DMARCeye blog

Chyba Ghost-Sender v Exchange Online: co zkontrolovat nad rámec DMARC

Written by Jack Zagorski | 13.7.2026 8:04:13

Ghost-Sender je nově zdokumentovaná chyba ve způsobu, jakým Microsoft Exchange Online přijímá příchozí poštu. Umožňuje útočníkovi doručit podvržený e-mail, který vypadá, jako by přišel od kolegy nebo důvěryhodné značky, přestože zpráva neprojde žádnou z ověřovacích kontrol, které mají padělanou poštu zachytit. Bezpečnostní výzkumníci ze společnosti InfoGuard tuto techniku zveřejnili 9. června 2026 a Microsoft ji označil za známé architektonické omezení, nikoli za chybu, kterou hodlá opravit.

Chyba se týká organizací, které směrují příchozí poštu přes spamový filtr třetí strany, než se dostane do Microsoft 365. Toto uspořádání je běžné, zejména u firem, jejichž IT spravuje agentura nebo poskytovatel služeb. Vynucování DMARC je obvyklou obranou proti spoofingu, ale tento útok nezastaví, protože podvržená pošta vstupuje cestou, kde se výsledek DMARC nikdy neuplatní. Následující části vysvětlují, jak technika funguje, proč ji samotné ověřování nezastaví a která nastavení Microsoft 365 tuto mezeru uzavřou.

Co najdete v tomto průvodci

Co je chyba Ghost-Sender?

Ghost-Sender je technika pro doručování podvržených e-mailů do schránek Microsoft 365. Zpráva se tváří, že přichází od důvěryhodného kolegy nebo známé značky. Ověřovací kontroly toto tvrzení vyhodnotí jako nepravdivé, a Exchange Online zprávu přesto doručí.

Výzkumníci ze společnosti InfoGuard techniku veřejně popsali 9. června 2026. Při jejich testování dorazila do schránky zpráva, která se tvářila, že přichází z adresy noreply@microsoft.com, s negativním výsledkem u každé kontroly: SPF selhalo, DKIM chybělo a DMARC selhalo. Takové výsledky obvykle znamenají, že je zpráva odmítnuta nebo skončí ve složce spam. Tato zpráva byla doručena.

Technika nevyžaduje žádná odcizená hesla ani změny v DNS cílové domény. Zneužívá způsob, jakým Exchange Online směruje příchozí poštu, takže funguje i proti doméně, která má záznamy SPF, DKIM i DMARC nastavené správně.

Jak útočníci obcházejí filtrování Exchange Online

Mnoho organizací nesměruje poštovní záznamy své domény přímo na Microsoft. Před něj předřadí bezpečnostní bránu třetí strany: filtr spamu a malwaru od dodavatele, jako je Proofpoint, Mimecast nebo Barracuda. Jejich záznam MX (položka v DNS, která světu říká, kam doručovat poštu) míří na tento filtr, nikoli na Microsoft. Pošta by měla proudit jedním směrem: z internetu na filtr, z filtru na Microsoft a z Microsoftu do schránky.

Problém je v tom, že doručovací adresa samotného Microsoftu zůstává celou dobu dostupná. Každá organizace v Microsoft 365 (v terminologii Microsoftu „tenant“) má přímou doručovací adresu ve tvaru yourdomain.mail.protection.outlook.com a přijímá poštu od kohokoli na internetu. Útočník, který odešle na tuto adresu, se dostane přímo do Exchange Online a filtr třetí strany úplně obejde. Filtr zprávu nikdy neuvidí, takže se neuplatní žádné z jeho pravidel proti spoofingu ani phishingu.

Protože zpráva přichází přes vlastní infrastrukturu Microsoftu, Exchange Online jí důvěřuje více než zprávě přicházející z otevřeného internetu. Tato nemístná důvěra je jádrem celé chyby.

Proč to SPF, DKIM a DMARC nezachytí?

SPF, DKIM a DMARC jsou kontroly, které přijímající poštovní server provádí, aby rozhodl, zda zpráva skutečně pochází z domény uvedené v adrese From. Jsou základní obranou proti spoofingu domény a zachytí jeho naprostou většinu.

