- Microsoft перенаправила трафик электронной почты с сайта example.com на серверы Sumitomo Electric
- Домен, предназначенный только для тестирования, рассматривался как настоящий поставщик электронной почты в системах Microsoft.
- Автоматическое обнаружение Outlook вернуло действительные серверы IMAP и SMTP для поддельных учетных записей
В январе 2026 года сетевые исследователи заметили необычное поведение в инфраструктуре Microsoft, связанной с example.com.
Этот домен существует исключительно в целях тестирования в соответствии с установленными стандартами Интернета и защищен глобальной системой регистрации доменов.
Трафик, который никогда не должен был направляться в реальную организацию, вместо этого направлялся на серверы, принадлежащие Sumitomo Electric, японскому бренду, более известному промышленными кабелями, чем службами электронной почты.
Аномалия автоматического обнаружения
Аномалия произошла во время планового тестирования с использованием функции автоматического обнаружения Microsoft Outlook, что сразу же вызвало вопросы о том, как такая маршрутизация вообще могла существовать.
Запросы, отправленные в Microsoft, первоначально не содержали никаких объяснений, даже после того, как оскорбительное перенаправление было прекращено.
Проблема возникла из-за систем автоматического обнаружения и распознавания Microsoft, используемых при настройке новых учетных записей электронной почты, аналогичных инструментам автоматической настройки, используемым Microsoft. Платформы для создания сайтов.
Когда исследователи отправляли тестовые учетные данные через example.com, служба возвращала ответы в формате JSON, содержащие имена хостов почтовых серверов, связанных с доменом sei.co.jp.
Эти ответы указывали на конечные точки IMAP и SMTP за пределами сети Microsoft, хотя учетные данные явно были подстановочными знаками.
Согласно RFC2606, example.com никогда не должен генерировать маршрутизируемую служебную информацию, что затрудняет соответствие такого поведения ожидаемым стандартам.
К утру понедельника видимого поведения маршрутизации больше не было видно, хотя Microsoft по-прежнему не предоставила немедленного технического объяснения.
Вместо возврата информации о сервере, привязанной к Sumitomo Electric, та же конечная точка начала истекать время ожидания, а затем ответила ошибкой «Не найдено».
Позже Microsoft подтвердила, что обновила службу, чтобы больше не предоставлять рекомендуемую информацию о сервере для example.com, и заявила, что расследование продолжается.
Конечная точка больше не возвращала проблемные выходные данные JSON, хотя базовая логика маршрутизации оставалась неясной.
Остается неясным, как дочерний домен Sumitomo Corp. внедряется в сетевую конфигурацию Microsoft, особенно в системах, сопоставимых по размеру с глобальной инфраструктурой веб-хостинга.
Предыдущие публичные заявления о развертывании Microsoft 365 Copilot корпорацией Sumitomo. не поясняйте, почему в ответах автообнаружения появился отдельный домен компании.
В отчетах указывается, что такое поведение может сохраняться в течение нескольких лет, что повышает вероятность долгосрочного изменения конфигурации критически важного сервиса.
Microsoft не пояснила, как она добавляет или проверяет записи автообнаружения внутри компании.
На момент написания нет никаких доказательств того, что за поведением маршрутизации стоит злой умысел, и нет никаких доказательств того, что реальные учетные данные пользователя были раскрыты во время обычных операций.
Инцидент напомнил о предыдущих административных ошибках, раскрытых Microsoft, в том числе о забытой тестовой учетной записи, которая позволяла злоумышленникам, поддерживаемым государством, получить доступ к внутренним системам.
Следите за TechRadar в Новостях Google. И Добавьте нас в качестве предпочтительного источника чтобы получать новости, обзоры и мнения наших экспертов в своих лентах. Обязательно нажмите кнопку «Подписаться»!
И ты, конечно, тоже можешь Следите за TechRadar в TikTok за новостями, обзорами, распаковками в видео-форме и получайте от нас регулярные обновления WhatsApp к.
