Office 365 보안 및 준수 센터의 메시지 추적

Office 365 보안 및 준수 센터의 메시지 추적 기능은 Exchange Online 조직을 통과하는 전자 메일 메시지를 따릅니다. 서비스에서 메시지를 수신, 거부, 지연 또는 배달했는지 확인할 수 있습니다. 또한 최종 상태에 도달하기 전에 메시지에 대해 수행된 작업을 표시합니다.

보안 및 준수 센터의 메시지 추적 기능은 EAC(Exchange 관리 센터)에서 사용 가능한 메시지 추적 기능을 향상합니다. 메시지 추적 기능의 정보를 사용하여 메시지 처리 결과에 대한 사용자 질문에 효율적으로 대답하고, 메일 흐름 문제를 해결하고, 정책 변경 내용의 유효성을 검사할 수 있습니다.

메시지 추적 열기

  1. 회사 또는 학교 계정을 사용하여 Office 365에 로그인하세요.

  2. 왼쪽 위에서 앱 시작 관리자 아이콘 Office 365 앱 시작 관리자 아이콘 을 선택하고 관리자를 선택합니다.

  3. 왼쪽 아래 탐색에서 관리 센터를 확장하고 보안 및 준수를 선택합니다.

  4. 열리는 보안 및 준수 페이지에서 메일 흐름을 확장하고 메시지 추적을 선택합니다.

메시지 추적 페이지

여기서 추적 시작 단추를 클릭하여 새 기본 추적을 시작할 수 있습니다. 이렇게 하면 지난 2일 동안 모든 보낸 사람 및 받는 사람의 메시지가 모두 검색됩니다. 또는 사용 가능한 쿼리 범주에서 저장된 쿼리 중 하나를 현재 상태대로 실행하거나, 고유한 쿼리의 시작점으로 사용할 수 있습니다.

  • 기본 쿼리: Office 365에서 제공하는 기본 제공 쿼리입니다.

  • 사용자 지정 쿼리: 나중에 사용하기 위해 조직의 관리자가 저장한 쿼리입니다.

  • 자동 저장 쿼리: 가장 최근에 실행된 10개 쿼리입니다. 이 목록을 사용하여 중단한 위치부터 간단하게 시작할 수 있습니다.

또한 이 페이지에는 제출한 요청에 대한 다운로드 가능 보고서 섹션 및 다운로드할 수 있는 경우 보고서 자체가 표시됩니다.

새 메시지 추적 기능에 대한 옵션

보낸 사람 및 받는 사람으로 필터링

기본값은 모든 보낸 사람모든 받는 사람이지만, 다음 필드를 사용하여 결과를 필터링할 수 있습니다.

  • 보낸 사람: 조직에서 보낸 사람을 한 명 이상 선택하려면 이 필드를 클릭합니다. 검색 페이지의 작동 방식처럼, 이름 입력을 시작하면 목록의 항목이 입력한 내용에 따라 필터링됩니다.

  • 받는 사람: 조직에서 받는 사람을 한 명 이상 선택하려면 이 필드를 클릭합니다.

외부 보낸 사람 및 받는 사람의 전자 메일 주소를 입력할 수도 있습니다. 와일드카드 문자도 지원되지만(*@contoso.com 또는 scot?@contoso.com), 같은 필드에 여러 개의 와일드카드 항목을 동시에 사용할 수는 없습니다.

시간 범위

기본값은 2일이지만 날짜/시간 범위를 최대 90일까지 지정할 수 있습니다. 날짜/시간 범위를 사용하는 경우 다음 문제를 고려하세요.

  • 기본적으로 시간 표시 막대를 사용하여 슬라이더 보기에서 시간 범위를 선택합니다. 표시된 요일 또는 시간 설정만 선택할 수 있습니다. 중간 값을 선택하려고 하면 시작/끝 풍선이 가장 가까운 표시된 설정에 스냅됩니다.

    Office 365 보안 및 준수 센터에서 새 메시지 추적의 슬라이더 시간 범위

    그러나 사용자 지정 보기로 전환하여 시작 날짜종료 날짜 값(시간 포함)을 지정할 수도 있고, 날짜/시간 범위의 표준 시간대를 선택할 수도 있습니다. 표준 시간대 설정은 쿼리 입력과 쿼리 결과 둘 다에 적용됩니다.

