다음을 통해 공유


테넌트 허용/차단 목록에서 허용 및 차단 관리

Office 365용 Microsoft Defender 플랜 2의 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. Office 365용 Microsoft Defender 시도에서 누가 등록하고 평가판을 사용할 수 있는지에 대해 알아봅니다.

중요

타사 공격 시뮬레이션 학습의 일부인 피싱 URL을 허용하려면 고급 배달 구성 을 사용하여 URL을 지정합니다. 테넌트 허용/차단 목록을 사용하지 마세요.

Exchange Online 사서함이 없는 Exchange Online 또는 EOP(독립 실행형 Exchange Online Protection) 조직에 사서함이 있는 Microsoft 365 조직에서는 EOP 또는 Office 365용 Microsoft Defender 필터링 평결. 예를 들어 좋은 메시지가 잘못된 메시지(가양성)로 표시되거나 잘못된 메시지가 (거짓 부정)을 통해 허용될 수 있습니다.

Microsoft Defender 포털의 테넌트 허용/차단 목록을 사용하면 Office 365용 Defender 또는 EOP 필터링 평결을 수동으로 재정의할 수 있습니다. 이 목록은 외부 보낸 사람의 들어오는 메시지에 대해 메일 흐름 또는 클릭 시간 동안 사용됩니다.

도메인 및 전자 메일 주소스푸핑된 보낸 사람의 항목은 organization 내에서 보낸 내부 메시지에 적용됩니다. 도메인 및 전자 메일 주소에 대한 항목을 차단하면 organization 사용자가 차단된 도메인 및 주소로 전자 메일을 보낼 수 없습니다.

테넌트 허용/차단 목록은 Email & 협업> 정책 & 규칙위협>정책 규칙> 섹션>테넌트 허용/차단 Lists Microsoft Defender 포털에서 https://security.microsoft.com 사용할 수 있습니다. 또는 테넌트 허용/차단 Lists 페이지로 직접 이동하려면 를 사용합니다https://security.microsoft.com/tenantAllowBlockList.

사용 및 구성 지침은 다음 문서를 참조하세요.

이러한 문서에는 Microsoft Defender 포털 및 PowerShell의 프로시저가 포함되어 있습니다.

테넌트 허용/차단 목록의 차단 항목

테넌트 허용/차단 목록에서 블록 항목이 허용 항목보다 우선합니다.

에서 제출 페이지( 관리자 제출이라고도 함) https://security.microsoft.com/reportsubmission 를 사용하여 Microsoft에 거짓 부정으로 제출할 때 다음 유형의 항목에 대한 블록 항목을 만듭니다.

  • 도메인 및 전자 메일 주소:

    • 이러한 보낸 사람의 Email 메시지는 높은 신뢰도 피싱으로 표시된 다음 격리로 이동됩니다.
    • organization 사용자는 이러한 차단된 도메인 및 주소로 전자 메일을 보낼 수 없습니다. 다음과 같은 배달 못 함 보고서(NDR 또는 반송 메시지라고도 함) 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. 를 받습니다. 전체 메시지는 하나의 받는 사람 전자 메일 주소 또는 도메인만 블록 항목에 정의되어 있더라도 메시지의 모든 내부 및 외부 받는 사람에 대해 차단됩니다.

    특정 보낸 사람으로부터 스팸만 차단하려면 스팸 방지 정책의 차단 목록에 이메일 주소 또는 도메인을 추가합니다. 보낸 사람으로부터 모든 전자 메일을 차단하려면 테넌트 허용/차단 목록에서 도메인 및 전자 메일 주소를 사용합니다.

  • 파일: 이러한 차단된 파일이 포함된 Email 메시지는 맬웨어로 차단됩니다. 차단된 파일이 포함된 메시지는 격리됩니다.

  • URL: 이러한 차단된 URL을 포함하는 Email 메시지는 높은 신뢰도 피싱으로 차단됩니다. 차단된 URL이 포함된 메시지는 격리됩니다.

테넌트 허용/차단 목록에서 다음 유형의 항목에 대한 블록 항목을 직접 만들 수도 있습니다.

기본적으로 도메인 및 전자 메일 주소, 파일URL 에 대한 항목은 30일 후에 만료되지만 최대 90일 동안 만료되거나 만료되지 않도록 설정할 수 있습니다.

스푸핑된 보낸 사람IP 주소에 대한 차단 항목은 만료되지 않습니다.

테넌트 허용/차단 목록의 항목 허용

대부분의 경우 테넌트 허용/차단 목록에 허용 항목을 직접 만들 수 없습니다. 불필요한 허용 항목은 시스템에 의해 필터링되었을 수 있는 악의적인 전자 메일에 organization 노출합니다.

