2026-01-09 23:38:58 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 微软披露攻击者利用邮件路由配置错误伪造内部域名发送钓鱼邮件，结合PhaaS平台窃取凭证或实施金融诈骗。攻击常伪装人事通知诱导受害者。建议组织配置严格的DMARC与SPF策略，确保MX记录正确，以防御此类内部欺骗攻击。 综合评分： 88 文章分类： 威胁情报,安全意识,网络安全,办公安全,漏洞预警

cover_image

邮件路由配置错误会导致内部欺骗性网络钓鱼攻击

原创

暗镜

2026年1月9日 09:00 北京

攻击者利用配置错误的邮件路由和欺骗保护措施，发送看似内部邮件的钓鱼邮件，并使用等 PhaaS 平台窃取凭证。

微软发布的报告指出：“网络钓鱼攻击者正利用复杂的路由场景和配置错误的欺骗防护措施，有效地伪造组织机构的域名，并发送看似内部发送的钓鱼邮件。威胁行为者利用这一途径，发送与各种钓鱼即服务 (PhaaS) 平台（例如 Tycoon2FA）相关的各种钓鱼信息。”报告还指出“这些邮件包含以语音邮件、共享文档、人力资源 (HR) 部门通知、密码重置或过期通知等为主题的诱饵，最终导致凭证被盗。”

自 2025 年 5 月以来，利用电子邮件路由配置错误和欺骗防护措施的网络钓鱼攻击有所增加。微软报告称，针对多个行业的投机性攻击活动层出不穷，有时甚至涉及金融诈骗。邮件伪装成内部邮件，提高了攻击成功率。拥有正确 MX 记录的 Office 365 租户受到保护，但其他租户则面临凭证被盗、商业电子邮件诈骗或资金损失的风险。微软建议采取适当的欺骗防护措施和连接器配置来阻止这些攻击。

利用配置错误的邮件路由和欺骗防护措施进行网络钓鱼攻击，攻击者可以发送看似来自组织自身域名的电子邮件。路由复杂、MX 记录未指向 Office 365 或缺乏严格的 DMARC/SPF 策略的租户容易受到攻击。

报告继续指出：“设置严格的基于域的消息认证、报告和一致性 (DMARC) 拒绝策略和 SPF 硬失败（而不是软失败）策略，并正确配置任何第三方连接器，将防止网络钓鱼攻击欺骗组织的域。”

攻击者经常使用 Tycoon2FA 等 PhaaS 平台，从而窃取凭证、绕过 MFA 进行 AiTM 攻击以及实施金融诈骗。正确配置 MX 记录的 Office 365 租户可受到保护。

攻击者利用复杂的电子邮件路由和薄弱的欺骗防护措施，发送看似内部邮件的钓鱼邮件。这些邮件通常使用一些常见主题，例如人事通知、密码重置、语音留言或共享文档。一种常见的伎俩是，在“收件人”和“发件人”字段中使用相同的电子邮件地址，以使其看起来合法。

虽然邮件看起来像是内部邮件，但邮件头显示它们来自外部服务器。这些迹象包括 SPF 或 DMARC 验证失败、缺少 DKIM 签名以及邮件头指示匿名外部投递。在配置不当的环境中，这些故障可能不会阻止邮件投递，尤其是在第三方邮件连接器配置错误的情况下。

许多攻击活动会通过看似合法的链接（例如 Google 地图 URL）将用户重定向到攻击者控制的网站。受害者会看到虚假的验证码页面，这些页面会将他们引导至 Tycoon2FA 钓鱼页面，该页面旨在窃取凭据，有时甚至可以绕过多因素身份验证 (MFA)。正确的 DMARC、SPF 硬性验证、DKIM 和连接器配置可以有效防御这些攻击。

微软威胁情报部门还发现，一些金融诈骗活动通过伪造的电子邮件进行，这些邮件看似来自组织内部。这些邮件的设计目的是模仿高层员工之间的往来邮件，通常冒充首席执行官、财务部门或供应商要求付款。

在观察到的案例中，薄弱的电子邮件身份验证设置使得诈骗得逞。DMARC 设置为“无”，这意味着身份验证失败时不会触发任何机制。因此，来自外部 IP 地址的伪造电子邮件能够成功送达收件箱，尤其是在 MX 记录未指向 Office 365 的环境中。

这些诈骗邮件通常会利用紧迫感向受害者施压，例如要求快速付款才能获得折扣。它们通常使用相同的电子邮件地址作为“收件人”和“发件人”，并以首席执行官的名字作为显示名称，以使其看起来合法。

附件通常包括要求付款至虚假银行账户的伪造发票、使用窃取的个人信息制作的美国国税局W-9表格，以及一份伪造的银行信函以增加可信度。受害者一旦付款，可能会遭受重大且无法挽回的经济损失，因为资金会被攻击者迅速转移。

组织应强制执行严格的策略和策略，并正确配置第三方邮件连接器。微软指出，MX 记录直接指向 Office 365 的租户受到保护。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM《邮件路由配置错误会导致内部欺骗性网络钓鱼攻击》