技术背景

在创建商业版365 Exchange Online实例时，系统默认启用的直送(direct send)功能可能允许外部或内部用户"按设计"向租户内其他用户发送邮件。系统会为默认Exchange Online实例创建名为"company.mail.protection.outlook.com"的智能主机(smart host)。

默认防护机制

Microsoft提供了内置的反垃圾邮件策略(名为Default)，具有以下特性：

1. 作为默认策略(IsDefault属性为True)且不可删除

2. 自动应用于组织内所有收件人且不可关闭

3. 始终最后执行(优先级为Lowest且不可更改)

Exchange Online Protection(EOP)通过专有的垃圾邮件过滤(内容过滤)技术来减少垃圾邮件，其欺骗检测功能会识别伪造邮件并发送至垃圾箱或隔离区。

研究方法

使用Azure Cloud Shell通过SMTP协议向目标组织的直送智能主机发送消息。虽然可以使用telnet，但更推荐使用PowerShell的Send-MailMessage命令。为简化流程，作者开发了PowerShell脚本工具FindIngressEmail(https://github.com/rvrsh3ll/FindIngressEmails)。

测试使用了简单的设备代码HTML模板。值得注意的是，如果目标使用Outlook桌面客户端应用，该应用会将非"href"标签的URL显示为链接，这可能降低某些内容过滤实例的垃圾邮件评分。

测试结果

通过不同编码方式(ASCII/UTF32/UTF7)和不同发件域(noreply@globo.com/noreply@eircom.net)的测试发现：

1. ASCII编码邮件在3个测试邮箱中有2个进入垃圾箱

2. UTF32编码邮件全部进入垃圾箱

3. 更改发件域后，相同模板邮件成功进入所有收件箱

4. 大规模测试(数百封)显示不同租户对相同模板的处理存在显著差异

防御建议

目前尚未找到完全禁用Exchange Online智能主机的方法。最有效的解决方案是通过IP地址或证书限制来保护智能主机，防止未经认证的用户向组织发送伪造邮件。

结论

Exchange Online管理员需要持续测试入站邮件控制的有效性，并保护直送智能主机免受未认证用户的滥用。研究表明，默认防护策略存在不一致性，组织应采取额外措施增强防护。