MENU
  1. Accueil
  2. MS Office
  3. Outlook
  4. Outlook : transfert automatique des courriels vers une adresse hotmail.com inconnue (compte compromis) — comment supprimer la règle et sécuriser votre boîte

Outlook : transfert automatique des courriels vers une adresse hotmail.com inconnue (compte compromis) — comment supprimer la règle et sécuriser votre boîte

Outlook

Vos e‑mails entrants déclenchent un transfert invisible vers une adresse hotmail.com inconnue, bloqué par des NDR « postmaster » ? Voici un guide complet pour supprimer la règle malveillante, stopper l’exfiltration et sécuriser durablement votre compte Outlook / Outlook.com.

Sommaire

Vue d’ensemble de la question

Après un piratage, chaque message reçu tente d’être réexpédié vers une adresse externe que vous ne connaissez pas. Votre fournisseur empêche (souvent) cet envoi automatique et renvoie un rapport d’échec (« NDR » ou notification « postmaster ») qui finit, ironie du sort, dans le dossier Courrier indésirable. À la lecture de vos paramètres, vous ne voyez ni « copie cachée » (BCC) ni filtre évident. Pourtant, le symptôme revient à chaque nouvel e‑mail.

Le scénario le plus courant : un acteur malveillant a créé une règle côté serveur (ou un transfert global) qui redirige tous les courriels entrants vers sa boîte. Ces règles continuent d’agir même après un changement de mot de passe et l’activation de la MFA ; elles sont indépendantes de votre session et ne s’arrêtent que si vous les supprimez.

Diagnostic express (2 minutes)

  • Ouvrez le dossier Courrier indésirable : cherchez des messages d’échec d’envoi (« postmaster », « Mail Delivery Subsystem », « Undeliverable »).
  • Repérez dans ces rapports l’adresse hotmail.com (ou autre domaine) ciblée par le transfert.
  • Envoyez‑vous un e‑mail depuis une autre adresse ; observez si un nouveau NDR apparaît : si oui, une règle ou un transfert est toujours actif.

Réponse & Solution

Cause la plus probable

Un attaquant a installé une règle de boîte ou un transfert global qui réexpédie automatiquement vos messages entrants vers une adresse externe. Tant que cette règle n’est pas supprimée côté serveur, elle reste active, quelle que soit la robustesse de votre nouveau mot de passe.

Ce qui se passe techniquement

  • Règle côté serveur : s’exécute sur la plateforme (Exchange/Outlook.com) dès la réception, avant que le message n’arrive visuellement dans votre client. Elle peut transférer, rediriger, déplacer ou supprimer les messages.
  • Transfert global : paramètre distinct qui envoie une copie de tout message entrant vers une autre adresse (parfois sans la conserver dans votre boîte).
  • « Redirect » vs « Forward » : « Redirect » conserve l’expéditeur d’origine, « Forward » vous met comme expéditeur ; dans les deux cas, l’e‑mail sort de votre boîte sans intervention visible.

Résolution appliquée (et à reproduire)

  1. Supprimer les règles malveillantes
    • Outlook (bureau) : clic droit sur un message ▸ RèglesGérer les règles ▸ supprimez toute règle qui transfère ou redirige des messages.
    • Outlook sur le web (Microsoft 365) : Paramètres (⚙️)CourrierRègles ▸ effacez toute action Transférer/Rediriger.
    • Outlook.com / Hotmail (compte Microsoft) : Paramètres (⚙️)CourrierRègles de boîte de réception ▸ supprimez les règles suspectes.
  2. Désactiver tout transfert global
    • Paramètres (⚙️)CourrierTransfert (parfois sous POP/IMAP et transfert ou Synchroniser le courrier) ▸ désactivez tout transfert vers une adresse non reconnue.
  3. Vérifier les dossiers qui masquent l’activité
    • Brouillons & Boîte d’envoi : supprimez tout message préparé ou tâche d’envoi automatique.

