Outlook / Hotmail : bloquer les spams sans expéditeur (From vide) – guide complet et règles côté serveur

Votre boîte Outlook/Hotmail est envahie par des spams dont le champ « De » est vide ou rempli de caractères bizarres ? Voici un guide concret, fondé sur des réglages côté serveur, pour reprendre le contrôle et réduire drastiquement ces messages qui contournent les filtres natifs.

Problème : des spams « sans expéditeur » contournent le filtre Outlook/Hotmail

Depuis plusieurs mois, de nombreux comptes Outlook.com / Hotmail (y compris des adresses en @outlook.com, @hotmail.com, @live.com, @msn.com, et leurs alias) reçoivent des courriels indésirables qui échappent à la détection. Les symptômes sont récurrents :

• Le champ De (From) est vide, n’affiche aucun nom, ou contient des caractères Unicode obscurs (sans symbole @), parfois avec des espaces ou des symboles exotiques.
• Les messages arrivent en boîte de réception malgré un paramétrage strict du type « expéditeurs approuvés uniquement ».
• Certains spams sont marqués Haute importance ou portent un préfixe visible (par exemple « [SPAM] » ou « [Warning] ») pour attirer l’attention.
• Le volume varie : parfois quelques messages par semaine, parfois des rafales quotidiennes.

Résultat : le filtre natif semble inefficace sur ces messages « hors norme », ce qui oblige à des solutions complémentaires côté utilisateur.

Pourquoi ces messages passent-ils tout de même ?

Sans entrer dans un cours RFC indigeste, voici l’essentiel :

• Dans un e‑mail, il existe deux niveaux d’expéditeur : l’enveloppe (utilisée pour le transport) et les en‑têtes visibles (dont « From: »). Le premier peut être légalement vide (<>) pour certaines notifications système (par exemple des avis de non‑distribution). Les spammeurs exploitent cet interstice en combinant un « null sender » avec un en‑tête « From » volontairement vide ou déguisé.
• Les protections de type Expéditeurs approuvés uniquement fonctionnent normalement lorsqu’un expéditeur est identifié. Quand Outlook ne parvient pas à extraire une adresse exploitable, la logique de liste blanche est contournée.
• Les spammeurs changent d’empreinte à chaque envoi (nouveaux domaines, variations d’Unicode, sujets différents), ce qui rend inefficaces le blocage un‑à‑un et les règles basées sur un domaine unique.

La réponse pragmatique consiste donc à cibler le symptôme stable (absence d’adresse valide) plutôt que les détails volatils (nom d’expéditeur, domaine, mots‑clés).

La solution qui fonctionne : une règle côté serveur dans Outlook Web

L’objectif est simple : déplacer automatiquement vers « Courrier indésirable » tout message vous étant adressé dont l’expéditeur est vide ou ne contient pas « @ », en préservant les messages légitimes.

Important : créez cette règle depuis l’interface Web (Outlook sur le Web). C’est la version qui expose l’ensemble des critères et agit côté serveur : la règle s’applique même lorsque votre ordinateur est éteint ou quand vous ne lisez pas vos mails depuis le client local.

Étapes détaillées (Outlook sur le Web)

1. Ouvrez outlook.live.com et connectez‑vous.
2. Cliquez sur l’icône ⚙ Paramètres puis sur Voir tous les paramètres → Courrier ▸ Règles.
   Dans la nouvelle interface, vous pouvez aussi passer par le menu … (à droite de « Nouveau courrier ») → Règles ▸ Gérer les règles.
3. Cliquez sur Ajouter une nouvelle règle et configurez :
   
   • Nom (facultatif) : Bloquer expéditeur vide.
   • Condition : À ou Cc contient votre‑adresse@… (saisissez l’adresse exacte à protéger ; répétez pour chaque alias important).
   • Action : Déplacer vers → Courrier indésirable (ou Supprimer si vous êtes certain de votre filtrage).
   • Exception : L’adresse de l’expéditeur contient @ (cela préserve les messages qui possèdent une adresse valide).
4. Enregistrez puis, si l’option est proposée, cochez Exécuter la règle maintenant pour nettoyer la boîte de réception existante (à défaut, appliquez la règle et utilisez une action de balayage sur un lot de messages).

