Microsoft에 제안하는 피드백: 아웃바운드 안티스팸 정책 UI 동작이 오해의 소지가 있으며 설명이 필요합니다
제목:
아웃바운드 안티스팸 정책 '포함/제외' UI가 오해를 유발합니다 — 제외 사항이 정의되지 않으면 정책은 전역으로 적용됩니다.
문제 요약
Microsoft 365 Defender 포털의 아웃바운드 안티스팸 정책 인터페이스는 현대적인 범위 지정 동작을 강력하게 암시하는 포함(Include) 및 제외(Exclude) 사용자 범위 모델을 제시합니다:
- 포함(Include) = 정책이 적용되는 사용자
- 제외(Exclude) = 정책이 적용되지 않는 사용자
하지만 백엔드 정책 엔진은 이렇게 동작하지 않습니다.
실제로는 다음과 같습니다:
제외(Exclude) 목록이 비어 있으면, 정책은 명시적으로 제외되지 않는 한 모든 사용자에게 적용됩니다.
이는 UI가 제시하는 것과는 반대이며, 관리자들의 예상치 못한 잘못된 가정으로 이어집니다.
실제 동작 (백엔드 로직)
아웃바운드 안티스팸 엔진은 여전히 레거시 로직을 사용합니다:
- 정책은 사용자가 명시적으로 제외되지 않는 한 사용자에게 적용됩니다.
- '포함되지 않음'은 정책 적용을 막지 않습니다.
- 사용자를 명시적으로 제외하지 않는 가장 높은 우선순위의 정책이 적용됩니다.
이는 다음을 의미합니다:
제외(Exclude) 목록이 비어 있으면, 정책은 사실상 전역(global)이 됩니다.
이러한 내용은 UI 어디에서도 전달되지 않습니다.
관리자에게 미치는 영향
이러한 동작은 다음을 초래합니다:
- 의도치 않게 잘못된 정책의 적용을 받음
- 포함될 의도가 전혀 없었던 사용자에게도 외부 전달이 허용됨
- 포함(Include) 목록에서 사용자를 제거해도 정책에서 제거되지 않을 때 혼란 발생
- 정책 우선순위 및 범위에 대한 오해
- UI가 실제 평가 로직을 반영하지 않기 때문에 수 시간의 문제 해결 소요
특히 보안 기대치가 높은 전달 예외를 구성할 때 이 문제는 더욱 심각합니다.
문제점을 보여주는 예시 시나리오
- 관리자가 소수의 사용자에게 외부 전달을 허용하는 우선순위 1 정책을 생성합니다.
- 관리자가 해당 사용자들을 포함(Include) 목록에 추가합니다.
- 관리자는 제외(Exclude) 목록을 비워두고, 정책이 포함된 사용자에게만 적용될 것이라고 가정합니다.
- 포함(Include) 목록에 없는 사용자도 정책이 제외되지 않는 한 전역으로 적용되므로 전달이 여전히 허용됩니다.
- 포함(Include) 목록에서 사용자를 제거해도 정책에서 제거되지 않습니다.
- UI가 반대되는 동작을 제안하기 때문에 관리자는 오해하게 됩니다.
이는 직관적이지 않으며 다른 Microsoft 365 정책에서 사용되는 범위 지정 모델과 모순됩니다.
요청하는 수정 사항
제외(Exclude) 목록이 비어 있을 때 경고 또는 정보 배너를 추가해 주십시오.
제안하는 문구:
경고: 제외된 사용자 또는 그룹이 없습니다. 이 정책은 명시적으로 제외되지 않는 한 모든 사용자에게 적용됩니다. '포함'에 나열되지 않은 사용자도 이 정책의 영향을 받을 수 있습니다.
이 한 가지 명확화는 아웃바운드 전달 예외와 관련된 대부분의 잘못된 구성과 지원 사례를 방지할 것입니다.
이것이 중요한 이유
아웃바운드 전달은 데이터 유출에 대한 고위험 벡터입니다. 관리자는 UI에 의존하여 정책 범위를 이해합니다. 현재 UI는 잘못된 가정과 의도치 않은 노출로 이어집니다.
간단한 경고만으로도 UI를 정책 엔진의 실제 동작과 일치시키고 잘못된 구성을 방지할 수 있습니다.
피드백 종료
위 답변은 코파일럿(Copilot)을 통해 질문하고 얻은 답변을 바탕으로 작성되었음을 눈치채셨을 것입니다. 이는 유효하며 필요한 개선 사항이지만, 현재의 방법론에 대한 해결책이나 수정 사항이 발견되었을 때 코파일럿에서 귀사(Microsoft)의 올바른 부서로 직접 연결되는 경로를 허용하지 않음으로써 Microsoft는 많은 정보를 놓치고 있습니다.
감사합니다,
Gary Huber