 가장 중요합니다.
  • "via" 태그의 경우 DKIM 서명의 도메인 또는 MAIL FROM 주소가 보낸 편지 주소의 도메인과 일치하는지(또는 의 하위 도메인인지) 확인합니다.

자세한 내용은 Outlook.com 의심스러운 메시지 식별 및 웹용 Outlook

첫 번째 연락처 안전 팁

첫 번째 연락처 안전 팁 표시 설정은 EOP 및 Office 365용 Defender 조직에서 사용할 수 있으며 스푸핑 인텔리전스 또는 가장 보호 설정에 대한 종속성이 없습니다. 다음 시나리오에서 수신자에게 안전 팁이 표시됩니다.

• 보낸 사람으로부터 메시지를 처음 받을 때
• 보낸 사람으로부터 메시지를 받지 못하는 경우가 많습니다.

이 기능은 잠재적인 가장 공격에 대한 추가 보호 계층을 추가하므로 설정하는 것이 좋습니다.

첫 번째 접점 안전 팁은 메시지의 X-Forefront-Antispam-Report 헤더에 있는 필드의 SFTY 값 9.25로 제어됩니다. 이 기능은 이 기능을 계속 사용할 수 있지만 X-MS-Exchange-EnableFirstContactSafetyTip 이라는 헤더를 메시지에 값 Enable 으로 추가하는 메일 흐름 규칙(전송 규칙이라고도 함)을 만들어야 하는 필요성을 대체합니다.

메시지의 받는 사람 수에 따라 첫 번째 연락처 안전 팁은 다음 값 중 하나일 수 있습니다.

• 단일 받는 사람:

  전자 메일 주소>에서 <전자 메일을 받지 않는 경우가 많습니다.

  

• 여러 받는 사람:

  이 메시지를 받은 일부 사람들은 전자 메일 주소>에서 <전자 메일을 받지 못하는 경우가 많습니다.

  

참고

메시지에 여러 수신자가 있는 경우 팁이 표시되는지 여부와 대다수 모델을 기반으로 하는 대상입니다. 대부분의 받는 사람이 보낸 사람으로부터 메시지를 받은 적이 없거나 자주 수신하지 않는 경우 영향을 받는 받는 사람은 이 메시지를 받은 일부 사용자... 팁을 받게 됩니다. 이 동작이 한 받는 사람의 통신 습관을 다른 사람에게 노출하는 것을 염려하는 경우 첫 번째 연락처 안전 팁을 사용하도록 설정해서는 안 되며 메일 흐름 규칙 및 X-MS-Exchange-EnableFirstContactSafetyTip 헤더를 대신 계속 사용해서는 안 됩니다.

첫 번째 연락처 안전 팁은 S/MIME 서명 메시지에 스탬프되지 않습니다.

Office 365용 Microsoft Defender 피싱 방지 정책의 배타적 설정

이 섹션에서는 Office 365용 Defender 피싱 방지 정책에서만 사용할 수 있는 정책 설정에 대해 설명합니다.

참고

Office 365용 Defender 기본 피싱 방지 정책은 모든 수신자에 대한 스푸핑 보호 및 사서함 인텔리전스를 제공합니다. 그러나 사용 가능한 다른 가장 보호 기능 및 고급 설정 은 기본 정책에서 구성되거나 사용하도록 설정되지 않습니다. 모든 보호 기능을 사용하도록 설정하려면 기본 피싱 방지 정책을 수정하거나 추가 피싱 방지 정책을 만듭니다.

Office 365용 Microsoft Defender 피싱 방지 정책의 가장 설정

가장은 메시지의 보낸 사람 또는 보낸 사람의 전자 메일 도메인이 실제 보낸 사람 또는 도메인과 유사한 위치입니다.

• 도메인 contoso.com의 가장 예는 ćóntoso.com입니다.
• 사용자 가장은 사용자의 표시 이름과 이메일 주소의 조합입니다. 예를 들어, 발레리아 바리오스(vbarrios@contoso.com)는 발레리아 바리오스로 가장될 수 있지만 다른 이메일 주소가 있습니다.

