팁
Office 365용 Microsoft Defender 플랜 2의 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. Office 365용 Microsoft Defender 시도에서 누가 등록하고 평가판을 사용할 수 있는지에 대해 알아봅니다.
클라우드 사서함이 있는 모든 조직에서 Microsoft 365는 들어오는 모든 메시지에서 스팸, 맬웨어 및 기타 위협을 검사합니다. 이러한 검색 결과는 메시지의 다음 헤더 필드에 추가됩니다.
- X-Forefront-Antispam-Report: 메시지에 대한 정보와 메시지 처리 방법에 대한 정보를 포함합니다.
- X-Microsoft-Antispam: 대량 메일 및 피싱에 대한 추가 정보가 포함되어 있습니다.
- 인증 결과: SPF(보낸 사람 정책 프레임워크), DKIM(Domainkeys Identified Mail) 및 DMARC(도메인 기반 메시지 인증, 보고 및 규칙)를 비롯한 전자 메일 인증 결과에 대한 정보를 포함합니다.
이 문서에서는 이러한 헤더 필드에서 사용할 수 있는 항목에 대해 설명합니다.
다양한 전자 메일 클라이언트에서 전자 메일 메시지 헤더를 보는 방법에 대한 자세한 내용은 Outlook에서 인터넷 메시지 헤더 보기를 참조하세요.
팁
메시지 헤더의 내용을 복사하여 메시지 헤더 분석기 도구에 붙여 넣을 수 있습니다. 이 도구는 헤더를 보다 읽기 쉬운 형식으로 구문 분석하는 데 도움이 됩니다.
X-Forefront-Antispam-Report 메시지 헤더 필드
메시지 헤더 정보를 받은 후 X-Forefront-Antispam-Report 헤더를 찾습니다. 이 헤더에는 세미콜론(;))으로 구분된 여러 필드와 값 쌍이 있습니다. 예시:
...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;SFTY:;...
개별 필드 및 값에 대해 설명이 다음 표에 설명되어 있습니다.
참고
X-Forefront-Antispam-Report 헤더에는 다양한 필드 및 값이 포함되어 있습니다. 표에 설명되어 있지 않은 필드는 Microsoft 스팸 방지 팀에서 진단용으로만 사용합니다.
| 필드 | 설명 |
|---|---|
ARC |
Authenticated Received Chain (ARC) 프로토콜에는 다음 필드가 있습니다.
|
CAT: |
메시지에 적용된 위협 정책의 범주:
*Office 365용 Defender. 여러 형태의 보호 및 여러 검색 검색은 인바운드 메시지에 플래그를 지정할 수 있습니다. 정책은 우선 순위 순서로 적용되고 우선 순위가 가장 높은 정책이 먼저 적용됩니다. 자세한 내용을 알고 싶다면 전자 메일에 여러 보호 방법과 검색 검사가 실행될 때 어떤 정책이 적용되는지를 확인합니다. |
CIP:[IP address] |
연결할 IP 주소. IP 허용 목록 또는 IP 차단 목록에 이 IP 주소를 사용할 수 있습니다. 자세한 내용은 연결 필터링 구성을 참조하십시오. |
CTRY |
연결 IP 주소에 의해 결정되는 원본 국가/지역이며, 이는 원래 보내는 IP 주소와 동일하지 않을 수 있습니다. |
DIR |
메시지의 방향성:
|
H:[helostring] |
연결 전자 메일 서버의 HELO 또는 EHLO 문자열입니다. |
IPV:CAL |
원본 IP 주소가 IP 허용 목록에 있기 때문에 메시지가 스팸 필터링을 건너뛰었습니다. 자세한 내용은 연결 필터링 구성을 참조하십시오. |
IPV:NLI |
IP 평판 목록에서 IP 주소를 찾을 수 없습니다. |
LANG |
메시지가 국가 코드에 지정된 대로 작성된 언어입니다(예: 러시아어의 경우 ru_RU). |
PTR:[ReverseDNS] |
원본 IP 주소의 PTR 레코드 (역 DNS 조회라고도 함). |
SCL |
메시지의 SCL(스팸 지수)입니다. 값이 높을수록 메시지가 스팸일 가능성이 더 높습니다. 자세한 내용은 SCL(스팸 지수)을 참조하세요. |
SFTY |
메시지는 피싱으로 식별되었으며 다음 값 중 하나로도 표시됩니다.
