Paramètres SMTP Outlook.com / Microsoft 365 (2025) : serveur, port, STARTTLS et OAuth 2 obligatoires

Vous tentez de configurer l’envoi de mails depuis Outlook.com ou Microsoft 365 et l’ancien couple smtp‑mail.outlook.com :587 renvoie Server timed out ? Voici la configuration correcte en 2025, pourquoi elle a changé et toutes les solutions de contournement crédibles.

Sommaire

Vue d’ensemble de la question

Pendant des années, la documentation mentionnait smtp‑mail.outlook.com (port 587, STARTTLS) et tolérait l’authentification basique (username + password) sur SMTP. Dans la pratique, ces réglages ne sont plus fiables : certains serveurs répondent encore, d’autres non, et la simple authentification par mot de passe est désormais refusée.

Depuis le 1^er octobre 2024, Microsoft généralise l’authentification moderne (OAuth 2) pour les comptes Outlook.com et la quasi‑totalité des locataires Microsoft 365. Résultat : les anciennes imprimantes, routeurs, NAS, clients mail ou scripts qui n’implémentent pas OAuth 2 ne peuvent plus envoyer directement via les serveurs Microsoft.

Réponse & solutions

Élément	Paramètre recommandé	Commentaire utile
Serveur SMTP	`outlook.office365.com`	Hôte unique IMAP/POP/SMTP pour Outlook.com et Microsoft 365. Évitez `smtp‑mail.outlook.com` qui est obsolète/incohérent.
Port	587	Canal client soumis avec STARTTLS. Le port 25 n’est pas prévu pour l’envoi authentifié par des clients. Le port 465 n’est pas pris en charge.
Chiffrement	STARTTLS	Négociation TLS après `EHLO` → `STARTTLS`, puis reprise de la session chiffrée.
Authentification	OAuth 2 obligatoire	Les mécanismes LOGIN/PLAIN par mot de passe sont désactivés/retirés depuis 2024 pour Outlook.com et la majorité des tenants Microsoft 365.

Paramétrage rapide (copier‑coller)

SMTP (envoi)
Hôte : outlook.office365.com
Port : 587
Sécurité : STARTTLS
Authentification : OAuth 2
Nom d’utilisateur : votre adresse e‑mail complète

IMAP (réception, recommandé)
Hôte : outlook.office365.com
Port : 993
Sécurité : SSL/TLS
Authentification : OAuth 2
Nom d’utilisateur : votre adresse e‑mail complète

POP (réception, si indispensable)
Hôte : outlook.office365.com
Port : 995
Sécurité : SSL/TLS
Authentification : OAuth 2
Nom d’utilisateur : votre adresse e‑mail complète

Pourquoi l’authentification à mot de passe est désormais rejetée ?

Historiquement, SMTP AUTH acceptait les schémas PLAIN/LOGIN une fois la session chiffrée. Mais ces méthodes, même encapsulées dans TLS, restent vulnérables aux replay et au password spraying, sans MFA natif. L’OAuth 2 apporte :

des tokens d’accès à durée de vie courte et scopes limités (ex. SMTP.Send),
le MFA (authentification multifacteur) via l’IdP Microsoft,
des contrôles conditionnels (localisation, appareil conforme, risque).

La conséquence directe : toute tentative d’envoi via outlook.office365.com:587 en LOGIN/PLAIN est rejetée, parfois avec un message Authentication unsuccessful ou un timeout selon l’appareil.

Que faire si votre logiciel ou appareil ne sait pas gérer OAuth 2 ?

Mettre à jour le client : Thunderbird ≥ 102, Apple Mail ≥ macOS 12, Outlook ≥ 2016, iOS/iPadOS Mail récents et l’app Outlook mobile implémentent OAuth 2.
Utiliser un relais SMTP externe : votre imprimante/routeur/NAS envoie vers le SMTP de votre FAI ou un service tiers qui accepte toujours les mots de passe (ex. avec port 465/SSL + mot de passe d’application). Attention aux limites de débit et aux règles SPF.
Basculer de fournisseur : si la dépendance à Microsoft est faible, un service autorisant des mots de passe d’application (et/ou 465/SSL) demeure compatible avec les anciens firmwares.
Option entreprise : dans un tenant Microsoft 365, vous pouvez autoriser au cas par cas « SMTP AUTH client submission » (sur smtp.office365.com) pour un compte spécifique. Cette exception n’existe pas pour les comptes Outlook.com gratuits.

