Des e‑mails Microsoft 365 sont rejetés par NDR 554/550 5.7.1, car certaines IP sortantes d’Exchange Online (ex. 40.107.20.108, 40.107.20.127) sont listées sur bl.spamcop.net. Voici un guide opérationnel : diagnostic rapide, escalade côté Microsoft et prévention durable.
Contexte et périmètre du problème
Vous observez des retours NDR 554 5.7.1 (ou 550 5.7.1) lors d’envois vers des domaines tiers. Le message d’erreur mentionne que « le client host [IP] est bloqué par bl.spamcop.net ». Les adresses IP concernées appartiennent au pool sortant d’Exchange Online (plage 40.107.20.0/24 dans l’exemple), qui est mutualisé par région Microsoft et non personnalisable par client. En conséquence, lorsque l’une de ces IP est ajoutée par SpamCop à sa liste noire, les destinataires qui s’appuient sur cette RBL refuseront vos envois si Exchange Online a émis votre message depuis l’IP listée.
Symptômes typiques à reconnaître
- Messages rejetés immédiatement avec une réponse SMTP finale
5.7.1(permanent) ou, plus rarement, mis en file d’attente avec des refus temporaires4.x.xavant bascule vers un autre essai. - NDR reçus par l’expéditeur indiquant explicitement SpamCop (
bl.spamcop.net) et le client host Microsoft (40.107.20.xxx). - Dans le suivi des messages (Message trace) d’Exchange Online : statut Failed avec une SmtpResponse mentionnant l’IP et la RBL.
Pourquoi cela arrive avec Microsoft 365 ?
Exchange Online (EOP) utilise des sorties IP partagées par de nombreux locataires. Un comportement anormal détecté sur un autre locataire utilisant la même IP (compte compromis, campagne malveillante, fuite de liste de diffusion, boucles d’absence mal configurées, etc.) peut déclencher un signalement SpamCop. Tant que Microsoft n’a pas neutralisé la source et obtenu le déréférencement, les destinataires qui consultent cette RBL bloqueront les connexions SMTP provenant de l’IP incriminée.
Diagnostic express : contrôles immédiats
Confirmer l’IP incriminée dans le NDR
Inspectez l’erreur et les en‑têtes pour éviter tout faux diagnostic (ex. SPF/DMARC échoué côté destinataire). Recherchez la ligne indiquant la client host ou l’IP connecting.
Remote Server returned '554 5.7.1 <dest@domaine.tld>:
Service unavailable; Client host [40.107.20.108] blocked using bl.spamcop.net'
Dans certains NDR, vous verrez 550 5.7.1 au lieu de 554. Les deux indiquent un rejet lié à une politique distante.
Écarter toute compromission côté locataire
- Sign‑in & risques : dans Entra ID (ex‑Azure AD), consultez les connexions inhabituelles (IP/ASN inhabituels, « impossible travel », MFA contournée) et isolez les comptes concernés.
- Defender for Office 365 : vérifiez les alertes de mass mailing, règles de boîte aux lettres ajoutées à l’insu de l’utilisateur (redirections externes, transferts), et la création d’applications consenties anormalement.
- Flux de courrier : exécutez un Message trace sur 24‑48 h, filtre « Direction : Outbound » et « Status : Failed/Expanded ». Exportez les résultats pour identifier pics et expéditeurs impliqués.
- Réinitialisez les mots de passe suspects, invalidez les sessions, forcez la reconnexion MFA, et supprimez les règles malveillantes.
Valider SPF, DKIM et DMARC
Assurez‑vous que votre domaine est correctement authentifié :
- SPF : l’enregistrement TXT doit couvrir les sorties Microsoft 365 (
include:spf.protection.outlook.com) et éviter les dépassements de 10 recherches DNS. - DKIM : activez DKIM dans Exchange Online pour vos domaines personnalisés, puis vérifiez la présence des deux CNAME attendus.
- DMARC : publiez au minimum
v=DMARC1; p=quarantine; rua=mailto:<adresse‑rapports>;et contrôlez l’alignement From ↔ SPF/DKIM.
Ces points n’enlèveront pas une IP Microsoft d’une RBL, mais ils permettent d’exclure une dégradation de réputation due à votre propre domaine, et accélèrent l’analyse de Microsoft.
