이 기능을 사용하면 조건을 지정하고 필터링된 이메일 동작을 할당할 수 있습니다. 인증 방법(예: SPF, DKIM, DMARC 및 ARC)이 포함된 조건을 사용하여 사용자 지정 보낸 사람 확인 및 안티스푸핑 규칙을 정의할 수 있습니다. 정책을 만드는 동안 규칙에서 이메일 규칙 옆에 있는 편집을 클릭하여 새 규칙을 생성하거나 기존 규칙을 수정합니다.
1.새 규칙을 생성하려면 생성을 클릭하여 마법사를 엽니다.
2.미리 정의된 템플릿을 선택하거나 건너뛰기를 클릭하고 새로운 규칙을 생성합니다.
3.규칙의 이름(알아볼 수 있는 이름)을 입력하면 해당 이름이 규칙 목록에 표시됩니다. 규칙을 준비한 다음 나중에 사용하려는 경우 활성 옆의 토글을 클릭하여 규칙을 비활성화합니다.
4.마법사를 따라 조건 및 동작을 지정합니다. 새 조건 추가를 클릭하고 드롭다운 메뉴에서 조건의 소스를 선택한 다음 적절한 값을 구성합니다.
5.먼저 조건을 정의한 다음 해당 동작을 지정합니다. 하나의 규칙에 여러 조건과 동작을 추가할 수 있습니다. 여러 조건을 정의한 경우 모든 조건이 충족되어야 규칙이 적용됩니다. 모든 조건은 논리 연산자 AND를 사용하여 연결됩니다. 대부분의 조건이 충족하더라도 하나의 조건이 충족하지 않는 경우 조건 평가 결과는 충족되지 않음으로 간주되고 규칙 동작을 수행할 수 없습니다.
드롭다운 메뉴에서 미리 정의된 템플릿을 선택합니다.
템플릿
|
설명
|
외부 보낸 사람 배너 추가
|
조직 외부에서 발송되는 이메일에 배너를 추가하여 사용자가 외부 메시지를 빠르게 식별할 수 있도록 합니다.
|
내부 보낸 사람 배너 추가
|
내부 보낸 사람이 보낸 이메일에 해당 메시지가 조직 내부에서 발송되었음을 확인하는 배너를 표시하여 혼란을 줄이고 신뢰를 구축합니다. SPF 구성 오류 또는 릴레이 문제로 인해 배너가 표시되지 않거나 플래그가 잘못 지정될 수 있습니다.
|
배너에 "From"과 "Sender" 값 표시
|
배너에 "From"과 "Sender" 헤더를 모두 표시하여 투명성을 높임으로써, 공격자가 실제 보낸 사람을 숨기는 스푸핑 시도를 사용자가 쉽게 감지할 수 있도록 돕습니다. 일부 정상적인 메일 발송 시스템(예: 뉴스레터)은 서로 다른 "Sender" 값을 사용하기 때문에 혼란이 발생할 수 있습니다.
|
"From" 헤더에 있는 일반적인 동형 문자에 대해 경고합니다.
|
"From" 주소에 라틴 문자를 모방한 키릴 문자나 그리스 문자가 포함된 경우 사용자에게 경고합니다. 이는 흔히 사용되는 가장 수법입니다. 이는 동형 문자 공격을 방지하는 데 도움이 됩니다. 정상적인 해외 이메일도 이러한 경고를 트리거할 수 있습니다.
|
"Sender" 헤더에 있는 일반적인 동형 문자에 대해 경고합니다.
|
"Sender" 주소에 라틴 문자를 모방한 키릴 문자나 그리스 문자가 포함된 경우 사용자에게 경고합니다. 이는 흔히 사용되는 가장 수법입니다. 이는 동형 문자 공격을 방지하는 데 도움이 됩니다. 정상적인 해외 이메일도 이러한 경고를 트리거할 수 있습니다.
|
의심스러운 키워드 필터
|
"즉시 신원을 확인하십시오" 또는 "당첨되셨습니다"와 같이 사기 시도와 밀접하게 연관된 일반적인 피싱 또는 사기 문구가 포함된 이메일에 플래그를 지정합니다. 마케팅 이메일이나 정상적인 알림 메시지에서 유사한 문구가 사용될 수 있으므로 주의가 필요합니다. 조직의 필요에 맞춰 의심스러운 키워드 목록을 작성하는 것이 좋습니다.
|
홍보 이메일 필터
|
수신 거부 링크와 비즈니스가 아닌 도메인을 감지하여 프로모션 이메일을 식별하고, 사용자가 중요한 메시지를 우선적으로 확인할 수 있도록 도와줍니다. 일부 거래 이메일(예: 송장)에는 수신 거부 링크가 포함되어 있으며, 이러한 링크에 플래그가 잘못 지정될 수 있습니다.