|
SFV:BLK |
사용자의 차단된 보낸 사람 목록에 있는 주소에서 보낸 메시지이므로 필터링을 건너뛰고 메시지를 차단했습니다. 관리자가 사용자의 보낸 사람 차단 목록을 관리하는 방법에 대한 자세한 내용은 클라우드 사서함에서 정크 메일 설정 구성을 참조하세요. |
SFV:NSPM |
스팸 필터링은 메시지를 비스팸으로 표시하고 메시지가 의도한 받는 사람에게 전송되었습니다. |
SFV:SFE |
필터를 건너뛰고 사용자의 안전 보낸 사람 목록에 있는 주소에서 보낸 메시지이므로 이 메시지가 허용되었습니다. 관리자가 사용자의 수신 허용 보낸 사람 목록을 관리하는 방법에 대한 자세한 내용은 클라우드 사서함에서 정크 메일 설정 구성을 참조하세요. |
SFV:SKA |
보낸 사람이 안티스팸 정책의 허용된 보낸 사람 목록 또는 허용된 도메인 목록에 있으므로 스팸 필터링을 건너뛰고 받은 편지함으로 배달되었습니다. 자세한 내용은 안티스팸 정책 구성을(를) 참조합니다. |
SFV:SKB |
메시지는 차단된 보낸 사람 목록 또는 안티스팸 정책의 차단된 도메인 목록의 보낸 사람과 일치하기 때문에 스팸으로 표시되었습니다. 자세한 내용은 안티스팸 정책 구성을(를) 참조합니다. |
SFV:SKN |
스팸 필터링을 통해 처리하기 전에 메시지가 비스팸으로 표시되었습니다. 예를 들어 메일 흐름 규칙에 의해 메시지가 SCL -1 또는 스팸 필터링으로 표시되었습니다. |
SFV:SKQ |
메시지가 검역소에서 릴리스되어 원하는 수신자에게 전송되었습니다. |
SFV:SKS |
스팸 필터링을 통해 처리하기 전에 메시지가 스팸으로 표시되었습니다. 예를 들어, 메시지는 메일 흐름 규칙에 의해 SCL 5 - 9로 표시되었습니다. |
SFV:SPM |
메시지가 스팸 필터링에 의해 스팸으로 표시되었습니다. |
SRV:BULK |
메시지가 스팸 필터링 및 BCL(대량 불만 수준) 임계값에 의해 벌크 메일로 식별되었습니다.
MarkAsSpamBulkMail 매개 변수가 On인 경우(기본적으로 켜져 있음) 벌크 메일 메시지는 스팸(SCL 6)으로 표시됩니다. 자세한 내용은 스팸 방지 정책 구성하기를 참조하세요. |
X-CustomSpam: [ASFOption] |
메시지가 ASF(고급 스팸 필터) 설정과 일치합니다. 각 ASF 설정에 대한 X 헤더 값을 보려면 스팸 방지 정책의 ASF(고급 스팸 필터) 설정을 참조하세요. 참고: ASF는 Exchange 메일 흐름 규칙(전송 규칙이라고도 함)이 메시지를 처리한 후 메시지에 X 헤더 필드를 추가합니다 X-CustomSpam:. 메일 흐름 규칙을 사용하여 ASF에서 필터링된 메시지를 식별하고 작업할 수 없습니다. |
X-Microsoft-Antispam 메시지 헤더 필드
다음 표에서는 X-Microsoft-Antispam 메시지 헤더의 유용한 필드에 대해 설명합니다. 이 헤더의 다른 필드는 Microsoft 스팸 방지 팀에서 진단용으로만 사용합니다.
| 필드 | 설명 |
|---|---|
BCL |
메시지의 BCL(대량 불만 수준)입니다. BCL이 높을수록 대량 메일 메시지가 불만을 발생시킬 가능성이 높으므로 스팸일 가능성이 더 높습니다. 자세한 내용은 BCL(대량 불만 수준)을 참조하세요. |
Authentication-Results 메시지 헤더
SPF, DKIM 및 DMARC에 대한 전자 메일 인증 확인 결과는 인바운드 메시지의 인증-결과 메시지 헤더에 기록(스탬프됨)됩니다. 인증 결과 헤더는 RFC 7001에 정의되어 있습니다.
