Sous Outlook 2013 (Windows 10), les messages d’un collègue interne basculent systématiquement dans « Courrier indésirable ». Voici un guide opérationnel, du poste client jusqu’au serveur Exchange/EOP, pour diagnostiquer et corriger durablement ce scénario.
Problème observé
Un utilisateur sous Outlook 2013 constate que tous les courriels d’un seul collègue interne se retrouvent dans le dossier Courrier indésirable. Les tentatives classiques — marquer Pas indésirable, ajouter l’expéditeur aux Expéditeurs sûrs, créer une règle de déplacement vers la Boîte de réception — n’ont aucun effet. Pire : un message peut indiquer qu’un expéditeur interne ne peut pas être ajouté à la liste des expéditeurs sûrs.
Ce comportement est typique lorsque le filtrage côté serveur (Exchange Online Protection, Defender for Office 365 ou une passerelle antispam) attribue un score de spam élevé au message. Dans un environnement Exchange, le serveur prime sur le client : même si Outlook classe un message comme « Pas indésirable », un SCL défavorable côté serveur continue d’aiguiller la distribution vers le dossier Indésirables.
Ce qui se passe réellement (pipeline de remise)
- Arrivée du message sur la passerelle antispam / EOP : vérifications d’authentification (SPF, DKIM), DMARC, réputation IP, heuristiques, anti-phishing/spearfishing, détection d’URLs, pièces jointes, etc.
- Attribution d’un score (ex. SCL) et d’un verdict (ex. SFV) dans les en-têtes.
- Règles de flux (Transport Rules) et stratégies organisationnelles appliquées (bypass, marquage, quarantaine, délivrance).
- Remise au magasin de la boîte aux lettres avec annotation (SCL). Selon le seuil, Exchange place directement le message dans Courrier indésirable.
- Outlook récupère le message. Son filtre local (Junk E-mail) peut moduler à la marge, mais ne renversera pas un verdict serveur strict.
Résumé des étapes de diagnostic et de correction
Procédez du plus simple au plus déterminant :
| Étape | Objectif | Comment faire |
|---|---|---|
| Vérifier le filtrage local Outlook | Écarter un sur-filtrage côté client | Accueil ► Courrier indésirable ► Options du courrier indésirable ► niveau « Faible » ou « Aucun filtrage automatique ». |
| Contrôler les listes locales | Vérifier que l’adresse/domaine n’est pas bloqué | Dans la même boîte de dialogue, inspecter Expéditeurs bloqués et Destinataires bloqués. Supprimer toute entrée liée au collègue/domaine. |
| Démarrer Outlook en mode sans échec | Écarter l’impact d’un complément tiers | Win+R ► outlook.exe /safe. Si le problème disparaît, désactiver les compléments antispam/antivirus (Fichier ► Options ► Compléments ► Atteindre). |
| Mettre Outlook à jour | Éliminer un bogue corrigé | Windows Update ► mises à jour d’Office 2013. Redémarrer Outlook. |
| Analyser les en-têtes d’un message affecté | Identifier l’origine du verdict indésirable | Ouvrir le message ► Fichier ► Informations ► Propriétés ► En-têtes Internet. Rechercher X-Forefront-Antispam-Report, SCL, SFV, CIP. |
| Vérifier côté serveur | Savoir si Exchange/EOP force l’Indésirable | Faire analyser un message source (.eml) par l’administrateur : traces de transport, stratégies EOP/Defender, règles de flux, listes d’autorisation/blocage. |
| Mettre en place un contournement ciblé | Rétablir la livraison en Boîte de réception | Règle de flux Bypass spam filtering (définir SCL =-1) pour l’adresse/domaine, ou ajout à la liste d’autorisation globale (Allowed Senders/Domains). |
| Réinitialiser le profil ou les listes locales (rare) | Écarter une corruption locale persistante | Créer un nouveau profil (Panneau de configuration ► Courrier ► Profils), ou sauvegarder/supprimer les paramètres Junk d’Outlook et relancer. |
Étapes détaillées côté poste (Outlook 2013 sur Windows 10)
Régler le filtre Courrier indésirable d’Outlook
- Dans Outlook, allez dans Accueil ► Courrier indésirable ► Options du courrier indésirable….