참고

가장 보호는 유사한 도메인을 찾습니다. 예를 들어 도메인이 contoso.com 경우 다른 최상위 도메인(.com, .biz 등)뿐만 아니라 다소 유사한 도메인에 대한 검사. 예를 들어 contosososo.com 또는 contoabcdef.com contoso.com 가장 시도로 볼 수 있습니다.

도메인의 의도는 받는 사람을 속이려는 것 외에는 가장된 도메인이 합법적인 것으로 간주될 수 있습니다(도메인이 등록되고, 전자 메일 인증 DNS 레코드가 구성되는 등).

다음 섹션에 설명된 가장 설정은 Office 365용 Defender 피싱 방지 정책에서만 사용할 수 있습니다.

사용자 가장 보호

사용자 가장 보호는 특정 내부 또는 외부 전자 메일 주소가 메시지 보낸 사람으로 가장되는 것을 방지합니다. 예를 들어 회사 부사장으로부터 회사 내부 정보를 보내달라는 전자 메일 메시지를 받게 됩니다. 당신은 그것을 할 것인가? 많은 사람들이 생각하지 않고 회신을 보낼 것입니다.

보호된 사용자를 사용하여 내부 및 외부 보낸 사람 전자 메일 주소를 추가하여 가장으로부터 보호할 수 있습니다. 사용자 가장으로부터 보호되는 이 보낸 사람 목록은 정책이 적용되는 받는 사람 목록과 다릅니다(기본 정책의 모든 받는 사람, 사용자, 그룹 및 공통 정책 설정 섹션의 사용자, 그룹 및 도메인 설정에 구성된 특정 받는 사람).

참고

각 피싱 방지 정책에서 사용자 가장 보호를 위해 최대 350명의 사용자를 지정할 수 있습니다.

보낸 사람과 받는 사람이 이전에 전자 메일을 통해 통신한 경우에는 사용자 가장 보호가 작동하지 않습니다. 보낸 사람과 받는 사람이 전자 메일을 통해 통신한 적이 없는 경우 메시지를 가장 시도로 식별할 수 있습니다.

다른 피싱 방지 정책에서 사용자 가장 보호를 위해 전자 메일 주소가 이미 지정되어 있는 경우 사용자 가장 보호에 사용자를 추가하려고 하면 "이메일 주소가 이미 있음" 오류가 발생할 수 있습니다. 이 오류는 Defender 포털에서만 발생합니다. Exchange Online PowerShell의 New-AntiPhishPolicy 또는 Set-AntiPhishPolicy cmdlet에서 해당 TargetedUsersToProtect 매개 변수를 사용하는 경우 오류가 발생하지 않습니다.

기본적으로 기본 정책 또는 사용자 지정 정책에서 가장 보호를 위해 구성된 보낸 사람 전자 메일 주소는 없습니다.

사용자를 보호하기 위해 내부 또는 외부 전자 메일 주소를 목록에 추가하면 해당 보낸 사람의 메시지는 가장 보호 검사의 대상이 됩니다. 정책이 적용되는 받는 사람에게 메시지를 보내는 경우(기본 정책의 모든 받는 사람; 사용자 지정 정책의 사용자, 그룹 및 도메인 수신자). 보낸 사람의 이메일 주소에서 가장이 감지되면 가장된 사용자에 대한 작업이 메시지에 적용됩니다.

검색된 사용자 가장 시도의 경우 다음 작업을 사용할 수 있습니다.

• 아무 작업도 적용하지 마세요. 기본 작업입니다.

• 메시지를 다른 전자 메일 주소로 리디렉션: 의도한 받는 사람 대신 지정된 받는 사람에게 메시지를 보냅니다.

• 받는 사람의 정크 Email 폴더로 메시지 이동: 메시지가 사서함으로 배달되고 정크 Email 폴더로 이동합니다. 자세한 내용은 Microsoft 365의 Exchange Online 사서함에서 정크 메일 설정 구성을 참조하세요.

• 메시지 격리: 의도한 받는 사람 대신 격리할 메시지를 보냅니다. 격리에 대한 자세한 내용은 다음 게시물을 참조하세요.