|
위험도가 높은 TLD에 플래그 지정
|
악용률이 높은 도메인(예: .tk, .ml, .xyz)에서 발송된 이메일에 대해 사용자에게 경고합니다. 이러한 TLD는 스팸 및 피싱에 자주 사용됩니다. 일부 정상적인 서비스에서도 이러한 도메인을 사용하므로 검증이 중요합니다.
|
Reply-To 헤더 불일치
|
Reply-To 주소가 보낸 사람 주소와 다를 경우 사용자에게 경고합니다. 이는 응답을 리디렉션하는 데 흔히 사용되는 피싱 수법입니다. 일부 메일 발송 시스템은 지원 및 티켓 발급을 위해 서로 다른 Reply-To 주소를 사용하므로 오탐지가 발생할 수 있습니다.
|
인증되지 않은 이메일을 정크로 이동(SPF 실패)
|
SPF 검사에 실패하거나 부분적으로 실패한 이메일에 플래그를 지정합니다. 이는 스푸핑 가능성을 나타냅니다. SPF는 보낸 사람의 진위 여부를 검증합니다. SPF 레코드 또는 전달 서비스가 잘못 구성된 경우 오탐지가 발생할 수 있습니다.
|
인증되지 않은 이메일을 정크로로 이동(SPF 소프트 실패)
|
SPF 검사에 실패하거나 부분적으로 실패한 이메일에 플래그를 지정합니다. 이는 스푸핑 가능성을 나타냅니다. SPF는 보낸 사람의 진위 여부를 검증합니다. SPF 레코드 또는 전달 서비스가 잘못 구성된 경우 오탐지가 발생할 수 있습니다.
|
SPF가 없는 긴급 이메일에 대해 경고
|
우선순위가 높은 이메일에 SPF 유효성 검사가 없는 경우 사용자에게 경고합니다. 공격자는 받는 사람에게 압력을 가하기 위해 피싱 이메일을 긴급으로 표시하는 경우가 많습니다. 일부 정상적인 시스템에 SPF가 올바르게 설정되어 있지 않을 수 있으므로 진행하기 전에 검증하는 것이 좋습니다.
|
ARC 및 DMARC 검사 실패에 대해 경고
|
DMARC 및 ARC 검사에 실패한 이메일에 플래그를 지정합니다. 이러한 검사는 보낸 사람 신원과 메시지 무결성을 검증합니다. 이를 통해 스푸핑과 변조를 방지할 수 있습니다. 전달된 이메일이나 메일링 리스트가 이러한 검사에 실패하여 오탐지를 유발할 수 있습니다.
|
PHP 메일러 이메일에 플래그 지정
|
PHP 메일러를 통해 전송된 이메일에 대해 사용자에게 경고합니다. 스팸 발송자는 보안 수준이 낮은 환경에서 PHP 메일러를 악용하는 경우가 많습니다. PHP 메일러는 정상적인 웹 애플리케이션에서 흔히 사용되지만, 받는 사람은 메일의 진위 여부를 검증해야 합니다.
|
ARC 실패 배너
|
ARC 인증에 실패하면 사용자에게 경고하여 메시지 전달 과정에서 변조가 발생했을 가능성을 알려 줍니다. ARC는 전달 체인을 거치는 동안 인증을 보존하는 데 도움이 됩니다. 일부 이메일 전달 서비스로 인해 ARC 실패가 발생할 수 있습니다.
|
매크로 활성화 첨부 파일이 포함된 이메일을 검역소로 이동
|
이메일에 악성 코드를 실행할 수 있는 매크로 활성화 Office 파일이 포함되어 있을 경우 사용자에게 경고합니다. 이는 흔히 사용되는 악성코드 전달 방식입니다. 일부 정상적인 워크플로에서 매크로 활성화 파일을 사용할 수 있으므로 관리자는 차단하기 전에 이를 검증해야 합니다.
|
실행 파일이 첨부된 이메일을 검역소로 이동
|
실행 파일이 포함된 이메일을 차단하여 악성코드 감염을 방지합니다. 실행 파일은 위험도가 높은 파일 유형입니다. 드물지만 정상적인 사용 사례(예: 소프트웨어 배포)에 영향을 미칠 수 있습니다.
|
패스워드로 보호된 첨부 파일이 있는 이메일을 검역소로 이동
|
악성 콘텐츠가 숨겨져 있을 수 있는 패스워드로 보호된 파일이 이메일에 포함되어 있을 경우 차단합니다. 공격자는 검사를 우회하기 위해 암호화를 사용하는 경우가 많습니다. 정상적이고 안전한 파일 전송도 차단될 수 있습니다.