    Office 365 보안 및 준수 센터에서 새 메시지 추적의 사용자 지정 시간 범위

    10일 이내의 경우 결과가 요약 보고서로 즉시 제공됩니다. 10일보다 조금이라도 큰 시간 범위를 지정하면 결과가 다운로드 가능 CSV 파일(향상된 요약 또는 확장 보고서)로만 제공되기 때문에 결과가 지연됩니다.

    다양한 보고서 유형에 대한 자세한 내용은 이 항목에서 보고서 유형 섹션을 참조하세요.

    참고: 향상된 요약 및 확장 보고서는 보관된 메시지 추적 데이터를 사용하여 준비되며, 보고서를 다운로드할 수 있기까지 최대 몇 시간이 걸릴 수 있습니다. 같은 시간에 역시 보고서 요청을 제출한 다른 Office 365 관리자 수에 따라 큐에 대기 중인 요청의 처리가 시작되기 전에 지연이 발생할 수도 있습니다.

  • 슬라이더 보기에서 쿼리를 저장하면 상대 시간 범위(예: 오늘부터 3일)가 저장됩니다. 사용자 지정 보기에서 쿼리를 저장하면 절대 날짜/시간 범위(예: 2018-05-06 13:00 ~ 2018-05-08 18:00)가 저장됩니다.

추가 검색 옵션

배달 상태

기본값 모두가 선택된 상태로 두거나, 다음 값 중 하나를 선택하여 결과를 필터링할 수 있습니다.

  • 배달됨: 메시지가 의도한 대상에게 배달되었습니다.

  • 대기 중: 메시지 배달을 시도하는 중이거나 다시 시도합니다.

  • 확장됨: 그룹의 개별 구성원에게 배달하기 전에 메일 그룹 받는 사람이 확장되었습니다.

  • 실패: 메시지가 배달되지 않았습니다.

  • 격리됨: 메시지가 격리되었습니다(스팸, 대량 메일 또는 피싱). 자세한 내용은 Office 365에서 전자 메일 메시지 격리를 참조하세요.

  • 스팸으로 필터링됨: 메시지가 스팸으로 식별되었으며 거부 또는 차단되었습니다(격리되지 않음).

  • 상태 정보를 읽어 오는 중: 메시지가 최근에 Office 365에 수신되었지만 아직 다른 상태 데이터를 사용할 수 없습니다. 몇 분 후에 다시 확인하세요.

참고: 대기 중,격리됨스팸으로 필터링됨 값은 10일 미만의 검색에만 사용할 수 있습니다. 또한 실제 배달 상태와 보고된 배달 상태 간에 5~10분 지연이 있을 수 있습니다.

메시지 ID

메시지 헤더의 Message-ID: 헤더 필드에 있는 인터넷 메시지 ID(클라이언트 ID라고도 함)입니다. 사용자가 특정 메시지를 조사하도록 이 값을 제공할 수 있습니다.

이 값은 메시지 수명 동안 일정합니다. Office 365 또는 Exchange에서 생성된 메시지의 경우 이 값은 꺾쇠 괄호(< >)를 포함하여 <GUID@ServerFQDN> 형식입니다. 예: <d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>. 메시징 시스템마다 다른 구문이나 값을 사용할 수 있습니다. 이 값은 고유해야 하지만 모든 전자 메일 시스템이 이 요구 사항을 엄격히 따르지는 않습니다. Message-ID: 헤더 필드가 없거나 외부 출처에서 수신되는 메시지에 대해 비어 있는 경우 임의 값이 할당됩니다.

메시지 ID를 사용하여 결과를 필터링하는 경우 꺾쇠 괄호를 포함하여 전체 문자열을 포함해야 합니다.

방향

기본값 모두를 선택된 상태로 두거나, 인바운드(조직의 받는 사람에게 전송된 메시지) 또는 아웃바운드(조직의 사용자가 보낸 메시지)를 선택하여 결과를 필터링할 수 있습니다.

원래 클라이언트 IP 주소

클라이언트 IP 주소로 결과를 필터링하여 스팸 또는 맬웨어를 대량으로 전송하는 해킹된 컴퓨터를 조사할 수 있습니다. 메시지가 여러 사람이 보낸 것으로 표시될 수도 있지만, 동일한 컴퓨터에서 모든 메시지를 생성했을 가능성이 큽니다.

