Microsoft naprawia błąd w klasycznym Outlooku blokujący dostęp do szyfrowanych e-maili („Encrypt Only”)

Wprowadzenie do problemu / definicja luki

Na przełomie grudnia 2025 i stycznia 2026 część organizacji korzystających z klasycznego Outlooka dla Microsoft 365 natrafiła na uciążliwy błąd: odbiorcy nie mogli otwierać wiadomości zaszyfrowanych polityką „Encrypt Only”. Zamiast treści e-maila pojawiał się załącznik message_v2.rpmsg, a w okienku podglądu komunikat sugerujący konieczność weryfikacji poświadczeń.

To nie była „luka” w sensie wycieku danych, ale błąd funkcjonalny dotykający krytycznego procesu bezpieczeństwa: poufnej komunikacji e-mail (szyfrowanie wiadomości w ramach Microsoft 365).

W skrócie

• Problem pojawiał się po aktualizacji do Current Channel Version 2511 (Build 19426.20218).
• Dotyczył wiadomości szyfrowanych jako „Encrypt Only”; odbiorca widział message_v2.rpmsg zamiast treści.
• Status w oficjalnym komunikacie: FIXED – poprawka jest już dostępna w kanałach testowych i ma trafić szerzej zgodnie z harmonogramem aktualizacji.
• Workaroundy: zmiana sposobu szyfrowania po stronie nadawcy (użycie szyfrowania z poziomu wstążki Options) albo cofnięcie pakietu Office do wcześniejszego builda.

Kontekst / historia / powiązania

W tle mamy dwa równoległe zjawiska:

1. Migrację użytkowników do „nowego Outlooka” (który ma inną architekturę i inne zachowanie niż klasyczny klient Win32).
2. Coraz większą zależność organizacji od mechanizmów typu Microsoft Purview Message Encryption / IRM (szyfrowanie i ograniczenia uprawnień), szczególnie w workflowach compliance.

Błąd opisywany przez media branżowe pojawił się po aktualizacji i został oficjalnie opisany przez producenta, a następnie oznaczony jako naprawiony.
Relację z wdrożeniem fixu opublikował m.in. BleepingComputer.

Analiza techniczna / szczegóły luki

Co oznacza „Encrypt Only” i skąd message_v2.rpmsg?

• „Encrypt Only” to tryb, który szyfruje wiadomość, ale (w założeniu) nie narzuca restrykcji typu „Do Not Forward” – czyli nie blokuje automatycznie drukowania/kopiowania/przekazywania (w zależności od konfiguracji polityk).
• Plik *.rpmsg (Rights Protected Message) jest „opakowaniem” treści chronionej mechanizmami IRM/OME. W normalnych warunkach Outlook powinien ten kontener zrenderować i pokazać treść użytkownikowi. W scenariuszu błędu użytkownik widział jedynie załącznik, czyli aplikacja „nie przeszła” poprawnie ścieżki odszyfrowania/renderowania.

Kiedy problem występował?

Producent wskazał konkretnie, iż problem pojawia się po aktualizacji do Current Channel Version 2511 (Build 19426.20218).

Jak wygląda naprawa (wersje/kanały)?

Według komunikatu wsparcia, fix jest dostępny / zaplanowany w następujących buildach:

• Beta Channel Version 2602 (Build 19720.15160) – dostępny w kanale Beta,
• Current Channel Preview Version 2602 (Build 19725.20000) – początek lutego 2026,
• Current Channel Version 2602 (Build 19725.20000) – 24 lutego 2026.

To ważne: jeżeli organizacja jest na Monthly Enterprise / Semi-Annual, to termin dostępności może się różnić od Current Channel – dlatego w praktyce trzeba sprawdzić przypisany kanał aktualizacji M365 Apps. (Lista buildów i ich dat występuje w tabelach historii aktualizacji).

Praktyczne konsekwencje / ryzyko

Największe ryzyko to utrata dostępności informacji (availability), nie poufności:

• użytkownicy nie są w stanie odczytać zaszyfrowanej korespondencji (np. dane osobowe, dokumenty prawne, incydenty, informacje handlowe),
• potencjalne opóźnienia w procesach: HR, prawny, SOC/CSIRT, zakupy, obsługa klienta,
• rośnie presja na „obejścia”, które mogą obniżać bezpieczeństwo (np. rezygnacja z szyfrowania lub przerzucenie danych do mniej kontrolowanych kanałów).