- Dans l’onglet Options, choisissez Faible (recommandé) ou Aucun filtrage automatique (temporaire pour diagnostic).
- Validez, puis testez avec un nouveau message du collègue.
À savoir : en mode Exchange, le filtre local ne « blanchira » pas un message que le serveur a déjà classé comme indésirable, mais cela évite d’ajouter de faux positifs locaux par-dessus le verdict serveur.
Assainir les listes locales et vérifier les règles
- Dans Expéditeurs bloqués / Destinataires bloqués, supprimez toute entrée correspondant à l’adresse du collègue ou au domaine.
- Dans Expéditeurs sûrs, ne vous étonnez pas si Outlook refuse un expéditeur interne : c’est un comportement normal en environnement Exchange.
- Vérifiez vos Règles (Accueil ► Règles ► Gérer les règles) pour repérer toute règle qui déplacerait par erreur les messages du collègue. Désactivez-les temporairement pour tester.
Démarrer sans compléments et neutraliser les add-ins antispam
- Quittez Outlook. Pressez
Win+R, saisissezoutlook.exe /safe, validez. - Si le message du collègue reste en Boîte de réception, le coupable est probablement un complément (par ex. un module antispam tiers, antivirus avec intégration Outlook, etc.).
- Désactivez définitivement le complément fautif : Fichier ► Options ► Compléments ► Gérer : Compléments COM ► Atteindre….
Mettre à jour Office 2013
Ouvrez Windows Update et appliquez l’ensemble des mises à jour Office. Certaines versions d’Outlook 2013 ont corrigé des interactions de filtrage et des bogues de règles. Un redémarrage du poste est conseillé.
Réinitialiser proprement en dernier recours
- Nouveau profil : Panneau de configuration ► Courrier ► Afficher les profils ► Ajouter…. Configurez le compte Exchange, sélectionnez Demander quel profil utiliser, puis testez avec le profil neuf.
- Paramètres Junk : après sauvegarde, supprimez les paramètres locaux Junk d’Outlook (par ex. clé/valeurs liées à JunkMail dans le profil utilisateur) puis relancez Outlook. Cette opération s’adresse aux administrateurs avertis.
Étapes détaillées côté serveur (Exchange / EOP / Defender)
Récupérer un échantillon et lire les en-têtes
Demandez à l’utilisateur de transférer le message incriminé en pièce jointe (format .eml intact). C’est indispensable pour voir les en-têtes d’origine. Dans Outlook 2013 :
- Ouvrez le message ► Fichier ► Propriétés ► copiez la zone En-têtes Internet.
- Repérez notamment :
SCL(Spam Confidence Level),X-Forefront-Antispam-Report,SFV(Spam Filter Verdict),CIP(adresse IP d’émission),Authentication-Results(SPF/DKIM/DMARC).
Interpréter SCL et SFV
| Champ | Valeur typique | Signification | Conséquence usuelle |
|---|---|---|---|
| SCL | -1 | Message autorisé (bypass) — liste d’autorisation, authentifié « de confiance », ou règle qui force le SCL | Boîte de réception |
| SCL | 0–1 | Non spam | Boîte de réception |
| SCL | 5–6 | Probable spam | Courrier indésirable |
| SCL | ≥7 | Spam fort / haute confiance | Indésirable ou quarantaine selon stratégie |
| SFV | NSPM | Non spam | Boîte de réception |
| SFV | SPM | Spam | Indésirable/quarantaine |
| SFV | SKS / SKN / SKA | Filtrage contourné (liste blanche, réseau/expéditeur fiable, authentification) | Dépend des règles et politiques |
Contrôler les règles et stratégies
- Règles de flux (Transport Rules) : vérifiez qu’aucune règle ne cible l’adresse du collègue (ou un motif présent dans ses messages) pour rehausser le SCL, ajouter un en-tête déclencheur ou déplacer vers Indésirable.
- Stratégies antispam (contenu/anti-phishing) : inspectez les Allowed Senders/Domains, les listes de blocage et la sensibilité. Relevez si une politique anti-phishing ou de spoof intelligence considère l’expéditeur comme usurpé.
- Connecteurs/Passerelle : si votre messagerie transite par une solution tierce, contrôlez qu’elle réémet les messages internes avec une IP et des en-têtes attendus par EOP (sinon Exchange peut les juger « externes »).