참고: 클라이언트 IP 주소 정보는 10일 동안만 사용할 수 있으며, 향상된 요약 또는 확장 보고서(다운로드 가능 CSV 파일)로만 제공됩니다.

보고서 유형 선택

사용 가능한 보고서 유형은 다음과 같습니다.

  • 요약​​: 시간 범위가 10일 미만이고 추가 필터링 옵션이 필요하지 않은 경우에 사용할 수 있습니다. 검색을 클릭하면 거의 즉시 결과가 제공됩니다.

  • 향상된 요약 또는 확장: 이러한 보고서는 다운로드 가능 CSV 파일로만 제공되며 시간 범위에 관계없이 다음 필터링 옵션 중 하나 이상이 필요합니다. 보낸 사람, 받는 사람 또는 메시지 ID. 보낸 사람 또는 받는 사람에 대해 와일드카드를 사용할 수 있습니다(예: *@contoso.com).

    참고:

    • 향상된 요약 및 확장 보고서는 보관된 메시지 추적 데이터를 사용하여 준비되며, 보고서를 다운로드할 수 있기까지 최대 몇 시간이 걸릴 수 있습니다. 같은 시간에 역시 보고서 요청을 제출한 다른 Office 365 관리자 수에 따라 큐에 대기 중인 요청의 처리가 시작되기 전에 지연이 발생할 수도 있습니다.

    • 모든 날짜/시간 범위에 대해 향상된 요약 또는 확장 보고서를 선택할 수 있지만, 일반적으로 최근 4시간의 보관된 데이터는 이러한 두 유형의 보고서에 아직 사용할 수 없습니다.

다음을 클릭하면 선택한 필터링 옵션, 고유한(편집 가능) 보고서 제목, 메시지 추적 완료 시 알림을 받는 전자 메일 주소(편집 가능하며 조직의 승인된 도메인 중 하나에 있어야 함)를 나열하는 요약 페이지가 표시됩니다. 보고서 준비를 클릭하여 메시지 추적을 제출합니다. 기본 메시지 추적 페이지의 다운로드 가능 보고서 섹션에서 보고서 상태를 확인할 수 있습니다.

각 보고서 유형에서 반환되는 정보에 대한 자세한 내용은 다음 섹션을 참조하세요.

메시지 추적 결과

보고서 유형마다 반환되는 정보 수준이 다릅니다. 각 보고서에서 사용 가능한 정보는 다음 섹션에 설명되어 있습니다.

요약 보고서 출력

메시지 추적을 실행하면 결과가 날짜/시간의 내림차순으로 정렬되어 표시됩니다(가장 최근 항목이 첫 번째로 표시됨).

Office 365 보안 및 준수 센터의 메시지 추적에 대한 요약 보고서 결과

요약 보고서에는 다음 정보가 포함되어 있습니다.

  • 날짜: 서비스에 메시지가 수신된 날짜 및 시간입니다(구성된 UTC 표준 시간대 사용).

  • 보낸 사람: 보낸 사람의 전자 메일 주소(별칭@도메인)입니다.

  • 받는 사람: 받는 사람의 전자 메일 주소입니다. 여러 명의 받는 사람에게 전송된 메시지의 경우 각 줄에 하나씩, 주소가 표시됩니다. 받는 사람이 메일 그룹, 동적 메일 그룹 또는 메일 사용이 가능한 보안 그룹인 경우 그룹이 첫 번째 받는 사람이 되고 그룹의 각 구성원이 별도의 행에 표시됩니다.

  • 제목: 메시지 Subject: 필드의 처음 256자입니다.

  • 상태: 이러한 값은 배달 상태 섹션에 설명되어 있습니다.

기본적으로 처음 250개 결과가 로드되어 바로 사용할 수 있습니다. 아래로 스크롤하면 다음 결과 배치가 로드되면서 일시 중지가 발생합니다. 스크롤하는 대신 모두 로드를 클릭하면 최대 10,000개까지 모든 결과를 로드할 수 있습니다.

열 머리글을 클릭하면 해당 열 값의 오름차순 또는 내림차순으로 결과를 정렬할 수 있습니다.

결과 필터링을 클릭하여 하나 이상의 열로 결과를 필터링할 수 있습니다.

하나 이상의 행을 선택한 후 결과 내보내기를 클릭하고 모든 결과 내보내기, 로드된 결과 내보내기 또는 선택한 결과 내보내기를 선택하면 결과를 내보낼 수 있습니다.