Action requise du côté administrateur Microsoft 365
Suivre la procédure de remédiation de l’erreur 550/554 5.7.1
Appliquez les étapes officielles de résolution d’NDR 5.7.1 pour Exchange Online. Concrètement :
- Rassemblez au moins trois NDR complets couvrant des destinataires et des plages horaires différentes, contenant l’IP fautive.
- Notez les dates/heures UTC des échecs et les domaines de destination.
- Préparez des captures du Message trace montrant l’échec, l’Event ID et la SmtpResponse.
Ouvrir une demande de support au Centre d’administration
Dans le Centre d’administration Microsoft 365 :
- Allez dans Support → Nouvelle demande de service.
- Titre conseillé : « Outbound IP from Exchange Online blocked by bl.spamcop.net (554/550 5.7.1) ».
- Détails à fournir :
- NDR complets (en texte), y compris l’IP Microsoft (.108, .127, etc.).
- Horodatages précis (UTC) et domaines destinataires affectés.
- Export des traces de messages et tout indicateur de compromission déjà traité.
Important : le support front n’a généralement pas la main sur le déréférencement RBL. Le back‑end Microsoft (équipe EOP) est seul habilité à interagir avec SpamCop pour analyser, corriger la cause racine et demander le retrait de l’IP.
Comment Microsoft gère l’escalade avec SpamCop
- Tri initial : Microsoft vérifie si l’IP est réellement listée, sur quelle(s) base(s), et quelles charges de trafic peuvent être corrélées (volumétrie, destinataires, taux de plaintes).
- Neutralisation : si un flux douteux est identifié sur la même IP (autre locataire), il est stoppé ou isolé.
- Demande de déréférencement : une fois la cause neutralisée, Microsoft sollicite le retrait auprès de SpamCop. Les clients finaux ne peuvent pas réaliser cette étape directement pour les IP Microsoft.
- Délais observés : le retour à la normale intervient généralement entre quelques heures et 48 h après l’ouverture du ticket et la résolution de la cause racine. La fenêtre dépend notamment de la persistance des signalements et des mécanismes d’expiration de la RBL.
Contrôles techniques utiles pendant l’incident
Interroger la RBL SpamCop (vérification manuelle)
Vous pouvez tester si une IP est listée via une requête DNS inversée (depuis un poste d’admin) :
nslookup 108.20.107.40.bl.spamcop.net
nslookup 127.20.107.40.bl.spamcop.net
La construction consiste à inverser l’IP (ex. 40.107.20.108 → 108.20.107.40) et à l’interroger sous le domaine bl.spamcop.net. Une réponse indiquant une adresse de boucle locale (127.0.0.x) signifie que l’IP est listée.
Repérer l’IP sortante dans les en‑têtes
Dans un message envoyé vers une boîte que vous contrôlez (compte externe de test), ouvrez les en‑têtes bruts et recherchez les lignes Received: côté sortie Microsoft. Vous verrez souvent une référence à AM5EUR0xxx.outbound.protection.outlook.com ou équivalent, et une IP publique 40.107.20.xxx associée.
Exemples de réponses SMTP côté destinataire
550 5.7.1 Service unavailable; Client host [40.107.20.127] blocked using bl.spamcop.net
421 4.7.0 Service temporarily unavailable; try again later
Le code 550/554 est un rejet ferme ; 421/451 indique une temporisation (le message pourra être réessayé via une autre IP si le pool le permet).
Contournements temporaires en production (avec précautions)
Ces mesures n’ôtent pas l’IP de la RBL, mais peuvent limiter l’impact sur vos échanges pendant l’escalade.
- Réessai différé : Exchange Online réémettra certains messages. Lors d’un nouvel essai, une autre IP du pool peut être utilisée, permettant une livraison si elle n’est pas listée. Évitez toutefois les ré‑envois massifs manuels qui miment du spam.
- Routage alternatif contrôlé : si vous disposez d’un smarthost tiers ou d’une sortie on‑prem approuvée, créez un connecteur sortant sélectif vers ce relais pour des destinataires précis, en vous assurant que SPF/DKIM/DMARC restent alignés (SPF doit inclure le relais, DKIM doit signer depuis le même domaine d’envoi).
- Communication avec les destinataires clés : informez les administrateurs distants que le rejet vient de
bl.spamcop.netet non d’un blocage de leur part. Ils peuvent temporairement allow‑lister votre domaine/adresse le temps du déréférencement (selon leur politique). - Priorisation métier : identifiez les transactions critiques (comptabilité, appels d’offre, santé) et prévoyez si besoin un canal alternatif (portail client, SFTP, messagerie temporaire dédiée) documenté et approuvé.