Ghost-Sender tyto kontroly neporáží. Obchází místo v doručování, kde se jejich výsledek uplatní. Podvržená zpráva u všech tří skutečně selže, přesně jak ukázal test InfoGuardu. Pošta ale už byla přijata na přímé doručovací adrese Microsoftu a Exchange Online neuplatňuje stejné vynucování DMARC na poštu, kterou považuje za interní. Výsledek ověření zní „fail“ a zpráva je přesto doručena.

Nic z toho neznamená, že je DMARC volitelný. DMARC je stále kontrola, která zastavuje běžný spoofing: podvržené faktury od dodavatelů, falešné žádosti vedení o platby a phishing z napodobených domén, který se vaší koncové adresy Exchange nikdy nedotkne. Ghost-Sender je úzká architektonická výjimka a nic nemění na tom, proč pod ním DMARC potřebujete.

Zprávy podvržené tímto způsobem míří na infrastrukturu, kde je čisté ověřování už tak obtížné udržet. Podle průzkumu DMARCeye za 1. čtvrtletí 2026 vykázala pošta přiřazená k infrastruktuře Microsoftu shodu 90,0 %, přičemž SPF selhalo u 26,6 % zpráv a DKIM u 19,6 %. Významná část legitimní pošty odesílané přes Microsoft se už tak ověřuje nečistě. Jak průzkum za 1. čtvrtletí uvádí, nízká shoda u velkého poskytovatele je téměř vždy problém konfigurace na straně odesílatele, nikoli chyba samotné platformy. Obvyklou příčinou jsou zákazníci, kteří do svého DNS nepřidali správné klíče DKIM, nebo jejichž objem odesílání přerostl jejich záznam SPF.

Nejde o to, že by pošta Microsoftu byla slabá. Jde o to, že tok pošty v Microsoft 365 je složité nakonfigurovat správně, a Ghost-Sender zneužívá jednu konkrétní mezeru v tom, jak je nasměrováno příchozí směrování.

Kompletní report si můžete stáhnout zde:

 

Reakce Microsoftu: „známé architektonické omezení“

InfoGuard nahlásil problém Microsoftu 21. dubna 2026. Microsoft nasadil interní zmírnění hned následující den a poté ho 27. dubna stáhl. Dne 29. května 2026 Microsoft označil Ghost-Sender za známé architektonické omezení, nikoli za zranitelnost produktu, a k tomuto datu neexistovala žádná oprava na úrovni platformy.

V praxi to znamená, že odpovědnost za uzavření mezery leží na každé organizaci, nikoli na opravě, která přijde automaticky. Microsoft zpřísňuje související výchozí nastavení a noví zákazníci teď mají funkci Direct Send (na které útok stojí) ve výchozím stavu zakázanou, a to po změně, kterou Microsoft začal zavádět počátkem roku 2026. Stávající tenanty si ponechávají svou současnou konfiguraci, dokud ji správce nezmění.

Pokud provozujete Microsoft 365 s externím filtrem, nemůžete čekat, až oprava přijde. Musíte konfiguraci zkontrolovat a upravit sami.

Jste ohroženi? Jak zkontrolovat nastavení Exchange Online

Potenciálně jste ohroženi, pokud platí dvě věci: vaše organizace používá Microsoft 365 (nebo Exchange v hybridním režimu) a záznam MX vaší domény míří na filtr třetí strany namísto přímo na Microsoft. To se týká velké části spravovaných tenantů, protože předřazení vyhrazené bezpečnostní brány před Microsoft je běžné řešení.

Skenování InfoGuardu zjistilo, že přes 20 % domén Exchange Online, které v rámci bug bounty programů otestoval, se jevilo jako zranitelné, a že méně než polovina prostředí využívajících externí záznam MX měla zavedené jakékoli zmírnění.