Option	Avantages	Limites	Cas d’usage
Mise à jour du client	Support natif OAuth 2, MFA, conformité	Peut nécessiter MAJ OS/licence	Postes de travail, mobiles récents
Relais SMTP externe	Facile pour imprimantes/IoT	Gestion SPF/DKIM, réputation IP	Scan‑to‑mail, capteurs, routeurs
Changement de fournisseur	Compatibilité large anciens équipements	Migration comptes/données	PME/TPE sans contrainte M365
Exception « SMTP AUTH » (entreprise)	Permet un dernier recours ciblé	Surface d’attaque ↑, gouvernance	Équipements non upgradables critiques

Pourquoi `smtp‑mail.outlook.com` échoue‑t‑il ?

Le nom existe encore en DNS, mais Microsoft ne garantit plus d’y accepter l’authentification client ou d’y proposer le même comportement selon les régions. Certaines fermes peuvent répondre, d’autres simplement ne jamais compléter l’authentification, d’où les Server timed out. Standardisez sur outlook.office365.com pour POP/IMAP/SMTP.

Bonnes pratiques supplémentaires

Activez la vérification en deux étapes (MFA) sur votre compte Microsoft.
Thunderbird : Serveur sortant → outlook.office365.com, port 587, STARTTLS, Auth : OAuth 2, utilisateur = adresse complète.
Outlook pour Windows/Mac : ajoutez le compte en mode Microsoft 365/Exchange (autodiscover). Évitez la création « POP/IMAP manuelle » si possible.
Sur un tenant Microsoft 365, vérifiez que SMTP AUTH est désactivé globalement, et n’autorisez qu’une exception ciblée si vous l’assumez (compte et appareil identifiés).
Exigez TLS 1.2+ côté équipement. Les piles TLS trop anciennes échouent au STARTTLS.

Guides de configuration par client

Thunderbird (Windows/macOS/Linux)

Paramètres du compte → Serveur sortant (SMTP) → Ajouter…
Nom du serveur : outlook.office365.com — Port : 587 — Sécurité : STARTTLS.
Méthode d’authentification : OAuth 2 — Nom d’utilisateur : votre adresse e‑mail.
Dans Paramètres serveur de la boîte IMAP : outlook.office365.com:993, SSL/TLS, OAuth 2.
Au premier envoi, une fenêtre Microsoft s’ouvre pour consentir les scopes et réaliser le MFA.

Outlook pour Windows (versions 2016/2019/Microsoft 365)

Fichier → Ajouter un compte → saisissez votre adresse.
L’assistant détecte Microsoft 365/Outlook.com et met en place OAuth 2 automatiquement.
Évitez les profils « POP/IMAP manuels ». En cas d’obligation, paramétrez quand même SMTP comme indiqué plus haut et vérifiez que le type d’authentification affiche OAuth 2.

Apple Mail (macOS 12+)

Réglages → Comptes → Ajouter un compte → « Exchange » ou « Outlook.com » selon votre cas.
Connectez‑vous via la page Microsoft (OAuth 2 + MFA). Apple Mail configure IMAP/SMTP avec tokens.
Si l’envoi échoue après une migration, supprimez l’ancien compte « IMAP manuel » et recréez‑le via le flux « Exchange ».

iOS/iPadOS Mail

Réglages → Mail → Comptes → Ajouter un compte → « Microsoft Exchange » ou « Outlook.com ».
Suivez l’authentification Microsoft (OAuth 2 + MFA). L’envoi utilise STARTTLS/587 en arrière‑plan.

Android (Gmail ou Outlook mobile)

Dans Gmail : Ajouter un compte → « Exchange et Office 365 ».
Dans Outlook mobile : ajoutez votre adresse, l’app récupère la config moderne automatiquement.

