Exchange Server 맬웨어 방지 보호

  • 아티클

2016년 Exchange Server 맬웨어 방지는 전자 메일 메시징 환경에서 바이러스 및 스파이웨어를 방지하는 데 도움이 됩니다. 바이러스는 다른 프로그램 및 데이터를 감염시키며 컴퓨터 전체로 전파되어 감염시킬 프로그램을 찾습니다. Spyware 는 개인 정보(예: 로그인 정보 및 개인 데이터)를 수집하고 작성자에게 다시 보냅니다.

Exchange Server 맬웨어 방지 보호는 Exchange 2013에서 도입되었으며 맬웨어 에이전트라는 전송 에이전트에서 제공됩니다. 에이전트는 사서함 서버의 전송 서비스를 통해 이동할 때 메시지를 검색합니다. 다음을 사용하여 맬웨어 필터링을 구성합니다.

  • 맬웨어 방지 정책: 맬웨어 필터링을 위한 인바운드 및 아웃바운드 검사 및 알림 옵션을 지정합니다. Exchange 조직의 모든 받는 사람에게 적용되는 기본 정책이 있으며 특정 순서로 적용되는 추가 정책을 만들 수 있습니다.

  • 맬웨어 방지 서버 설정: 오류 및 다시 시도 작업 및 맬웨어 필터링을 위한 엔진 및 정의 업데이트 설정을 지정합니다. 맬웨어 에이전트는 TCP 포트 80(HTTP)에서 인터넷 액세스를 사용하여 매시간 엔진 및 정의 업데이트를 확인합니다.

  • 맬웨어 방지 스크립트: 서버에서 맬웨어 필터링을 사용하거나 사용하지 않도록 설정하고 엔진 및 정의 업데이트를 수동으로 다운로드합니다.

맬웨어 필터링과 관련된 절차는 Exchange Server 맬웨어 방지 보호를 위한 절차를 참조하세요. Exchange Server 안티스팜 기능에 대한 자세한 내용은 Exchange Server 안티스팜 보호를 참조하세요.

맬웨어 방지 정책

맬웨어 방지 정책은 맬웨어 검색에 대한 작업 및 알림 옵션을 제어합니다. 맬웨어 방지 정책의 중요한 설정은 다음과 같습니다.

  • 작업: 맬웨어를 포함하는 메시지가 발견되면 수행할 작업을 지정합니다. 다음과 같은 옵션이 있습니다.

    • 메시지를 삭제합니다(기본값임).

    • 모든 첨부 파일을 이 기본 텍스트가 포함된 텍스트 파일로 대체합니다.

      이 전자 메일에 포함된 하나 이상의 첨부 파일에서 맬웨어가 검색되었습니다. 모든 첨부 파일이 삭제되었습니다.

    • 모든 첨부 파일을 지정한 사용자 지정 텍스트가 포함된 텍스트 파일로 바꿉니다.

  • 알림: 메시지를 삭제하도록 맬웨어 방지 정책이 구성된 경우 보낸 사람에게 알림 메시지를 보낼지 여부를 선택할 수 있습니다. 발신자가 내부 또는 외부에 있는지에 따라 알림 메시지를 보낼 수 있습니다. 기본 알림 메시지에는 다음과 같은 속성이 있습니다.

    • 출신: postmaster postmaster@ <defaultdomain.com>

    • 제목: 배달할 수 없는 메시지

    • 메시지 텍스트: 이 메시지는 메일 배달 소프트웨어에서 자동으로 생성되었습니다. 맬웨어가 검색되어 전자 메일 메시지가 의도한 받는 사람에게 전달되지 않았습니다.

    내부 및 외부 알림에 대한 메시지 속성을 사용자 지정할 수 있습니다. 내부 또는 외부 보낸 사람으로부터 배달할 수 없는 메시지에 대한 알림을 받을 추가 받는 사람(관리자)을 지정할 수도 있습니다.

  • 받는 사람 필터: 사용자 지정 맬웨어 방지 정책의 경우 정책이 적용되는 사람을 결정하는 수신자 조건 및 예외를 지정할 수 있습니다. 조건 및 예외에 대해 다음 속성을 사용할 수 있습니다.

    • 수신자 기준

    • 허용 도메인 기준

    • 그룹 구성원 자격 기준

    조건 또는 예외는 한 번만 사용할 수 있지만 조건 또는 예외는 여러 값을 포함할 수 있습니다. 동일한 조건이나 예외의 여러 값은 OR 논리를 사용합니다(예: <받는 사람1> or <받는 사람2>). 다른 조건이나 예외에는 AND 논리를 사용합니다(예: <받는 사람1> and <그룹 1의 구성원>).

