MENU
  1. Accueil
  2. MS Office
  3. Outlook
  4. Outlook : erreur 4af4 lors de l’envoi Gmail – solutions OAuth2 & mot de passe d’application

Outlook : erreur 4af4 lors de l’envoi Gmail – solutions OAuth2 & mot de passe d’application

Outlook

Depuis l’été 2024, de nombreux utilisateurs macOS et Windows ont vu leur client Outlook refuser d’expédier les messages via un compte Gmail, renvoyant le mystérieux code interne 4af4 (parfois accompagné d’un 334 ou 535). Cette situation découle directement du durcissement progressif de la sécurité Google : fin du « mot de passe simple », généralisation d’OAuth2 et obligation d’utiliser un mot de passe d’application quand la validation en deux étapes est activée. Vous trouverez ci‑après un guide exhaustif, entièrement en français, pour diagnostiquer, corriger et prévenir cette erreur 4af4 dans Outlook.

Erreur 4af4 ? Outlook n’envoie plus de mails via Gmail ? Voici une procédure complète pour comprendre l’origine de la panne, appliquer pas à pas les correctifs (OAuth2, mot de passe d’application, ports, mises à jour) et renforcer la sécurité à long terme.

Sommaire

Pourquoi l’erreur 4af4 apparaît‑elle ?

Le code n’est pas documenté publiquement par Microsoft, mais les journaux montrent qu’il est déclenché lorsque Gmail répond par une SmtpSubmissionPermanentException après une tentative d’authentification jugée non conforme. Les causes les plus fréquentes sont :

  • Authentification obsolète : depuis mai 2022, Google désactive progressivement les connexions IMAP/SMTP utilisant un mot de passe principal (Less Secure Apps). Seule l’authentification moderne OAuth2 ou un mot de passe d’application reste autorisé.
  • Logiciel non mis à jour : Outlook build < 16.74 (Mac) ou < 2402 (Windows) ne gère pas toujours le nouveau flux OAuth redirigé par Google.
  • Paramètres SMTP erronés : le port 465/SSL est toléré mais requiert impérativement un mot de passe d’application ; l’usage de 465 + mot de passe principal produit souvent un 535 suivi d’un 4af4.
  • Blocage réseau ou anti‑virus : les pares‑feux d’entreprise, certains antivirus ou une horloge système décalée perturbent le tunnel TLS, générant une réponse « auth data invalid ».

Tableau récapitulatif des solutions validées

ÉtapeActionDétails
1Mettre à jour l’environnement• macOS ≥ Sonoma 14.x
• Windows 10/11 + Microsoft 365 dernière build
2Recréer le compte dans OutlookAssistant « Ajouter un compte » → OAuth dans le navigateur
3Paramétrage manuel si OAuth indisponibleIMAP 993/SSL • SMTP 587/STARTTLS • Mot de passe d’application
4Éviter 465/SSL sans app‑passwordConfigurer 587/STARTTLS ou générer un mot de passe d’application côté Google
5Vérifications complémentairesIMAP activé dans Gmail • Heure système correcte • Désactiver temporairement antivirus/pare‑feu

Procédure détaillée – macOS

  1. Mise à jour système : ouvrez Réglages Système › Général › Mises à jour, installez la dernière version de macOS Sonoma puis redémarrez.
  2. Mettre Outlook à jour : lancez Microsoft AutoUpdate, validez la build la plus récente (ex. 16.83 ou supérieur).
  3. Supprimer l’ancien compte Gmail dans Outils › Comptes. Fermez puis relancez Outlook pour purger le cache d’authentification.
  4. Ajouter le compte : sélectionnez Google ; le navigateur s’ouvre, autorisez l’accès IMAP/SMTP et validez.
  5. Tester l’envoi : envoyez un message à votre propre adresse ; en cas d’échec, vérifiez que smtpauthenticate: OAuth2 apparaît dans les entêtes.

Procédure détaillée – Windows

  1. Assurez‑vous d’être sous Microsoft 365 : Fichier › Compte Office › Options de mise à jour. Recherchez la build 2408 ou supérieure.
  2. Si votre compte Google est protégé par 2FA, connectez‑vous au Centre de sécurité Google › Mots de passe d’application et créez-en un pour « Mail › Windows Computer ».
  3. Ajout automatique : Fichier › Ajouter un compte ; entrez l’adresse Gmail, suivez la page OAuth.
  4. Ajout manuel (rare) : choisissez Comptes IMAP/POP, saisissez imap.gmail.com – 993 SSL et smtp.gmail.com – 587 STARTTLS, puis collez votre mot de passe d’application.
  5. Envoyez un courriel d’essai ; surveillez Fichier › Informations › Outils › Infos sur la synchronisation pour confirmer 235 2.7.0 Authentication successful.

