MENU
  1. Accueil
  2. MS Office
  3. Outlook
  4. Arrêter les messages « postmaster » après piratage Outlook : guide complet

Arrêter les messages « postmaster » après piratage Outlook : guide complet

Outlook

Victime d’un piratage Outlook ? Si chaque nouveau courriel déclenche un avis de non‑distribution signé « postmaster@outlook.com », il s’agit presque toujours d’une règle de transfert cachée vers une adresse invalide. Ce dossier complet explique la cause, la suppression et la prévention de ces NDR.

Sommaire

Contexte : pourquoi reçoit‑on ces avis « postmaster » ?

Lorsqu’un attaquant compromet un compte Outlook.com / Microsoft Account, son objectif immédiat est d’intercepter votre courrier afin de récupérer des informations bancaires, des confirmations d’achat ou des liens de réinitialisation de mot de passe. Le moyen le plus discret consiste à créer une règle de transfert automatique :

  • Soit vers une boîte contrôlée par l’attaquant ;
  • Soit (et c’est fréquent) vers un ancien alias ou une adresse jetable qui n’existe plus.

Dans le deuxième cas, chaque message entrant est d’abord transféré en arrière‑plan ; le serveur distant répond « 550 5.1.1 User unknown ». Outlook.com relaie alors le NDR (Non‑Delivery Report) depuis postmaster@outlook.com… que votre propre filtre classe dans Indésirable. Vos correspondants, eux, peuvent recevoir un avis de rebond identique, alors que votre copie du mail est bien livrée. La confusion est totale.

Symptômes typiques d’un compte touché

  • Multiples messages « Delivery Status Notification (Failure) » dans le dossier Indésirable.
  • Horodatage identique ou très proche du courriel légitime.
  • Dans l’entête du NDR : présence de X‑Forwarded‑To: user@example.com ou ForwardingAddress.
  • Réponses des correspondants signalant un échec de remise malgré votre confirmation de réception.
  • Historique d’activité indiquant des connexions depuis des pays ou navigateurs inhabituels.

Étapes de résolution détaillées

ÉtapeActionPourquoi / Résultat attendu
1Supprimer règles et transferts malveillants :
Outlook sur le Web → Paramètres › Courrier › Règles ; retirer toute règle inconnue (particulièrement celles contenant « Transférer à »).
Puis Paramètres › Courrier › Transfert ; désactiver ou corriger l’adresse cible.		Le pirate redirige vos mails vers une adresse invalide ou saturée ; la tentative avorte et génère le NDR « postmaster ».
2Sécuriser le compte :
• Changer le mot de passe depuis un appareil sain.
• Activer l’authentification à deux facteurs (MFA).
• Contrôler l’historique d’activité et fermer les sessions suspectes.
• Outlook sur le Web → Synchronisation des e‑mails / Applications et appareils connectés : révoquer tout accès inconnu.		Empêche les accès futurs non autorisés et coupe le lien entre l’attaquant et votre boîte.
3Nettoyer les appareils :
Exécuter un antivirus/antimalware à jour sur PC, Mac et smartphone ; supprimer extensions ou apps douteuses.		Évite qu’un malware ne vole à nouveau les identifiants ou ne recrée des règles.
4Informer les correspondants :
Indiquez‑leur que le message est bien reçu et que l’avis d’échec provenait d’un transfert invalide désormais supprimé.		Élimine la confusion et rassure vos contacts.
5Vérification finale :
Envoyez un message test depuis une adresse externe : aucun nouvel avis « postmaster » ne doit apparaître.
Si le problème persiste malgré l’absence de règles visibles, contactez le support Microsoft avec les entêtes complets du NDR.		Valide la correction ou permet une escalade en cas de bug côté serveur.

