FOPE를 구성하는 최상의 방법
적용 대상: Office 365 Enterprise, Live@edu, Forefront Online Protection for Exchange
마지막으로 수정된 항목: 2013-05-17
고객 의견을 통해 Forefront Online Protection for Exchange(FOPE) 서비스에 대한 다음 사항을 알아두면 서비스를 최대한 활용하고 가능한 한 효과적으로 실행하는 데 도움이 된다는 것을 파악했습니다. 이 항목에 설명된 옵션을 구성하는 방법을 보여 주는 비디오를 보려면 Forefront Online Protection for Exchange 구성을 위한 유용한 정보(영문)을 참조하십시오.
디렉터리 동기화 도구
무료 디렉터리 동기화 도구는 온-프레미스 Active Directory와 FOPE 및 Exchange Hosted Archive 서비스 간에 유효한 최종 사용자 프록시 주소(그리고 사용 가능한 경우 수신이 허용된 보낸 사람)를 안전하게 자동으로 동기화하는 좋은 방법입니다. 디렉터리 동기화 도구는 다음 주소(https://www.microsoft.com/downloads/details.aspx?FamilyID=3cda6dcc-1124-4e0b-b991-de9d85ed12e1&DisplayLang=en)에 있습니다.
DST(디렉터리 동기화 도구)를 다운로드하면 사용자 목록을 전자 메일 주소와 함께 DST를 통해 Hosted Services 네트워크에 업로드할 수 있습니다. 그러면 업로드된 사용자 목록을 디렉터리 기반 Edge 차단(도메인의 디렉터리 기반 Edge 차단을 거부 모드로 설정하여 이용), 격리 액세스 또는 Archive 서비스에 사용할 수 있습니다.
회사에 Microsoft Windows Active Directory 환경이 구축되어 있지 않은 경우에는 사용자 목록 원본을 관리 센터 또는 보안 FTP(사용자 목록을 업로드할 수 있는 대체 옵션)로 설정할 수 있습니다.
FOPE DST의 개념 개요, 설치 지침 및 지원 정보에 대한 자세한 내용은 디렉터리 동기화 도구를 참조하십시오.
SPF 레코드 설정
SPF는 보내는 호스트의 유효성을 검사하는 메커니즘을 제공하여 "스푸핑"으로도 알려진 기술인 전자 메일 통신을 보낼 때 도메인 이름을 무단으로 사용하는 것을 방지하기 위해 사용됩니다. SPF 레코드 설정을 구성하려면 다음 팁을 지침으로 사용하십시오.
필터링 네트워크를 통해 아웃바운드 메시지를 보내는 도메인의 경우 SPF 레코드와 개별 아웃바운드 메일 서버 IP 주소에 "spf.messaging.microsoft.com"을 포함할 수 있습니다. SPF는 보내는 호스트의 유효성을 검사하는 메커니즘을 제공하여 "스푸핑"으로도 알려진 기술인 전자 메일 통신을 보낼 때 도메인 이름을 무단으로 사용하는 것을 방지하기 위해 사용됩니다.
중요
이러한 지침은 필터링 네트워크를 통해 아웃바운드 전자 메일을 보내는 도메인에만 유효합니다.
지정된 IP 주소가 특정 도메인에 대한 메일을 보낼 권한이 있는지 확인하는 데 SPF를 사용하기 때문에 필터링 네트워크에 대한 아웃바운드 IP 주소도 SPF 레코드에 포함해야 합니다. 전체 IP 집합을 추가하는 가장 쉬운 방법은 SPF 레코드에서 "include: spf.messaging.microsoft.com" 문을 사용하는 것입니다.
또한 모든 아웃바운드 메일 서버 IP 주소를 나열할 수 있습니다. 이러한 IP 주소는 다른 FOPE 클라이언트에 메일이 배달되도록 하는 데 필요합니다. 각 IP 주소는 ip4: 문을 통해 추가해야 합니다. 예를 들어 "127.0.0.1"을 허용되는 아웃바운드 보내는 IP로 포함하려면 "ip4:127.0.0.1"을 SPF 레코드에 추가합니다. 모든 권한 있는 IP를 알고 있는 경우 –all(Fail) 한정자를 사용하여 이러한 IP를 추가해야 합니다. 전체 IP 목록이 있는지 확실하지 않으면 ~all(SoftFail) 한정자를 사용해야 합니다.
예:
Contoso.com에는 다음과 같이 세 가지 아웃바운드 메일 서버가 있습니다.