Créer un contournement ciblé (si nécessaire)
Si l’analyse confirme un faux positif et que l’urgence est de rétablir la livraison :
# Exemple Exchange Online PowerShell
Connect-ExchangeOnline
# Règle de flux : forcer SCL à -1 pour l'expéditeur
New-TransportRule -Name "Bypass spam pour collegue" `
-From "[collegue@exemple.com](mailto:collegue@exemple.com)" -SetSCL -1
# Ou autoriser explicitement l'adresse/le domaine dans la politique de contenu
Set-HostedContentFilterPolicy -Identity "Default" ` -AllowedSenders @{Add="collegue@exemple.com"}`
-AllowedSenderDomains @{Add="exemple.com"} Bonnes pratiques : ciblez l’adresse ou le domaine avec parcimonie, documentez la règle et programmez un retour arrière une fois la cause racine corrigée.
Tracer le flux pour confirmer
# Traçage de messages (sur les dernières 24-48h)
Get-MessageTrace -SenderAddress collegue@exemple.com -StartDate (Get-Date).AddDays(-2) -EndDate (Get-Date)
# Détails pour un message donné
Get-MessageTraceDetail -MessageTraceId -RecipientAddress [utilisateur@exemple.com](mailto:utilisateur@exemple.com) Les événements de trace indiquent si le message a été remis en Boîte de réception, placé en Indésirable, ou soumis à une action (résultat d’une règle, d’une politique ou d’un moteur antispam).
Analyser le contenu du message
Les faux positifs internes sont souvent déclenchés par des caractéristiques du contenu plutôt que par l’identité de l’expéditeur. Contrôlez :
- Liens : URL raccourcies, domaines récemment enregistrés, redirections multiples.
- Pièces jointes : archives protégées par mot de passe, exécutables, macros, ou formats rares.
- Texte : formulations marketing/promotionnelles, mots-clés sensibles, chaînes obfusquées.
- Signature : bannières « signature manager » injectées, images distantes, liens de désinscription.
- Langue : changement de langue inhabituel, mélange de langues.
Si vous identifiez un motif déclencheur (par ex. un lien raccourci), corrigez la signature ou la pratique de l’expéditeur et répétez l’envoi test.
Scénarios fréquents qui frappent un expéditeur interne
| Scénario | Symptômes | Correctif recommandé |
|---|---|---|
| Alias ou « de la part de » (Send As/Send on Behalf) | Les en-têtes montrent une divergence entre l’adresse visible et l’adresse d’émission | Uniformiser l’adresse d’envoi, vérifier les délégations et l’alignement DKIM/DMARC |
| Courriels transitant par un service tiers (signature, archivage, sécurité) | L’en-tête CIP pointe vers une IP externe non reconnue | Configurer la passerelle/connector pour préserver l’authenticité et la réputation, ou l’ajouter à la liste d’expéditeurs fiables |
| Display name spoofing interne | Le From: porte le bon nom mais l’identité technique est jugée trompeuse | Ajuster les politiques anti-phishing, ajouter l’expéditeur réel aux autorisations si légitime |
| Signature riche ou bannière promotionnelle | Présence d’URLs trackées/raccourcies, images distantes | Nettoyer la signature, héberger les images en interne, éviter les URL shorteners |
| Redirection automatique depuis une boîte externe | SPF/DKIM/DMARC en échec, Authentication-Results défavorable | Mettre en place l’authentification correcte (DKIM), réexpédier via un relais autorisé, ou activer ARC si disponible |
Pourquoi l’ajout aux « Expéditeurs sûrs » échoue-t-il pour un collègue interne ?
Dans un environnement Exchange, les adresses internes sont gérées différemment des expéditeurs Internet : elles ne sont en principe pas soumises aux mêmes listes sûrs/bloqués du client Outlook. Quand Outlook affiche qu’un expéditeur interne ne peut pas être ajouté aux expéditeurs sûrs, cela reflète cette logique. La bonne pratique est de corriger la cause côté serveur (score SCL, anti-phishing, règle de flux), pas de forcer côté client.