  • 우선 순위: 여러 사용자 지정 맬웨어 방지 정책을 만드는 경우 적용되는 순서를 지정할 수 있습니다.

Exchange 관리 센터 및 Exchange 관리 셸의 맬웨어 방지 정책

맬웨어 방지 정책의 기본 요소는 다음과 같습니다.

  • 맬웨어 필터 정책: 맬웨어 필터링에 대한 작업 및 알림 옵션을 지정합니다.

  • 맬웨어 필터 규칙: 맬웨어 필터 정책에 대한 우선 순위 및 수신자 필터(정책이 적용되는 사람)를 지정합니다.

EAC(Exchange 관리 센터)에서 맬웨어 방지 정책을 관리하는 경우 이러한 두 요소의 차이점은 명확하지 않습니다.

  • EAC에서 맬웨어 방지 정책을 만들 때 두 가지 모두에 대해 동일한 이름을 사용하여 맬웨어 필터 규칙 및 관련 맬웨어 필터 정책을 동시에 만드는 것입니다.

  • EAC에서 맬웨어 방지 정책을 수정하는 경우 이름, 우선 순위, 사용 또는 사용 안 함과 관련된 설정 및 받는 사람 필터는 맬웨어 필터 규칙을 수정합니다. 기타 설정(작업 및 알림 옵션)은 연결된 맬웨어 필터 정책을 수정합니다.

  • EAC에서 맬웨어 방지 정책을 제거하면 맬웨어 필터 규칙 및 관련 맬웨어 필터 정책이 제거됩니다.

Exchange 관리 셸에서 맬웨어 필터 정책과 맬웨어 필터 규칙의 차이는 분명합니다. *-MalwareFilterPolicy cmdlet을 사용하여 맬웨어 필터 정책을 관리하고 *-MalwareFilterRule cmdlet을 사용하여 맬웨어 필터 규칙을 관리합니다.

  • Exchange 관리 셸에서 먼저 맬웨어 필터 정책을 만든 다음 규칙이 적용되는 정책을 식별하는 맬웨어 필터 규칙을 만듭니다.

  • Exchange 관리 셸에서 맬웨어 필터 정책 및 맬웨어 필터 규칙의 설정을 별도로 수정합니다.

  • Exchange 관리 셸에서 맬웨어 필터 정책을 제거하면 해당 맬웨어 필터 규칙이 자동으로 제거되지 않으며 그 반대의 경우도 마찬가지입니다.

기본 맬웨어 방지 정책

모든 사서함 서버에는 다음과 같은 속성이 있는 Default라는 기본 제공 맬웨어 방지 정책이 있습니다.

  • Default라는 맬웨어 필터 정책은 정책과 연결된 맬웨어 필터 규칙(수신자 필터)이 없더라도 Exchange 조직의 모든 수신자에게 적용됩니다.

  • Default 정책의 사용자 지정 우선순위 값은 가장 낮음이며 변경할 수 없습니다(이 정책은 항상 마지막으로 적용됨). 만드는 모든 사용자 지정 맬웨어 방지 정책은 항상 Default라는 정책보다 우선 순위가 높습니다.

  • Default 정책은 기본 정책(IsDefault 속성의 값은 True)이고, 기본 정책은 삭제할 수 없습니다.

맬웨어 방지 서버 설정

Exchange 관리 셸에서 Get-MalwareFilteringServerSet-MalwareFilteringServer cmdlet을 사용하여 사서함 서버의 맬웨어 에이전트에 대한 업데이트, 시간 제한 및 다운로드 설정을 보고 구성할 수 있습니다. 이러한 cmdlet을 사용하는 절차는 Exchange 관리 셸을 사용하여 사서함 서버에서 맬웨어 필터링을 우회 하고 Exchange 관리 셸을 사용하여 EOP에서 이미 검사한 메시지를 다시 검사하도록 맬웨어 필터링 구성을 참조하세요.

맬웨어 방지 스크립트

Exchange에는 맬웨어 필터링을 관리하는 데 사용할 수 있는 두 가지 Exchange Management Shell 스크립트가 포함되어 있습니다.

  • Disable-Antimalwarescanning.ps1 는 사서함 서버에서 맬웨어 에이전트 및 맬웨어 엔진 및 정의 업데이트를 사용하지 않도록 설정합니다.

  • Enable-Antimalwarescanning.ps1 는 맬웨어 에이전트를 사용하도록 설정하고, 맬웨어 엔진 및 정의 업데이트를 사용하도록 설정하고, 사서함 서버에서 엔진 및 정의 업데이트를 실행합니다.

