"SPF 레코드: 하드 실패" 고급 스팸 필터링 옵션을 사용 하는 경우 가양성이 많이 발생 합니다.

참고

Office 365 ProPlus엔터프라이즈용 Microsoft 365 앱으로 이름이 바뀌고 있습니다. 이 변경에 대한 자세한 내용은 이 블로그 게시물을 참조하세요.

원래 수 (kbps):   3089691

문제

ASF (고급 스팸 필터링) 옵션 SPF 레코드: 옵션을 사용 하도록 설정한 사용자에 게는 가양성이 많이 발생 합니다.

SPF 레코드 스크린샷: 하드 오류 옵션

원인

이 문제는 다음 중 한 가지 이유로 인해 발생 합니다.

  • 도메인의 기본 MX 레코드가 Exchange Online Protection (EOP)을 가리키지 않습니다.

    MX 레코드가 EOP를 가리키는 조직의 도메인은 다음과 유사 합니다. (MX 레코드에는 "mail.protection.outlook.com" 포함)

    contoso.com. IN MX 10 contoso-com.mail.protection.outlook.com

    기본 MX 레코드가 EOP를 가리키지 않는 도메인에 대 한 MX 레코드는 다음과 유사 합니다. (MX 레코드에 "mail.protection.outlook.com"가 포함 되지 않음)

    fabrikam.com. IN MX 10 mail.fabrikam.com

    또는 도메인이 보조 MX 레코드로 EOP 될 수 있습니다. MX 레코드에 있는 숫자는 해당 우선 순위를 나타냅니다. 숫자가 낮을수록 높은 우선 순위를 나타냅니다. 즉, 메일이 낮은 값이 포함 된 MX 레코드에 먼저 라우팅되고 이후 더 높은 번호로 다시 시도 됩니다. 다음 예를 살펴보겠습니다.

    fabrikam.com. IN MX 10 mail.fabrikam.com.
    fabrikam.com. IN MX 100 contoso-com.mail.protection.outlook.com.
    

    두 경우 모두에서 fabrikam.com는 메일을 온-프레미스 메일 서버에 먼저 라우트 (또는 타사에서 호스팅한 전자 메일 필터를 통해) 보낸 다음 온-프레미스 메일 서버에서 커넥터 또는 내부 전자 메일 전달을 사용 하 여 EOP로 메일을 라우팅합니다.

    이 메시지는 다음 경로를 인터넷에서 사서함으로 트래버스 합니다.

    인터넷에서 사서함으로의 메시지 경로를 표시 하는 스크린샷

    EOP 내에서 IP 주소 2에 대해 SPF 검사가 수행 됩니다. (이는 온-프레미스 메일 서버의 릴레이 IP 주소입니다.) 그러나 IP 주소 1에서 SPF 검사를 수행 해야 합니다. (이것은 원래 연결 IP 주소입니다.) EOP에서는 IP 주소 1 대신 IP 주소 2를 사용 하기 때문에 SPF 하드 실패를 게시 하는 도메인은 SPF에 실패 하 고 스팸으로 잘못 표시 됩니다. 메시지가 EOP를 통해 먼저 전송 된 후 온-프레미스 메일 서버를 통과 한 경우 도메인에서 SPF를 통과 한 경우에도이 문제가 발생 합니다.

    MX 레코드가 온-프레미스 메일 서버를 가리키거나 타사 호스트 전자 메일 필터링 서비스를 가리키는 경우 이러한 상황이 발생 합니다.

  • 전자 메일이 EOP에서 EOP로 다시 전송 됩니다.

    일부 조직에서는 EOP를 통해 온-프레미스 메일 서버 또는 타사 필터링 서비스로 메일을 라우팅하고 EOP 다시으로 다시 로그인 합니다. 이 경우 도메인의 기본 MX 레코드는 EOP를 가리킵니다. 전자 메일은 송신 커넥터를 통해 온-프레미스 메일 서버로 릴레이 되며 커넥터를 통해 또는 MX 기반 라우팅을 통해 EOP에 다시 연결 됩니다.

