위치:
이메일 프라이버시 설정 적용
Salesforce에서 보낸 메시지에 대해 엄격한 이메일 프라이버시 동작을 적용하는 조직 수준 설정으로 피싱 또는 소셜 엔지니어링 공격에 도움이 될 수 있는 내부 주소 및 메타데이터 노출을 제한합니다.
제어 이름
이메일 보안 - 전달 가능성("이메일 프라이버시 설정 적용" 선택)
제어 개요
Salesforce에서 보낸 메시지에 대해 엄격한 이메일 프라이버시 동작을 적용하는 조직 수준 설정으로 피싱 또는 소셜 엔지니어링 공격에 도움이 될 수 있는 내부 주소 및 메타데이터 노출을 제한합니다.
상세 설명
활성화하면 Salesforce가 숨겨진 숨은 참조 수신자, 디렉터리 기반 수신자 조회 제한, 이메일 메타데이터에서 내부 사용자 세부 사항의 가시성을 줄이는 등 특정 이메일 개인 정보 보호 동작을 제한하므로 외부 수신자가 내부 조직 구조 또는 사용자 관계를 쉽게 추론할 수 없습니다.
권장 구성
설정>이메일 관리>전달 또는 이메일 보안에서 '이메일 프라이버시 설정 적용'을 선택합니다.
보안 영향
이메일 머리글 및 수신자 처리를 통해 노출되는 내부 회사 정보의 양을 줄여 공격자가 표적화된 스피어 피싱 캠페인을 만들거나 내부 사용자 관계를 매핑하기 어려워집니다.
비즈니스 영향
핵심 사용자 대면 이메일 워크플로를 크게 변경하지 않고 규정 준수 및 내부 커뮤니케이션 프라이버시 기대치를 지원합니다. 메시지 메타데이터에서 내부 수신자가 표시되는 방식에 주로 영향을 미칩니다.
구성되지 않은 경우 보안 위험
사용자의 이메일 프라이버시 및 보호 설정을 비활성화하면 더 많은 내부 메타데이터와 주소 세부 사항이 외부 수신자에게 누출되므로 공격자가 사용할 수 있는 데이터가 늘어납니다.
위협 시나리오
스푸핑으로부터 보호가 저하되고 악성 이메일이 합법적인 커뮤니케이션으로 가리키는 받은 편지함에 도달할 가능성이 심각합니다. 예를 들어 공격자가 노출된 내부 그룹 구성원 또는 숨은 참조 정보 정보를 사용하여 신뢰할 수 있는 내부 보낸 사람으로부터 오는 것처럼 보이는 표적화된 피싱 이메일을 만들 수 있습니다.
예상 CVSS 점수 범위
중요(9.0~10.0)
위험 영향 고려 사항
Salesforce가 공유 사서함 또는 배포 스타일 사용자의 이메일을 외부 당사자에게 보내는 데 사용되고 해당 사용자에게 광범위한 내부 그룹 또는 숨은 참조 표시가 있는 경우 영향이 가장 큰 경우입니다.
위험이 높은 경우
광범위한 내부 가시성이 있는 역할(예: 공유 지원 또는 세일즈 오퍼 사용자)의 고객, 파트너 또는 잠재 고객에게 아웃바운드 이메일을 보내고 회사에 엄격한 데이터 프라이버시 또는 이메일 처리 요구 사항이 적용됩니다.
낮은 위험 시기
대부분의 이메일 트래픽은 내부이거나 외부 이메일은 이미 유사한 프라이버시 제어를 적용하는 별도의 엄격하게 제어되는 이메일 게이트웨이를 통해 라우팅됩니다.
비즈니스 및 통합 고려 사항
외부 당사자에게 이메일을 보내는 조직에 대해 있어야 합니다. 먼저 소규모 사용자 그룹을 테스트하여 필요한 워크플로(예: 내부 알림 패턴)가 중단되지 않았는지 확인합니다.
보안 상태 검토 지침
확실합니다.
영향을 받는 사람
Salesforce에서 아웃바운드 이메일을 보내는 사용자, 시스템 관리자, 이메일 보안 및 규정 준수 팀, Salesforce에서 시작한 메시지를 수신하는 외부 수신자