이 메시지에 대한 관련 레코드 찾기

관련 메시지 레코드는 동일한 메시지 ID를 공유하는 레코드입니다. 두 사람 간에 전송된 단일 메시지도 여러 레코드를 생성할 수 있습니다. 메시지가 메일 그룹 확장, 전달, 메일 흐름 규칙(전송 규칙이라고도 함) 등의 영향을 받는 경우 레코드 수가 증가합니다.

행의 확인란을 선택한 후 표시되는 관련 항목 찾기 단추를 클릭하거나 추가 옵션( 기타 ) > 이 메시지에 대한 관련 레코드 찾기를 선택하여 메시지에 대한 관련 레코드를 찾을 수 있습니다.

메시지 ID에 대한 자세한 내용은 이 항목의 앞부분에 있는 메시지 ID 섹션을 참조하세요.

메시지 추적 세부 정보

요약 보고서 출력에서 다음 방법 중 하나를 사용하여 메시지에 대한 세부 정보를 볼 수 있습니다.

  • 행을 선택합니다(확인란을 제외하고 행의 아무 곳이나 클릭).

  • 행의 확인란을 선택하고 추가 옵션( 기타 ) > 메시지 세부 정보 보기를 클릭합니다.

Office 365 보안 및 준수 센터에서 요약 보고서 메시지 추적 결과의 행을 두 번 클릭한 후의 세부 정보

메시지 추적 세부 정보에는 요약 보고서에 없는 다음과 같은 추가 정보가 포함되어 있습니다.

  • 메시지 이벤트: 이 섹션에는 서비스가 메시지에 대해 수행하는 작업을 분류하는 데 도움이 되는 분류가 포함되어 있습니다. 발생할 수 있는 몇 가지 흥미로운 이벤트는 다음과 같습니다.

    • 받기: 서비스에 메시지가 수신되었습니다.

    • 보내기: 서비스에서 메시지를 보냈습니다.

    • 실패: 메시지를 배달하지 못했습니다.

    • 배달: 메시지가 사서함에 배달되었습니다.

    • 확장: 확장된 메일 그룹에 메시지를 보냈습니다.

    • 전송: 콘텐츠 변환, 메시지 받는 사람 제한 또는 에이전트로 인해 받는 사람이 분기 메시지로 이동되었습니다.

    • 지연: 메시지 배달이 연기되었으며 나중에 다시 시도할 수 있습니다.

    • 해결됨: 메시지가 Active Directory 조회 결과에 따라 새 받는 사람 주소로 리디렉션되었습니다. 이 경우 원래 받는 사람 주소가 메시지 추적에 별도의 행으로 표시되고 메시지의 최종 배달 상태가 표시됩니다.

    성공적으로 배달된 이벤트 없는 메시지도 메시지 추적에 여러 개의 이벤트 항목을 생성합니다.

  • 추가 정보: 이 섹션에는 다음 세부 정보가 포함되어 있습니다.

    • 메시지 ID: 이 값은 이 항목의 앞부분에 있는 메시지 ID 섹션에 설명되어 있습니다. 예: <d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>.

    • 메시지 크기

    • 보낸 사람 IP: 메시지를 전송한 컴퓨터의 IP 주소입니다. Exchange Online에서 전송된 아웃바운드 메시지의 경우 이 값이 비어 있습니다.

    • 받는 사람 IP: 서비스에서 메시지 배달을 시도한 IP 주소입니다. 메시지 받는 사람이 여러 명일 경우 이러한 주소가 표시됩니다. Exchange Online으로 전송된 인바운드 메시지의 경우 이 값이 비어 있습니다.

향상된 요약 보고서

사용 가능한(완료된) 향상된 요약 보고서는 메시지 추적 시작 부분에 있는 다운로드 가능 보고서 섹션에서 볼 수 있습니다. 보고서에서 볼 수 있는 정보는 다음과 같습니다.

  • origin_timestamp*: 서비스에 메시지가 처음 수신된 날짜 및 시간입니다(구성된 UTC 표준 시간대 사용).

  • sender_address: 보낸 사람의 전자 메일 주소(별칭@도메인)입니다.

  • Recipient_status: 받는 사람에 대한 메시지 배달 상태입니다. 메시지가 여러 명의 받는 사람에게 전송된 경우 모든 받는 사람과 해당 상태가 <전자 메일 주소>##<상태> 형식으로 표시됩니다. 예를 들면 다음과 같습니다.

