2025/06/20 by Yves-Marie Le Pors-Chauvel.
Délivrabilité Outlook : un changement silencieux aux lourdes conséquences
Depuis le 17 juin 2025 à 11h10 UTC, plusieurs expéditeurs - notamment en France - constatent une hausse brutale des erreurs DKIM sur leurs envois vers les domaines Microsoft (Outlook, Hotmail, etc.).
Ces erreurs surviennent malgré des configurations SPF et DMARC correctes, et concernent principalement les expéditeurs à fort volume.
UPDATE – 10 Juillet 2025
Depuis la publication originale de cet article de blog, nous avons continué à surveiller le comportement d'Outlook et découvert des exemples supplémentaires de la façon dont les systèmes de filtrage de Microsoft deviennent de plus en plus impitoyables en matière de conformité RFC, en particulier avec les en-têtes de message, les enregistrements DNS et la structure du contenu.
Alors que de nombreux fournisseurs de boîtes mails appliquent une approche plus tolérante pour la validation des messages, Outlook applique désormais strictement les différentes RFC, et tout écart par rapport aux spécifications entraîne souvent des échecs d'authentification ou des problèmes de délivrabilité.
Nouvelles Observations :
-
Enregistrements DNS DKIM avec des espaces/tabulations au début ou à la fin
Ces caractères, tels que les espaces ou les tabulations avant ou après un enregistrement DKIM dans le DNS, peuvent perturber la validation avec Outlook. Ces enregistrements seront considérés comme non valides, entraînant un échec DKIM. D'autres fournisseurs de messagerie peuvent ignorer ces espaces, mais Outlook ne le fait pas, cela n'est pas conforme à la RFC. -
Header MIME-Version en doublon dans un message single-part
Outlook considère cette structure comme non conforme. Même si le message peut s'afficher correctement, la présence de plusieurs en-têtes MIME-Version dans un message simple entraîne des problèmes et génère des échecs DKIM car Outlook « répare » le message avant la vérification.
Principaux comportements Outlook à prendre en compte :
-
Analyse DNS stricte pour SPF/DKIM/DMARC
-
SPF: Si l'enregistrement DNS présente des problèmes de syntaxe, Outlook considérera qu'il s'agit d'une erreur DNS, même si l'enregistrement est techniquement compris et interprété par d'autres fournisseurs.
- DKIM: Un enregistrement DNS non conforme entraînera un échec DKIM. Jusqu'au 17 juin, Outlook corrigeait automatiquement ces problèmes avant la vérification, ce qui n'est plus le cas et est désormais considéré comme une absence de clé publique, ce qui entraîne désormais un échec de vérification de la signature DKIM.
-
DMARC: Si plusieurs enregistrements DMARC sont présents pour un domaine, Outlook les ignore complètement, traitant le domaine comme si aucun enregistrement DMARC n'était publiée.
-
-
Réparation de l'en-tête du message avant la vérification DKIM
Outlook semble « corriger » les en-têtes mal formés (par exemple : problèmes d'encodage, header manquant ou en doublon) avant d'évaluer la signature DKIM, ce qui signifie que même si la signature était valide au moment de l'envoi, la vérification échoue en raison d'une modification ultérieure.
Ce ne sont que quelques exemples, donc, si vous rencontrez ces erreurs d'authentification en provenance d'Outlook, vérifiez que tous les éléments soient parfaitement RFC Compliant : les enregistrements DNS, mais aussi et surtout les en-têtes et contenus pour la signature DKIM.
Ce que nous avons observé
Nos ingénieurs ont rapidement identifié la source du problème : une modification dans le traitement des messages par les serveurs Microsoft. Jusqu’à récemment, Microsoft « réparait » automatiquement certains messages non strictement conformes à la norme SMTP, par exemple :
- En ajoutant un header Date s’il était absent.
- En encodant correctement les caractères non ASCII présents dans les en-têtes via MIME-word, comme requis par la RFC 2047.
La vérification de la signature DKIM doit intervenir avant une quelconque modification du message. Si des "corrections" sont réalisée avant que la signature DKIM ne soit évaluée, le contenu altéré ne correspondra plus au contenu envoyé et DKIM aura un statut fail.
Pourquoi cela a un tel impact
DKIM repose sur un principe strict : les en-têtes signés doivent être exactement identiques entre l’envoi et la réception. La moindre modification - même légitime ou bénéfique - rend la signature invalide.
Depuis le 5 mai 2025, Outlook applique une nouvelle politique d’authentification renforcée : si la signature DKIM échoue pour un expéditeur à fort volume (plus de 1000 messages par jour), le message est rejeté. Cette règle, combinée au nouveau comportement de correction ante-vérification, provoque aujourd’hui des vagues de rejets à 100 % pour certains messages.
Ce que nous faisons chez Postmastery
Grâce à notre outil Email Audit et à notre expertise en délivrabilité, nous accompagnons déjà plusieurs entreprises pour :
- Détecter précisément les causes des échecs DKIM (headers manquants, encodage incorrect, etc.)
- Adapter la signature DKIM et s’assurer que les messages sont parfaitement conformes aux RFC dès l’envoi
- Mettre en place des pratiques plus résilientes face aux validations strictes
Nos ingénieurs ont reproduit ces comportements et élaboré des solutions adaptées à chaque cas.
Les enseignements à retenir
- Microsoft a modifié la façon dont il traite les messages non conformes avant la vérification DKIM.
- Seuls les messages strictement conformes aux standards SMTP et DKIM passent la validation.
- Les expéditeurs à fort volume sont les plus concernés en raison des nouvelles règles appliquées depuis mai 2025.
- Un audit de vos envois peut permettre d’éviter ces rejets massifs.
Besoin d'aide ?
Vous observez des anomalies vers Microsoft depuis le 17 juin ? Contactez-nous pour une analyse complète.? Postmastery propose une solution complète de services pour répondre à ce besoins. Si vous avez besoin d'aide, n'hésitez pas à nous contacter!
Les commentaires sont fermés.
Vous trouverez ci-dessous une liste d’articles tout aussi intéressants classés par catégorie.
Catégories
En avant