다음 목록에서는 각 유형의 전자 메일 인증 검사 대해 Authentication-Results 헤더에 추가된 텍스트에 대해 설명합니다.
SPF는 다음 구문을 사용합니다.
spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>예를 들어 다음과 같습니다.
spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.comDKIM은 다음 구문을 사용합니다.
dkim=<pass|fail (reason)|none> header.d=<domain>예를 들어 다음과 같습니다.
dkim=pass (signature was verified) header.d=contoso.com dkim=fail (body hash did not verify) header.d=contoso.comDMARC는 다음 구문을 사용합니다.
dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>예를 들어 다음과 같습니다.
dmarc=pass action=none header.from=contoso.com dmarc=bestguesspass action=none header.from=contoso.com dmarc=fail action=none header.from=contoso.com dmarc=fail action=oreject header.from=contoso.com
인증확인 - 메시지 헤더 필드를 생성합니다.
다음 표에서는 각 전자 메일 인증 검사에 대한 필드 및 가능한 값에 대해 설명합니다.
| 필드 | 설명 |
|---|---|
action |
DMARC 검사 결과에 따라 스팸 필터에서 수행하는 작업을 표시합니다. 예시:
|
compauth |
복합 인증 결과 Microsoft 365는 여러 유형의 인증(SPF, DKIM 및 DMARC) 및 메시지의 다른 부분을 결합하여 메시지의 인증 여부를 결정합니다. 평가 기준으로 보낸 사람: 도메인을 사용합니다.
참고: 실패에도 compauth 불구하고 다른 평가가 의심스러운 성격을 나타내지 않으면 메시지가 여전히 허용될 수 있습니다. |
dkim |
메시지의 DKIM 검사 결과를 설명합니다. 가능한 값은 다음과 같습니다.
|
dmarc |
메시지에 대한 DMARC 검사 결과를 설명합니다. 가능한 값은 다음과 같습니다.
|
header.d |
DKIM 서명에서 식별된 도메인(있는 경우)입니다. 이 도메인은 공개 키에 대해 쿼리됩니다. |
header.from |
전자 메일 메시지 헤더의 보낸 사람 주소 도메인(주소 또는 P2 보낸 사람이라고도 함 5322.From )입니다. 받는 사람은 전자 메일 클라이언트에서 보낸 사람 주소를 봅니다. |
reason |
복합 인증이 통과되거나 실패한 이유입니다. 값은 세 자리 코드입니다. 자세한 내용은 복합 인증 이유 코드 섹션을 참조하세요 . |
smtp.mailfrom |
MAIL FROM 주소의 도메인(주소, P1 보낸 사람 또는 봉투 보낸 사람이라고도 함 5321.MailFrom )입니다. 이 이메일 주소는 배달되지 않는 보고서(NDR 또는 반송 메시지라고도 함)에 사용됩니다. |
spf |
메시지의 SPF 검사 결과를 설명합니다(메시지 원본이 도메인의 SPF 레코드에 포함되는지 여부). 가능한 값은 다음과 같습니다.
|
복합 인증 이유 코드
다음 표에서는 결과와 함께 compauth 사용되는 세 자리 reason 코드에 대해 설명합니다.
팁
전자 메일 인증 결과 및 오류를 수정하는 방법에 대한 자세한 내용은 Microsoft 365의 이메일 인증에 대한 보안 운영 가이드를 참조하세요.