Modèle d’en-têtes à examiner
Authentication-Results: spf=pass (sender IP ...) smtp.mailfrom=exemple.com;
dkim=pass (signature valide) header.d=exemple.com;
dmarc=pass action=none header.from=exemple.com
X-Forefront-Antispam-Report: CIP=203.0.113.25; CTRY=...; SCL=6; SFV=SPM; ...
Received-SPF: Pass (...: domain of exemple.com designates 203.0.113.25 as permitted sender)
Lecture rapide : un SCL=6 et SFV=SPM expliqueraient la mise en Indésirable malgré un SPF/DKIM/DMARC valides. Il faudra alors chercher du côté contenu/signature, des politiques anti-phishing agressives, ou d’une passerelle intermédiaire.
Scripts et commandes utiles pour les admins
# Connexion (module Exchange Online)
Connect-ExchangeOnline
# Vérifier si une règle de flux touche cet expéditeur
Get-TransportRule | Sort-Object Priority | Format-Table Name,Mode,Priority,State
# Chercher vite les règles qui modifient SCL
Get-TransportRule | Where-Object {$_.SetSCL -ne $null} | Select Name,SetSCL
# Autoriser temporairement l'expéditeur (bypass ciblé)
New-TransportRule -Name "Bypass SPAM - collegue interne" `
-From "[collegue@exemple.com](mailto:collegue@exemple.com)" -SetSCL -1
# Autoriser à l'échelle de la politique
Set-HostedContentFilterPolicy -Identity "Default" `
-AllowedSenders @{Add="[collegue@exemple.com](mailto:collegue@exemple.com)"}
# Inspecter la config Junk d'une boîte (utile si l'utilisateur a des entrées inattendues)
Get-MailboxJunkEmailConfiguration -Identity [utilisateur@exemple.com](mailto:utilisateur@exemple.com)
# Ajouter un domaine de confiance (si votre politique l'autorise)
Set-MailboxJunkEmailConfiguration -Identity [utilisateur@exemple.com](mailto:utilisateur@exemple.com) `
-TrustedSendersAndDomains @{Add="exemple.com"}
# Traces pour confirmer la remise
Get-MessageTrace -SenderAddress [collegue@exemple.com](mailto:collegue@exemple.com) -StartDate (Get-Date).AddDays(-1) -EndDate (Get-Date) Note : ces commandes nécessitent les droits adéquats. Testez toujours en environnement de recette si possible et documentez les changements.
Bonnes pratiques pour éviter la régression
- Documenter l’incident : expéditeur concerné, horodatage, copies d’écran, en-têtes.
- Échantillon représentatif : conserver 2–3 messages problématiques intacts (.eml/.msg) pour analyses comparatives.
- Contournement temporaire (règle SCL =-1) : planifier une date de revue et retirer le bypass une fois la cause racine corrigée.
- Signature d’entreprise : valider les bannières/signatures via un envoi test et éviter les URL shorteners.
- Mettre à niveau Outlook lorsque possible : Outlook 2013 n’est plus en support standard, les versions récentes améliorent les intégrations avec les politiques modernes (anti-phish, ZAP, etc.).
Checklist rapide
- [ ] Niveau de filtrage Outlook réglé (Faible/Aucun) et listes locales assainies.
- [ ] Test effectué en mode sans échec sans compléments tiers.
- [ ] Outlook à jour via Windows Update.
- [ ] En-têtes analysés (SCL/SFV) sur un message intact.
- [ ] Traces/rapports Exchange confirment l’origine serveur du classement Indésirable.
- [ ] Règle de flux de bypass temporaire si nécessaire.
- [ ] Cause racine identifiée (contenu, passerelle, anti-phishing, alias).
- [ ] Documentation & plan de suivi établis.
FAQ
« Marquer comme Pas indésirable » ne suffit-il pas ?
Non, ce marquage agit surtout côté client. Si le serveur a posé un SCL élevé, la logique de remise place malgré tout le message en Indésirable.
Puis-je forcer Outlook à toujours accepter les mails de ce collègue ?
Vous pouvez créer une règle client, mais si la cause est serveur, l’effet sera limité. La solution durable est d’ajuster la politique/règle côté Exchange/EOP.
Un expéditeur interne ne peut pas être ajouté aux expéditeurs sûrs, normal ?
Oui. Outlook traite différemment les identités internes Exchange. Il faut corriger la détection côté serveur.
