Outlook affiche « Se désabonner » juste après « Signaler comme hameçonnage/indésirable ». Bonne idée ? Pas toujours. Voici pourquoi ce choix peut augmenter le spam et comment configurer Outlook pour rester protégé, à la maison comme en entreprise.
Sommaire
Problématique : l’option « Se désabonner » proposée après « Signaler comme hameçonnage/indésirable » dans Outlook
Ce qui a été observé
- Depuis mi‑2024, Outlook (bureau, Web et « nouvel Outlook ») affiche, après un signalement, une boîte de dialogue proposant :
- Signaler le message à Microsoft ;
- Bloquer l’expéditeur ;
- Se désabonner (si le mail contient l’en‑tête
List‑Unsubscribe).
- Des spammeurs ajoutent désormais cet en‑tête pour se donner un vernis de légitimité ; cliquer « Se désabonner » confirme que votre adresse est valide et peut déclencher une hausse massive de pourriels.
- De nombreux utilisateurs rapportent une recrudescence de spam après avoir cliqué « Se désabonner » sur des courriels frauduleux.
Pourquoi cette conception est risquée
Le bouton « Se désabonner » exploite exclusivement l’en‑tête List‑Unsubscribe du message. Dans un écosystème sain (newsletters légitimes), cet en‑tête renvoie vers une adresse mailto: gérée ou une URL HTTPS contrôlée par l’expéditeur qui supprime réellement l’abonnement. Mais dans un scénario d’hameçonnage :
- le bouton contacte une ressource contrôlée par l’attaquant (adresse ou URL) ;
- ce contact confirme au fraudeur que votre boîte existe, est lue, et n’a pas de filtre bloquant ;
- votre adresse peut alors être revendue comme « active », augmentant le volume de spam.
Autrement dit : « Se désabonner » est sûr uniquement lorsque vous aviez réellement consenti à recevoir l’envoi et que l’expéditeur est connu et conforme.
Bonnes pratiques simples
| Situation du message | Action recommandée | Pourquoi ? |
|---|---|---|
| Spam / hameçonnage évident (non sollicité) | – Ne pas cliquer « Se désabonner ». – Le supprimer ou le placer dans « Indésirable ». – Optionnel : « Signaler » sans se désabonner. | Le clic valide votre adresse auprès du fraudeur. |
| Communication légitime (newsletter, entreprise connue) | « Se désabonner » est sans danger. | L’en‑tête pointe vers un serveur fiable ; le retrait est respecté. |
| Expéditeur récurrent et reconnu | Utiliser « Bloquer l’expéditeur ». | Évite les retours futurs de cette adresse/domaine. |
Comment agir dans Outlook (bureau, Web et « nouvel Outlook »)
Signaler sans se désabonner
- Outlook classique (Windows/Mac) : dans le ruban, ouvrez Courrier indésirable > Hameçonnage (ou utilisez l’add‑in « Signaler le message ») puis, si une boîte s’ouvre avec « Se désabonner », ne cochez que « Signaler/Bloquer ».
- Outlook sur le Web / nouvel Outlook : sélectionnez le message > Indésirable ou Hameçonnage ; si une fenêtre propose « Se désabonner », laissez l’option décochée.
- Mobile (iOS/Android) : utilisez Déplacer vers Indésirable ou Signaler. Évitez toute action « Se désabonner » sur du non sollicité.
Bloquer un expéditeur ou un domaine
- Outlook classique : clic droit sur le message > Courrier indésirable > Bloquer l’expéditeur. Pour le domaine : Courrier indésirable > Options du courrier indésirable > Expéditeurs bloqués > ajoutez
@domaine.tld. - Outlook sur le Web / nouvel Outlook : … > Bloquer. Pour un domaine : Paramètres > Courrier > Courrier indésirable > Expéditeurs et domaines bloqués.
Supprimer et purger
Après signalement, supprimez le message et videz le dossier « Éléments supprimés » pour empêcher tout réveil accidentel d’un lien malveillant lors d’une recherche ultérieure.
Points techniques : ce que fait réellement « Se désabonner »
- La commande utilise uniquement l’en‑tête
List‑Unsubscribe(et éventuellementList‑Unsubscribe‑Postpour le « One‑Click »). Elle n’exécute pas un lien présent dans le corps du message. - Deux mécanismes courants :
mailto:(envoi d’un e‑mail de désabonnement) ethttps:(appel direct d’une URL). Dans un spam, ces destinations restent sous contrôle de l’attaquant. - Les « Règles » Outlook classiques (texte/expéditeur) sont facilement contournées : variations d’adresses, d’orthographe et d’infrastructure. Appuyez‑vous d’abord sur le signalement/hameçonnage et le blocage.