Cette logique « Condition + Exception » permet de cibler précisément les messages sans adresse expéditeur exploitable, tout en évitant les faux positifs sur les contacts légitimes.

Variante utile

• Si votre interface ne propose pas l’exception « adresse expéditeur contient @ », inversez la logique :
  Condition : Adresse de l’expéditeur ne contient pas @ → Action : Déplacer vers Courrier indésirable.
  Ajoutez Exception : De contient un domaine fiable (facultatif).
• Si les spammeurs remplissent un faux nom d’affichage mais que l’adresse reste vide/illégitime, conservez la même approche : ciblez l’absence d’@, pas le nom.

Solutions avancées et retours d’expérience

Piste	Étapes principales	Efficacité rapportée	Points d’attention
1. Créer une règle sur Outlook Web	1. Ouvrir outlook.live.com. 2. Icône ⚙ Paramètres → Voir tous les paramètres → Courrier ▸ Règles (ou, dans la nouvelle interface : menu … situé à droite de « Nouveau courrier » → Règles ▸ Gérer les règles). 3. Ajouter une nouvelle règle : • Condition : « À ou Cc contient votre‑adresse@… ». • Action : « Déplacer vers Courrier indésirable » (ou « Supprimer »). • Exception : « L’adresse de l’expéditeur contient @ » pour préserver les courriels légitimes. 4. Activer « Exécuter la règle maintenant » pour nettoyer l’existant (si disponible).	Plusieurs témoins confirment que cela détourne la majorité des messages sans expéditeur.	• Le parcours de menus diffère entre Outlook Web, la nouvelle appli Outlook 365 et l’ancien client Outlook — paramétrer depuis le Web pour disposer de toutes les options. • Certains alias pré‑remplissent une autre adresse ; saisir manuellement la bonne destination.
2. Variante « adresse expéditeur ne contient pas @ »	Même logique que ci‑dessus, mais Condition : « Adresse de l’expéditeur ne contient pas @ » (libellé parfois « Sender’s address includes @ » à inverser avec Exception).	Utile quand les spammeurs renseignent un faux nom d’expéditeur au lieu de laisser le champ vide.	La formulation exacte dépend de la langue et de la version d’Outlook.
3. Filtrage sur attributs répétitifs	Créer des règles basées sur : • Importance = Haute • Sujet contient certains emoji ou mots‑clés récurrents	Protection partielle (les expéditeurs changent souvent de gabarit).	À réserver en complément, sinon risque de faux positifs.
4. Signalement manuel	Bouton Courrier indésirable ou Hameçonnage → Microsoft ajoute le modèle au filtrage serveur.	À long terme, Microsoft améliore ses listes, mais l’effet n’est pas immédiat.	Toujours signaler, ne pas se contenter de supprimer.

Procédure pas‑à‑pas : bâtir une règle robuste et sans faux positifs

1) Cibler votre/vos adresse(s) destinataire(s)

Les spams « sans expéditeur » atterrissent dans votre boîte parce qu’ils arrivent à votre adresse. L’ajout de la condition « À ou Cc contient [votre‑adresse] » évite d’aspirer des messages qui ne vous sont pas adressés directement (par exemple des listes de diffusion). Si vous avez plusieurs alias, créez une condition par alias (ou des règles distinctes, selon votre préférence de gestion).

2) Détecter l’absence d’adresse expéditeur

Le cœur de la détection est simple : l’adresse de l’expéditeur ne contient pas « @ ». Sur certaines interfaces, l’option opposée (« contient @ ») n’existe qu’en exception. Peu importe : l’important est que l’un des deux chemins vous permette de filtrer le cas « pas de @ ».