Résultat : la suppression de la règle et du transfert stoppe immédiatement les tentatives d’envoi vers l’adresse inconnue et met fin aux NDR « postmaster ».

Tableau : symptômes, signification, action immédiate

Symptôme observéCe que cela indiqueAction prioritaire
NDR « postmaster » à chaque mail entrantTransfert/redirect côté serveur vers une adresse externeSupprimer règle et transfert global
Pas de « BCC » visible dans les messagesExfiltration se fait avant l’affichage, via règle serveurAuditer les Règles dans les Paramètres
Changement de mot de passe inefficaceLes règles survivent aux changements d’identifiantsSupprimer les règles, puis révoquer les sessions
Contacts disent recevoir des messages bizarres « de votre part »Possibles règles, délégations, ou « Adresse de réponse » modifiéeVérifier Envoyer en tant que, Reply‑To, Comptes connectés

Procédure détaillée par interface

Outlook (bureau, Windows/Mac)

  1. Ouvrez Outlook ▸ AccueilRèglesGérer les règles et alertes….
  2. Inspectez toutes les règles : Transférer à…, Rediriger à…, Transférer en tant que pièce jointe, Supprimer, Déplacer vers des dossiers cachés.
  3. Supprimez les règles douteuses puis AppliquerOK.
  4. Redémarrez Outlook pour rafraîchir l’état des règles.

Astuce : si vous utilisez le Nouveau Outlook (app basée sur le web), les réglages s’alignent sur « Outlook sur le web » (voir ci‑dessous).

Outlook sur le web (Microsoft 365 pour le travail/école)

  1. Paramètres (⚙️)CourrierRègles.
  2. Supprimez toute action Transférer ou Rediriger non souhaitée.
  3. Courrier ▸ Transfert : décochez le transfert et effacez toute adresse inconnue.
  4. Courrier ▸ Rédaction et réponse : vérifiez l’Adresse de réponse (Reply‑To) ; elle doit être vide ou identique à votre adresse.
  5. Courrier ▸ Comptes connectés : supprimez tout compte externe non reconnu.
  6. Courrier ▸ Courrier indésirable : corrigez les Expéditeurs et domaines bloqués/sûrs (un attaquant peut bloquer vos contacts pour masquer des réponses).

Outlook.com / Hotmail (compte Microsoft personnel)

  1. Paramètres (⚙️)CourrierRègles de boîte de réception : supprimez les règles de transfert.
  2. Courrier ▸ Transfert (ou POP/IMAP et transfert) : désactivez tout transfert vers des adresses inconnues.
  3. Courrier ▸ Rédaction et réponse : contrôlez l’Adresse de réponse.
  4. Courrier ▸ Courrier indésirable : vérifiez les listes bloquées/autorisées.
  5. Synchroniser le courrier : supprimez toute connexion IMAP/POP ajoutée par l’attaquant.

Mobile (iOS/Android)

Les réglages serveur se changent plus facilement depuis le web/ordinateur. Sur mobile, assurez‑vous au minimum de :

  • Mettre à jour l’app Outlook.
  • Supprimer/recréer le compte si les anomalies persistent après nettoyage des règles.

Tableau : où trouver quoi (chemins d’accès rapides)

Paramètre à vérifierOutlook bureauOutlook sur le web (M365)Outlook.com / Hotmail
Règles de boîteAccueil ▸ Règles ▸ GérerParamètres ▸ Courrier ▸ RèglesParamètres ▸ Courrier ▸ Règles
Transfert global(se fait dans le web)Paramètres ▸ Courrier ▸ TransfertParamètres ▸ Courrier ▸ Transfert
Adresse de réponse (Reply‑To)(se fait dans le web)Paramètres ▸ Courrier ▸ Rédaction et réponseParamètres ▸ Courrier ▸ Rédaction et réponse
Comptes connectés(se fait dans le web)Paramètres ▸ Courrier ▸ Comptes connectésParamètres ▸ Courrier ▸ Synchroniser le courrier
Listes bloquées/sûres(client local limité)Paramètres ▸ Courrier ▸ Courrier indésirableParamètres ▸ Courrier ▸ Courrier indésirable