Risque-t-on de perdre des messages ?
Ils finissent en général dans Courrier indésirable ou en quarantaine selon la stratégie. Surveillez ces emplacements durant l’investigation.
Et si le problème touche plusieurs collègues ?
Élargissez l’analyse : une signature commune ou une passerelle peut être en cause. Cherchez un facteur commun dans les en-têtes (même CIP, même lien, même modèle).
Conclusion
Quand les mails d’un collègue interne atterrissent systématiquement en Courrier indésirable sous Outlook 2013/Windows 10, c’est presque toujours le signe d’un verdict serveur (SCL/SFV) appliqué en amont. Agissez en deux temps : épurez le comportement local (filtre/junk/règles/compléments), puis validez côté Exchange/EOP (en-têtes, traces, politiques). Au besoin, créez un bypass ciblé et traitez la cause racine (contenu, signature, alias, passerelle). Cette approche graduelle rétablit la remise en Boîte de réception tout en préservant la posture de sécurité.
Annexe : Procédures pas à pas (poste & serveur)
Poste (Outlook 2013)
- Niveau de filtre : Accueil ► Courrier indésirable ► Options ► Faible ou Aucun.
- Listes : Débloquez toute entrée liée au collègue/domaine.
- Règles : Désactivez celles qui touchent l’expéditeur.
- Mode sans échec :
outlook.exe /safepour neutraliser les compléments. - Mises à jour : via Windows Update, puis redémarrage.
- Nouveau profil (si besoin) : Panneau de configuration ► Courrier ► Profils ► Ajouter.
Serveur (Exchange/EOP)
- Collecte d’un .eml et lecture d’en-têtes (SCL/SFV/CIP).
- Message Trace pour confirmer le chemin et l’action.
- Politiques antispam/anti-phish : listes d’autorisation/blocage, seuils, spoof intelligence.
- Règles de flux : identifier toute règle modifiant SCL ou déplaçant vers Indésirable.
- Contournement : règle SetSCL -1 ou ajout à AllowedSenders.
- Remédiation de la cause racine (signature, lien, alias, connector).
Limites et recommandations
- Outlook 2013 n’est plus en support standard : envisagez une mise à niveau (Outlook 2019 ou Microsoft 365 Apps) pour bénéficier des correctifs et d’une meilleure compatibilité avec les politiques modernes.
- Ordre de priorité : sur un compte Exchange, le verdict serveur (SCL/SFV) dicte la destination ; le client ne peut que s’aligner.
- Analyse d’en-têtes : un utilitaire d’inspection (complément Outlook ou outil web de lecture d’en-têtes) accélère l’identification du moteur à l’origine du score.
- Collaboration avec l’expéditeur : validez l’adresse d’envoi effective, les délégations et l’alignement DKIM/DMARC.
- Escalade : fournissez toujours un échantillon intact au support (message original non altéré) pour permettre une analyse fiable.
Exemples de corrections concrètes selon le diagnostic
| Diagnostic | Action côté serveur | Action côté poste | Mesure de suivi |
|---|---|---|---|
| SFV=SPM, SCL=6, contenu signature suspect | Ajuster la politique (tolérance) et nettoyer la signature | Niveau de filtre Outlook au minimum durant le test | Réévaluer sans bypass après correction |
| Message via passerelle externe, CIP non reconnue | Déclarer l’IP/connector comme autorisé, vérifier les en-têtes préservés | Aucun changement requis | Inclure la passerelle dans la documentation d’architecture |
| Anti-phishing marque « usurpation interne » | Ajuster la règle, ajouter le scénario aux autorisations | Aucun changement requis | Former l’expéditeur sur l’usage des alias |
| Règle de flux héritée rehausse SCL | Désactiver ou remanier la règle | Aucun changement requis | Revue régulière des règles et priorités |
En bref
Pour corriger les mails d’un collègue interne classés en indésirables dans Outlook 2013, investiguez d’abord localement (filtre, listes, compléments), puis validez côté Exchange/EOP l’origine serveur via en-têtes et traces. Mettez si besoin un bypass temporaire, identifiez la cause racine (contenu, alias, passerelle), puis retirez le contournement. Cette méthode rétablit la réception normale sans compromettre la sécurité.