Comprendre OAuth2 et le mot de passe d’application

OAuth2 déplace la responsabilité d’authentification vers le navigateur, évitant toute conservation du mot de passe dans Outlook. Lorsqu’une validation en deux étapes (2FA) est activée, Google génère un mot de passe d’application à usage unique pour les clients SMTP qui ne gèrent pas complètement le token OAuth. Il s’agit d’un code 16 caractères qu’il faut copier‑coller une seule fois dans Outlook. Tant que vous ne le révoquez pas dans le portail Google, il reste valide.

Important : supprimer le mot de passe d’application dans Google ou activer le verrouillage d’appareil provoquera immédiatement l’erreur 535/4af4 jusqu’à régénération d’un nouveau code.

Diagnostic avancé

Contrôler la version d’Outlook en PowerShell

# S’exécute dans PowerShell 7
Get-ItemProperty -Path "HKLM:\Software\Microsoft\Office\ClickToRun\Configuration" |
Select-Object -ExpandProperty VersionToReport

Tester le port SMTP via Telnet

telnet smtp.gmail.com 587
EHLO test.local
STARTTLS
QUIT

La commande doit retourner 220 2.0.0 Ready to start TLS. Si la connexion reste bloquée, suspectez un filtrage réseau ou un proxy SSL.

Vérifier l’horloge système

Un décalage de plus de cinq minutes peut invalider le certificat TLS et déclencher un 4af4. Sous Windows : Paramètres › Heure & langue › Synchroniser maintenant. Sous macOS : Réglages Système › Général › Date et heure › Régler automatiquement.

FAQ (Questions fréquentes)

Je reçois « Unrecognized authentication type » immédiatement ; que faire ?

Votre pare‑feu intercepte Word Wide Web (HTTP) mais pas le port 587. Ouvrez 587 /TCP sortant ou forcez le tunnel HTTPS via un proxy explicite si votre entreprise exige l’inspection SSL.

Puis‑je conserver l’ancien port 465/SSL ?

Oui, mais uniquement avec un mot de passe d’application. Google considère 465 + mot de passe principal comme une tentative risquée (« LSA ») et répond un code 535, que Outlook mappe ensuite vers 4af4.

Le problème touche‑t‑il IMAP ou seulement SMTP ?

IMAP fonctionne généralement, car le token OAuth est stocké localement. En revanche, l’envoi SMTP échoue si le client ne rafraîchit plus le token ou si le mot de passe d’application a expiré.

Bonnes pratiques pour l’avenir

  • Planifier des mises à jour automatiques de macOS/Windows et de Microsoft 365.
  • Documenter la configuration fonctionnelle (capture d’écran des paramètres compte).
  • Former les utilisateurs à l’usage d’OAuth2 ; expliquer la différence entre mot de passe principal et mot de passe d’application.
  • Contrôler l’inventaire des versions au moins une fois par trimestre afin de détecter tout Outlook obsolète.
  • Mettre en place une supervision SMTP : script PowerShell qui envoie un e‑mail de test toutes les 6 heures et alerte en cas d’erreur 4af4.

Résolution express (mémo imprimable)

Mac : MAJ macOS → MAJ Outlook → Supprimer & ré‑ajouter Gmail via OAuth → Tester.

Windows : MAJ Microsoft 365 → OAuth Gmail ou mot de passe d’application → Ports 993/587 → Tester.

Annexe : cheminement d’un message (chronologie)

  1. Outlook prépare la commande MAIL FROM:<user@gmail.com>.
  2. Le client envoie AUTH XOAUTH2 ; Gmail évalue la signature JWT.
  3. Si le token est absent ou expiré, Gmail propose 334  (challenge).
  4. Outlook réagit (ou non). En échec, Gmail répond 535 5.7.8 Authentication Credentials Invalid.
  5. Outlook encapsule l’état dans SmtpSubmissionPermanentException → code interne 4af4.

Conclusion

L’erreur 4af4 est moins un bogue qu’un signal d’alarme : votre méthode d’authentification n’est plus autorisée. En adoptant OAuth2 ou un mot de passe d’application, en maintenant Outlook à jour et en respectant les ports recommandés (IMAP 993/TLS, SMTP 587/STARTTLS), vous éliminez non seulement la panne, mais vous renforcez la sécurité globale de votre messagerie.

Outlook
outlook Gmail SMTP OAuth2 mot de passe d’application
Sommaire