Encadré technique — Exemple d’en‑têtes
Authentication-Results: spf=fail (domain of bad.example does not designate ...) dkim=none; dmarc=fail List-Unsubscribe: <mailto:unsubscribe@bad.example>, <https://bad.example/u/abc123> List-Unsubscribe-Post: List-Unsubscribe=One-Click
Dans ce cas, un clic « Se désabonner » contacte bad.example. Si vous n’avez jamais demandé ces envois, ne cliquez pas.
Vérifier les en‑têtes (SPF/DKIM/DMARC) en pratique
Un courrier légitime présente généralement des empreintes d’authentification cohérentes (SPF/DKIM/DMARC). Voici comment les consulter :
- Outlook sur le Web / nouvel Outlook : ouvrez le message > … > Afficher > Afficher l’en‑tête du message.
- Outlook classique : double‑cliquez pour ouvrir le message > Fichier > Propriétés > section En‑têtes Internet.
| Signal d’en‑tête | Lecture rapide | Action conseillée |
|---|---|---|
spf=pass + dkim=pass + dmarc=pass | Authentifié (pas forcément légitime, mais mieux cadré). | Si vous reconnaissez l’expéditeur, « Se désabonner » est acceptable. |
spf=fail/softfail ou dkim=fail, dmarc=fail | Origine douteuse ou falsifiée. | Ne pas se désabonner. Signalez et/ou supprimez. |
Présence de List‑Unsubscribe mais signature absente | Le désabonnement pourrait être piégé. | Évitez. Bloquez l’expéditeur si récurrent. |
Mesures complémentaires possibles
- Vérifier les en‑têtes : si SPF, DKIM ou DMARC échouent et que vous n’êtes pas abonné, ne vous désabonnez pas.
- Renforcer le filtrage :
- Compte personnel : Paramètres ▸ Courrier indésirable ▸ Niveau : Exclusif.
- Entreprise : demander à l’admin d’appliquer des politiques « Strict » dans Exchange Online Protection / Defender for Office 365 (anti‑phishing, anti‑spam et anti‑malware).
- Utiliser des alias/boîtes jetables : pratique quand l’adresse principale commence à fuiter (ex. adresse+source@domaine).
- Remonter le problème : via Feedback Hub ou canaux Microsoft 365, demandez :
- la suppression de « Se désabonner » sur les messages déjà classés hameçonnage ;
- un bouton « Signaler uniquement » clair et sans effets secondaires.
Réglages recommandés — pas‑à‑pas
Outlook.com / Compte personnel
- Ouvrez Paramètres (icône d’engrenage) > Courrier > Courrier indésirable.
- Activez le niveau de filtrage Exclusif pour n’autoriser que les expéditeurs et listes sûrs.
- Ajoutez vos listes de diffusion fiables à Expéditeurs et domaines approuvés.
- Dans Expéditeurs et domaines bloqués, ajoutez les domaines dommageables récurrents.
Organisation / Entreprise (EOP & Defender for Office 365)
- Appliquez une stratégie anti‑phishing stricte (détection d’usurpation, similitudes de domaines, utilisateurs VIP).
- Renforcez la stratégie anti‑spam (bulk threshold, durcissement sur SPF/DKIM/DMARC fail, mise en quarantaine des messages suspects).
- Activez Safe Links et Safe Attachments pour neutraliser les URL/pièces jointes malveillantes.
- Créez des listes autorisées pour les partenaires authentifiés (nécessite SPF/DKIM/DMARC valides) plutôt que d’ouvrir la porte aux « désabonnements » non sollicités.
Exemples concrets & scénarios
Exemple 1 — « Facture en retard » d’une société inconnue
- En‑têtes :
spf=fail, pas dedkim,dmarc=fail, présence deList‑Unsubscribevershttps://pay‑now.bad.tld/u/.... - Action : Signaler comme hameçonnage → Ne pas se désabonner → Supprimer.
Exemple 2 — Newsletter d’un média où vous étiez abonné
- En‑têtes :
spf=pass,dkim=pass,dmarc=pass. Lien de désinscription cohérent avec le domaine officiel. - Action : Se désabonner sans risque.