  • Microsoft 365에서 격리
  • Microsoft 365에서 관리자 권한으로 격리된 메시지 및 파일 관리
  • Microsoft 365에서 사용자로 격리된 메시지 찾기 및 해제

  메시지 격리를 선택하는 경우 사용자 가장 보호로 격리된 메시지에 적용되는 격리 정책을 선택할 수도 있습니다. 격리 정책은 사용자가 격리된 메시지에 대해 수행할 수 있는 작업을 정의합니다. 자세한 내용은 격리 정책 분석을 참조하세요.

• 메시지를 전달하고 숨은 참조 줄에 다른 주소를 추가합니다. 원하는 받는 사람에게 메시지를 전달하고 지정된 받는 사람에게 메시지를 자동으로 전달합니다.

• 배달되기 전에 메시지 삭제: 모든 첨부 파일을 포함하여 전체 메시지를 자동으로 삭제합니다.

도메인 가장 보호

도메인 가장 보호는 보낸 사람의 이메일 주소에 있는 특정 도메인이 가장되지 않도록 방지합니다. 예를 들어 소유한 모든 도메인(허용된 도메인) 또는 특정 사용자 지정 도메인(소유한 도메인 또는 파트너 도메인)입니다. 가장으로부터 보호되는 보낸 사람 도메인은 정책이 적용되는 받는 사람 목록과 다릅니다(기본 정책의 모든 받는 사람, 공용 정책 설정 섹션의 사용자, 그룹 및 도메인 설정에 구성된 특정 받는 사람).

참고

각 피싱 방지 정책에서 도메인 가장 보호를 위해 최대 50개의 사용자 지정 도메인을 지정할 수 있습니다.

지정된 도메인 에 있는 보낸 사람의 메시지는 가장 보호 검사의 대상이 됩니다. 정책이 적용되는 받는 사람에게 메시지를 보내는 경우(기본 정책의 모든 받는 사람; 사용자 지정 정책의 사용자, 그룹 및 도메인 수신자). 보낸 사람의 전자 메일 주소 도메인에서 가장이 검색되면 도메인 가장 작업이 메시지에 적용됩니다.

기본적으로 기본 정책 또는 사용자 지정 정책에서 가장 보호를 위해 구성된 보낸 사람 도메인은 없습니다.

검색된 도메인 가장 시도의 경우 다음 작업을 사용할 수 있습니다.

• 아무 작업도 적용하지 마세요. 기본값입니다.

• 메시지를 다른 전자 메일 주소로 리디렉션: 의도한 받는 사람 대신 지정된 받는 사람에게 메시지를 보냅니다.

• 받는 사람의 정크 Email 폴더로 메시지 이동: 메시지가 사서함으로 배달되고 정크 Email 폴더로 이동합니다. 자세한 내용은 Microsoft 365의 Exchange Online 사서함에서 정크 메일 설정 구성을 참조하세요.

• 메시지 격리: 의도한 받는 사람 대신 격리할 메시지를 보냅니다. 격리에 대한 자세한 내용은 다음 게시물을 참조하세요.

  • Microsoft 365에서 격리
  • Microsoft 365에서 관리자 권한으로 격리된 메시지 및 파일 관리
  • Microsoft 365에서 사용자로 격리된 메시지 찾기 및 해제

  메시지 격리를 선택하는 경우 도메인 가장 보호로 격리된 메시지에 적용되는 격리 정책을 선택할 수도 있습니다. 격리 정책은 사용자가 격리된 메시지에 대해 수행할 수 있는 작업을 정의합니다. 자세한 내용은 격리 정책 분석을 참조하세요.

• 메시지를 전달하고 숨은 참조 줄에 다른 주소를 추가합니다. 원하는 받는 사람에게 메시지를 전달하고 지정된 받는 사람에게 메시지를 자동으로 전달합니다.

• 배달되기 전에 메시지 삭제: 모든 첨부 파일을 포함하여 전체 메시지를 자동으로 삭제합니다.