    인터넷에서 EOP로의 메시지 경로 스크린샷

    이 작업을 수행 하는 일반적인 방법은 온-프레미스 메일 서버가 Exchange 서버인 경우 중앙 집중식 메일 제어 라우팅을 사용 하는 것입니다. 온-프레미스 메일 서버가 Exchange 서버가 아니면 커넥터의 로컬 버전을 사용 하거나 메일을 MX 기반 라우팅을 사용 하 여 다시 릴레이 합니다.

    커넥터가 EOP에서 온-프레미스 메일 서버로 설정 되어 있고 커넥터가 온-프레미스 메일 서버에서 다시 EOP으로 구성 된 경우에는 메시지가 다시 EOP로 릴레이 될 때 그에 따라 이전 스팸 결과 다시 사용 되 고 필터링 됩니다.

    그러나 EOP의 송신 및 수신 커넥터가 올바르게 구성 되지 않은 경우에는 메시지가 다시 검색 됩니다. IP 주소 1을 사용 하는 원래 SPF 검사가 올바릅니다. 그러나 두 번째 SPF 확인 (IP 주소 3을 사용 하는 확인)은 잘못 되며, 두 번째 스팸 검색에서 사용 되는 SPF 검사입니다. SPF 하드 실패를 게시 하는 모든 보내는 도메인은 첫 번째 확인이 올바른지 여부에 관계 없이 스팸으로 표시 되며,이로 인해 잘못 된 필터링 결과 (즉, 가양성)가 발생 합니다.

해결 방법

Microsoft Exchange Online에서는 고객에 게 어떠한 작업도 필요 하지 않고 두 조건을 자동으로 확인 합니다. SPF 하드 실패에 대 한 ASF 규칙을 억제 하 여이를 수행 합니다. 그러나 수동으로 ASF 규칙이 적용 되었는지 확인할 수 있습니다.

이렇게 하려면 상황에 따라 다음 작업 중 하나를 수행 합니다.

  • 도메인의 기본 MX 레코드가 Exchange Online Protection (EOP)을 가리키지 않는 경우

    도메인의 기본 MX 레코드가 온-프레미스 메일 서버나 타사 필터가 아닌 EOP를 가리키는지 확인 합니다.

    도메인의 기본 MX 레코드를 EOP으로 가리킬 수 없으면 EOP가 기본 MX 레코드가 아닐 때 자동으로 검색 하 고, SPF 하드 실패에 대해 ASF 옵션을 적용 하지 않도록 합니다. MX 레코드가 EOP를 가리키면 서비스가이를 감지 하 고 ASF 옵션을 적용 하기 시작 합니다.

  • 전자 메일이 EOP에서 회람 된 후 EOP로 다시 전송 되는 경우

    커넥터를 올바르게 구성 하 여 EOP에서 온-프레미스 메일 서버로 지정한 다음 온-프레미스 메일 서버에서 EOP로 다시 관리 하도록 해야 합니다. 이렇게 하면 EOP에서 메시지를 처음으로 검색 했을 때의 원래 스팸 결과가 두 번째 프로그램으로 다시 전송 될 때 해당 메시지가 다시 사용 되는 것을 유지할 수 있습니다.

    필요한 커넥터가 만들어지지 않으면 EOP가 자동으로이 상황이 발생 하는 경우를 감지 하 고 SPF 하드 실패에 대해 ASF 옵션을 적용 하지 않습니다. 필요한 커넥터를 만들면 서비스가이를 감지 하 고 ASF 옵션을 적용 하기 시작 합니다.

    커넥터에 대한 자세한 내용은 Office 365에서 커넥터를 사용하여 메일 흐름 구성을 참조하세요.

    중앙 집중식 메일 제어 옵션에 대 한 자세한 내용은 Exchange 2013 하이브리드 배포의 전송 옵션을 참조 하십시오.

추가 정보

아직 해결되지 않았습니까? Microsoft 커뮤니티로 이동하세요.