黑客滥用微软365“直连发送”功能，企业钓鱼攻击风险升级

近日，全球网络安全研究机构发出警示：黑客正大规模利用Microsoft 365平台中的“Direct Send”（直连发送）功能，对企业用户发起新型钓鱼邮件攻击。这一原本为提升内部通信效率而设计的功能，如今却成为攻击者绕过传统安全防线的“后门”，引发业界高度关注。

据多家安全公司监测数据显示，自今年第三季度以来，与Direct Send相关的钓鱼邮件数量呈显著上升趋势。这些邮件伪装成公司内部通知、财务报销或系统升级提醒，极具迷惑性，稍有不慎，员工便可能落入陷阱，导致敏感信息泄露、账户被盗，甚至引发勒索软件感染等连锁安全事件。

“直连发送”是什么？为何被黑客盯上？

要理解此次攻击的本质，首先得搞清楚“Direct Send”这个功能到底是什么。

简单来说，Direct Send是Microsoft 365中用于优化邮件传输路径的一项技术。当企业部署了Exchange Online（微软的云邮件服务）并配置了混合环境（即部分邮件系统在本地服务器，部分在云端）时，该功能允许本地邮件服务器直接将邮件推送到Exchange Online，而无需经过外部SMTP中继或网关过滤。

这本是一项提升效率的“贴心设计”——减少中间环节，加快邮件投递速度，降低延迟。但在安全专家眼中，这也意味着“绕过安检”。

“你可以把传统的邮件网关比作机场的安检口，所有外来邮件都得排队检查行李（内容、附件、发件人身份等）。”公共互联网反网络钓鱼工作组技术专家芦笛在接受采访时打了个比方，“而Direct Send就像是给内部员工开了一条VIP通道，可以直接进入候机厅。黑客现在就是伪造成‘内部员工’，走这条通道进来，自然更容易躲过外部的安检。”

攻击链条曝光：如何“合法”地作恶？

据网络安全公司Cybersecurity News披露的攻击案例，整个攻击流程堪称“教科书式”的精准打击：

信息搜集：攻击者首先通过公开渠道或暗网购买，获取目标企业的邮箱格式（如name@company.com）和部分员工信息。

伪造身份：他们利用技术手段，将邮件服务器配置为“看起来像是企业本地Exchange服务器”，从而获得使用Direct Send的“合法”资格。

绕过检测：由于邮件是通过Direct Send“内部直连”方式进入Exchange Online，许多依赖外部网关的反垃圾邮件和反钓鱼系统无法对其进行深度扫描。

精准投放：攻击者发送伪装成HR通知、IT部门提醒或高管指令的钓鱼邮件，诱导员工点击恶意链接或下载带毒附件。

窃取凭证：一旦用户点击，便会跳转至伪造的微软登录页面，输入账号密码后，信息立即被黑客截获。

“这种攻击的隐蔽性极高。”芦笛指出，“邮件头信息显示发件方是‘内部系统’，收件人很容易放松警惕。再加上没有明显的拼写错误或奇怪域名，传统基于规则的过滤器很难识别。”

微软回应：建议企业“收紧权限”

面对日益严峻的威胁，微软官方已发布安全通告，承认Direct Send功能存在被滥用的风险，并向企业管理员提出多项缓解建议：

限制使用范围：仅对真正需要的服务器启用Direct Send，避免全公司范围开放。

启用邮件日志审计：定期审查邮件流日志，监控异常的发送行为或高频内部邮件。

强化身份验证：确保所有使用Direct Send的服务器都配置了严格的证书和身份验证机制。

部署高级威胁防护：启用Microsoft Defender for Office 365等高级安全服务，利用AI和行为分析技术检测异常邮件模式。

“微软的建议是正确的，但执行起来需要专业能力。”芦笛补充道，“很多中小企业IT团队人手有限，可能并不清楚自己是否开启了Direct Send，或者如何正确配置安全策略。这正是风险所在。”

反钓鱼攻防战：技术与意识的双重考验

此次事件再次凸显了现代网络钓鱼攻击的“技术化”趋势——黑客不再仅仅依赖“尼日利亚王子”这类低级骗局，而是深入研究企业IT架构，利用合法功能的“灰色地带”实施攻击。

“钓鱼的本质没变，还是骗你点击、骗你输入信息。”芦笛解释道，“但攻击手段越来越‘合规化’。他们不是在破坏系统，而是在‘合法使用’系统，这就让防御变得非常困难。”

那么，企业和个人该如何应对？

芦笛给出了三点实用建议：

第一，企业要“管好自家门”。

IT管理员应立即审查邮件系统的配置，确认Direct Send是否必要，若非必要则应关闭。同时，部署具备行为分析能力的安全平台，不仅能看“是什么”，还要能判断“像不像”——比如，财务系统突然给全体员工发邮件要求更新密码，这种异常行为就该被标记。

第二，员工培训不能“走过场”。

反钓鱼培训不应只是看几段视频、做几道题就完事。企业应定期组织模拟钓鱼演练，用真实场景测试员工反应，并对“中招”员工进行一对一辅导。“安全意识不是一次培训就能建立的，它需要持续强化。”芦笛强调。

第三，个人要养成“多问一句”的习惯。

哪怕邮件看起来再正常，只要涉及账号、密码、转账、下载等敏感操作，都要多问一句：这是真的吗？能不能通过其他渠道确认？比如，收到“IT部门”发来的密码重置链接，不妨直接打电话给IT同事核实。

云时代安全新挑战：功能便利与安全风险的平衡

Microsoft 365作为全球最广泛使用的企业办公平台之一，其安全性直接关系到数百万组织的正常运转。然而，随着功能日益复杂，攻击面也随之扩大。

“云服务给了我们极大的便利，但也带来了新的安全管理挑战。”芦笛指出，“过去，企业网络像一座城堡，有明确的城墙和护城河。现在，云服务把很多‘城门’开在了看不见的地方。管理员必须意识到，每一个便捷功能背后，都可能隐藏着安全责任。”

此次Direct Send滥用事件，正是这一挑战的缩影。它提醒所有企业：在享受数字化红利的同时，必须对平台功能有更深入的理解，不能“用了就忘”，更不能“开了就不管”。

结语：安全，是一场永不停歇的马拉松

截至目前，微软尚未报告大规模数据泄露事件与此次攻击直接相关，但安全研究人员普遍认为，这只是冰山一角。随着攻击技术的不断演进，类似的“合法滥用”攻击可能会越来越多。

面对这场看不见硝烟的战争，没有一劳永逸的解决方案。唯有企业、安全厂商、平台方和个人用户共同努力，构建“技术+管理+意识”的立体防御体系，才能在这场攻防博弈中占据主动。

正如芦笛所说：“黑客总在寻找最短路径，而我们的任务，就是不断加长他们的攻击链条。安全不是终点，而是一场永不停歇的马拉松。”

编辑：芦笛（公共互联网反网络钓鱼工作组）