    • ##받기, 보내기는 서비스에 메시지가 수신되었으며 의도한 대상에게 전송되었음을 의미합니다.

    • ##받기, 실패는 서비스에 메시지가 수신되었지만 의도한 대상에게 배달하지 못했음을 의미합니다.

    • ##받기, 배달은 서비스에 메시지가 수신되었으며 받는 사람의 사서함에 배달되었음을 의미합니다.

  • message_subject: 메시지 제목 필드의 처음 256자입니다.

  • total_bytes: 첨부 파일을 포함하여 메시지의 크기(바이트)입니다.

  • message_id: 이 값은 이 항목의 앞부분에 있는 메시지 ID 섹션에 설명되어 있습니다. 예: <d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>.

  • network_message_id: 분기 또는 메일 그룹 확장으로 인해 생성될 수 있는 메시지 복사본 전체에서 유지되는 고유한 메시지 ID 값입니다. 1341ac7b13fb42ab4d4408cf7f55890f와 같은 값을 예로 들 수 있습니다.

  • original_client_ip: 보낸 사람 클라이언트의 IP 주소입니다.

  • directionality: 이 필드는 메시지가 인바운드로(1) 조직에 전송되었는지 아니면 조직에서 아웃바운드로(2) 전송되었는지를 나타냅니다.

  • connector_id: 원본 또는 대상 커넥터의 이름입니다. Exchange Online의 커넥터에 대한 자세한 내용은 다음을 참조하세요.

  • delivery_priority*: 전송된 메시지의 우선 순위가 높음, 낮음 또는 보통인지를 나타냅니다.

* 이러한 속성은 향상된 요약 보고서에서만 사용할 수 있습니다.

확장 보고서

사용 가능한(완료된) 확장 보고서는 메시지 추적 시작 부분에 있는 다운로드 가능 보고서 섹션에서 볼 수 있습니다. origin_timestampdelivery_priority를 제외하고 향상된 요약 보고서의 거의 모든 정보는 확장 보고서에서도 볼 수 있습니다. 다음 추가 정보는 확장 보고서에서만 제공됩니다.

  • client_ip: 메시지를 전송한 전자 메일 서버 또는 메시징 클라이언트의 IP 주소입니다.

  • client_hostname: 메시지를 전송한 전자 메일 서버 또는 메시징 클라이언트의 호스트 이름 또는 FQDN입니다.

  • server_ip: 원본 또는 대상 서버의 IP 주소입니다.

  • server_hostname: 대상 서버의 호스트 이름 또는 FQDN입니다.

  • source_context: source 필드와 연관된 추가 정보입니다. 예를 들면 다음과 같습니다.

    • Protocol Filter Agent

    • 3489061114359050000

  • source: 이벤트를 담당하는 Exchange Online 구성 요소입니다. 예를 들면 다음과 같습니다.

    • AGENT

    • MAILBOXRULE

    • SMTP

  • event_id: 메시지 추적 세부 정보 섹션에서 설명하는 메시지 이벤트 값에 해당합니다.

  • internal_message_id: 현재 메시지를 처리 중인 Exchange Online 서버에서 할당한 메시지 식별자입니다.

  • recipient_address: 메시지 받는 사람의 전자 메일 주소입니다. 전자 메일 주소가 여러 개인 경우 세미콜론(;)으로 구분합니다.

  • recipient_count: 메시지 받는 사람의 총수입니다.

  • related_recipient_address: EXPAND, REDIRECTRESOLVE 이벤트와 함께 사용되어 메시지와 관련된 다른 받는 사람 전자 메일 주소를 표시합니다.

  • reference: 이 필드에는 특정 이벤트 유형에 대한 추가 정보가 포함됩니다. 예를 들면 다음과 같습니다.

    • DSN: 이 이벤트 후에 DSN이 생성된 경우 관련 배달 상태 알림(역시 DSN, 배달 못함 보고서, NDR 또는 반송 메시지라고도 함)의 message_id 값인 보고서 링크를 포함합니다. DSN 메시지인 경우 이 필드에 DSN이 생성된 원래 메시지의 message_id 값이 포함됩니다.

    • EXPAND: 관련 메시지의 related_recipient_address 값을 포함합니다.