|
첨부 파일에 이중 확장자가 있는 이메일을 검역소로 이동
|
이메일 첨부 파일에 이중 확장자가 있는 경우(예: invoice.pdf.exe) 차단합니다. 이는 실행 파일을 위장하기 위해 사용되는 일반적인 악성코드 수법입니다. 드물지만 정상적인 이름 규칙으로 인해 이 규칙이 트리거될 수 있습니다.
|
내부 도메인 스푸핑 방지(SPAF 실패)
내부 도메인 스푸핑 방지(DKIM 실패)
내부 도메인 스푸핑 방지(DMARC 실패)
내부 도메인 스푸핑 방지(Sender 헤더)
|
내 도메인에서 발송된 것처럼 보이지만 인증 검사에 실패한 이메일을 검역소로 이동하여 내부 스푸핑 공격을 방지하는 데 도움이 됩니다. DNS 레코드 또는 릴레이 시스템이 잘못 구성되어 있으면 오탐지가 발생할 수 있습니다.
|
DKIM에 실패한 긴급 이메일 차단
|
DKIM 인증에 실패한 "긴급" 이메일을 차단합니다. 공격자는 받는 사람에게 압력을 가하고 보안 검사를 우회하기 위해 긴급성을 악용하는 경우가 많습니다. 이 규칙은 소셜 엔지니어링 시도를 방지하는 데 도움이 됩니다. 하지만 일부 정상적인 긴급 이메일은 전달이나 잘못 구성된 메일 서버로 인해 DKIM 인증에 실패할 수 있습니다.
|
|
드롭다운 메뉴에서 조건의 소스를 선택합니다. 선택한 소스에 따라 파라미터 필드가 변경됩니다. 또는 다음을 선택하여 정규 표현식을 지정할 수 있습니다. 일치 유형: RegEx 일치.
조건 소스
|
설명
|
보낸 사람
|
특정 보낸 사람이 보내는 메시지에 적용됩니다.
|
보낸 사람의 IP 주소
|
특정 IP 주소에서 보내는 메시지에 적용됩니다. 조건으로 새 주소를 추가할 때 IPv4 및 IPv6가 모두 허용됩니다.
|
보낸 사람 도메인
|
이메일 주소에 특정 도메인을 포함하는 보낸 사람의 메시지에 적용됩니다.
|
보낸 사람/보낸 사람 이름
|
메시지 헤더에 포함된 "시작:" 값입니다. 받는 사람에게 보이는 표시 이름이지만, 보내는 시스템이 해당 주소를 대신하여 보낼 권한이 있는지 확인하지 않습니다. 공격자가 보낸 사람을 스푸핑할 때 일반적으로 사용됩니다. 이 조건은 "From:" 이메일 헤더 필드 및 봉투 보낸 사람에 포함된 도메인을 도메인 목록과 비교하는 데 사용됩니다.
|
제목
|
제목에 특정 문자열(또는 정규 표현식)을 포함하거나 포함하지 않는 메시지에 적용됩니다.
|
본문
|
메시지 본문에서 지정된 구가 검색됩니다. HTML 태그 제거 기능을 사용하여 HTML 태그, 특성 및 값을 제거하고 텍스트만 보존할 수 있습니다. 그런 후에 본문 텍스트가 검색됩니다.
|
첨부 파일 이름
|
특정 이름의 첨부 파일을 포함하는 메시지에 적용됩니다. 여기에는 압축파일 내에 있는 파일이 포함됩니다.
최상위 첨부 파일만 평가 - 활성화하면 압축파일 내의 파일이 평가되지 않습니다.
첨부 파일 내의 개체에 전체 경로 사용 - 활성화하면 파일 이름뿐만 아니라 개체의 전체 경로가 평가됩니다.
|
첨부 파일 확장
|
지정된 크기를 충족하지 않거나, 지정된 크기 범위에 포함되거나 또는 지정된 크기를 초과하는 첨부 파일을 포함한 메시지에 적용됩니다.
|
첨부 파일 형식
|
특정 파일 형식이 첨부된 메시지에 적용됩니다. 쉽게 선택할 수 있도록 파일 형식이 그룹으로 범주화되어 있습니다. 여러 파일 형식이나 전체 범주를 선택할 수 있습니다. ESET Cloud Office Security은(는) 파일 확장명에 관계없이 실제 파일 형식을 감지합니다. 압축파일의 내용에도 동일하게 적용됩니다.
최상위 첨부 파일만 평가 - 활성화하면 압축파일 내의 파일이 평가되지 않습니다.
|
|
1 첨부 파일 유형 규칙 조건에는 ESET Cloud Office Security 탐지 엔진이 길이가 10바이트 미만인 매우 작은 ASCII/ANSI 인코딩 텍스트 파일을 탐지할 수 없다는 알려진 제한 사항이 있습니다.
|
|
받은 시간
|
특정 날짜 이전 또는 이후, 또는 특정 날짜 범위 동안 받은 메시지에 적용됩니다.
|
SPF 결과
SPF 결과 - From 헤더
SPF 결과 HELO
|
SPF(Sender Policy Framework) 평가 결과가 있는 메시지에 적용됩니다.