127.0.0.1
127.0.0.2
127.0.0.3
Contoso의 원래 SPF 레코드는 다음과 같습니다.
"v=spf1 ip4:127.0.0.1 ip4:127.0.0.2 ip4:127.0.0.3 -all"
FOPE를 통해 메일을 라우팅한 후 Contoso의 SPF 레코드는 다음과 같습니다.
"v=spf1 include:spf.messaging.microsoft.com ip4:127.0.0.1 ip4:127.0.0.2 ip4:127.0.0.3 -all"
네트워크 연결 설정
다음은 Hosted Filtering 서비스로 데이터를 큰 문제 없이 지속적으로 전송하는 데 도움이 되는 팁입니다.
SMTP 서버의 설정에서 연결 제한 시간을 60초로 구성합니다.
Hosted Filtering 서비스에서 사용하는 IP 주소에서만 인바운드 SMTP 연결을 허용하도록 방화벽 규칙을 제한했다면, SMTP 서버가 서비스로부터 가능한 최대 동시 인바운드 연결을 수락하도록 구성하는 것이 좋습니다.
또한 서버에서 Hosted Filtering 서비스를 통해 아웃바운드 전자 메일을 보내는 경우에는 연결당 메시지를 50개까지만 보내고 50개 미만의 동시 연결을 사용하도록 서버를 구성하는 것이 좋습니다. 일반적으로는 이러한 설정을 사용하면 서버에서 서비스로 데이터를 큰 문제 없이 지속적으로 전송할 수 있습니다.
보안
IP 제한
지정한 IP 주소에서 웹 사이트에 연결하는 사용자만 가입된 서비스에 액세스하도록 제한할 수 있습니다. 이 구성을 사용하는 경우 다른 IP 주소에서는 서비스에 액세스할 수 없으므로 무단 액세스 가능성이 최소화됩니다. IP 제한 설정은 회사 범위, 도메인 범위 및 사용자 범위에서 사용 가능합니다.
암호 정책
모든 계정, 특히 관리자 계정에는 항상 강력한 암호를 사용해야 합니다. 다음 지침에 따라 강력한 암호를 만들 수 있습니다.
대/소문자, 숫자 및 특수 문자(?, !, @, $)를 함께 사용해야 합니다.
3개월, 4개월, 6개월 등 암호를 자주 만료되도록 설정해야 합니다.
추가 스팸 필터링 옵션
ASF(추가 스팸 필터링) 옵션도 사용할 수 있습니다. 기본적으로 다음의 경우를 예외로 하고 모든 ASF 옵션을 끄는 것이 좋습니다.
원격 사이트로의 이미지 링크—이 설정은 마케팅 메일, 광고 또는 스팸 성격의 내용을 담은 뉴스레터를 많이 받는 사용자에게 권장됩니다.
SPF 레코드 하드 오류—이 설정은 피싱 메시지 수신을 염려하는 회사에게 적합합니다.
주소 인증—피싱, 특히 회사 사용자를 스푸핑하는 피싱이 염려된다면 이 설정을 켜는 것이 좋습니다. 하지만 이 옵션을 기본적으로 켜는 것보다 에스컬레이션에 대한 대응으로서 켜는 것을 권장합니다.
이러한 ASF 옵션 및 기타 내용에 대한 자세한 정보는 추가 스팸 필터링 옵션 구성을 참조하십시오.
팁
-
환경에 맞게 스팸 차단 기능을 최대한 활용하기 위해 테스트 모드에서 ASF 옵션을 사용하도록 설정하여 보다 강력한 추가 스팸 옵션을 파악할 수 있습니다. 스팸을 많이 받는 고객의 경우에는 먼저 이러한 옵션을 테스트한 후에 프로덕션 환경에서 구현하는 것이 좋습니다.
-
또한 자신의 데스크톱으로 배달되는 스팸을 Hosted Filtering 서비스 스팸 팀(abuse@messaging.microsoft.com)에 검토용으로 제출해야 합니다.
-
고객은 해당 최종 사용자가 정크 전자 메일 보고 도구를 설치하도록 허용할 수 있습니다. Microsoft® Office Outlook®과 함께 정크 전자 메일 보고 도구를 사용하면 최종 사용자가 분석을 위해 정크 전자 메일 메시지를 으로 신속하게 제출하여 정크 전자 메일 필터링 효율성을 높일 수 있습니다.
정크 전자 메일 보고 도구 다운로드 위치: https://go.microsoft.com/fwlink/?LinkID=147248
최종 사용자가 격리 웹 사이트에 로그인할 때 정크 전자 메일 보고 도구 다운로드 링크가 표시되도록 도메인을 구성할 수도 있습니다.