    • RECEIVE: 다른 프로세스(예: 받은 편지함 규칙)에서 메시지가 생성된 경우 관련 메시지의 message_id 값을 포함할 수 있습니다.

    • SEND: DSN 메시지의 internal_message_id 값을 포함합니다.

    • TRANSFER: 콘텐츠 변환, 메시지 받는 사람 제한, 에이전트 등에 의해 분기되는 메시지의 internal_message_id 값을 포함합니다.

    • MAILBOXRULE: 받은 편지함 규칙에서 아웃바운드 메시지를 생성하도록 한 인바운드 메시지의 internal_message_id 값을 포함합니다.

    기타 이벤트 유형에서는 대체로 이 필드가 비어 있습니다.

  • return_path: 메시지를 보낸 MAIL FROM 명령에 지정된 반환 전자 메일 주소입니다. 이 필드는 비워 둘 수 없지만 null 보낸 사람 주소 값을 <>로 표시할 수 있습니다.

  • message_info: 메시지에 대한 추가 정보입니다. 예를 들면 다음과 같습니다.

    • DELIVERSEND 이벤트에 대한 메시지 발생 날짜/시간(UTC)입니다. 발생 날짜/시간은 메시지가 Exchange Online 조직에 처음 들어간 시간입니다. UTC 날짜/시간은 다음과 같은 ISO 8601 날짜/시간 형식으로 표시됩니다. yyyy-mm-ddThh:mm:ss.fffZ. 여기서 yyyy. = 년, mm = 월, dd = 일입니다. T는 시간 구성 요소의 시작을 나타내며 hh = 시간, mm = 분, ss = 초, fff = 초의 소수 단위입니다. Z는 UTC를 표시하는 다른 방법인 Zulu를 나타냅니다.

    • 인증 오류입니다. 예를 들어 11a 값과 인증 오류 발생 시 사용한 인증 유형이 표시될 수 있습니다.

  • tenant_id: Exchange Online 조직을 나타내는 GUID 값(예: 39238e87-b5ab-4ef6-a559-af54c6b07b42)입니다.

  • original_server_ip: 원래 서버의 IP 주소입니다.

  • custom_data: 특정 이벤트 유형과 관련된 데이터를 포함합니다. 자세한 내용은 다음 섹션을 참조하세요.

custom_data 값

AGENTINFO 이벤트의 custom_data 필드는 다양한 Exchange Online 에이전트가 메시지 처리 세부 정보를 기록하는 데 사용됩니다. 다음 섹션에서는 몇 가지 흥미로운 에이전트에 대해 설명합니다.

스팸 필터 에이전트

S:SFA로 시작하는 custom_data 값은 스팸 필터 에이전트에서 가져옵니다. 주요 세부 정보는 다음 표에 설명되어 있습니다.

설명

SFV=NSPM

메시지가 스팸이 아닌 것으로 표시되었으며, 의도한 받는 사람에게 전송되었습니다.

SFV=SPM

메시지가 콘텐츠 필터에 의해 스팸으로 표시되었습니다.

SFV=BLK

필터링을 건너뛰었으며, 차단된 보낸 사람이 보낸 메시지이므로 차단되었습니다.

SFV=SKS

콘텐츠 필터에서 처리되기 전에 스팸으로 표시된 메시지입니다. 메시지를 스팸으로 자동 표시하여 모든 추가 필터링을 무시하는 전송 규칙에 일치하는 메시지가 여기에 포함됩니다.

SCL=<number>

여러 SCL 값과 해당 의미에 대한 자세한 내용은 스팸 지수를 참조하세요.

PCL=<number>

메시지의 PCL(피싱 지수) 값입니다. 이러한 값은 스팸 지수에 설명된 SCL 값과 동일한 방식으로 해석할 수 있습니다.

DI=SB

메시지의 보낸 사람이 차단되었습니다.

DI=SQ

메시지가 격리되었습니다.

DI=SD

메시지가 삭제되었습니다.

DI=SJ

받는 사람의 정크 메일 폴더에 메시지를 보냈습니다.

DI=SN

메시지가 위험이 높은 배달 풀을 통해 라우팅되었습니다. 자세한 내용은 아웃바운드 메시지의 위험이 높은 배달 풀을 참조하세요.

DI=SO

메시지가 일반 아웃바운드 배달 풀을 통해 라우팅되었습니다.

SFS=[a]|SFS=[b]

스팸 규칙과 일치한다는 것을 나타냅니다.

