微软官方通知邮箱被滥用：比垃圾邮件更麻烦的是信任通道失守

几封垃圾邮件，从陌生域名发来，用户大多会直接删掉。

但如果发件人是 msonlineservicesteam@microsoftonline.com，事情就变了。TechCrunch 报道称，诈骗者已持续数月滥用这个微软内部账号通知邮箱，发送带诈骗链接的邮件。这个地址平时用于微软账号提醒、双因素验证码、账号安全通知。

反常点就在这里：用户被教育多年，要看发件人、看官方域名。结果这次发件人本身是真的。

发生了什么：微软合法通知邮箱被借来发诈骗链接

目前能确认的信息很有限，但已经足够让人警惕。

这里要压住一个边界：没有证据表明微软账号被黑。原文也没有给出受害人数、损失金额或邮件规模。

更谨慎的说法是，诈骗者似乎利用某个漏洞，把新建微软账号包装成新客户，再借微软系统发出看似官方的通知。具体机制还不清楚。

Spamhaus 的批评很直白：自动通知系统不应该允许这种程度的自定义。

这句话比“又有骗子发邮件”重要。邮件内容可以粗糙，链接可以低级，但只要它借到了微软官方通知通道，普通用户的第一层判断就被打穿了。

受影响最直接的是两类人。

一类是微软账号用户。以后看到来自官方地址的安全提醒、交易提醒、验证码相关邮件，也不能直接点正文链接。更稳妥的动作是手动打开微软官网或 App，再去查账号状态。

另一类是企业邮箱和安全团队。邮件网关、员工安全培训、钓鱼演练过去常把“发件人可信度”当重要信号。现在要把官方通知源也纳入风险场景，尤其是带外链、带紧急措辞、带账号操作诱导的邮件。

为什么危险：反钓鱼教育最依赖的信号被污染了

反钓鱼教育有一个隐含前提：假邮件通常来自假地址，官方通知相对可信。

这次麻烦在于，官方地址本身进入了灰区。

让普通用户去分析邮件头、跳转链、域名相似度，并不现实。大多数人能做的安全判断很有限：发件人是谁，域名像不像，内容急不急，链接要不要点。

平台如果把其中最关键的“发件人可信”弄脏了，用户就只剩下猜。

我更在意的是背后的产品设计。企业通知系统常常同时服务三件事：安全提醒、客户触达、自动化运营。安全团队希望它克制，业务系统希望它灵活。于是模板可以改，链接可以加，触发可以自动化。

方便当然有价值。问题是，一旦权限边界不够硬，骗子也会得到同样的自动化能力。

“天下熙熙，皆为利来。”放在这里不算夸张。企业为了省人力、提触达率，把通知系统做得越来越灵活；骗子最喜欢的，也正是低成本、可批量、看起来可信的触达方式。

这类问题不只发生在微软。

这些案例不完全一样。有的是平台被入侵，有的是邮箱访问被滥用。微软这次目前只能说存在可被滥用的漏洞，不能直接说系统被攻破。

但它们重复了同一条行业现实：企业把“可信发送能力”交给越来越多自动化系统，却没有用同等强度管理模板、链接、触发条件和异常行为。

以前的邮件安全像守城门。现在更像管一整套内部通道：客服系统、营销系统、账号系统、外包平台、自动通知接口，都可能往外发信。攻击者未必需要攻破主城墙，找到一个能发官方通知的侧门就够了。

接下来该看什么：不是删邮件，而是收权限

微软接下来最该回答三件事。

第一，滥用是否已经被阻止。TechCrunch 联系后，微软只确认收到询问，尚未说明是否已停止相关滥用。这个空白很关键。

第二，通知系统允许外部账号自定义到什么程度。标题、正文、链接、收件人、触发条件，哪些可以改，哪些必须锁死。Spamhaus 批评的核心就在这里。

第三，微软是否会补上异常监控。比如新账号短时间触发大量通知、通知内容含外部链接、模板出现交易恐吓或私人消息诱导，这些都应被拦截或进入人工审核。

对普通用户，短期策略很简单：官方邮件也只当提醒，不当入口。涉及账号、安全、交易、验证码，手动打开官网或 App 验证。

对企业安全团队，动作要更具体：邮件规则里不能只看发件域名；员工培训里也要加一条，合法发件人不等于合法内容。采购或续约企业通知系统时，也该问清楚模板权限、外链限制、日志留存和异常告警。

这会增加一点摩擦。通知系统收紧后，业务团队可能觉得不方便，客户触达可能慢一点，模板自由度也会下降。

但安全边界本来就不是免费午餐。平台越大，官方通道的信用越贵。微软这种级别的公司，不能把它当普通运营工具来用。

这次真正该看的，不是骗子又发了几封烂邮件，而是微软会不会把官方通知通道重新锁紧。删掉一批垃圾邮件只能止血；收回可被滥用的发送能力，才算处理病灶。