Informations complémentaires utiles : check‑list sécurité après incident

Sécurité du compte

  • Changer le mot de passe immédiatement (long, unique, généré).
  • Activer la MFA avec une appli d’authentification (évitez l’SMS seul).
  • Vérifier l’activité récente : session inconnue ? appareil inconnu ? Déconnectez‑les.
  • Infos de récupération : remettez une adresse/numéro à vous, retirez toute entrée inconnue.
  • Applications autorisées : révoquez toute application tierce que vous ne reconnaissez pas.

Nettoyage approfondi des paramètres de messagerie

  • Règles : supprimez tout ce qui transfère, redirige, supprime, ou déplace systématiquement vers des dossiers obscurs.
  • Transfert global : doit être désactivé ou pointer vers une adresse que vous contrôlez.
  • POP/IMAP : désactivez si inutile ; supprimez les connexions « Comptes connectés » ajoutées par l’attaquant.
  • Adresse de réponse (Reply‑To) : doit être vide ou identique à votre adresse.
  • Comptes/delegations (Envoyer en tant que, Accès délégué) : enlevez toute délégation non reconnue.
  • Expéditeurs et domaines bloqués/sûrs : retirez les blocages abusifs (ex. vos contacts).

Hygiène des appareils

  • Analyse complète antivirus/antimalware (PC/Mac et smartphones qui accèdent au compte).
  • Mises à jour de l’OS et des applications (navigateur, client mail).
  • Inventaire des extensions navigateurs : supprimez les modules suspects.

Surveillance post‑incident (3–7 jours)

  • Ouvrez chaque jour Courrier indésirable : repérez de nouveaux NDR « postmaster ».
  • Contrôlez que les règles ne réapparaissent pas (signe que l’attaquant conserve l’accès via un appareil ou une appli autorisée).
  • Au moindre signe de récidive : changez à nouveau le mot de passe, révoquez toutes les sessions, répétez l’audit des règles.

Pourquoi les NDR arrivaient en indésirables ?
Les serveurs rejettent souvent les transferts automatiques suspects ; le rapport d’échec (« NDR ») est alors classé en indésirable, ce qui masque le symptôme et retarde la découverte.

FAQ pratique

Je ne vois aucune « copie cachée » (BCC). Où est le piège ?

Il ne s’agit pas d’un BCC appliqué au message après réception, mais d’une action serveur au moment même de l’arrivée. Le message est relayé en coulisses, sans que votre client mail n’affiche d’en‑tête additionnel.

J’ai changé mon mot de passe et activé la MFA, mais le problème persiste.

Normal : les règles serveur ne dépendent pas de votre session. Elles tournent en continu. Il faut les supprimer et vérifier le Transfert global. Ensuite seulement, la MFA et le nouveau mot de passe empêchent l’attaquant de revenir.

« Transférer » ou « Rediriger », quelle différence pratique ?

Transférer vous place en expéditeur, Rediriger conserve l’expéditeur d’origine. Dans les deux cas, l’attaquant reçoit une copie. Pour désarmer l’attaque, supprimez toute action de redirection/transfert.

Comment savoir si un e‑mail a été exfiltré ?

Les NDR « postmaster » et les journaux (si vous êtes en environnement professionnel) sont de bons indices. À défaut, surveillez vos dossiers envoyés/brouillons et consultez les règles.

Dois‑je prévenir mes contacts ?

Oui, surtout si des e‑mails suspects ont été expédiés « de votre part ». Informez‑les que votre boîte a été compromise, que vous avez rétabli la sécurité et qu’ils doivent ignorer les messages précédents demandant des informations ou des paiements.