Dépannage des erreurs courantes

Message/Code	Cause probable	Correctif express
`Server timed out` lors de l’envoi	Hôte obsolète (`smtp‑mail.outlook.com`) ou pile TLS trop ancienne	Utilisez `outlook.office365.com`, forcer TLS 1.2+, vérifier pare‑feu/antivirus
`535 5.7.3 Authentication unsuccessful`	Mot de passe présenté en LOGIN/PLAIN	Basculer l’authentification sur OAuth 2, relancer l’assistant de connexion
`530 5.7.57 Client not authenticated to send mail`	Pas de jeton valide, consentement non accordé, heure système fausse	Reconnectez‑vous, vérifiez l’horloge de l’appareil et les cookies/autorisations
`454 4.7.0 TLS not available`	Bibliothèque SSL de l’appareil obsolète	Mise à jour firmware/OS ou passer par un relais compatible
`421 4.7.0 Temporary server error`	Limites de débit, reputational throttling	Réduire la cadence, espacer les envois, vérifier l’IP source
Messages placés en Courrier indésirable	SPF/DKIM/DMARC manquants ou incohérents	Signer DKIM, publier SPF autorisant l’émetteur, politique DMARC = alignée

Cas d’entreprise (tenant Microsoft 365)

Si vous administrez un tenant, trois modèles d’envoi existent :

Client submission (SMTP AUTH) via smtp.office365.com:587 avec authentification par mot de passe uniquement si explicitement autorisé. À n’ouvrir que pour un compte dédié et monitoré.
Direct send (envoi direct au MX d’Exchange Online) depuis une IP fixe de votre organisation, sans authentification, uniquement pour les domaines que vous possédez dans le tenant, et sans envoi vers l’externe via Outlook.com. Idéal pour les multifonctions.
Microsoft 365 SMTP relay via un connecteur Exchange Online. Requiert adresses IP fixes sources approuvées. Gestion centralisée du débit et de la rétention.

Dans tous les cas, privilégiez l’OAuth 2 quand c’est possible (applis modernes ou services cloud). Pour les développements internes, envisagez l’API Graph (sendMail) plutôt que SMTP, afin de bénéficier du contrôle d’accès conditionnel et des journaux unifiés.

Exemple de session SMTP réussie (schéma)

C:  EHLO client.exemple
S:  250-outlook.office365.com Hello
S:  250-STARTTLS
...
C:  STARTTLS
S:  220 2.0.0 Ready to start TLS
-- passage en TLS --
C:  EHLO client.exemple
S:  250-AUTH XOAUTH2
...
C:  AUTH XOAUTH2 dXNlcj1qb2huQGV4ZW1wbGUuY29tIHRva2VuPVlZLnh4eC4uLg==
S:  235 2.7.0 Authentication successful
C:  MAIL FROM:&lt;john@example.com&gt;
S:  250 2.1.0 Sender OK
C:  RCPT TO:&lt;destinataire@example.net&gt;
S:  250 2.1.5 Recipient OK
C:  DATA
S:  354 Start mail input; end with &lt;CRLF&gt;.&lt;CRLF&gt;
... contenu ...
.
S:  250 2.0.0 Ok: queued
C:  QUIT
S:  221 2.0.0 Bye

Sécurité, conformité & délivrabilité

SPF : si vous utilisez un relais tiers, ajoutez‑le dans votre enregistrement SPF, sinon les messages risquent d’être marqués fail.
DKIM : activez la signature DKIM au niveau du tenant ou du service d’envoi. Elle améliore le passage en boîte de réception.
DMARC : définissez une politique progressive (p=none → quarantine → reject) pour éviter les surprises en production.
MFA obligatoire pour les comptes qui envoient des messages au nom de l’organisation.
Copie journaux : conservez les logs SMTP (ou les journaux Graph) pour corréler les erreurs et prouver la conformité.

FAQ express

Le port 465/SSL fonctionne‑t‑il chez Microsoft ?
Non. Le schéma supporté pour les clients authentifiés est 587+STARTTLS.

Je dois envoyer des mails système depuis une imprimante qui n’a pas OAuth 2 :
Utilisez un relais SMTP (FAI ou service tiers) ou, en entreprise, un relais interne + connecteur Exchange Online. Ne laissez pas un compte global réactiver SMTP AUTH sans contrôle.

Pourquoi l’envoi Outlook.com marchait hier et plus aujourd’hui ?
La bascule vers OAuth 2 s’est généralisée fin 2024 et continue d’être renforcée. Selon l’IP, la région et l’hôte, l’ancien chemin peut être coupé.