Exemple 3 — Promotions quotidiennes d’un « marchand » jamais utilisé
- En‑têtes :
spf=softfail,dkim=none,dmarc=none. - Action : Bloquer l’expéditeur, ne pas se désabonner, signaler si vous avez le temps.
Arbre de décision rapide
| Question | Si oui… | Si non… |
|---|---|---|
| Connaissiez‑vous cet expéditeur et vous y êtes‑vous inscrit volontairement ? | Utilisez « Se désabonner ». | Signalez/supprimez, ne cliquez pas sur « Se désabonner ». |
| SPF/DKIM/DMARC « pass » et domaine cohérent ? | Probablement légitime. Désabonnement OK. | Risque élevé. Évitez le désabonnement. |
| Reçoit‑on ces messages de façon récurrente du même expéditeur ? | Bloquer l’expéditeur pour couper court. | Se limiter au signalement/suppression. |
Mythes & réalités
| Mythe | Réalité |
|---|---|
| « Cliquer se désabonner réduit toujours le spam » | Faux. Sur du non sollicité, c’est souvent un validateur d’adresse pour les fraudeurs. |
| « Si le bouton est dans Outlook, c’est sécurisé » | Non. Outlook suit l’en‑tête fourni par l’expéditeur, y compris si c’est un attaquant. |
| « Bloquer l’expéditeur suffit à tout arrêter » | Partiel. Les spammeurs changent d’adresses et de domaines ; combinez blocage + signalement. |
| « Un SPF/DKIM/DMARC pass garantit la légitimité » | Non : c’est un signal, pas une preuve d’éthique marketing. |
FAQ express
| Question fréquente | Réponse synthétique |
|---|---|
| Puis‑je signaler et bloquer sans me désabonner ? | Oui : cochez seulement « Bloquer l’expéditeur » (et/ou « Signaler »). |
| Le signalement transmet‑il mes données personnelles ? | Microsoft reçoit le message pour analyse ; « Se désabonner » contacte en plus l’expéditeur, d’où le risque. |
| Comment reconnaître un courriel légitime ? | Adresse claire, domaine cohérent, SPF/DKIM/DMARC valides, relation antérieure avec l’expéditeur. |
| Existe‑t‑il des filtres plus agressifs ? | Oui : niveau « Exclusif » (Outlook.com) ou politiques renforcées EOP/Defender en entreprise. |
| Que faire d’un lien « Se désabonner » dans le corps du message ? | Ne cliquez pas tant que vous n’avez pas établi la légitimité. Préférez le bouton interne uniquement pour des listes connues. |
| Le « One‑Click » de désabonnement est‑il sûr ? | Seulement pour des expéditeurs réputés. Sur un spam, c’est un raccourci vers l’infrastructure de l’attaquant. |
Modèle de communication à diffuser en interne
À toute l’équipe : Si vous recevez un message non sollicité ou suspect, utilisez Signaler ou déplacez‑le dans Indésirable. Ne cliquez jamais sur « Se désabonner » à moins d’être certain d’être abonné. En cas de doute, transférez au support sécurité.
Checklist d’audit rapide (administrateurs)
- ✅ Stratégies anti‑phishing activées (VIP, usurpation, similitude de domaines).
- ✅ Stratégies anti‑spam « Strict » (bulk threshold, rejets/quarantaines sur échecs d’authentification).
- ✅ Safe Links et Safe Attachments activés.
- ✅ Sensibilisation des utilisateurs : se désabonner uniquement des listes connues.
- ✅ Processus de remontée des messages douteux (journaux/quarantaines consultés quotidiennement).
- ✅ Aliasing ou plus‑addressing documenté pour les inscriptions publiques.
À retenir
- Jamais de désabonnement pour un mail non sollicité ; cela dessert votre sécurité.
- Utilisez Signaler (ou supprimez) pour entraîner le filtre, Bloquer pour les cas récurrents, et Se désabonner uniquement lorsque vous vous étiez vraiment inscrit.
- La conception actuelle d’Outlook peut prêter à confusion ; le relais utilisateur (feedback) est indispensable pour pousser Microsoft à désactiver « Se désabonner » sur les signalements de hameçonnage.
Résumé opérationnel
Règle d’or : si vous n’avez pas demandé l’e‑mail, n’utilisez pas « Se désabonner ». Signalez, bloquez, supprimez. Vérifiez au besoin SPF/DKIM/DMARC. Renforcez les politiques côté tenant ou compte personnel (Exclusif). Formez les utilisateurs et remontez à Microsoft l’ambiguïté de l’interface.