诈骗分子利用微软内部邮件系统的漏洞，冒用微软官方通知邮箱(msonlineservicesteam@microsoftonline.com)发送垃圾邮件和诈骗链接，伪装成账户安全警报等正规通知。该漏洞已存在数月，微软尚未完全解决此问题。反垃圾邮件组织证实这些欺诈邮件包含虚假交易警告等诱导性内容。

【微软官方邮箱遭滥用发送诈骗邮件 安全漏洞数月未解】

近期有诈骗团伙持续利用微软系统漏洞，从本应用于发送账户安全警报的官方邮箱（msonlineservicesteam@microsoftonline.com）大量发送垃圾邮件。据TechCrunch调查，这些伪造邮件包含诱导性主题如"交易异常警报"或"您有未读私信"，内嵌钓鱼网站链接。反垃圾邮件组织Spamhaus Project证实，该漏洞已被滥用长达数月，并指出"自动通知系统不应允许如此高程度的自定义"。

尽管微软通过第三方公关回应称"正在加强检测机制并封禁违规账户"，但截至发稿时，该公司仍未彻底解决该问题。值得注意的是： 1. 诈骗者通过注册新微软账户获取发信权限 2. 邮件伪造技术粗糙但具有迷惑性 3. 同类漏洞近期在Betterment、Namecheap等企业均有出现

（配图说明：TechCrunch提供的诈骗邮件截图样本）

背景延伸： - 2023年Namecheap企业邮箱曾遭类似滥用 - 2024年初Betterment通知系统被入侵用于加密货币诈骗 - 社交媒体反馈显示该问题已波及多家企业邮件系统

（最后更新：补充微软官方回应声明）

总结评论内容：

1. 关于微软域名滥用的疑问

• 主要观点：质疑合法微软域名发送垃圾邮件时的处理机制
• 关键引用： "How does it work when a genuine microsoft domain is spending out spam?"（当合法微软域名发送垃圾邮件时如何处理？） "Microsoft's domain story is such a mess"（微软的域名管理非常混乱）

2. 类似问题的普遍性

• 主要观点：指出PayPal、Booking等平台也存在类似域名滥用问题
• 关键引用： "Is something similar happening with paypal?"（PayPal是否也发生类似情况？） "received a phish attempt that came directly via the Booking site domain"（通过Booking官方域名收到钓鱼尝试）

3. 企业域名管理的批评

• 主要观点：批评企业未能提供完整的官方域名列表
• 关键引用： "companies...are unable publish a list with all domains they officially use"（企业无法提供官方使用的完整域名列表） "it's been reported to MS and no action has been taken"（问题已向微软报告但未采取行动）

4. 相关案例参考

• 主要观点：提供FBI等机构的类似安全事件作为参考
• 关键引用： "it happened to the FBI..."（FBI也发生过类似事件） 提供了两个相关案例链接（abnormal.ai和krebsonsecurity.com）