Mesures préventives pour éviter de nouveaux listings
- MFA et accès conditionnel : appliquez l’authentification multifacteur universelle et des politiques d’accès (emplacements de confiance, appareils conformes, blocage des pays à risque selon votre contexte).
- Limites d’envoi et alertes : configurez des seuils par boîte aux lettres (alertes de volume sortant anormal), surveillez Mail Flow Insights et mettez en place des Transport Rules de protection (ex. bloquer l’envoi massif vers des domaines inconnus, prévenir les doublons causés par des boucles).
- Hygiène de domaine : maintenez des enregistrements SPF/DKIM/DMARC stricts, surveillez les rapports DMARC agrégés (rua), traquez les sources non autorisées et l’alignement des sous‑domaines.
- Défense en profondeur : politiques anti‑phishing renforcées, neutralisation des pièces jointes à haut risque, contrôle de la délégation d’envoi, blocage des redirections externes par défaut.
- Procédures : entraînez les utilisateurs à reconnaître les consentements OAuth suspects, les SMS MFA push, et les messages de « quarantine release » frauduleux.
Playbook : pas‑à‑pas opérationnel
- Confirmer le motif : collectez 3 NDR et repérez l’IP Microsoft (
40.107.20.xxx) etbl.spamcop.net. - Assainir le locataire : vérifiez comptes, règles, envois anormaux ; remédiez immédiatement si un compte est compromis.
- Ouvrir le ticket Microsoft : fournissez NDR, horodatages, logs, domaines impactés. Demandez l’escalade back‑end EOP ↔ SpamCop.
- Mesures d’atténuation : activer le routage alternatif ciblé si nécessaire, communiquer avec les partenaires clés.
- Clôture : validez le déréférencement (tests de bout‑en‑bout), puis réalisez un post‑mortem et renforcez vos contrôles.
Modèle de ticket – à copier/coller
Objet : Outbound IP from Exchange Online blocked by bl.spamcop.net (554/550 5.7.1)
Impact :
* Rejet des e-mails vers plusieurs domaines tiers.
* Erreur : 554/550 5.7.1 Service unavailable; Client host \[40.107.20.108] blocked using bl.spamcop.net
Preuves (NDR complets joints) :
* 2025-09-15 08:42 UTC – [dest@exemple1.tld](mailto:dest@exemple1.tld) – IP 40.107.20.108
* 2025-09-15 09:05 UTC – [dest@exemple2.tld](mailto:dest@exemple2.tld) – IP 40.107.20.127
* 2025-09-15 10:17 UTC – [dest@exemple3.tld](mailto:dest@exemple3.tld) – IP 40.107.20.108
Vérifications effectuées :
* Aucun envoi massif anormal en cours ; comptes à risque réinitialisés.
* SPF/DKIM/DMARC valides pour \ (alignement OK).
* Traces de messages et captures d’écran fournies.
Demande :
* Analyse back-end EOP et déréférencement auprès de SpamCop pour les IP Microsoft listées.
* Mise à jour de statut et ETA estimé pour la levée de blocage. Commandes et scripts utiles
Vérification DNS/RBL
# Test d'une IP contre SpamCop (ex. 40.107.20.108)
nslookup 108.20.107.40.bl.spamcop.net
# Vérifier SPF
nslookup -type=txt domaine.tld
# Vérifier DKIM (sélecteur 'selector1' par exemple)
nslookup -type=txt selector1.\_domainkey.domaine.tld
# Vérifier DMARC
nslookup -type=txt \_dmarc.domaine.tld PowerShell Exchange Online (extraits)
# Connexion
Connect-ExchangeOnline
# Traçage sur 48 h pour les échecs sortants
Get-MessageTrace -StartDate (Get-Date).AddHours(-48) -EndDate (Get-Date) \`
-Status Failed | Where-Object {$\_.Direction -eq "Outbound"} |
Select-Object Received,SenderAddress,RecipientAddress,MessageTraceId |
Export-Csv .\Outbound\_Failed.csv -NoTypeInformation
# Détail d'un message
Get-MessageTraceDetail -MessageTraceId \ -RecipientAddress [dest@exemple.tld](mailto:dest@exemple.tld) Erreurs fréquentes à éviter
- Multiplier les renvois manuels : risque d’aggraver votre profil d’envoi et de déclencher d’autres signaux négatifs.