다음 목록에서는 제출 페이지에서 Microsoft에 가양성으로 제출할 때 테넌트 허용/차단 목록에서 발생하는 상황에 대해 설명 합니다 .

  • 첨부 파일URL Email: 허용 항목이 만들어지고 항목이 테넌트 허용/차단 목록의 파일 또는 URL 탭에 각각 표시됩니다.

    가양성으로 보고된 URL의 경우 원래 URL의 변형이 포함된 후속 메시지를 허용합니다. 예를 들어 제출 페이지를 사용하여 잘못 차단된 URL www.contoso.com/abc을 보고합니다. organization 나중에 URL이 포함된 메시지를 수신하는 경우(예: www.contoso.com/abc, www.contoso.com/abc?id=1, www.contoso.com/abc/def/gty/uyt?id=5또는 www.contoso.com/abc/whatever) URL에 따라 메시지가 차단되지 않습니다. 즉, 동일한 URL의 여러 변형을 Microsoft에 보고할 필요가 없습니다.

  • Email: EOP 또는 Office 365용 Defender 필터링 스택에 의해 메시지가 차단된 경우 테넌트 허용/차단 목록에 허용 항목이 생성될 수 있습니다.

    • 푸핑 인텔리전스에 의해 메시지가 차단된 경우 보낸 사람의 허용 항목이 만들어지고 테넌트 허용/차단 목록 의 스푸핑된 보낸 사람 탭에 항목이 나타납니다.
    • Office 365용 Defender 사용자(또는 그래프) 가장 보호에 의해 메시지가 차단된 경우 테넌트 허용/차단 목록에 허용 항목이 만들어지지 않습니다. 대신 도메인 또는 보낸 사람이 메시지를 검색한 피싱 방지 정책의 신뢰할 수 있는 보낸 사람 및 도메인 섹션에 추가됩니다.
    • 파일 기반 필터로 인해 메시지가 차단된 경우 파일에 대한 허용 항목이 만들어지고 테넌트 허용/차단 목록의 파일 탭에 항목이 나타납니다.
    • URL 기반 필터로 인해 메시지가 차단된 경우 URL에 대한 허용 항목이 만들어지고 테넌트 허용/차단 목록의 URL 탭에 항목이 나타납니다.
    • 다른 이유로 메시지가 차단된 경우 보낸 사람 전자 메일 주소 또는 도메인에 대한 허용 항목이 만들어지고 테넌트 허용/차단 목록의 도메인 & 주소 탭에 항목이 표시됩니다.
    • 필터링으로 인해 메시지가 차단되지 않은 경우 아무 곳에도 허용 항목이 만들어지지 않습니다.

제출의 허용 항목은 메시지가 악의적이라고 판단한 필터에 따라 메일 흐름 중에 추가됩니다. 예를 들어 보낸 사람 전자 메일 주소와 메시지의 URL이 악의적인 것으로 확인되면 보낸 사람(전자 메일 주소 또는 도메인) 및 URL에 대한 허용 항목이 만들어집니다.

메일 흐름 또는 클릭 시간 동안 허용 항목에 엔터티가 포함된 메시지가 필터링 스택에서 다른 검사를 통과하면 메시지가 전달됩니다(허용된 엔터티와 연결된 모든 필터는 건너뜁니다). 예를 들어 메시지가 전자 메일 인증 검사, URL 필터링 및 파일 필터링을 통과하면 허용된 보낸 사람 전자 메일 주소의 메시지도 허용된 보낸 사람에게 전달됩니다.

기본적으로 도메인 및 전자 메일 주소, 파일URL에 대한 허용 항목은 필터링 시스템에서 엔터티가 클린 것을 확인한 후 허용 항목이 제거된 후 45일 동안 유지됩니다. 또는 항목을 만든 후 최대 30일까지 만료되도록 허용 항목을 설정할 수 있습니다. 스푸핑된 보낸 사람의 항목이 만료되지 않도록 허용합니다.

허용 또는 차단 항목을 추가한 후 예상되는 사항

제출 페이지에 허용 항목을 추가하거나 테넌트 허용/차단 목록에 블록 항목을 추가하면 항목이 즉시 작동하기 시작합니다(5분 이내).

Microsoft가 허용 항목에서 학습한 경우 테넌트 허용/차단 목록에서 항목 제거라는 기본 제공 경고 정책은 (이제 불필요한) 허용 항목이 제거되면 경고를 생성합니다.