사서함 인텔리전스 가장 보호

사서함 인텔리전스는 AI(인공 지능)를 사용하여 연락처가 자주 있는 사용자 이메일 패턴을 확인합니다.

예를 들어 Gabriela Laureano(glaureano@contoso.com)는 회사의 CEO이므로 사용자가 정책 설정을 보호할 수 있도록 설정 에서 그녀를 보호된 보낸 사람으로 추가합니다. 그러나 정책의 받는 사람 중 일부는 가브리엘라 로레아노(glaureano@fabrikam.com)라는 공급업체와 정기적으로 통신합니다. 이러한 수신자는 와 glaureano@fabrikam.com통신 기록을 가지고 있기 때문에 사서함 인텔리전스는 에서 보낸 메시지를 glaureano@fabrikam.com 해당 받는 사람에 대한 가장 시도로 glaureano@contoso.com 식별하지 않습니다.

참고

보낸 사람과 받는 사람이 이전에 전자 메일을 통해 통신한 경우에는 사서함 인텔리전스 보호가 작동하지 않습니다. 보낸 사람과 받는 사람이 전자 메일을 통해 통신한 적이 없는 경우 메시지는 사서함 인텔리전스에 의한 가장 시도로 식별될 수 있습니다.

사서함 인텔리전스에는 다음 두 가지 특정 설정이 있습니다.

• 사서함 인텔리전스 사용: 사서함 인텔리전스를 켜거나 끕니다. 이 설정은 AI가 합법적인 보낸 사람 및 가장된 보낸 사람으로부터 메시지를 구분하는 데 도움이 됩니다. 기본적으로 이 설정은 켜져 있습니다.
• 가장 보호에 인텔리전스 사용: 기본적으로 이 설정은 꺼져 있습니다. 사서함 인텔리전스에서 학습된 연락처 기록(빈번한 연락처와 연락처 없음)을 사용하여 사용자를 가장 공격으로부터 보호합니다. 사서함 인텔리전스가 검색된 메시지에 대한 작업을 수행하려면 이 설정과 사서함 인텔리전스 사용 설정을 모두 켜야 합니다.

사서함 인텔리전스에서 검색된 가장 시도의 경우 다음 작업을 사용할 수 있습니다.

• 아무 작업도 적용하지 마세요. 기본값입니다. 이 작업은 사서함 인텔리전스 사용 이 켜져 있지만 인텔리전스 가장 보호 사용 이 꺼져 있는 경우와 동일한 결과를 줍니다.
• 메시지를 다른 전자 메일 주소로 리디렉션
• 받는 사람의 정크 Email 폴더로 메시지 이동
• 메시지 격리: 이 작업을 선택하는 경우 사서함 인텔리전스 보호로 격리된 메시지에 적용되는 격리 정책을 선택할 수도 있습니다. 격리 정책은 사용자가 격리된 메시지에 대해 수행할 수 있는 작업을 정의하고 사용자가 격리 알림을 받을지 여부를 정의합니다. 자세한 내용은 격리 정책 분석을 참조하세요.
• 메시지를 전달하고 숨은 참조 줄에 다른 주소를 추가합니다.
• 메시지를 배달하기 전에 삭제합니다.

가장 안전 팁

메시지가 가장 시도로 식별될 때 가장 안전 팁이 사용자에게 표시됩니다. 다음 안전 팁을 사용할 수 있습니다.

• 사용자 가장 안전 팁 표시: 보낸 사용자 주소에는 사용자 가장 보호에 지정된 사용자가 포함됩니다. 사용자가 보호할 수 있도록 설정이 켜져 있고 구성된 경우에만 사용할 수 있습니다.

  이 안전 팁은 메시지의 X-Forefront-Antispam-Report 헤더에 있는 필드의 SFTY 값 9.20에 의해 제어됩니다. 텍스트는 다음과 같습니다.

  이 보낸 사람은 이전에 전자 메일을 보낸 사람과 비슷하지만 해당 사람이 아닐 수 있습니다.

• 도메인 가장 안전 팁 표시: 보낸 사용자 주소에는 도메인 가장 보호에 지정된 도메인이 포함되어 있습니다. 도메인을 보호하도록 사용하도록 설정이 켜져 있고 구성된 경우에만 사용할 수 있습니다.

