你遇到的这个问题确实挺蹊跷的，我结合Exchange和邮件协议的知识帮你拆解分析下：

先梳理下你碰到的核心异常点：

• Outlook 2016中邮件显示Word图标，双击直接用Word打开，无法使用回复/转发功能，主题是DOCX文件名
• 发件人显示为收件人本人，但用户确认自己从未发送过这封邮件
• OWA里使用「查看邮件详情」功能时，提示“未找到此邮件的详细信息”
• 完全无法在邮件跟踪日志中找到这封邮件的记录

成因分析 #

这种异常邮件本质是恶意构造的非标准MIME格式邮件。正常邮件的MIME结构会明确区分邮件头、正文、附件等部分，而这封邮件被篡改了Content-Type头部，直接设置为DOCX文件对应的MIME类型：application/vnd.openxmlformats-officedocument.wordprocessingml.document。

Outlook会根据邮件的Content-Type来决定渲染和打开方式，所以它会把这封邮件当成Word文档处理，也就出现了显示Word图标、直接用Word打开的情况；而OWA对非标准MIME结构的兼容性更严格，无法解析这种畸形邮件，因此会提示找不到详情。

至于发件人显示为收件人本人，是因为攻击者篡改了邮件的From字段，将其伪装成收件人的邮箱地址——这在邮件协议里是可以轻易实现的，只要构造邮件时修改对应的头部字段即可。

可能的发送途径 #

这类邮件能进入用户邮箱，大概率是通过以下几种方式：

• 利用Exchange匿名中继配置漏洞：如果你的Exchange服务器被配置为允许匿名中继（比如为了某些内部应用发邮件而开放了权限），攻击者可以直接构造这种畸形MIME邮件，通过中继服务器发送到用户邮箱，这种方式可能绕过Exchange的部分检查，导致邮件跟踪日志无法记录轨迹。
• 用户邮箱权限被盗：攻击者通过钓鱼等方式获取了用户的邮箱账号密码，然后用第三方邮件客户端（甚至Outlook）发送这种构造好的邮件。因为是用用户自己的账号发送，部分防护规则可能会放行，而且如果是本地客户端发送，邮件跟踪日志可能不会记录完整轨迹。
• 绕过邮件过滤机制：有些攻击者会利用邮件过滤系统的漏洞，把畸形MIME邮件伪装成合法内容绕过检测，直接投递到用户邮箱。

验证建议 #

你可以右键点击这封邮件，在Outlook里选择**「查看源代码」**，查看邮件的原始MIME内容，重点检查：

• Content-Type字段是否为DOCX对应的MIME类型
• From字段的原始值是否真的是收件人邮箱，还是被篡改的内容

备注：内容来源于stack exchange，提问作者Mariusz Cegiełka