IPV=CAL

해당 IP 주소가 연결 필터의 IP 허용 목록에 지정되어 메시지가 스팸 필터를 통해 허용되었습니다.

H=<EHLOstring>

연결 전자 메일 서버의 HELO 또는 EHLO 문자열입니다.

PTR=<ReverseDNS>

보내는 IP 주소의 PTR 레코드로, 역방향 DNS 주소라고도 합니다.

스팸으로 필터링되는 메시지에 대한 custom_data 값의 예는 다음과 같습니다.

S:SFA=SUM|SFV=SPM|IPV=CAL|SRV=BULK|SFS=470454002|SFS=349001|SCL=9|SCORE=-1|LIST=0|DI=SN|RD=ftmail.inc.com|H=ftmail.inc.com|CIP=98.129.140.74|SFP=1501|ASF=1|CTRY=US|CLTCTRY=|LANG=en|LAT=287|LAT=260|LAT=18;

맬웨어 필터 에이전트

S:AMA로 시작하는 custom_data 값은 맬웨어 필터 에이전트에서 가져옵니다. 주요 세부 정보는 다음 표에 설명되어 있습니다.

설명

AMA=SUM|v=1| 또는 AMA=EV|v=1

메시지에 맬웨어가 포함된 것으로 확인되었습니다. SUM은 임의의 엔진에 의해 맬웨어가 검색되었을 수 있음을 나타냅니다. EV는 특정 엔진에 의해 맬웨어가 검색되었음을 나타냅니다. 엔진에서 맬웨어가 검색되면 후속 작업이 트리거됩니다.

Action=r

메시지가 바뀌었습니다.

Action=p

메시지가 바이패스되었습니다.

Action=d

메시지가 연기되었습니다.

Action=s

메시지가 삭제되었습니다.

Action=st

메시지가 바이패스되었습니다.

Action=sy

메시지가 바이패스되었습니다.

Action=ni

메시지가 거부되었습니다.

Action=ne

메시지가 거부되었습니다.

Action=b

메시지가 차단되었습니다.

Name=<malware>

검색된 맬웨어의 이름입니다.

File=<filename>

맬웨어가 포함된 파일의 이름입니다.

맬웨어가 포함된 메시지에 대한 custom_data 값의 예는 다음과 같습니다.

S:AMA=SUM|v=1|action=b|error=|atch=1;S:AMA=EV|engine=M|v=1|sig=1.155.974.0|name=DOS/Test_File|file=filename;S:AMA=EV|engine=A|v=1|sig=201707282038|name=Test_File|file=filename

전송 규칙 에이전트

S:TRA로 시작하는 custom_data 값은 메일 흐름 규칙(전송 규칙이라고도 함)에 대한 전송 규칙 에이전트에서 가져옵니다. 주요 세부 정보는 다음 표에 설명되어 있습니다.

설명

ETR|ruleId=<guid>

일치하는 규칙 ID입니다.

St=<datetime>

규칙 일치가 발생한 날짜 및 시간(UTC)입니다.

Action=<ActionDefinition>

적용된 작업입니다. 사용 가능한 작업 목록은 Exchange Online의 메일 흐름 규칙 작업을 참조하세요.

Mode=<Mode>

규칙 모드입니다. 유효한 값은 다음과 같습니다.

  • 적용: 규칙의 모든 작업이 적용됩니다.

  • 정책 설명이 있는 테스트: 모든 정책 설명 작업이 전송되지만 다른 적용 작업은 수행되지 않습니다.

  • 정책 설명이 없는 테스트: 작업이 로그 파일에 나열되지만 보낸 사람이 어떤 방법으로도 알림을 받지 않으며 적용 작업이 수행되지 않습니다.

메일 흐름 규칙 조건과 일치하는 메시지에 대한 custom_data 값의 예는 다음과 같습니다.

S:TRA=ETR|ruleId=19a25eb2-3e43-4896-ad9e-47b6c359779d|st=7/17/2017 12:31:25 AM|action=ApplyHtmlDisclaimer|sev=1|mode=Enforce

Office 기술 확장
교육 살펴보기
새로운 기능 우선 가져오기
Office Insider 참여

이 정보가 유용한가요?

의견 주셔서 감사합니다!

피드백을 주셔서 감사합니다. Office 지원 에이전트와 연락하는 것이 도움이 될 것 같습니다.

×