  • Update-MalwareFilteringServer.ps1 사서함 서버에서 맬웨어 엔진 및 정의 업데이트를 수동으로 실행합니다.

이러한 스크립트를 사용하는 방법에 대한 자세한 내용은 Exchange 관리 셸을 사용하여 사서함 서버에서 맬웨어 필터링을 사용하거나 사용하지 않도록 설정하고맬웨어 방지 엔진 및 정의 업데이트 다운로드를 참조하세요.

Exchange Server 맬웨어 방지 보호 옵션

이 목록에서는 Exchange에 대한 맬웨어 방지 옵션에 대해 설명합니다.

  • 기본 제공 맬웨어 방지 보호: Exchange에서 기본 제공 맬웨어 방지 보호를 사용하여 맬웨어를 방지할 수 있습니다. 단독으로 사용하거나 다른 맬웨어 방지 솔루션과 페어링하여 맬웨어에 대한 계층화된 방어를 제공할 수 있습니다.

  • Exchange Online Protection(EOP) : Microsoft 365 및 Office 365 사용되는 맬웨어 방지 솔루션인 EOP에 대한 구독 요금을 지불할 수 있습니다. EOP는 여러 맬웨어 방지 엔진과의 파트너십을 활용하여 효율적이고 비용 효율적이며 다층적인 맬웨어 방지 방지를 제공합니다. EOP를 사용하여 기본 제공 맬웨어 방지 보호를 구문 분석할 때의 이점은 다음과 같습니다.

    • EOP는 여러 맬웨어 방지 엔진을 사용하고 기본 제공 맬웨어 방지 방지는 단일 엔진을 사용합니다.

    • EOP에는 맬웨어 통계를 포함한 보고 기능이 있습니다.

    • EOP는 맬웨어 검색을 비롯한 메일 흐름 문제 자체 해결을 위한 메시지 추적 기능을 제공합니다.

      EOP에 대한 자세한 내용은 EOP에서 맬웨어 방지 보호를 참조하세요.

  • 타사 맬웨어 방지 보호: 타사 맬웨어 방지 프로그램을 구입할 수 있습니다.

Exchange용 맬웨어 방지 FAQ

이 섹션에서는 Exchange에서 기본 제공 맬웨어 필터링 및 검사에 대한 질문과 대답을 제공합니다.

다른 맬웨어 방지 서비스에서 식별된 맬웨어가 Exchange 맬웨어 방지 필터링을 지난 이유는 무엇인가요?

다음과 같은 두 가지 이유가 있을 수 있습니다.

  • 가장 가능성이 높은 시나리오는 메시지 첨부 파일에 실제로 활성 악성 코드가 포함되어 있지 않다는 것입니다. 일부 맬웨어 방지 엔진은 다른 엔진보다 더 공격적이며, 이러한 엔진은 실제로 아무 것도 하지 않는 잘린 맬웨어 페이로드를 포함하기 때문에 메시지를 중지할 수 있습니다.

  • 받은 맬웨어는 새로운 변형이며 맬웨어 방지 엔진은 아직 패턴 파일을 릴리스하지 않았습니다.

익숙하지 않은 첨부 파일이 있는 메시지를 받았습니다. 이 맬웨어인가요? 아니면 이 첨부 파일을 무시할 수 있나요?

인식할 수 없는 첨부 파일은 열지 않는 것이 좋습니다. 첨부 파일을 조사하려면 다음 항목에 설명된 대로 첨부 파일을 제출하세요.

알려진 맬웨어, 의심스러운 파일 또는 거짓 긍정을 Microsoft에 제출할 어떻게 할까요? 있나요?

메시지의 복사본을 저장하고 메시지를 검사할 수 있도록 Microsoft 보안 인텔리전스 웹 사이트에 업로드합니다.

샘플에 맬웨어가 포함된 경우 바이러스가 검색되지 않도록 수정 조치를 취합니다. 샘플이 정리되면 파일이 맬웨어로 검색되지 않도록 수정 작업을 수행합니다.

맬웨어 필터에 의해 삭제된 메시지는 어디에서 가져올 수 있습니까?

확인할 수 없습니다. 메시지가 활성 악성 코드를 포함하는 것으로 확인되었으므로 삭제되었습니다.

메일 흐름 규칙을 사용하여 맬웨어 필터링을 무시할 수 있나요?

아니요, 메일 흐름 규칙(전송 규칙이라고도 함)을 사용하여 맬웨어 에이전트를 우회할 수 없습니다. 대신 암호로 보호된 .zip 파일에 첨부 파일을 보냅니다(암호로 보호된 파일 .zip 파일은 맬웨어 필터링을 통해 무시됨).