통과 - IP 주소는 도메인(SPF 한정자 "+")에서 전송되도록 허가됩니다.
실패 - SPF 레코드에 전송 서버 또는 IP 주소(SPF 한정자 "-")가 포함되어 있지 않습니다.
소프트 오류 - IP 주소는 도메인(SPF 한정자"~")에서 전송되도록 허가될 수도 있고 허가되지 않을 수도 있습니다.
중립 - 도메인 소유자가 도메인(SPF 한정자 "?")에서 IP 주소의 전송 허가를 어설션하지 않을 것임을 SPF 레코드에 언급했음을 의미합니다.
알 수 없음 - SPF 결과가 None인 경우, 도메인이 레코드를 게시하지 않았거나 제공된 ID로부터 검사 가능한 보낸 사람 도메인을 확인할 수 없음을 의미합니다.
RFC 4408 에서 SPF에 대한 자세한 정보를 읽을 수 있습니다.
|
DMARC 결과
|
SPF, DKIM 또는 둘 다에 의한 확인을 통과했거나 실패한 메시지 또는 확인 결과를 알 수 없는 메시지에 적용됩니다.
|
DKIM
|
DKIM 확인을 통과했거나 실패한 메시지 또는 확인 결과를 알 수 없는 메시지에 적용됩니다.
|
ARC
|
ARC 확인을 통과했거나 실패한 메시지 또는 확인 결과를 알 수 없는 메시지에 적용됩니다.
|
헤더
|
이메일 메시지 헤더 필드 이름 및 값이 조건으로 사용됩니다. 비교 유형:
헤더 이름 - 헤더 이름을 비교하며, 지정된 헤더 이름이 존재하면 조건이 충족됩니다.
헤더 값 - 헤더 이름과 헤더 값을 비교하며, 선택된 일치 유형은 헤더 값에만 사용됩니다. 조건을 충족하려면 지정된 헤더 이름이 정확히 일치해야 합니다(일치 유형은 헤더 이름 값에 영향을 주지 않음).
|
악성코드 검사 결과
|
드롭다운 메뉴에서 규칙을 적용할 메시지를 선택합니다. 옵션: 검사되지 않음, 정상, 감염됨, 비활성화됨.
|
피싱 검사 결과
|
드롭다운 메뉴에서 규칙을 적용할 메시지를 선택합니다. 옵션: 검사되지 않음, 정상, 피싱, 비활성화됨.
|
스팸 검사 결과
|
드롭다운 메뉴에서 규칙을 적용할 메시지를 선택합니다. 옵션: 검사되지 않음, 정상, 스팸, 비활성화됨.
|
검사 결과
|
드롭다운 메뉴에서 규칙을 적용할 메시지를 선택합니다. 옵션: 비활성화됨, 악성코드, 피싱, 스팸, 분석, 오류, 정상, 검사되지 않음.
|
|
규칙 조건과 일치하는 메시지 및/또는 첨부 파일에 대한 동작을 추가할 수 있습니다.
동작 이름
|
설명
|
검역소 메시지
|
이 메시지는 받는 사람에게 전송되지 않고 메일 검역소로 이동됩니다.
|
메시지 삭제
|
감염된 메시지를 삭제합니다.
|
첨부 파일 제거
|
메시지 첨부 파일을 삭제합니다. 첨부 파일 없이 메시지가 받는 사람에게 전송됩니다.
|
검사 건너뛰기
|
메시지가 악성코드, 피싱 및 스팸 보호 기능에 의해 검사되지 않습니다.
|
소유자에게 알림
|
이메일 받는 사람/소유자에게 전송될 제목 및 메시지 텍스트를 정의하여 알림을 보냅니다. 메시지 텍스트의 모든 파라미터는 중괄호로 묶어야 합니다(예: {ParameterName}).
|
관리자에게 알림
|
관리자 이메일을 입력하고, 관리자에게 알림으로 보낼 제목 및 메시지 텍스트를 정의합니다. 메시지 텍스트의 모든 파라미터는 중괄호로 묶어야 합니다(예: {ParameterName}).
|
제목 접두어 추가
|
제목에 접두어를 추가합니다.
|
다음 규칙 평가
|
기타 규칙을 평가하여 조건에 따라 사용자가 여러 조건 집합 및 수행할 여러 동작을 정의할 수 있습니다.
|
정크로 이동
|
메시지가 사용자 사서함의 정크/스팸 폴더로 이동됩니다.
|
본문 배너 추가
|
배너가 이메일 메시지에 추가되고 받는 사람에게 표시됩니다. 메시지에 포함될 배너의 모양을 사용자 지정할 수 있습니다.
|
|
