在端到端加密（E2EE）消息系统中，保护通信元数据（例如谁与谁通信、在什么时间通信等）仍然是一个具有挑战性的问题。现有的设计大多需要在安全性、性能和信任假设之间进行权衡：1) 具有加密安全性的设计通常需要大量的计算资源，这会导致大规模部署时的性能瓶颈和高昂的运营成本；2) 性能更好的系统往往采用较弱的安全保障机制（如差分隐私），并且通常需要相关服务器提供更多的信任。到目前为止，还没有一个主导性的解决方案。在本文中，我们采取了与现有技术不同的技术路线，提出了Boomerang——一种利用安全隔离环境（如云中出现的隔离环境）中普遍存在的信任假设的替代性元数据隐私保护消息系统。通过一系列精心设计的消息混淆技术、工作负载分配策略以及主动调整通信模式的方法，Boomerang实现了低延迟、水平扩展性和加密安全性，且不会带来过高的额外成本。使用32台机器，Boomerang能够为20个客户端提供99%置信水平的7.76秒延迟。此外，我们还基于现代网页浏览器扩展程序实现了一个新的客户端版本。我们希望Boomerang能为当前的元数据隐私保护消息系统设计提供有吸引力的替代方案。