所有用过微软Outlook加密邮件（S/MIME）功能的用户请注意，这个功能有Bug，它在发送加密邮件的同时，还会附带一份未加密版本的内容。

安全公司SEC Consult在今年5月份发现漏洞（CVE-2017-11776），他们发现只要拦截Outlook发送加密邮件的网络连接，触发编程错误，就能读取未加密版本内容。

加密邮件（S/MIME）是邮件端到端加密的国际标准，主流邮箱软件均支持该功能。要使用S/MIME，需要配置软件安装个人证书，并与收件人交换证书。

当Outlook用户用S/MIME发送纯文本邮件时，就会触发漏洞。你在发送文件夹里看到已发送一封加密文件，但收件人实际上收到两封，一封加密、一封明文。

只有格式化为“纯文本”的加密邮件受漏洞影响

SEC Consult公司在昨天公布的报告里称：“这个漏洞发现过程有点不同寻常。”

与常见的漏洞挖掘过程不同，我们并没有想找Outlook的漏洞，只是偶然在使用过程中发现了它。当看到S/MIME邮件的内容竟然明文显示时，我们知道这里肯定有问题。

加密邮件漏洞还有其它负面影响，具体取决于用户如何配置邮箱。

如果是Exchange，那纯文本加密邮件的内容只有收件人可以看到；

如果是SMTP，不仅收件人，还有邮箱服务器也会看到，基本上加密功能算是废了。

微软声称漏洞“不太可能”被野外利用，但信息安全专家们并不认可。

SEC Consult 5月份向微软报告漏洞后，6月微软官方论坛有用户也反馈了该问题。今年10月，微软在周二补丁日的更新包里修复了漏洞，大家更新到Outlook最新版本即可不受影响。