| 이유 코드 | 설명 |
|---|---|
| 000 | 메시지가 명시적 인증(compauth=fail)에 실패했습니다. 메시지가 DMARC 실패를 수신했고 DMARC 정책 작업은 또는 p=reject입니다p=quarantine. |
| 001 | 메시지가 암시적 인증(compauth=fail)에 실패했습니다. 보내는 도메인에 전자 메일 인증 레코드가 게시되지 않았거나 전자 메일 인증 레코드가 게시된 경우 약한 오류 정책(SPF ~all 또는 ?all또는 의 DMARC 정책 p=none)이 있었습니다. |
| 002 | organization 스푸핑된 전자 메일을 보내는 것이 명시적으로 금지된 보낸 사람/도메인 쌍에 대한 정책이 있습니다. 관리자는 이 설정을 수동으로 구성합니다. |
| 010 | 메시지가 DMARC에 실패하고, DMARC 정책 작업이 p=reject 또는 p=quarantine이고, 보내는 도메인은 organization 허용된 도메인 중 하나입니다(자체 또는 조직 내 스푸핑). |
| 1xx | 메시지가 명시적 또는 암시적 인증(compauth=pass)을 전달했습니다. |
| 100 | 전달된 SPF 또는 DKIM이 전달되고 MAIL FROM 및 From 주소의 도메인이 정렬됩니다. |
| 101 | 메시지는 보낸 사용자 주소에 사용되는 도메인에서 DKIM으로 서명되었습니다. |
| 102 | MAIL FROM 및 From 주소 도메인이 정렬되고 SPF가 전달되었습니다. |
| 103 | From 주소 도메인은 원본 IP 주소와 연결된 DNS PTR 레코드(역방향 조회)와 일치합니다. |
| 104 | 원본 IP 주소와 연결된 DNS PTR 레코드(역방향 조회)는 From 주소 도메인과 일치합니다. |
| 108 | 이전의 합법적인 홉에 기인하는 메시지 본문 수정으로 인해 DKIM이 실패했습니다. 예를 들어 메시지 본문은 organization 온-프레미스 전자 메일 환경에서 수정되었습니다. |
| 109 | 보낸 사람의 도메인에 DMARC 레코드가 없지만 메시지가 전달됩니다. |
| 111 | DMARC 임시 오류 또는 영구적 오류에도 불구하고 SPF 또는 DKIM 도메인은 From 주소 도메인과 일치합니다. |
| 112 | DNS 시간 제한으로 인해 DMARC 레코드가 검색되지 않았습니다. |
| 115 | 보낸 사람 주소 도메인이 허용된 도메인으로 구성된 Microsoft 365 organization 메시지가 전송되었습니다. |
| 116 | From 주소 도메인의 MX 레코드는 연결 IP 주소의 PTR 레코드(역방향 조회)와 일치합니다. |
| 130 | 신뢰할 수 있는 ARC 실러의 ARC 결과는 DMARC 오류를 오버로드합니다. |
| 2xx | 메시지 일시 전달 암시적 인증(compauth=softpass)입니다. |
| 201 | From 주소 도메인에 대한 PTR 레코드는 연결 IP 주소에 대한 PTR 레코드의 서브넷과 일치합니다. |
| 202 | 보낸 사람의 주소 도메인은 연결 IP 주소에 대한 PTR 레코드의 도메인과 일치합니다. |
| 3xx | 메시지가 복합 인증(compauth=none)을 확인하지 않았습니다. |
| 4xx | 메시지가 복합 인증(compauth=none)을 무시했습니다. |
| 501 | DMARC가 적용되지 않았습니다. 메시지는 유효한 배달되지 않는 보고서(NDR 또는 반송 메시지라고도 함)이며 보낸 사람과 받는 사람 간의 연락처가 이전에 설정되었습니다. |
| 502 | DMARC가 적용되지 않았습니다. 메시지는 이 organization 보낸 메시지에 대한 유효한 NDR입니다. |
| 6xx | 메시지가 암시적 전자 메일 인증(compauth=fail)에 실패했습니다. |
| 601 | 보내는 도메인은 organization 허용된 도메인입니다(자체 또는 조직 내 스푸핑). |
| 7xx | 메시지가 암시적 인증(compauth=pass)을 전달했습니다. |
| 701-704 | 이 organization 보내는 인프라에서 합법적인 메시지를 받은 기록이 있으므로 DMARC가 적용되지 않았습니다. |
| 9xx | 메시지가 복합 인증(compauth=none)을 무시했습니다. |
| 905 | 복잡한 라우팅으로 인해 DMARC가 적용되지 않았습니다. 예를 들어 인터넷 메시지는 Microsoft 365에 도달하기 전에 온-프레미스 Exchange 환경 또는 비 Microsoft 서비스를 통해 라우팅됩니다. |