微軟近日宣布Exchange Online 的 Exchange Web Services(EWS)API 將於 2027 年 4 月正式退役,同時正在處理將合法郵件誤判為釣魚郵件的服務事件。
EWS API服役近20年後將退役
EWS 是一個跨平台 API,讓開發者能存取 Exchange 信箱項目,包括電子郵件、會議和聯絡人。這項 API 自 Exchange Server 2007 開始支援,已服務近 20 年。微軟表示,雖然 EWS 過去表現良好,但已無法滿足現今對安全性、擴展性和可靠性的需求。
微軟 Exchange 團隊將採用分階段且由管理員控制的停用計畫。
從 2026 年 10 月 1 日起,微軟將預設封鎖 Exchange Online 的 EWS 存取,但管理員可透過應用程式允許清單(application allowlist)暫時維持存取權限。最終關閉日期訂於 2027 年 4 月 1 日,屆時不提供任何例外。
管理員若在 2026 年 8 月底前建立允許清單並完成設定,就能避免 10 月的自動封鎖。從 2026 年 9 月開始,微軟將根據各租戶的使用模式,為尚未建立允許清單的組織預先填入清單。微軟也可能進行暫時性的「尖叫測試」(scream tests),在最終關閉前暫時停用 EWS 以找出隱藏的相依性。此外,微軟將透過訊息中心每月通知 IT 管理員,提供租戶專屬的提醒和使用摘要。
值得注意的是,
此次退役僅影響 Microsoft 365 和 Exchange Online 環境,內部部署的 Exchange Server 上的 EWS 將繼續運作。微軟建議開發者改用 Microsoft Graph API,該 API 在大多數情境下已具備與 EWS 幾乎相同的功能。
對於混合部署情境,內部部署信箱可繼續使用 EWS,但雲端信箱必須改用 Graph API。自動探索(Autodiscover)功能將協助應用程式自動判斷信箱位置。不過,只有 Exchange Server 訂閱版(Exchange SE)支援呼叫 Exchange Online 的 Graph API,因此混合部署客戶必須使用 Exchange SE 來託管內部部署信箱。
此公告是微軟在 2023 年 9 月首次宣布 EWS API 退役計畫的後續行動。早在 2018 年,微軟就警告 EWS 將停止功能更新。2021 年 10 月,微軟宣布棄用 25 個最少使用的 EWS API,並於 2022 年 3 月基於安全考量移除這些 API 的支援。
Exchange Online誤判合法郵件為釣魚郵件
另一方面,微軟正在處理自 2 月 5 日起發生的 Exchange Online 服務事件。該事件導致合法郵件被錯誤標記為釣魚郵件並遭隔離,影響用戶的電子郵件收發。
微軟近期發布服務警示,指出部分用戶的合法郵件在 Exchange Online 中被誤判為釣魚郵件並遭隔離。微軟已確認問題源於郵件中的 URL 被錯誤標記為釣魚連結。隨著識別可疑郵件的標準不斷演進,垃圾郵件和釣魚技術也變得更複雜,以規避偵測。
微軟證實問題來自一項新的 URL 規則,該規則錯誤地將某些 URL 標記為惡意內容,並將郵件判定為釣魚攻擊。這項原本用於識別更複雜垃圾郵件和釣魚郵件的更新規則,意外地在 Exchange Online 中隔離了合法郵件。
目前尚未公布受影響的客戶數量或地區,在問題解決之前,微軟正在釋放遭隔離的郵件,受影響的用戶可能會開始在收件匣中看到先前被標記的郵件。
微軟表示正在審查受影響用戶的隔離郵件釋放作業,並確認合法 URL 已解除封鎖。部分用戶可能會看到先前遭隔離的郵件陸續送達。一旦有預估解決時間,微軟將立即提供更新。
過去幾年,微軟多次遇到類似問題,導致郵件被隔離或誤標為垃圾郵件。2024年3月,Exchange Online 漏洞使反垃圾郵件系統錯誤隔離部分用戶郵件。5月,機器學習模型誤將 Gmail 帳戶郵件標記為垃圾郵件。9月,反垃圾郵件服務漏洞錯誤封鎖 Exchange Online 和 Microsoft Teams 用戶開啟 URL,並隔離部分郵件。
管理員應採取的因應措施
針對 EWS API 退役,建議管理員採取以下行動:
- 盤點組織內使用 EWS API 的應用程式和服務
- 在 2026 年 8 月底前建立應用程式允許清單,避免 10 月自動封鎖
- 規劃將應用程式遷移至 Microsoft Graph API
- 關注微軟訊息中心的每月通知和使用摘要
- 混合部署環境需評估升級至 Exchange SE 的需求
對於目前遭遇郵件誤判問題的用戶,建議持續監控收件匣,檢查先前被隔離的郵件是否已送達,並關注微軟發布的最新修復進度。
本文轉載自 BleepingComputer。