반응형

MEC에서 소개되었던 향상된 필터링 (Enhanced Filtering) 대해서 다뤄 보겠습니다.

Enhanced Filtering for Connectors in Exchange Online

https://learn.microsoft.com/ko-kr/exchange/mail-flow-best-practices/use-connectors-to-configure-mail-flow/enhanced-filtering-for-connectors

 

연관글

2022.11.10 - [Exchange] - Exchange Online. Increasing mail flow security posture (MEC003WS) (1)

 

 

이번 포스팅도 Self Study이기 때문에, 해석이나 생각이 틀릴 수도 있습니다.

Properly configured inbound connectors are a trusted source of incoming mail to Microsoft 365 or Office 365. But in complex routing scenarios where email for your Microsoft 365 or Office 365 domain is routed somewhere else first, the source of the inbound connector is typically not the true indicator of where the message came from. Complex routing scenarios include:
  • Third-party cloud filtering services
  • Managed filtering appliances
  • Hybrid environments (for example, on-premises Exchange)
올바르게 구성된 인바운드 커넥터는 Microsoft 365 또는 Office 365 들어오는 메일의 신뢰할 수 있는 원본입니다. 그러나 Microsoft 365 또는 Office 365 도메인에 대 한 전자 메일이 먼저 다른 곳으로 라우팅되는 복잡한 라우팅 시나리오에서 인바운드 커넥터의 원본은 일반적으로 메시지의 출처에 대 한 실제 표시기가 아닙니다. 복잡한 라우팅 시나리오는 다음과 같습니다.
  • 타사 클라우드 필터링 서비스
  • 관리되는 필터링 장치
  • 하이브리드 환경(예: 온-프레미스 Exchange)

-> Exchange Online (EXO) 사용하는 기업의 대부분은 EXO 이전 구간에 3rd Party SPAM 장비나 Exchange On-Premise  커넥터로 연결되어 있습니다. 그러다 보니 EXO 입장에서는 실제 발송 IP 기준으로 검사하는 것이 아닌, 직전 구간의 IP 기준으로 SPF 레코드 여러 가지 검사가 진행됩니다.

 

As you can see, the message adopts the source IP of the service, appliance, or on-premises Exchange organization that sits in front of Microsoft 365. The message arrives in Microsoft 365 with a different source IP address. This behavior isn't a limitation of Microsoft 365; it's simply how SMTP works.

In these scenarios, you can still get the most out of Exchange Online Protection (EOP) and Microsoft Defender for Office 365 by using Enhanced Filtering for Connectors (also known as skip listing).


보시다시피 메시지는 Microsoft 365 앞에 있는 서비스, 어플라이언스 또는 온-프레미스 Exchange 조직의 원본 IP를 채택합니다. 메시지는 다른 원본 IP 주소를 사용하여 Microsoft 365 도착합니다. 이 동작은 Microsoft 365의 제한 사항이 아닙니다. 단순히 SMTP가 작동하는 방식입니다.

이러한 시나리오에서는 커넥터에 대 한 향상된 필터링 (건너 뛰기 목록 이라고도 함)을 사용 하 여 EOP (Exchange Online Protection) 및 Office 365 용 Microsoft Defender를 최대한 활용할 수 있습니다.

 

As you can see, Enhanced Filtering for connectors allows IP address and sender information to be preserved, which has the following benefits:
  • Improved accuracy for the Microsoft filtering stack and machine learning models, which include:
Heuristic clustering
Anti-spoofing
Anti-phishing
  • Better post-breach capabilities in Automated investigation and response (AIR)
  • Able to use explicit email authentication (SPF, DKIM, and DMARC) to verify the reputation of the sending domain for impersonation and spoof detection. For more information about explicit and implicit email authentication, see Email authentication in EOP.
여기에서 볼 수 있듯이 커넥터에 대한 향상된 필터링을 사용하면 IP 주소 및 보낸 사람 정보를 유지할 수 있으므로 다음과 같은 이점이 있습니다.