Analyse technique d’un NDR « postmaster »

Un rapport typique ressemble à ceci :

Reporting-MTA: dns;OSNPR07MB3018.jpnprd07.prod.outlook.com
Received-From-MTA: dns;OSNPR07MB3018.jpnprd07.prod.outlook.com
Arrival-Date: Sun, 25 Aug 2025 12:14:03 +0000

Final-Recipient: rfc822;[user@example.com](mailto:user@example.com)
Action: failed
Status: 5.1.1
Remote-MTA: dns;user-example-com.mail.protection.outlook.com
Diagnostic-Code: smtp;550 5.1.1 Requested action not taken: mailbox unavailable
X-Forwarded-To: pirate‑[alias@nowhere.tld](mailto:alias@nowhere.tld)

L’adresse indiquée dans X‑Forwarded‑To est la destination définie dans la règle pirate. Le code 550 5.1.1 confirme que la boîte n’existe plus ; d’autres variantes (5.2.2) signalent une boîte pleine.

Tutoriel pas‑à‑pas en images (Outlook Web)

  1. Cliquez sur l’engrenage en haut à droite, puis sur Voir tous les paramètres d’Outlook.
  2. Dans Courrier › Règles, identifiez les règles créées « il y a X jours » ou portant un nom suspect (« New Rule », « 123 »…). Supprimez‑les.
  3. Passez à Courrier › Transfert et vérifiez que l’option Activer le transfert est décochée.
  4. Accédez à Général › Appareils mobiles (ou Synchronisation des appareils) pour supprimer les appareils inconnus.
  5. Activez enfin la MFA via Mon compte Microsoft › Sécurité avancée.

Bonnes pratiques de sécurité sur le long terme

  • Mots de passe uniques : n’utilisez jamais la même combinaison e‑mail/mot de passe sur deux services différents.
  • MFA obligatoire : l’application Microsoft Authenticator ou une clé FIDO2 bloque 99,9 % des attaques automatisées.
  • Alertes en temps réel : activez l’e‑mail « Connexion inhabituelle détectée » dans le portail de sécurité.
  • Audit trimestriel : inspectez règles, alias, délégations, signatures automatiques et autorisations d’application.
  • Hygiène des appareils : mettez à jour le système, désinstallez les extensions Browser obsolètes, évitez les Wi‑Fi publics non chiffrés.

Cas particuliers et solutions avancées

Compte Microsoft 365 entreprise

Si l’adresse compromise appartient à un tenant Microsoft 365, l’administrateur peut lancer la commande PowerShell :

Get-Mailbox -ResultSize Unlimited |
  Get-InboxRule |
  Where-Object {$_.ForwardTo -ne $null -or $_.RedirectTo -ne $null} |
  Format-List MailboxOwnerId,Name,ForwardTo,RedirectTo

Vous identifiez ainsi toute règle de transfert, même dissimulée, à l’échelle de l’organisation. La suppression se fait via Remove-InboxRule ou depuis le Centre de sécurité & conformité › Investigation.

Bascule temporaire vers une adresse alias

Si le compte doit rester opérationnel durant l’enquête, créez un alias propre et communiquez‑le à vos contacts. Pendant ce temps, les NDR générés par la règle pirate n’atteignent plus votre boîte principale, ce qui évite la saturation.

Réinitialisation de la boîte

En dernier recours, la suppression complète des règles et la création d’une nouvelle boîte peut s’avérer plus rapide que le nettoyage manuel, notamment pour les comptes très anciens où plusieurs redirections croisées ont été ajoutées au fil du temps.

FAQ

Pourquoi Outlook ne supprime‑t‑il pas lui‑même la règle invalide ?

Le serveur ne sait pas si la règle a été placée par vous ou par un tiers, et n’a pas le droit d’assumer qu’elle est malveillante. Par conception, un NDR est renvoyé pour vous alerter.
Une restauration système Windows suffit‑elle ?

Non. La règle est stockée côté serveur ; elle survivra à toute opération locale tant que vous ne la supprimez pas.
Comment vérifier les entêtes sans logiciel spécialisé ?

Dans Outlook Web, ouvrez le message, cliquez sur … › Afficher l’original ; copiez le contenu dans un éditeur pour rechercher X-Forwarded-To.

Conclusion

Les avis « postmaster@outlook.com » après un piratage sont presque toujours la trace d’une règle de transfert défectueuse. Supprimez-la, renforcez la sécurité de votre compte et nettoyez vos appareils ; les notifications cesseront instantanément. Anticipez désormais : MFA, audits réguliers et vigilance sur les connexions étrangères sont vos meilleurs alliés.

Outlook
outlook postmaster compte piraté NDR règles de transfert
Sommaire