Při kontrole tenantu projděte tři otázky:

  • Kam míří záznam MX? Pokud míří jinam než na *.mail.protection.outlook.com, pošta se směruje přes třetí stranu a přímá adresa Microsoftu zůstává vystavená.
  • Je příchozí konektor omezený? V centru pro správu Exchange zkontrolujte své příchozí konektory. Konektor, který omezuje odesílatele podle rozsahu IP nebo TLS certifikátu, je tou kontrolou, která mezeru uzavírá. Pokud žádné takové omezení neexistuje, tenant je pravděpodobně otevřený.
  • Je zapnutý Direct Send? Direct Send umožňuje poště dorazit do schránek bez ověření. Pokud je zapnutý a žádné transportní pravidlo to nekompenzuje, podvržená pošta může projít.

Co teď dělat: praktická opatření

Ghost-Sender spolehlivě blokují dvě konfigurace a vlastní ovládání funkce Direct Send od Microsoftu přidává třetí vrstvu.

  1. Omezte příchozí konektor. Vytvořte nebo upravte příchozí konektor typu Partner Organization tak, aby se vztahoval na poštu z libovolné domény a přijímal jen zprávy, které projdou ověřením podle rozsahu IP nebo TLS certifikátu. Tím Exchange Online řeknete, aby důvěřoval příchozí poště jen z adres vašeho filtru, nikoli od kohokoli, kdo přímou doručovací adresu najde.
  2. Přesuňte do karantény nedůvěryhodnou poštu, která se tváří jako interní. Přidejte transportní pravidlo s nejvyšší prioritou (priorita 0), které přesune do karantény každou příchozí zprávu, jež nenese hlavičku X-MS-Exchange-Organization-AuthAs: Internal ze schváleného zdroje nebo nepřichází z vašich schválených rozsahů IP. Jednoduše řečeno, tím zachytíte poštu, která se tváří jako interní, ale nedorazila důvěryhodnou cestou.
  3. Vypněte Direct Send. Direct Send je funkce Microsoft 365, která umožňuje zařízením a aplikacím odesílat poštu přes tenant bez ověření. Její vypnutí (nastavení RejectDirectSend) odstraní konkrétní cestu, kterou Ghost-Sender zneužívá. Nejdřív ověřte, že vaše legitimní tiskárny, skenery a firemní aplikace používají ověřený konektor.

Nejde o problém DMARC, ale o problém konfigurace Microsoft 365 s řešením v Microsoft 365. DMARC monitoring přidává viditelnost. Když podvržená zpráva neprojde SPF, DKIM ani DMARC, Microsoft toto selhání přesto zaznamená a zahrne do vašich souhrnných zpráv DMARC. Nástroj, který tyto zprávy čte za vás, ukáže podvrženou poštu, která neprošla ověřením a je odesílána jménem vaší domény ze zdrojů, které nepoznáváte. Přesně to je signál, že je proti vám technika jako Ghost-Sender použita. Bezplatný plán DMARCeye pokrývá jednu doménu a mění surová data z těchto zpráv na srozumitelný přehled o tom, kdo odesílá vaším jménem a co selhává.

Pokud si chcete hned zobrazit, co vaše doména aktuálně publikuje, začněte jejím současným záznamem DMARC:

 

Praktické shrnutí

Zabezpečení e-mailu funguje ve vrstvách a žádná jednotlivá vrstva nepokryje všechno. DMARC je nezbytným základem: ověřuje doménu v adrese From a zastavuje širokou kategorii spoofingu, která tvoří většinu e-mailových podvodů. Tato chyba jej neoslabuje. Odhaluje jinou vrstvu: důvěru, kterou Microsoft 365 vkládá do svého vlastního interního toku pošty. DMARC nebyl nikdy navržen k tomu, aby tuto vrstvu řídil, a zabezpečit ji dokáže jen vaše konfigurace Microsoft 365.

Pro agentury a poskytovatele IT zní sdělení klientovi současně obojí: ponechte vynucování DMARC v platnosti, protože zastavuje většinu spoofingu, a uzavřete mezeru v Exchange Online, protože tam DMARC nedosáhne.

Tato dvoudílná odpověď je prací, kterou považujeme za nejdůležitější. DMARCeye existuje proto, aby lidem dal jasnou viditelnost do toho, kdo odesílá jménem jejich domény, a aby vysvětlil spoofing, skutečné riziko, které přináší, a řešení, která fungují, včetně těch, jež jako toto leží mimo samotné DMARC.