  • 다음을 포함하는 Microsoft 필터링 스택 및 기계 학습 모델에 대한 정확도가 향상되었습니다.
휴리스틱 클러스터링
스푸핑 방지
피싱 방지
  • 자동화된 조사 및 대응(AIR)의 향상된 위반 후 기능
  • 명시적 이메일 인증(SPF, DKIM 및 DMARC)을 사용하여 가장 및 스푸핑 감지에 대한 발신 도메인의 평판을 확인할 수 있습니다. 명시적 및 암시적 전자 메일 인증에 대한 자세한 내용은 EOP의 전자 메일 인증을 참조하세요.

-> 커넥터에 향상된 필터링 설정을 진행하면, SPAM 장비 이전 구간의 IP 기준으로 EOP 검사한다. 라고 이해하셔도 좋을 같습니다.

 

Note 1
We always recommend that you point your MX record to Microsoft 365 or Office 365 in order to reduce complexity. For example, some hosts might invalidate DKIM signatures, causing false positives. When two systems are responsible for email protection, determining which one acted on the message is more complicated.
복잡성을 줄이기 위해 항상 MX 레코드가 Microsoft 365 또는 Office 365 가리키도록 하는 것이 좋습니다. 예를 들어 일부 호스트는 DKIM 서명을 무효화하여 가양성을 유발할 수 있습니다. 두 시스템이 이메일 보호를 담당하는 경우 메시지에 대해 어떤 시스템이 작동했는지 확인하는 것이 더 복잡합니다.

-> 현실적으로 MX레코드를 EOP 바로 지정하는 것은 어렵습니다. EOP 스팸 기능이 훌륭할 수는 있으나, 기존 솔루션에서 제공하는 재발송 기능, 메일 발송 보류 등의 기능은 EOP 통해서 대체할 없기 때문입니다. 그리고 MX레코드를 EOP 직접 지정이 가능했다면, 향상된 필터링 기능을 검토할 필요는 없을 것으로 보입니다.

 

Note 2
The most common scenarios that Enhanced Filtering is designed for are Hybrid environments; however, the mail destined for on-premises mailboxes (outbound mail) will still not be filtered by EOP. The only way to get full EOP scanning on all mailboxes is to move your MX record to Microsoft 365 or Office 365.

향상된 필터링이 설계된 가장 일반적인 시나리오는 하이브리드 환경입니다. 그러나 온-프레미스 사서함으로 보내는 메일(아웃바운드 메일)은 여전히 EOP로 필터링되지 않습니다. 모든 사서함에서 전체 EOP 검사를 가져오는 유일한 방법은 MX 레코드를 Microsoft 365 또는 Office 365 이동하는 것입니다.

-> Hybrid 환경일 경우, EXO -> On-premise 발송하는 메일은 EOP에서 검사하지 않는다고 나와 있습니다. 물론 검사하지 않는다고 해서, Outbound 대한 제약이 걸리지 않는다는 것은 아닙니다.

 

Note 3
Except for linear inbound routing scenarios where MX points to on-premises servers, adding your on-premises hybrid server IPs to the enhanced filter skip list is not supported in a centralized mail flow scenario. Doing this can cause EOP to scan your on-premises hybrid server emails, adding a compauth header value, and may result in EOP flagging the message as spam. In a configured hybrid environment, there is no need to add them to the skip list. The skip list is primarily intended to address scenarios where there is a third-party device/filter before your Microsoft 365 tenant. For more information, see MX record points to third-party spam filtering.

MX가 온-프레미스 서버를 가리키는 선형 인바운드 라우팅 시나리오를 제외하고 중앙 집중식 메일 흐름 시나리오에서는 온-프레미스 IP를 향상된 필터 건너뛰기 목록에 추가할 수 없습니다. 이렇게 하면 EOP가 온-프레미스 동시 사용 서버 전자 메일을 검색하여 compauth 헤더 값을 추가하고 EOP에서 메시지를 스팸으로 플래그 지정할 수 있습니다. 구성된 하이브리드 환경에서는 건너뛰기 목록에 추가할 필요가 없습니다. 건너뛰기 목록은 주로 Microsoft 365 테넌트 앞에 타사 디바이스/필터가 있는 시나리오를 해결하기 위한 것입니다. 자세한 내용은 MX 레코드가 타사 스팸 필터링을 가리킵니다.를 참조하세요.

