Microsoft:Anti-phishing 规则误阻了电子邮件和 Teams 消息
发布: (2026年2月19日 GMT+8 00:26)
4 分钟阅读
Source: Bleeping Computer
Microsoft 表示,上周因 Exchange Online 的问题错误地隔离了合法邮件,这一问题是由用于阻止凭证钓鱼活动的错误启发式检测规则触发的。
事件概述
Microsoft 邮件安全系统中的软件错误错误地 将数千个合法 URL 标记为钓鱼链接,持续近一周,导致用户无法打开邮件和 Teams 消息。该事件由 Microsoft 在 EX1227432 下跟踪,始于 2 月 5 日,并在 2 月 12 日 完全解决。
时间线
| 日期 | 事件 |
|---|---|
| 2 月 5 日 | 部署了错误的启发式检测规则。 |
| 2 月 5‑12 日 | 合法 URL 被标记为钓鱼;邮件和 Teams 消息被隔离或阻止。管理员收到关于 “潜在恶意 URL 点击” 的误报警报。 |
| 2 月 12 日 | 问题解决;检测规则回滚。 |
| 2 月 19 日(星期一) | 发布初步事后报告。 |
| 5 个工作日内 | Microsoft 将发布最终报告。 |
根本原因
- 旨在检测新型凭证钓鱼攻击的检测系统出现 逻辑错误。
- 更新后,系统开始以远高于预期的比例标记合法 URL。
- 自动响应(如 ZAP 事件)删除受影响的邮件和 Teams 消息,放大了问题。
- Microsoft 安全签名基础设施中的其他错误延迟了对有缺陷规则的回滚。
“此问题是由于针对新型凭证钓鱼活动的启发式检测逻辑错误导致的,发布后数小时内出现了峰值,”Microsoft 解释道。
“该峰值导致数千个 URL 被错误识别为钓鱼,触发对包含这些 URL 的新投递邮件的阻止、ZAP 事件删除邮件和 Teams 消息,以及针对这些警报的点击事件的 XDR 警报。”
影响
- 收到包含被标记 URL 的邮件或 Teams 消息的用户无法打开链接。
- 部分邮件被完全隔离。
- Microsoft 未披露受影响用户的总数,但将此事件归类为 incident,表明对用户产生了明显影响。
相关过去问题
-
Gmail‑spam 误报: 一个 Exchange Online 的漏洞导致机器学习模型错误地将 Gmail 发来的邮件标记为垃圾邮件。
阅读更多 -
用户邮件被隔离: 另一个反垃圾邮件系统漏洞错误地隔离了一些用户的邮件。
阅读更多 -
2024 年 9 月 URL 阻断: 反垃圾邮件服务问题导致 Exchange Online 和 Teams 用户无法打开 URL,并隔离了一些邮件。
阅读更多 -
Copilot Chat 漏洞: 一个漏洞使 Microsoft 365 Copilot Chat 自 1 月底起能够摘要机密邮件。
阅读更多
后续步骤
- Microsoft 将在完全解决后五个工作日内发布 最终事件报告。
- 持续改进检测逻辑,降低邮件安全管道中的误报率。