Modèle de message pour prévenir vos contacts

Objet : Incident de sécurité – veuillez ignorer d’éventuels messages récents

Bonjour,
Mon compte e‑mail a été compromis. Des messages automatiques ont pu être envoyés
ou réacheminés à mon insu. Le problème est résolu : j’ai supprimé les règles
malveillantes et sécurisé le compte (mot de passe + MFA).
Si vous avez reçu une demande inhabituelle, merci de l’ignorer et de me prévenir.
— \[Votre nom]

Erreurs courantes à éviter

  • Se limiter au changement de mot de passe : indispensable mais insuffisant sans suppression des règles.
  • Oublier l’« Adresse de réponse » : un champ Reply‑To détourné peut détourner vos réponses vers l’attaquant.
  • Laisser « Comptes connectés » actifs : une connexion IMAP/POP ou un connecteur externe peut continuer l’exfiltration.
  • Ignorer le dossier Indésirables : c’est justement là que se cachent les NDR révélateurs.

Pour les administrateurs Microsoft 365 (optionnel)

Si vous administrez des boîtes Exchange Online, ces commandes PowerShell aident à détecter et corriger les transferts côté serveur.

# Connexion (avec MFA)
Connect-ExchangeOnline

# Repérer un transfert global sur une boîte

Get-Mailbox -Identity [user@domaine.tld](mailto:user@domaine.tld) | Select-Object ForwardingSmtpAddress,DeliverToMailboxAndForward

# Lister les règles de boîte (server-side)

Get-InboxRule -Mailbox [user@domaine.tld](mailto:user@domaine.tld) |
Select-Object Name, Enabled, From, RedirectTo, ForwardTo, DeleteMessage, StopProcessingRules

# Désactiver une règle précise

Disable-InboxRule -Mailbox [user@domaine.tld](mailto:user@domaine.tld) -Identity "NomDeLaRègle"

# Retirer un transfert global

Set-Mailbox -Identity [user@domaine.tld](mailto:user@domaine.tld) -ForwardingSmtpAddress \$null -DeliverToMailboxAndForward \$false

Ajoutez une surveillance préventive : alertes sur création de règles de transfert externe, blocage du transfert automatique vers l’extérieur si votre politique de sécurité l’exige, et revue périodique des délégations (SendAs, FullAccess).

Checklist express (récapitulatif actionnable)

  • Supprimer toutes les règles qui transfèrent/redirigent.
  • Désactiver le Transfert global.
  • Corriger Reply‑To, Comptes connectés, listes bloquées/sûres.
  • Changer le mot de passe + MFA (appli d’authentification).
  • Révoquer les sessions/appareils inconnus.
  • Analyser les appareils (antimalware) et mettre à jour.
  • Surveiller les NDR « postmaster » pendant quelques jours.

Étude de cas résumée (ce qui a fonctionné)

Dans le cas à l’origine de cet article, la suppression d’une règle « Rediriger à » et la désactivation d’un transfert global vers une adresse hotmail.com inconnue ont stoppé immédiatement l’exfiltration. Le nettoyage des paramètres (Reply‑To, comptes connectés, listes indésirables) et la remise à plat de la sécurité (nouveau mot de passe, MFA, révocation des sessions) ont empêché toute réapparition.

Terminologie utile

  • NDR / postmaster : rapport d’échec d’acheminement lorsqu’un envoi est refusé par le serveur.
  • Règle côté serveur : automatisme exécuté par la plateforme, indépendant du client.
  • Transfert global : renvoi systématique de tous les messages entrants vers une autre adresse.
  • Reply‑To : adresse recevant les réponses quand elle diffère de l’expéditeur affiché.

À retenir

  • Les règles de boîte et le transfert global sont indépendants du mot de passe : auditez‑les et supprimez‑les après un piratage.
  • Des alertes « postmaster » répétées vers des adresses inconnues constituent un indice fort de transfert malveillant.
  • Une revue de sécurité complète (compte + appareils) évite qu’un attaquant ne réinstalle des règles.
Outlook
sécurité outlook Microsoft 365 Transfert automatique
Sommaire