最初Guardio发现一大批来自知名企业及品牌的网络钓鱼邮件，它们都有正确的签章及通过身分验证，但经过进一步调查后，Guardio确认黑客是通过特定管道让钓鱼邮件得到DKIM签章并通过SPF验证流程，而且，这些信件皆通过Proofpoint的中继服务器pphosted.com发送。

研究人员拆解这些邮件送达受害者信箱的途径，发现都是从设置在虚拟服务器的SMTP服务器送出，然后经过Microsoft 365 Online的Exchange服务器，以及特定的Proofpoint服务器，才送到受害者手上。虽然信件来源的SMTP服务器及M365租户不同，但共通点是它们都会经过位于pphosted.com的中继服务器。

究竟黑客如何滥用Proofpoint的资安系统？Guardio研究人员指出，问题源于该中继服务器存在一个过度纵容的组态配置缺陷，从而让攻击者有机可乘，利用DNS的MX纪录设置动手脚，将其用来发送邮件。

对此，Proofpoint也做出说明，该公司今年3月得知有人通过部分客户的电子邮件基础设施，以及Microsoft 365租户来发送垃圾邮件的情况，而这项攻击行动发生的根本原因在于，Proofpoint在服务器组态提供可修改路由设置的功能，允许转送来自所有M365租户的邮件，对此，他们调整管理界面，提供用户指定转送特定M365租户信件的功能，并默认拒绝所有的租户。

该公司强调，他们客户的数据并未外流，使用Proofpoint Essentials的客户不受影响。Proofpoint特别提及，这项弱点并非他们的系统独有，并认为只要提供电子邮件转发功能的基础设施，都有可能出现被滥用的情况。