3) Définir l’action de traitement

Choisissez Déplacer vers ▸ Courrier indésirable. Évitez la suppression immédiate au début : surveillez le dossier « Courrier indésirable » pendant quelques jours pour vérifier l’absence de légitimes. Ensuite, si tout est propre, vous pourrez durcir en Supprimer.

4) Encadrer avec des exceptions (liste sûre)

Ajoutez des exceptions pour vos domaines et contacts de confiance si nécessaire (par exemple votre domaine professionnel, des services critiques). Dans la majorité des cas, l’exception « adresse expéditeur contient @ » suffit, car elle protège tout expéditeur correctement formé.

5) Appliquer à l’existant

Selon la version d’Outlook Web, une option Exécuter la règle maintenant peut apparaître. Utilisez‑la pour rétro‑nettoyer. Autrement, vous pouvez trier par De et déplacer manuellement les lots qui n’affichent aucun expéditeur — la règle s’appliquera pour les nouveaux messages.

Limites reconnues (et pourquoi ce n’est pas trivial)

• Expéditeur nul autorisé par les standards : les messages au « null sender » (Return‑Path: <>) sont valides pour des notifications système (DSN). Des acteurs malveillants s’en servent pour brouiller les pistes et dépasser des heuristiques basées sur l’expéditeur.
• Variation infinie : adresses, domaines, encodages, objets — tout change d’un envoi à l’autre. Bloquer individuellement est un jeu sans fin.
• Listes d’expéditeurs approuvés limitées : si Outlook n’identifie aucune adresse, il ne peut pas comparer à votre liste blanche.
• Correctif global : à l’heure actuelle, il n’existe pas de « grand bouton magique » côté Microsoft qui éliminerait toutes ces variantes pour tous les comptes. Les règles utilisateurs restent la parade la plus efficace en attendant des améliorations serveurs.

Bonnes pratiques complémentaires

1. Toujours paramétrer depuis Outlook Web : l’app mobile et le nouveau client Windows n’exposent pas tous les critères. Les règles appliquées côté serveur s’exécutent même quand vos appareils sont hors ligne.
2. Activer « Courrier ciblé » (Focused Inbox) : sans résoudre le problème, cela déporte une partie du bruit vers « Autres ».
3. Mettre le filtrage sur « Exclusif » et maintenir la liste d’expéditeurs sûrs : utile pour les messages standards, même si cela n’intercepte pas les cas « sans expéditeur ».
4. Ne jamais répondre ni cliquer : marquez comme Courrier indésirable ou Hameçonnage. Le signalement alimente les modèles serveur.
5. Si le volume demeure élevé, envisager un antispam tiers (listes noires de réputation, passerelles spécialisées) ou rediriger vos mails via un service au filtre plus robuste.
6. Supervision côté entreprise : si votre adresse Outlook.com est redirigée vers M365, jetez un œil au Centre d’administration Microsoft 365 pour suivre les campagnes de nettoyage et les communications de service.

Exemples concrets de règles (modèles prêts à copier)

Adaptez les libellés à votre langue d’interface ; le principe reste identique.

Nom de la règle : Bloquer expéditeur vide / illégitime

SI   (À ou Cc contient "[mon.adresse@outlook.com](mailto:mon.adresse@outlook.com)")
ET   (Adresse de l’expéditeur NE CONTIENT PAS "@")
ALORS Déplacer vers "Courrier indésirable"
EXCEPTIONS (facultatif) :

* De contient "mon-domaine-fiable.com"
* Objet contient "\[Ticket]" (par ex. si un outil interne envoie des DSN légitimes) 

Variante :

SI   (À ou Cc contient "mon.alias@outlook.com")
ALORS Déplacer vers "Courrier indésirable"
EXCEPTION :
   - Adresse de l’expéditeur CONTIENT "@"

Check‑list de dépannage (rapide et pratique)