정크 전자 메일 보고 도구에 관한 자세한 내용은 Microsoft Office Outlook용 정크 메일 보고 추가 기능을 참조하십시오.
가양성 전송
가양성으로 제출되는 대부분의 메시지는 실제로는 정확하게 필터링된 스팸 메시지이지만, 해당 받는 사람은 그러한 메시지를 받기를 원합니다.
Hosted Filtering 서비스에 가양성으로 보고되는 메시지 유형과 수를 정확하게 파악하려면 관리자는 검토를 위한 메시지 복사본을 받을 수 있도록 스팸 필터의 가양성 전송 복사본 기능을 구성해야 합니다.
중요
가양성 전송을 보내기 전에 최종 사용자는 격리 웹 사이트에 로그인하여 먼저 메시지를 확인하거나 메시지를 회수하여 확인한 후에 false_positive@messaging.microsoft.com으로 전달해야 합니다.
가양성 메시지를 제출하려면 전체 메시지와 모든 인터넷 헤더를 false_positive 사서함으로 전달해야 합니다.
정책 필터
정책 규칙
FOPE 관리 센터 정책 규칙에서는 스팸 및 바이러스 필터링 이외에도 사용자 지정 가능한 필터링 규칙을 구성하여 특정 회사 정책을 적용할 수 있습니다. Hosted Filtering 서비스에서 메시지를 처리하는 동안 메시지를 식별하고 메시지에 대한 특정 동작을 수행하는 특정 규칙 집합을 만들 수 있습니다. 예를 들어 제목 필드에 특정 단어나 구가 있는 모든 들어오는 전자 메일을 거부하는 정책 규칙을 만들 수 있습니다. 또한 정책 규칙 필터를 사용하면 파일(사전)을 업로드하여 여러 정책 규칙에 대한 대형 값 목록(예: 전자 메일 주소, 도메인 및 키워드)을 추가하고 관리할 수 있습니다.
정책 규칙은 다양한 전자 메일 일치 조건에 대해 구성할 수 있습니다.
헤더 필드 이름과 값
보낸 사람 IP 주소, 도메인 및 전자 메일 주소
받는 사람 도메인 및 전자 메일 주소
첨부 파일 이름 및 파일 확장명
전자 메일 제목, 본문 및 기타 메시지 속성(크기, 받는 사람 수)
정책 규칙에 대한 자세한 내용은 정책 규칙을 참조하십시오.
피싱 및 스푸핑 예방
정책 필터를 사용하여 전자 메일 공격으로부터 회사 네트워크를 방어하고 최종 사용자의 기밀 정보를 보호할 수 있습니다.
조직에서 보내는 전자 메일에서 개인 정보를 감지하면 피싱을 추가적으로 차단할 수 있습니다. 예를 들어 다음과 같은 정규식을 사용하면 개인 금융 데이터 또는 정보 전송을 감지할 수 있으므로 개인 정보가 도용될 수 있습니다.
\d\d\d\d\s\d\d\d\d\s\d\d\d\d\s\d\d\d\d(MasterCard Visa)
\d\d\d\d\s\d\d\d\d\d\d\s\d\d\d\d\d(American Express)
\d\d\d\d\d\d\d\d\d\d\d\d\d\d\d\d(임의의 16자리 숫자)
\d\d\d\-\d\d\-\d\d\d\d(사회 보장 번호)
도메인에서 보낸 것처럼 보이는 인바운드 전자 메일을 차단하여 스팸 및 피싱을 방지할 수 있습니다. 이와 같이 보낸 사람을 위조하는 방식의 사기를 차단하려면 회사 도메인에서 동일한 회사 도메인인 yourdomain.com으로 보내는 메시지에 적용할 거부 규칙을 만듭니다.
중요
이 규칙은 도메인에서 인터넷을 통해 올바른 전자 메일을 메일 서버로 보내지 않는 경우에만 만들어야 합니다.
확장명 차단
다양한 방식으로 정책 필터를 사용하여 전자 메일 공격으로부터 회사 네트워크를 방어하고 최종 사용자의 기밀 정보를 보호할 수 있습니다.
파일 확장명 차단을 통한 위협 방지는 최소한 다음 확장자를 차단해야 합니다.
보호를 강화하기 위해 ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, exe, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, pif, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh 확장명 중 전체 또는 일부를 차단하는 것이 좋습니다.
참고 항목
개념
관련 자료
비디오 - Forefront Online Protection for Exchange를 위한 모범 사례(영문)