-> 내용은 조금 이해하기 어렵습니다.

MX레코드가 On-Premise 가르키면, 외부로부터 수신되는 메일은 다음과 같습니다. 그리고 중앙 집중식이라고 해도 다르지 않습니다. "기술자료 상에서 언급한 내용은 아래의 흐름에는 해당하지 않는다." 라고 이해했습니다.

Transport routing in Exchange hybrid deployments | Microsoft Learn

 

기술자료에서 설명한 On-Premise IP 추가할 없는 경우는 MX레코드가 EOP 가르키는 다음과 같은 흐름인 것으로 보입니다.

 

Note 4
Do not put another scanning service or host after EOP. Once EOP scans a message, be careful not to break the chain of trust by routing mail through any non-Exchange server that is not part of your cloud or on-premises organization. When the message eventually arrives at the destination mailbox, the headers from the first scanning verdict might no longer be accurate. Centralized Mail Transport should not be used to introduce non-Exchange servers into the mail flow path.


EOP 뒤에 다른 검색 서비스 또는 호스트를 배치하지 마세요. EOP에서 메시지를 검색한 후에는 클라우드 또는 온-프레미스 조직에 속하지 않은 비 Exchange 서버를 통해 메일을 라우팅하여 트러스트 체인을 끊지 않도록 주의해야 합니다. 메시지가 대상 사서함에 도착하면 첫 번째 검사 판정의 헤더가 더 이상 정확하지 않을 수 있습니다. 중앙 집중식 메일 전송을 사용하여 Exchange 이외의 서버를 메일 흐름 경로에 도입하면 안 됩니다.

-> 아래와 같이 중앙 집중식으로 설정한 ,  3 구간에 SPAM 장비를 배치하면 된다는 것으로 보입니다.

"MX 레코드가 EOP 경우 결국 EXO Mailbox 라면 EOP 2,6 과정을 통해서 2 검사하기 때문에 판정 헤더가 정확하지 않을 있다." 이해하였습니다.

 

What do you need to know before you begin?
  • Include all of the trusted IP addresses that are associated with the on-premises hosts or the third-party filters that send email into your Microsoft 365 or Office 365 organization, including any intermediate hops with public IP addresses. To get these IP addresses, consult the documentation or support that's provided with the service.
  • If you have mail flow rules (also known as transport rules) that set the SCL to -1 for messages that flow through this connector, you must disable those mail flow rules after you enable Enhanced Filtering for Connectors.
  • To open the Microsoft 365 Defender portal, go to https://security.microsoft.com. To go directly to the Enhanced Filtering for Connectors page, use https://security.microsoft.com/skiplisting.
  • To connect to Exchange Online PowerShell, see Connect to Exchange Online PowerShell. To connect to Exchange Online Protection PowerShell, see Connect to Exchange Online Protection PowerShell.
  • To configure Enhanced Filtering for Connectors, you need to be a member of one of the following role groups:
Organization Management or Security Administrator in the Microsoft 365 Defender portal.
Organization Management in Exchange Online.
  • Enhanced Filtering for Connectors is not supported in hybrid environments that use Centralized Mail Transport.