Symptôme	Cause probable	Action recommandée
Des spams « sans expéditeur » arrivent en boîte de réception	Adresse expéditeur vide / illisible, filtre en défaut	Créer la règle « adresse expéditeur ne contient pas @ » côté Outlook Web
Des légitimes se retrouvent dans « Courrier indésirable »	Exception trop stricte ou absente	Ajouter une exception (domaine/contact) ou utiliser « adresse contient @ » en exception globale
La règle n’apparaît pas dans le client local	Règle côté serveur créée sur le Web	C’est normal. Gérez‑la et modifiez‑la depuis l’interface Web
L’option « Exécuter la règle maintenant » n’est pas visible	Différences d’interface	Appliquez la règle pour le futur et utilisez un tri manuel pour purger l’historique

Questions fréquentes

Pourquoi « Expéditeurs approuvés uniquement » ne suffit pas ?

Parce que cette option présuppose qu’Outlook identifie une adresse à comparer avec votre liste. Lorsque le champ « From » est vide/invalide et que l’enveloppe d’expédition est <>, il n’y a rien à vérifier ; le message peut franchir les contrôles destinés aux expéditeurs identifiés.

Puis‑je bloquer une adresse précise ?

Peu utile ici : les spammeurs changent d’adresse en permanence. Concentrez‑vous sur la règle « pas de @ ». Gardez la fonction « Bloquer l’expéditeur » pour des cas où l’adresse est stable (ex. newsletters récalcitrantes).

Dois‑je créer une règle par alias ?

Idéalement, oui : ajoutez une condition À ou Cc contient pour chaque alias que vous utilisez réellement. Vous pouvez aussi créer une règle par adresse si vous préférez compartimenter.

Est‑ce risqué pour les messages légitimes ?

Le risque de faux positifs est faible si vous employez l’exception « adresse expéditeur contient @ ». Surveillez toutefois « Courrier indésirable » les premiers jours et peaufinez vos exceptions (domaines de confiance, services critiques).

Et si je reçois des avis légitimes de non‑distribution (DSN) ?

Certains DSN techniques utilisent un expéditeur nul. Si vous en avez régulièrement (rare pour un usage personnel), ajoutez une exception basée sur l’objet (par ex. « Undeliverable », « Échec de remise », un tag de votre système) ou sur le domaine du relais de messagerie de confiance.

Bonnes pratiques de sécurité (à mettre en place au passage)

• Désactivez l’affichage autom. des images externes si vous l’aviez activé : cela évite les pixels espions qui confirment aux spammeurs que votre boîte est active.
• Évitez les réponses automatiques vers l’extérieur avec votre adresse personnelle : elles valident votre existence auprès de robots.
• Utilisez des alias dédiés (achats, inscriptions) et supprimez ceux qui fuitent.
• Activez la validation en deux étapes (2FA) pour votre compte Microsoft : elle ne bloque pas le spam, mais protège votre identifiant contre l’abus.

Cas d’usage : nouveau client Outlook pour Windows

Le « nouveau Outlook » (basé sur Outlook Web) hérite du comportement des règles côté serveur. Créez toujours vos règles depuis le Web. Le client reflétera ensuite l’effet du côté serveur. Les anciennes règles du client Outlook classique (.pst/.ost) ne suffisent pas ici, car les spams arrivent même quand votre PC est éteint ; seule une règle serveur voit tous les messages au moment de la remise.

Stratégie de déploiement (si vous aidez d’autres personnes)

1. Identifier l’adresse principale et les alias réellement utilisés.
2. Créer une règle par adresse ou une règle unique avec plusieurs conditions À/Cc contient.
3. Tester en mode « Déplacer vers Courrier indésirable » pendant quelques jours.
4. Ajouter au fil de l’eau des exceptions si un légitime est touché (rare).
5. Former l’utilisateur au bouton Hameçonnage plutôt que « Supprimer ».

Bon à savoir : différences de vocabulaire et d’interface

Selon la langue et la version, vous pouvez rencontrer ces libellés :

• Sender’s address includes @ / Sender address contains @ (à inverser via une exception ou en utilisant « does not contain »).
• From vs De (le nom d’affichage n’est pas l’adresse : ne basez pas vos règles sur la partie nom).
• Déplacer vers Junk / Courrier indésirable (même destination).

