드문 경우이긴 하나, Outlook 이용 시 특정 메일이 특정 폴더로 이동하는 등, 비정상적인 패턴을 보이는 경우가 있습니다.
Outlook 규칙을 살펴봐도 관련 규칙이 없는 경우라면, 숨은 규칙을 확인해 볼 필요가 있습니다.

본 포스팅에서는 Outlook 숨은 규칙을 확인하고 삭제하는 방법에 대해 알아보도록 하겠습니다.

숨은 규칙이란?

“숨은 규칙(Hidden Rule)” 이란, 사용자 Outlook 규칙에서는 보이지 않으나 시스템 내부적으로는 존재하는 숨겨진 규칙을 뜻합니다(ex. Junk Mail 규칙).
Outlook에서는 설정할 수 없는 방법을 통해 만들어진 규칙으로, MAPI API를 통해 규칙 속성값을 변경하여 구성할 수 있습니다.

숨김 규칙은 공격자에 의해 정보 탈취의 목적으로 사용될 수 있으므로, 유의할 필요가 있습니다.
예를 들어, 피싱 메일을 통해 사용자 자격증명을 탈취하게 되면, 공격자는 자신에게 메일을 포워딩하는 규칙을 생성합니다.
그 후, MAPI API로 해당 규칙을 hidden 처리하여 사용자의 정보를 몰래 수집합니다.

숨은 규칙은 규칙 MAPI 속성 중 PR_RULE_MSG_PROVIDER 값이 비어있는 경우에 해당됩니다.

숨은 규칙 확인하기

숨은 규칙을 확인하는 방법에는 두 가지가 있습니다.
관리자가 Powershell 을 통해 확인하거나, 사용자 자격증명을 통해 MFCMAPI 툴로 확인하는 방법입니다.

Powershell

1
2
Connect-ExchangeOnline
Get-InboxRule -mailbox "사용자UPN" -IncludeHidden | fl

Get-InboxRule 명령어를 통해 규칙 확인이 가능합니다.
IncludeHidden 옵션을 줘야 숨은 규칙까지 확인할 수 있습니다.

1
2
Remove-InboxRule
Get-InboxRule -mailbox "사용자UPN" -IncludeHidden | Remove-inboxrule

Remove-InboxRule 명령어를 통해 규칙 삭제가 가능합니다.
모든 규칙을 삭제하기를 원하는 경우, 두 번째 명령어와 같이 실행해주면 됩니다.

MFCMAPI

MFCMAPI 툴을 다운로드 후 실행합니다.
Portable 하므로, 별도로 설치할 필요는 없습니다.

[Session] > [Logon] > 프로필 선택 > 원하는 계정 사서함을 더블클릭합니다.

[IPM_SUBTREE] (Outlook 캐싱 활성화 한 경우) / [최상위 정보 저장소(Top of Information Store)] (Outlook 캐싱 비활성화 한 경우) > “받은 편지함”/”Inbox” 우클릭 > “Open Associated Contents Table” 을 클릭합니다.

“Message Class” 속성을 정렬합니다.
여러 종류의 Class가 존재하는데, 이 중 Outlook 규칙과 관련된 Class 는 다음과 같습니다.

• IPM.Rule.Version2.Message: Outlook 규칙(사용자 설정)
• IPM.ExtendedRule.Message: Junk Email 규칙

원하는 규칙을 선택 > [Delete messsage] > “Permanent delete passing DELETE_HARD_DELETE (unrecoverable)” 을 선택하여 규칙을 삭제합니다.