Ghost-Sender — це нове дослідження про ризик підміни листів в Exchange Online. Найбільше воно стосується організацій, які використовують Microsoft 365 пошту за зовнішнім MX-шлюзом: стороннім антиспамом, поштовим фільтром або локальним gateway. У вразливих конфігураціях зловмисник може надсилати листи напряму на endpoint Exchange Online tenant і підробляти внутрішнього або довіреного зовнішнього відправника, навіть якщо SPF, DKIM і DMARC не проходять перевірку.
Практичний ризик очевидний: фальшивий рахунок, запит від керівника, повідомлення нібито від Microsoft або внутрішньої служби може потрапити у вхідні без очікуваного попередження. Дослідники також зазначають, що за інформацією від Microsoft support ця або близька проблема, ймовірно, вже використовується в атаках.
Кому треба перевірити пошту
Найризикованіший сценарій — Exchange Online або hybrid Exchange, де публічний MX-запис домену веде не напряму на Exchange Online Protection, а на сторонній поштовий фільтр. У такій схемі адміністратори часто очікують, що весь вхідний трафік проходить через цей фільтр, але tenant Microsoft 365 може й далі приймати пряме SMTP-доставлення.
| Конфігурація пошти | Ризик Ghost-Sender |
|---|---|
| MX веде напряму на Exchange Online Protection | Нижчий ризик саме для цього обходу, бо нормальна EOP-фільтрація залишається в маршруті. |
| Зовнішній MX без додаткового обмеження tenant | Високий ризик. Пряма доставка в tenant може обійти gateway, який мав фільтрувати пошту. |
| Зовнішній MX плюс обмежений partner connector або mail flow rule | Нижчий ризик, якщо правило відхиляє або карантинить листи не з дозволених IP чи certificate-authenticated шляхів. |
Чому SPF, DKIM і DMARC може бути недостатньо
У прикладах InfoGuard автентифікація листа явно провалюється, але повідомлення все одно доходить до inbox. Саме це небезпечно: DNS-записи SPF, DKIM і DMARC можуть бути налаштовані правильно, але маршрут доставки в tenant все одно дозволяє підроблений лист, якщо прямий шлях до Exchange Online не обмежений.
Для користувачів висновок простий: внутрішній вигляд листа не доводить його безпечність. Обережно ставтесь до неочікуваних запитів про оплату, зміну банківських реквізитів, пароль, MFA, SharePoint-посилання або QR-код. Такі листи треба перевіряти окремим каналом, як і будь-який фішинговий запит.
Що зробити адміністраторам
- Перевірити MX-записи доменів і з’ясувати, чи використовується сторонній inbound gateway.
- Провести контрольований тест тільки для власного tenant або через внутрішній approved assessment. Не використовуйте публічні proof-of-concept команди проти чужих доменів.
- Якщо використовується зовнішній MX, обмежити пряму доставку в Exchange Online. InfoGuard вказує на Microsoft-рекомендовані варіанти: partner connector з обмеженням за certificate або source IP, або priority mail flow rule, що карантинить листи не з дозволеної gateway-інфраструктури.
- Переглянути Exchange message trace на предмет листів, які прийшли напряму в tenant, оминаючи очікуваний gateway, особливо якщо SPF, DKIM або DMARC failed.
- Попередити finance, HR, helpdesk і executive assistants, що знайоме ім’я або внутрішній sender не гарантує справжність листа.
- Якщо підозрілий лист відкривали, перевірити endpoint, ознаки крадіжки облікових даних і змінити паролі для акаунтів, де користувач вводив credentials або підтверджував MFA.
Gridinsoft Anti-Malware може допомогти перевірити Windows-пристрій після відкриття підозрілого вкладення або посилання. Але виправлення маршрутизації пошти треба робити окремо в Microsoft 365.
На що звертати увагу користувачам
Ghost-Sender робить знайоме ім’я відправника менш надійним сигналом. Будьте обережні з листами від payroll, finance, legal, Microsoft, керівника або внутрішньої support-системи, якщо вони просять пароль, MFA-підтвердження, оплату, gift card, зміну реквізитів або завантаження файлу.
Якщо лист тисне терміновістю, відкрийте окремий чат або зателефонуйте відправнику за відомим контактом. Не відповідайте в той самий підозрілий thread як єдиний спосіб перевірки.
FAQ
Ghost-Sender — це вірус?
Ні. Це ризик конфігурації поштового маршруту й підміни відправника в Exchange Online. Вірус стає актуальним, якщо підроблений лист змушує користувача відкрити шкідливий файл або ввести пароль.
DMARC автоматично блокує Ghost-Sender?
Не в ризиковій конфігурації, яку описує InfoGuard. У дослідженні є приклади, де SPF, DKIM і DMARC failed, але лист все одно дійшов до inbox через прямий шлях доставки в tenant.
Звичайним користувачам Outlook треба щось змінювати?
Проблема передусім на рівні організації та Microsoft 365/Exchange Online. Користувачам варто не довіряти тільки імені відправника й перевіряти чутливі запити через інший канал.
Джерела
- InfoGuard Labs. “Ghost-Sender – Universal Email Spoofing against Exchange Online.” InfoGuard Labs, published June 9, 2026, accessed June 9, 2026. https://labs.infoguard.ch/posts/ghost-sender/
- Microsoft Learn. “Anti-spoofing protection for cloud mailboxes.” Microsoft Defender for Office 365 documentation, accessed June 9, 2026. https://learn.microsoft.com/en-us/defender-office-365/anti-phishing-protection-spoofing-about
