Microsoft Exchange Online: Gián đoạn email nghiêm trọng do lỗi lọc

Một sự cố suy giảm dịch vụ đáng chú ý đang ảnh hưởng đến Microsoft Exchange Online, khiến các email hợp pháp của khách hàng bị gắn cờ sai là thư lừa đảo (phishing), sau đó bị cách ly (quarantine) và làm gián đoạn nghiêm trọng hoạt động liên lạc. Đây là một tin tức bảo mật quan trọng, yêu cầu sự chú ý từ các quản trị viên hệ thống và chuyên gia an ninh mạng.

Tình hình gián đoạn dịch vụ và nguyên nhân

Vấn đề chính và mã sự cố

Sự cố này, được Microsoft định danh là EX1227432, bắt đầu vào ngày 05 tháng 02 năm 2026, lúc 10:31 AM EST và hiện vẫn đang tiếp diễn. Microsoft đã phân loại đây là một sự cố ảnh hưởng trực tiếp đến Exchange Online, khiến nhiều người dùng không thể gửi hoặc nhận email một cách bình thường.

Các tin nhắn hợp pháp đang bị đánh dấu là phishing do các tiêu chí phát hiện quá mức nghiêm ngặt. Điều này được thiết kế để chống lại các chiến thuật spam và lừa đảo ngày càng tinh vi.

Cơ chế phát hiện nhầm lẫn

Nguyên nhân chính được xác định là một quy tắc URL mới. Quy tắc này đã nhầm lẫn các URL an toàn với các URL độc hại, dẫn đến việc email bị chuyển vào khu vực cách ly. Sự cố này gây ra một rủi ro bảo mật cho luồng thông tin kinh doanh, khi các email quan trọng bị chặn sai cách.

Người dùng bị ảnh hưởng nhận thấy email đến và đi của họ bị kẹt trong vùng cách ly, gây ảnh hưởng đến năng suất làm việc của các tổ chức dựa vào Microsoft Exchange Online.

Ảnh hưởng và phạm vi

Tác động đến người dùng và quản trị viên

Phạm vi của sự cố nhắm mục tiêu vào các tin nhắn email cụ thể chứa URL bị gắn cờ. Tuy nhiên, Microsoft chưa cung cấp chi tiết về các khu vực hoặc số lượng khách hàng bị ảnh hưởng. Các quản trị viên báo cáo rằng họ phải thực hiện việc giải phóng thủ công các email bị cách ly.

Một số tin nhắn đã bị cách ly trước đó hiện đã được gửi đi sau các can thiệp từ Microsoft. Điều này cho thấy sự cố đang được xử lý nhưng vẫn cần sự giám sát liên tục từ phía người dùng và quản trị viên.

Phản ứng và tiến độ khắc phục từ Microsoft

Hành động hiện tại và khuyến nghị

Microsoft đang tích cực xem xét các tin nhắn bị cách ly và gỡ chặn các URL hợp pháp để khôi phục dịch vụ. Các bản cập nhật trong cuối tuần đã xác nhận tiến độ, với mục tiêu khắc phục hoàn toàn trong thời gian sớm nhất và thời gian giải quyết ước tính sẽ được công bố.

Microsoft khuyến nghị người dùng bị ảnh hưởng theo dõi trung tâm quản trị Microsoft 365 để cập nhật trạng thái của sự cố EX1227432 tại: Trung tâm quản trị Microsoft 365.

Việc theo dõi chặt chẽ thông báo từ Microsoft là cần thiết để đảm bảo các biện pháp khắc phục được áp dụng kịp thời và giảm thiểu gián đoạn.

Tiền lệ và thách thức trong lọc email

Các sự cố tương tự trước đây

Đây không phải là một sự cố đơn lẻ; Microsoft Exchange Online đã nhiều lần đối mặt với các trường hợp phát hiện sai (false positives). Vào tháng 5 năm 2025, một mô hình học máy đã gắn nhầm email từ Gmail là spam (sự cố EX1064599).

Vào tháng 3 cùng năm, các hệ thống chống spam đã cách ly các tin nhắn hợp pháp. Tháng 9 năm 2025, các lỗi đã chặn URL trong email và Teams. Các trường hợp trước đó bao gồm các liên kết bit.ly và tệp đính kèm kích hoạt cờ phishing có độ tin cậy cao.

Các diễn đàn an ninh mạng đang ráo riết thảo luận về sự thất vọng đối với các chính sách chống phishing của Exchange, vốn ghi đè danh sách trắng (whitelists) đối với các phát hiện có độ tin cậy cao. Người dùng trên Reddit báo cáo các vấn đề dai dẳng kể từ năm 2022, thường yêu cầu gửi yêu cầu hỗ trợ để sửa lỗi ở phía backend.

Các quản trị viên hệ thống đã ghi nhận các mô hình như người gửi thiếu DMARC với tệp đính kèm hoặc chữ ký email có nhiều hình ảnh thường kích hoạt việc cách ly. Đây là một thách thức đối với hệ thống phát hiện tấn công tự động.

Sự phức tạp của hệ thống lọc email AI

Khi các chiến thuật lừa đảo (phishing) phát triển, các hệ thống phòng thủ của Microsoft không ngừng cập nhật, điều này có nguy cơ vượt quá giới hạn. Việc cân bằng giữa bảo mật và khả năng sử dụng là một thách thức lớn. Sự cố này nhấn mạnh những khó khăn của việc lọc email dựa trên AI giữa các mối đe dọa gia tăng như các email nội bộ bị giả mạo.

Nền tảng bảo mật của Microsoft Exchange Online đang phải đối mặt với áp lực lớn để vừa bảo vệ người dùng, vừa duy trì tính liên tục trong giao tiếp.

Khuyến nghị và biện pháp phòng ngừa

Báo cáo sai sót và giải pháp bổ sung

Các tổ chức được khuyến nghị báo cáo các trường hợp phát hiện sai (false positives) thông qua các công cụ cách ly và xem xét các bộ lọc của bên thứ ba để tăng cường dự phòng. Việc chủ động báo cáo giúp Microsoft cải thiện thuật toán phát hiện và giảm thiểu các sự cố tương tự trong tương lai.

Trong một tuyên bố, Microsoft đã nhấn mạnh những cải tiến liên tục để ngăn chặn sự tái diễn, mặc dù chưa có thời gian biểu cụ thể cho việc khắc phục hoàn toàn. Khách hàng nên kiểm tra các vùng cách ly thường xuyên và tránh bỏ qua các chính sách, vì các phát hiện phishing có độ tin cậy cao thường bỏ qua hầu hết các tùy chọn ghi đè. Điều này cho thấy tầm quan trọng của việc hiểu rõ cơ chế hoạt động của Microsoft Exchange Online và các tùy chỉnh bảo mật của nó.