最初Guardio發現一大批來自知名企業及品牌的網路釣魚郵件，它們都有正確的簽章及通過身分驗證，但經過進一步調查後，Guardio確認駭客是透過特定管道讓釣魚郵件得到DKIM簽章並通過SPF驗證流程，而且，這些信件皆透過Proofpoint的中繼伺服器pphosted.com發送。

研究人員拆解這些郵件送達受害者信箱的途徑，發現都是從設置在虛擬伺服器的SMTP伺服器送出，然後經過Microsoft 365 Online的Exchange伺服器，以及特定的Proofpoint伺服器，才送到受害者手上。雖然信件來源的SMTP伺服器及M365租戶不同，但共通點是它們都會經過位於pphosted.com的中繼伺服器。

究竟駭客如何濫用Proofpoint的資安系統？Guardio研究人員指出，問題源於該中繼伺服器存在一個過度縱容的組態配置缺陷，從而讓攻擊者有機可乘，利用DNS的MX紀錄設置動手腳，將其用來發送郵件。

對此，Proofpoint也做出說明，該公司今年3月得知有人透過部分客戶的電子郵件基礎設施，以及Microsoft 365租戶來發送垃圾郵件的情況，而這項攻擊行動發生的根本原因在於，Proofpoint在伺服器組態提供可修改路由設定的功能，允許轉送來自所有M365租戶的郵件，對此，他們調整管理介面，提供用戶指定轉送特定M365租戶信件的功能，並預設拒絕所有的租戶。

該公司強調，他們客戶的資料並未外流，使用Proofpoint Essentials的客戶不受影響。Proofpoint特別提及，這項弱點並非他們的系統獨有，並認為只要提供電子郵件轉發功能的基礎設施，都有可能出現被濫用的情況。