  이 안전 팁은 메시지의 X-Forefront-Antispam-Report 헤더에 있는 필드의 SFTY 값 9.19로 제어됩니다. 텍스트는 다음과 같습니다.

  이 발신자는 organization 연결된 도메인을 가장할 수 있습니다.

• 사용자 가장 비정상적인 문자 표시 안전 팁: 보낸 사람 주소에는 사용자 가장 보호에 지정된 보낸 사람에게 비정상적인 문자 집합(예: 수학 기호 및 텍스트 또는 대문자와 소문자 혼합)이 포함되어 있습니다. 사용자가 보호할 수 있도록 설정이 켜져 있고 구성된 경우에만 사용할 수 있습니다. 텍스트는 다음과 같습니다.

  이메일 주소 <email address> 에는 예기치 않은 문자 또는 숫자가 포함됩니다. 이 메시지와 상호 작용하지 않는 것이 좋습니다.

참고

안전 팁은 다음 메시지에 스탬프되지 않습니다.

• S/MIME 서명된 메시지.
• 조직 설정에서 허용하는 메시지입니다.

신뢰할 수 있는 보낸 사람 및 도메인

신뢰할 수 있는 보낸 사람 및 도메인은 가장 보호 설정의 예외입니다. 지정된 보낸 사람 및 보낸 사람 도메인의 메시지는 정책에 의해 가장 기반 공격으로 분류되지 않습니다. 즉, 보호된 보낸 사람, 보호된 도메인 또는 사서함 인텔리전스 보호에 대한 작업은 이러한 신뢰할 수 있는 보낸 사람 또는 보낸 사람 도메인에 적용되지 않습니다. 이러한 목록의 최대 한도는 1024개 항목입니다.

참고

신뢰할 수 있는 도메인 항목에는 지정된 도메인의 하위 도메인이 포함되지 않습니다. 각 하위 도메인에 대한 항목을 추가해야 합니다.

다음 보낸 사람의 Microsoft 365 시스템 메시지가 가장 시도로 식별되는 경우 신뢰할 수 있는 보낸 사람 목록에 보낸 사용자를 추가할 수 있습니다.

• noreply@email.teams.microsoft.com
• noreply@emeaemail.teams.microsoft.com
• no-reply@sharepointonline.com

Office 365용 Microsoft Defender 피싱 방지 정책의 고급 피싱 임계값

다음 고급 피싱 임계값은 Office 365용 Defender 피싱 방지 정책에서만 사용할 수 있습니다. 이러한 임계값은 메시지에 기계 학습 모델을 적용하여 피싱 평결을 결정하는 민감도를 제어합니다.

• 1 - 표준: 기본값입니다. 메시지에 대해 수행되는 작업의 심각도는 메시지가 피싱(낮음, 중간, 높음 또는 매우 높은 신뢰도)인 신뢰도에 따라 달라집니다. 예를 들어 신뢰도가 매우 높은 피싱으로 식별되는 메시지는 가장 심각한 작업이 적용되는 반면 신뢰도가 낮은 피싱으로 식별되는 메시지는 덜 심각한 작업이 적용됩니다.
• 2 - 공격적: 신뢰도가 높은 피싱으로 식별되는 메시지는 매우 높은 신뢰도로 식별된 것처럼 처리됩니다.
• 3 - 더 공격적: 중간 또는 높은 수준의 신뢰도로 피싱으로 식별되는 메시지는 매우 높은 신뢰도로 식별된 것처럼 처리됩니다.
• 4 - 가장 공격적: 신뢰도가 낮거나 중간 또는 높은 피싱으로 식별되는 메시지는 매우 높은 신뢰도로 식별된 것처럼 처리됩니다.

이 설정을 늘리면 가양성(양호한 메시지가 나쁜 것으로 표시됨)의 가능성이 증가합니다. 권장 설정에 대한 자세한 내용은 Office 365용 Microsoft Defender 피싱 방지 정책 설정을 참조하세요.