Puis‑je conserver POP au lieu d’IMAP ?
Oui, POP reste possible mais préfère IMAP (meilleure synchronisation multi‑appareils). Dans les deux cas, l’auth doit être OAuth 2.

Dois‑je changer le mot de passe de mon compte ?
Changer le mot de passe ne résoudra pas un refus d’authentification si votre client ne parle pas OAuth 2. La solution est de mettre à jour l’app ou d’employer un relais.

Check‑list de migration

Inventorier tous les envois SMTP (imprimantes, scripts, CRM, NAS, copieurs).
Classer par capacité OAuth 2 : Oui/Non/À vérifier.
Pour « Non » : choisir un relais (FAI/tiers) ou un connecteur Exchange Online.
Basculer les clients compatibles vers outlook.office365.com:587 + OAuth 2.
Activer/forcer TLS 1.2+, désactiver les suites RC4/3DES.
Valider SPF/DKIM/DMARC pour les domaines expéditeurs.
Documenter les exceptions SMTP AUTH (si absolument nécessaires), avec comptes dédiés, MTA interne et surveillance.

Résumé

En 2025, la configuration « qui marche » pour Outlook.com et Microsoft 365 est simple : un seul serveur (outlook.office365.com), un seul port (587), STARTTLS et OAuth 2 obligatoire. Toute tentative d’envoi par mot de passe simple est refusée. Pour les appareils figés, la voie réaliste passe par un relais SMTP ou un connecteur en entreprise. Normalisez vos paramétrages et vous éliminerez 95 % des erreurs « Server timed out » et « Authentication unsuccessful ».

Exemples de politiques côté tenant (référence d’implémentation)

Désactiver SMTP AUTH globalement, puis réactiver par boîte uniquement si indispensable (et jamais pour des comptes utilisateurs humains).
Bloquer l’envoi direct depuis des IP dynamiques. Préférer des IP fixes dédiées si vous optez pour un relais SMTP interne.
Mettre en place des alertes sur les pics d’échecs d’authentification SMTP et les envois sortants anormalement élevés.
Exiger MFA et des appareils conformes (poste géré) pour tout flux qui émet au nom d’un domaine de l’entreprise.

Tableau mémo : comparatif des chemins d’envoi

Chemin	Auth	Sécurité	Débit	Complexité	Quand l’adopter
Client → `outlook.office365.com:587`	OAuth 2	STARTTLS + MFA	Moyen	Faible	Postes/Apps modernes
Client → `smtp.office365.com:587` (exception)	Mot de passe (rare)	TLS, mais risque accru	Moyen	Moyenne	Équipements figés en dernier recours
Équipement → Relais FAI/Tiers (465/SSL)	Mot de passe/app password	SSL/TLS	Variable	Faible	Imprimantes/IoT sans OAuth 2
Équipement → MTA interne → Connecteur EXO	IP fixe autorisée	TLS opportuniste, contrôle IP	Élevé	Élevée	Parc important d’appareils

Checklist technique côté client

Vérifier la date/heure : un drift de quelques minutes peut invalider les tokens OAuth.
Autoriser les pop‑ups et cookies tiers pour l’auth Microsoft (dans les clients qui embarquent un navigateur).
Mettre à jour la chaîne de confiance CA racine pour TLS (certificats récents).
Désinstaller/réinstaller le compte si l’assistant n’affiche pas le panneau de connexion Microsoft.

Pièges fréquents à éviter

Confondre hôtes : smtp‑mail.outlook.com peut « sembler » répondre, mais n’est plus la bonne référence.
Forcer le port 465 : non supporté par Microsoft pour l’envoi client.
Réactiver SMTP AUTH en grand : vous rouvrez de vieux vecteurs d’attaque et perdez MFA/conditionnel.
Ignorer SPF/DKIM : vous fragilisez la délivrabilité, surtout avec un relais tiers.

Conclusion

La transition vers l’authentification moderne est définitive. Adoptez immédiatement outlook.office365.com en 587/STARTTLS avec OAuth 2. Là où ce n’est pas possible, choisissez un relais maîtrisé et encadrez‑le (IP fixe, politiques anti‑abus, journaux). Vous gagnerez en sécurité, en fiabilité et en délivrabilité.