- Modifier SPF au hasard : ajouter des include non maîtrisés ou dépasser les 10 lookups dégrade la délivrabilité.
- Créer des exceptions globales côté destinataire sans gouvernance : poussez une approche temporaire, documentée et limitée au nécessaire.
- Supposer que l’IP sortante est « votre » IP : avec Microsoft 365, elle est mutualisée et peut changer entre deux envois.
Tableau de synthèse des responsabilités
| Étape | Objectif | Responsable |
|---|---|---|
| Confirmer le NDR et l’IP | Identifier le motif exact du rejet | Admin local |
| Vérifier comptes & authentification | Écarter un éventuel envoi de spam interne | Admin local |
| Ouvrir un ticket Microsoft | Lancer l’investigation et l’escalade | Admin global |
| Suivre le ticket jusqu’à clôture | S’assurer du retrait de la liste noire | Admin global |
FAQ : questions courantes
Peut‑on demander soi‑même à SpamCop de déréférencer une IP Microsoft ?
Non. Les IP appartiennent à Microsoft. Seul le support back‑end EOP peut traiter avec SpamCop pour l’analyse et le retrait.
Changer de domaine ou de sous‑domaine d’envoi aide‑t‑il ?
Pas directement : le blocage s’applique à l’IP sortante. En revanche, une hygiène de domaine exemplaire (SPF/DKIM/DMARC) limite les risques de plaintes et améliore la réputation globale.
Combien de temps dure un listing ?
Variable : s’il n’y a plus de rapports négatifs, la levée peut intervenir rapidement. Comptez en pratique de quelques heures à 48 h après la correction côté Microsoft.
Puis‑je forcer Exchange Online à sortir par une autre IP Microsoft ?
Non, ce n’est pas contrôlable par le client. Le pool et la sélection d’IP sont gérés par le service.
Le passage par un relais tiers résout‑il tout ?
C’est une atténuation potentielle, pas une solution définitive. Elle doit être conçue sans casser SPF/DKIM/DMARC et rester exceptionnelle.
Exemples d’en‑têtes et d’analyse
Received: from AM5EUR02FT051.eop-EUR02.prod.protection.outlook.com
(2603:10a6:....) by smtp.destination.tld with ESMTPS id ...
From: expéditeur <user@votredomaine.tld>
To: destinataire <dest@domaine.tld>
Authentication-Results: destination.tld;
dmarc=pass (p=quarantine) header.from=votredomaine.tld;
spf=pass smtp.mailfrom=votredomaine.tld;
dkim=pass header.d=votredomaine.tld
Les Authentication-Results côté destinataire confirment la bonne hygiène de domaine. Si malgré cela l’IP d’émission est listée, la décision de blocage persiste jusqu’au déréférencement.
Contrôles de fin d’incident
- Réalisez des tests d’envoi vers plusieurs domaines utilisant des politiques anti‑spam différentes (grands FAI, messageries professionnelles).
- Vérifiez vos flux automatisés (ERP, CRM, imprimantes/scanners, applications internes) : ils ne doivent pas contourner vos politiques et saturer les limites.
- Documentez l’incident, mettez à jour la cartographie de risques et vos seuils d’alerte.
Checklist de prévention continue
| Contrôle | Fréquence | Indicateur de succès |
|---|---|---|
| Revue des alertes Defender (mass mailing, règles suspectes) | Hebdomadaire | 0 alerte critique non traitée > 24 h |
| Audit des connexions & MFA | Hebdomadaire | 100 % des comptes couverts par MFA, aucun contournement |
| Analyse DMARC agrégée (rua) | Hebdomadaire | 0 source non autorisée, alignement stable |
| Message trace sortant (volumétrie) | Quotidien | Pas de pic soudain > x σ sur 7 jours |
Points clés à retenir
- Le motif est un listing RBL affectant une IP Microsoft mutualisée (ex. 40.107.20.108/127) – non maîtrisable côté client.
- Votre levier : assainir votre locataire, documenter les preuves et ouvrir un ticket pour escalade Microsoft ↔ SpamCop.
- Les délais usuels vont de quelques heures à 48 h une fois la cause neutralisée.
- Des mesures préventives (MFA, CA, DMARC, alertes de volumétrie) réduisent significativement le risque de récidive.
Note : les IP sortantes de Microsoft 365 sont mutualisées et non configurables par les clients. Durant le déréférencement, certains messages peuvent réussir si une autre IP non listée est sélectionnée lors d’une nouvelle tentative.