Exemple de politique « ceinture et bretelles »

Pour les boîtes très exposées, combinez :

• Règle adresse expéditeur ne contient pas @ → déplacer vers « Courrier indésirable ».
• Règle Importance = Haute ET Objet contient des motifs répétés (emoji ou mots‑clés que vous observez) → déplacer vers « Courrier indésirable ».
• Option Filtrage Exclusif + Courrier ciblé pour lisser l’affichage.
• Signalement systématique par Hameçonnage pour entraîner les modèles.

Erreurs courantes à éviter

• Bloquer des domaines au cas par cas : inefficace, les domaines changent.
• Basculer immédiatement en « Supprimer » : commencez par « Courrier indésirable » afin de vérifier l’absence de légitimes.
• Créer la règle sur l’app mobile : options limitées ; privilégiez Outlook Web.
• Ignorer les alias : si vos alias reçoivent ces spams, ajoutez‑les aux conditions « À ou Cc contient ».

Résumé actionnable (en une minute)

1. Ouvrir Outlook Web ▸ Paramètres ▸ Courrier ▸ Règles.
2. Nouvelle règle : À/Cc contient votre‑adresse ▸ Déplacer vers Courrier indésirable.
3. Exception : Adresse de l’expéditeur contient @.
4. Enregistrer, puis (si disponible) Exécuter la règle maintenant.

Conclusion

En l’absence de correctif serveur généralisé, la méthode la plus fiable consiste à créer une règle côté serveur dans Outlook Web qui déplace systématiquement vers Courrier indésirable tout message vous étant adressé dont l’expéditeur est vide ou ne contient pas « @ », en conservant une exception pour les messages légitimes. Cette approche ne supprime pas la cause racine — une faiblesse d’interprétation des expéditeurs « nuls » exploitée par les spammeurs — mais elle réduit immédiatement et fortement l’encombrement de votre boîte.

---

Annexe : guide pas‑à‑pas illustré (texte)

Pour celles et ceux qui préfèrent une procédure très explicite, voici la marche à suivre en version « pas‑à‑pas » :

1. Se connecter à Outlook sur le Web (outlook.live.com).
2. Cliquer sur ⚙ Paramètres → Voir tous les paramètres.
3. Aller dans Courrier → Règles.
4. Cliquer sur + Ajouter une nouvelle règle.
5. Donner un nom parlant à la règle (par ex. « Anti‑spam From vide »).
6. Dans Ajouter une condition, choisir À ou Cc → contient → saisir votre adresse (répéter pour chaque alias si nécessaire).
7. Dans Ajouter une action, choisir Déplacer vers → Courrier indésirable.
8. Dans Ajouter une exception, choisir Adresse de l’expéditeur → contient → saisir @.
9. Enregistrer la règle.
10. (Optionnel) Utiliser Exécuter la règle maintenant si proposé ; sinon, vérifier régulièrement le dossier « Courrier indésirable » pendant quelques jours, puis — si tout est correct — envisager de durcir.

Annexe : matrice d’aide à la décision

Contexte	Mesure	Bénéfice	Risques / Remarques
Spams sans expéditeur uniquement	Règle « expéditeur ne contient pas @ »	Très forte réduction immédiate	Risque de faux positifs très faible
Beaucoup d’« Haute importance » frauduleux	Règle complémentaire « Importance = Haute »	Bon en appoint	Vérifier pendant 1‑2 semaines
Utilisation d’alias multiples	Ajouter chaque alias dans « À/Cc contient »	Couverture complète	Tenir la liste à jour
Boîte partagée / famille	Centraliser la règle sur l’adresse principale	Gestion simplifiée	Informer les autres utilisateurs

Avec cette combinaison de réglages et de bonnes pratiques, vous faites passer le problème d’un irritant quotidien à un bruit maîtrisé — tout en gardant vos messages utiles accessibles.