Ghost-Sender : usurpation universelle d'emails contre Exchange Online via mauvaise configuration
🔍 Contexte Publié le 9 juin 2026 par Lucas Dodgson, Tobias Oberdörfer et Robin Hilber (InfoGuard Labs), cet article de recherche offensive décrit une vulnérabilité de configuration baptisée Ghost-Sender, affectant Microsoft Exchange Online utilisé en combinaison avec un enregistrement MX externe (solution de filtrage tiers ou anti-spam). ⚠️ Description de la vulnérabilité Ghost-Sender exploite le comportement par défaut d’Exchange Online qui accepte tout email entrant directement adressé au tenant, indépendamment des résultats des contrôles SPF, DKIM et DMARC. Lorsqu’un enregistrement MX externe est configuré (ex : Mailgun, solution anti-spam tierce), un attaquant peut contourner ce filtrage en envoyant directement au endpoint Exchange Online (*.mail.protection.outlook.com), livrant des emails usurpés depuis n’importe quel expéditeur interne ou externe. ...