Бесплатно Экспресс-аудит сайта:

20.10.2023

Антиспам Microsoft превратил корпоративную почту в мусорное ведро

Microsoft недавно столкнулась с проблемой (отслеживаемая как EX682041), связанной с функцией антиспама в Microsoft 365, из-за которой администраторы получали множество скрытых копий исходящих сообщений ( Blind Carbon Copy , BCC), ошибочно помеченных как спам. Инцидент затронул пользователей Exchange Online по всему миру, и в большинстве случаев все письма, отправленные на внешние адреса, были отмечены как спам.

Проблема была полностью устранена через 14 часов после появления. Недостаток в антиспам-системе привел к тому, что в почтовые ящики администраторов поступали копии писем, отправленные другими пользователями организации на внешние адреса. В ответ на многочисленные жалобы пользователей, Microsoft сообщила о начале расследования проблемы.

По результатам проверки было установлено, что причиной сложившейся ситуации стало введение нового правила фильтрации спама, которое впоследствии было отключено. После этого начался процесс восстановления нормальной работы системы. Также все ошибочно помеченные сообщения были удалены из карантина на затронутых серверах.

Microsoft уведомила администраторов о возможности отключения функции «Отправить копию подозрительного исходящего сообщения» («Send a copy of suspicious outbound») для предотвращения подобных инцидентов в будущем.

Для отключения опции необходимо:

  • перейти на страницу https://security.microsoft.com/antispam ;
  • выбрать «Антиспамная политика (по умолчанию)» («Anti-Spam outbound policy»);
  • снять флажок «Отправить копию подозрительного исходящего сообщения» («Send a copy of suspicious outbound»);
  • нажать кнопку «Сохранить».

Администраторам также рекомендуется проверить, не были ли какие-либо пользователи добавлены в список заблокированных отправителей из-за ошибочного срабатывания системы антиспама. В случае обнаружения таких пользователей их можно восстановить на странице «Restricted entities» (Ограниченные, заблокированные объекты) на портале Microsoft 365 Defender. По словам представителей Microsoft, в большинстве случаев все ограничения должны быть сняты с пользователей в течение одного часа, но из-за возможных технических проблем процесс может занять до 24 часов.

Инцидент еще раз подчеркнул важность тщательного тестирования любых изменений в системах безопасности перед их внедрением на сервера, чтобы избежать неприятных ситуаций и минимизировать риск негативного воздействия на работу пользователей и администраторов.