欢迎来到公海710 Microsoft 365 直接发送漏洞：攻击者如何绕过电子邮件

2025 年 8 月，网络安全研究人员发现了一场复杂的鱼叉式网络钓鱼活动，该活动利用了 Microsoft 365 的 Direct Send 功能。该活动利用 Microsoft 自己的基础设施来传递看似来自受信任内部来源的恶意电子邮件，从而绕过了传统的电子邮件安全防御措施（例如 SPF、DKIM 和 DMARC）。      攻击者使用 Direct Send 通过受害者的智能主机基础设施（通常是租户 MX 记录）路由电子邮件，有效地伪装成内部流量。这使他们能够逃避外围防御并传递传统电子邮件过滤器通常会阻止的有效负载。    

什么是直接发送？

直接发送是 Microsoft 365 Exchange Online 中的一项合法功能，如果收件人位于同一组织内，则允许打印机、扫描仪和业务线应用程序等设备无需身份验证即可发送电子邮件。它专为内部通信而设计，通常用于旧设备无法支持现代身份验证协议的环境中。

与 SMTP 中继或 SMTP AUTH 不同，直接发送：

• 不需要凭据
• 仅支持发送给内部收件人
• 使用租户的 MX 记录（例如，yourdomain.mail.protection.outlook.com）作为 SMTP 端点

虽然方便，但缺乏身份验证使其成为滥用的主要目标。    

如何滥用？ 

威胁行为者通过多种方式将 Direct Send 武器化：

• 欺骗内部用户：攻击者通过租户的智能主机发送电子邮件，使邮件看起来像是来自内部用户，从而绕过 SPF、DKIM 和 DMARC 检查
• 基于图像的诱饵：攻击者使用模仿语音邮件或服务通知的高保真内联图像而不是文本来逃避基于文本的过滤器。 
• 双负载交付: 
  • HTML 附件：伪装成音频播放器，使用由无效图像标签触发的模糊 JavaScript 来执行恶意代码。 
  • SVG 文件：许多过滤器都将其视为安全的，它们包含带有自定义编码的嵌入式 JavaScript，以避免检测。 
• 动态个性化：恶意脚本实时获取公司徽标和品牌，创建看起来合法的凭据收集页面。 

这种技术利用和社会工程的结合使得攻击非常有效——即使是针对经验丰富的用户。     

如何解决这个问题？ 

Microsoft 已承认该问题，并引入了“拒绝直接发送”控件（目前处于公共预览版），该控件允许管理员阻止未经身份验证的直接发送流量。 然而，仅此还不够。以下是组织应采取的其他步骤：

1。尽可能禁用直接发送

如果旧设备不需要它，请完全禁用直接发送。使用经过身份验证的 SMTP 中继或现代替代方案。

如果旧设备确实需要它，请考虑使用 SendGrid 等专用服务来完成 SMTP 中继。 

2。强制执行发件人身份验证

实施和执行 SPF、DKIM 和 DMARC 政策。确保您的 SPF 记录仅包含受信任的 IP。

3。强化电子邮件基础设施

• 使用 Exchange Online Protection (EOP) 和 Microsoft Defender for Office 365，或备用电子邮件过滤解决方案（Proofpoint、Mimecast、Abnormal）
• 为来自第 3 方电子邮件过滤解决方案的经过身份验证的流量配置合作伙伴连接器。 
• 监控电子邮件行为和身份验证模式中的异常情况。请务必检查登录日志是否存在异常或可疑活动，以确保适当的身份卫生。

4。教育用户

培训用户识别网络钓鱼策略，尤其是基于图像的诱饵和二维码网络钓鱼（“quishing”）。

5。监控和响应

部署可以识别可疑 Direct Send 活动的威胁检测工具。实现此目的的一种方法是电子邮件搜索和消息浏览器，它们是 Microsoft 365 E5 产品套件的功能。

要查找通过 Direct Send 发送的电子邮件，您可以在 Exchange Online 中运行历史邮件跟踪，以提取过去 90 天的电子邮件传送日志。为此，

• 导航至Exchange admin center > Reports >邮件流并选择入站消息报告来自列表。 
• 下一个，点击请求报告并根据您的要求修改开始和结束日期。 
• 点击收件人下拉菜单并选择接收入站邮件报告的所需收件人。 
• 然后，确保已收到和无连接器在“方向”和“连接器类型”下适当选择。 
• 最后，将 TLS 版本设置为无 TLS然后点击请求接收有关在没有连接器的情况下收到的所有入站电子邮件的报告，以识别直接发送电子邮件。 

Microsoft 365 Defender 高级狩猎

另一种方法是利用 Microsoft 365 Defender 高级搜索。  您可以通过导航至https://security.microsoft.com/v2/advanced-hunting并开始新的查询。  下面是一个 KQL 查询，可让您识别过去 30 天内可能通过 Microsoft 365 中的直接发送功能发送的消息。  如果结果是合法消息，则在禁用该功能后可能需要重新配置它们才能正确路由。

电子邮件事件
哪里时间戳>前（30 天）
哪里电子邮件方向==“入站” 
哪里SenderMailFromDomain==“yourdomain.com” 
哪里DeliveryAction 包含“已交付” 
哪里身份验证详细信息== @"""SPF"":""失败"",""DKIM"":""超时"",""DMARC"":""temperror"",""CompAuth"":""失败""" 
项目时间戳，发件人地址，收件人电子邮件地址，主题、身份验证详细信息、交付操作
排序依据时间戳描述; 

要点和注意事项：

• 如果您的组织不使用直接发送，您可以通过连接 Exchange Online Management PowerShell 模块并运行以下 cmdlet 在租户中禁用此功能：Set-OrganizationConfig -RejectDirectSend $true
• 如果您现在确实使用直接发送，则需要评估您的电子邮件基础设施，以了解如何以及何时停用直接发送。请联系您的客户经理或技术解决方案经理讨论您的选择。 
• 如果您利用直接发送，并且您的租户面前没有第 3 方电子邮件过滤服务，则您可能必须求助于第 3 方中继解决方案来替换直接发送，以便将其停用。如果您有第三方过滤服务并且使用直接发送，则可以在您的系统中启用传输规则，该规则仅允许来自特定 IP 地址的消息进入您的租户。您可以将其与“–RejectDirectSend”叠加以获得更高的安全性。

最后的想法

Direct Send 的设计初衷是为了方便，但攻击者已将其变成了绕过电子邮件安全的强大工具。组织不能仅仅依赖微软的新控制措施。通过在可能的情况下禁用直接发送、加强身份验证、强化基础设施以及主动寻找滥用行为，企业可以显着减少风险。在这种技术在野外变得更加普遍之前，安全团队应该立即评估他们的环境。

增强您的 Microsoft 365 安全性

阻止 Direct Send 滥用只是保护 Microsoft 365 的一步。欢迎来到公海710 帮助企业强化身份、电子邮件和协作环境，抵御当今最先进的威胁。我们的专家设计并实施分层防御，在攻击者利用漏洞之前缩小漏洞。

探索我们的 Microsoft 365 安全服务