시작하기 전에 알아야 할 내용
  • 공용 IP 주소가 있는 중간 홉을 포함하여 온-프레미스 호스트 또는 Microsoft 365 또는 Office 365 조직으로 전자 메일을 보내는 타사 필터와 연결된 신뢰할 수 있는 IP 주소를 모두 포함합니다. 이러한 IP 주소를 가져오려면 서비스와 함께 제공되는 설명서 또는 지원을 참조하세요.
  • 커넥터를 통해 흐르는 메시지에 대해 SCL을 -1로 설정하는 메일 흐름 규칙(전송 규칙이라고도 함)이 있는 경우 커넥터에 대해 향상된 필터링을 사용하도록 설정한 후 해당 메일 흐름 규칙을 사용하지 않도록 설정해야 합니다.
  • Microsoft 365 Defender 포털을 열려면 https://security.microsoft.com 로 이동합니다. 커넥터에 대한 향상된 필터링 페이지로 직접 이동하려면 https://security.microsoft.com/skiplisting 사용합니다.
  • Exchange Online PowerShell에 연결하려면 Exchange Online PowerShell에 연결을 참조하십시오. Exchange Online Protection PowerShell에 연결하려면 Exchange Online Protection PowerShell에 연결을 참조하세요.
  • 커넥터에 대한 향상된 필터링을 구성하려면 다음 역할 그룹 중 하나의 구성원이어야 합니다.
Microsoft 365 Defender 포털의 조직 관리 또는 보안 관리자.
Exchange Online의 조직 관리.
  • 커넥터에 대한 향상된 필터링은 중앙 집중식 메일 전송을 사용하는 하이브리드 환경에서 지원되지 않습니다.

-> 중요한 포인트는 2가지 입니다.

1. EOP 이전 구간에서 3rd Party IP 전부 입력해야 해당 기능을 제대로 활용할 있다.

2. 중앙 집중식은 지원되지 않는다.

 

 

[구성 테스트]

MX 레코드를 Edge 서버로 지정하여 3rd Party Antispam 역할로 사용하여 테스트 환경을 구성하였습니다.

 

커넥터는 아래와 같이 생성하였습니다.

 

네이버에서 메일 발송

 

 

Exchange에서 수신

 

메시지 헤더 상에서 Naver -> Edge -> EXO 수신되는 흐름 확인

 

Authentication-Results에서 spf=softfail 확인할 있습니다. 직전 구간인 Edge 서버의 공인IP naver.com spf 레코드 등록 ip 일치하지 않기 때문입니다. 이외에도 Received-SPF 위에 기록된건 Edge -> EXO, 아래의 Received-SPF Naver.com -> Edge 것을 있습니다.

 

향상된 필터링 정책 설정

https://security.microsoft.com -> Email & collaboration -> Policies & rules -> Threat policies

 

Enhanced filtering

 

현재 구성된 Inbound Connector 표시됩니다. 설정할 커넥터를 선택합니다.

 

선택할 있는 옵션은 아래와 같이 3가지입니다.

Disable Enhanced Filtering for Connectors:
Turn off Enhanced Filtering for Connectors on the connector.
커넥터에서 커넥터에 대한 향상된 필터링을 끕니다.


Automatically detect and skip the last IP address:
We recommend this value if you have to skip only the last message source.
마지막 메시지 소스만 건너뛰어야 하는 경우 이 값을 권장합니다.


Skip these IP addresses that are associated with the connector:
Select this value to configure a list of IP addresses to skip.
건너뛸 IP 주소 목록을 구성하려면 이 값을 선택합니다.

-> 간단하게 Off, 자동, 수동으로 생각하면 같습니다.

 

수동으로 IP 입력하고, 조직 전체에 적용하는 방식으로 테스트를 진행해 보겠습니다.

 

 

다음과 같이 활성화됨 확인

 

 

3rd Party Antispam 이전 구간을 검사하기 때문에 아래와 같이 spf=pass 기록됩니다. 기존과는 검사 결과가 다른 것이 확인됩니다.

 

그리고 위에서 언급한 compauth pass 기록됩니다.

 

기술자료상에서 Enhanced filtering 적용되면, X-MS-Exchange-ExternalOriginalInternetSender, X-MS-Exchange-SkipListedInternetSender 해더 값이 기록된다고 언급되어 있습니다. 그리고 값은 True source address 기록됩니다.

 

아래와 같이 실제 Naver.com Source 정보가 기록된 것을 확인할 있습니다.

 

Enhanced filtering 사용함으로써 EXO에서 스푸핑에 대해 엄격하게 검사할 있을 것으로 기대됩니다.

반응형

+ Recent posts