Jednocześnie sam fakt, iż wiadomość „nie daje się otworzyć”, nie oznacza kompromitacji szyfrowania – to problem kompatybilności/obsługi w kliencie po aktualizacji.

Rekomendacje operacyjne / co zrobić teraz

1) Zweryfikuj, czy jesteś w grupie ryzyka

• Sprawdź wersję Outlooka / Microsoft 365 Apps (np. w Outlook: File → Office Account → About Outlook).
• Jeśli widzisz Version 2511 (Build 19426.20218) i symptomy pasują (komunikat w Reading Pane + message_v2.rpmsg) – problem jest bardzo prawdopodobny.

2) Najlepsza ścieżka: aktualizacja do builda z poprawką

• Jeżeli możesz, zaplanuj aktualizację do wersji wskazanej jako naprawiająca problem (docelowo Current Channel 2602 / Build 19725.20000 – 24 lutego 2026).
• Dla środowisk zarządzanych: wypchnij update najpierw na pilot, potem szerzej.

3) Gdy nie możesz od razu aktualizować: workarounds (krótkoterminowo)

Producent wskazał dwie praktyczne opcje:

• Zmiana sposobu szyfrowania po stronie nadawcy: zamiast używać File → Encrypt, użyj szyfrowania z poziomu wstążki Options → Encrypt (wprost wskazane jako obejście).
• Cofnięcie Office do wcześniejszego builda (gdy to dopuszczalne polityką IT): Microsoft podaje przykład cofnięcia do 16.0.19426.20186 poleceniem officec2rclient.exe /update user updatetoversion=... (wymaga uprawnień i kontroli zmian).

Uwaga operacyjna: rollbacki wersji Office potrafią mieć skutki uboczne (zgodność dodatków, zmiany bezpieczeństwa, rozjazd z polityką patch management). jeżeli już – to najlepiej jako kontrolowana akcja tymczasowa, z jasną datą powrotu na wspierany build.

4) Komunikacja do użytkowników (prosty komunikat IT)

• Nie „naprawiajcie” problemu przez wyłączanie szyfrowania dla poufnych danych.
• Jeśli musicie wysłać szyfrowaną wiadomość „tu i teraz” – użyjcie Options → Encrypt, a nie File → Encrypt (do czasu aktualizacji).

Różnice / porównania z innymi przypadkami

• Ten incydent przypomina klasę problemów, w których zmiana w kliencie (Outlook) psuje obsługę mechanizmów ochrony informacji (IRM/OME) – często objawia się to kontenerem rpmsg zamiast treści.
• W odróżnieniu od podatności bezpieczeństwa (CVE), tutaj mówimy o regresji funkcji bezpieczeństwa: szyfrowanie działa „w teorii”, ale klient nie potrafi poprawnie wyświetlić treści.

Podsumowanie / najważniejsze wnioski

• Jeśli Twoja organizacja korzysta z klasycznego Outlooka i szyfrowania „Encrypt Only”, upewnij się, iż nie utknęłaś na Version 2511 (Build 19426.20218).
• Microsoft oznaczył problem jako naprawiony, z jasnym wskazaniem buildów i dat rollout’u (w Current Channel: 24 lutego 2026).
• Do czasu aktualizacji: zmień UX szyfrowania po stronie nadawcy (Options → Encrypt) albo rozważ kontrolowany rollback – ale tylko jako tymczasowe obejście.

Źródła / bibliografia

1. Microsoft Support – „Classic Outlook recipients are unable to open ‘Encrypt Only’ emails” (status, objawy, wersje z fixem, workarounds). (Microsoft Support)
2. BleepingComputer – opis wdrożenia poprawki i kontekst incydentu. (BleepingComputer)
3. Microsoft Learn – „Update history for Microsoft 365 Apps (listed by date)” (historia wersji/buildów i dat). (Microsoft Learn)
4. TechRadar – omówienie problemu i obejść (kontekst użytkowy). (TechRadar)