Outlook, Hotmail et Live.com bloqueront les e-mails sans authentification adéquate pour réduire le spam et l’usurpation d’identité

Microsoft s’engage dans la lutte mondiale contre le spam et le phishing en mettant en place de nouvelles exigences d’authentification pour les expéditeurs d’e-mails à fort volume. À partir du 5 mai 2025, tous les expéditeurs envoyant plus de 5 000 e-mails par jour à des services tels qu’Outlook.com, Hotmail.com ou Live.com devront avoir correctement configuré les protocoles SPF, DKIM et DMARC. Dans le cas contraire, leurs messages risquent d’être redirigés vers le dossier spam ou même rejetés.

Cette initiative fait suite aux mesures renforcées déjà prises par Google et Yahoo en 2024. L’objectif commun est d’augmenter la sécurité des boîtes de réception et d’éviter les fraudes liées à l’usurpation d’identité et à la falsification des expéditeurs.

Quelles sont les nouvelles exigences de Microsoft ?

L’authentification des e-mails repose sur trois technologies complémentaires :

• SPF (Sender Policy Framework) : Vérifie que le serveur qui envoie le courrier est autorisé par le domaine.
• DKIM (DomainKeys Identified Mail) : Ajoute une signature numérique au message pour garantir qu’il n’a pas été modifié.
• DMARC (Domain-based Message Authentication, Reporting and Conformance) : Coordonne SPF et DKIM pour éviter les e-mails falsifiés, exigeant qu’au moins l’un d’eux soit aligné avec le domaine de l’expéditeur.

À partir de mai, Microsoft obligera à avoir au moins une politique DMARC avec la valeur « p=none », permettant la surveillance sans appliquer encore de politiques de rejet. Toutefois, des phases ultérieures pourraient entraîner des politiques plus strictes telles que « quarantaine » ou « rejet », ce qui bloquerait directement les messages non vérifiés.

Calendrier d’application

Qui est concerné ?

Ce nouveau standard affecte directement les entreprises, institutions et expéditeurs massifs, tels que les plateformes de marketing par e-mail, les CRM, les newsletters ou la facturation électronique, qui envoient plus de 5 000 e-mails par jour aux comptes Microsoft.

Cependant, Microsoft recommande que tous les expéditeurs, même ceux avec des volumes plus faibles, mettent en œuvre ces mesures pour améliorer la délivrabilité et protéger leur réputation de domaine.

Bonnes pratiques supplémentaires recommandées

En plus de respecter les normes SPF, DKIM et DMARC, Microsoft conseille :

• Utiliser des adresses d’expéditeur valides et actives.
• Inclure des liens de désinscription clairs et fonctionnels.
• Maintenir une base de données propre, en éliminant les e-mails rebondis ou inactifs.
• Rédiger des sujets honnêtes et concis, en évitant le langage trompeur.

Outils pour faciliter la mise en œuvre

La configuration de ces protocoles peut sembler technique, mais il existe des outils accessibles et gratuits pour leur vérification :

Il est également recommandé de consulter le document officiel du CCN-CERT sur DMARC, qui offre un guide détaillé pour des environnements publics et privés en Espagne.

Une tendance qui ne s’arrêtera pas

Avec ces nouvelles règles, Microsoft s’aligne sur une tendance générale du secteur visant à renforcer la sécurité des e-mails, une des principales portes d’entrée pour les attaques informatiques. La bonne mise en œuvre de ces technologies améliore la délivrabilité, mais protège également la marque de l’expéditeur et la vie privée de l’utilisateur.

Les entreprises, les médias, les universités et toute organisation dépendant de l’e-mail comme canal de communication devraient s’adapter le plus tôt possible pour éviter des interruptions dans leurs envois et maintenir la confiance de leurs destinataires.

Avez-vous des doutes sur la façon d’adapter votre domaine à ces nouvelles normes ? Votre fournisseur de messagerie vous propose-t-il un support DMARC ? Ce seront là quelques-unes des questions clés que toute organisation doit se poser avant le 5 mai 2025.

Source : Bonnes pratiques de sécurité pour les e-mails et PowerDmarc