Comment restreindre l’accès SMTP AUTH à une adresse IP spécifique dans Microsoft 365 à l’aide d’une stratégie d’autorité de certification
Configurer l’authentification SMTP de manière sécurisée pour une seule boîte aux lettres et depuis une adresse IP spécifique dans Microsoft 365 peut s’avérer complexe, d’autant plus que le système, bien que conçu pour être flexible, n’est pas toujours intuitif. Si vous êtes comme moi, vous avez probablement déjà rencontré des problèmes d’envoi d’e-mails, des erreurs telles que « Client non authentifié », ou tout simplement l’impossibilité de sécuriser correctement l’accès sans compromettre la sécurité de vos données. L’objectif est d’autoriser l’authentification SMTP uniquement depuis une adresse IP de confiance pour une boîte aux lettres spécifique, sans créer d’autres failles. La solution consiste à combiner plusieurs paramètres : activer le protocole SMTP pour la boîte aux lettres, créer un emplacement nommé avec votre adresse IP, puis restreindre l’accès via une stratégie d’accès conditionnel. Vous trouverez ici le détail des étapes que j’ai testées, souvent par tâtonnements, mais qui, en général, fonctionnent.
Comment résoudre les restrictions d’authentification SMTP pour une seule adresse IP et une seule boîte aux lettres dans Microsoft 365
Prérequis :
- Privilèges d’administrateur dans le centre d’administration Microsoft 365 et Entra
- Adresse IP publique statique exacte de l’appareil/de l’application envoyant les e-mails — vous en aurez besoin pour la plage d’adresses IP
- L’authentification SMTP doit être activée pour cette boîte aux lettres.
- Nom d’utilisateur et mot de passe pour cette boîte aux lettres (de préférence un mot de passe d’application si l’authentification multifacteur est requise)
Activer l’authentification SMTP pour la boîte aux lettres
C’est assez simple, mais si vous omettez cette étape, rien ne fonctionnera. Sur certaines configurations, le protocole SMTP ne pourra toujours pas envoyer de messages si cette option n’est pas activée, même si tout le reste semble correct.
- Accédez au centre d’administration Microsoft 365. Trouvez Utilisateurs > Utilisateurs actifs, puis cliquez sur l’utilisateur ou la boîte aux lettres qui vous intéresse.
- Passez à l’ onglet Courrier, puis choisissez Gérer les applications de messagerie.
- Cochez la case SMTP authentifié et cliquez sur Enregistrer. Il arrive que cette étape soit oubliée ou qu’un redémarrage soit nécessaire ; dans certains cas, il faut redémarrer la boîte mail ou patienter quelques minutes pour que la modification soit prise en compte.
Configurez un emplacement nommé avec votre adresse IP statique.
C’est là que les choses deviennent importantes : définir votre adresse IP de confiance spécifique afin de pouvoir restreindre l’accès en fonction de la localisation. Bien que cela puisse paraître complexe, il s’agit simplement de créer une liste d’exceptions pour votre adresse IP.
- Accédez au centre d’administration Entra, puis naviguez jusqu’à Accès conditionnel > Emplacements nommés.
- Cliquez sur « + Emplacement des plages d’adresses IP ».Donnez-lui un nom explicite comme « Adresse IP autorisée pour le protocole SMTP ».
- Saisissez votre adresse IP publique au format : Adresse IP/32. Par exemple, si votre adresse IP est 165.74.201.110, saisissez 165.74.201.110
165.74.201.110 /32. Ce masque /32 garantit que seule cette adresse IP spécifique sera prise en compte. - Appuyez sur Ajouter, puis sur Créer. Vous disposez maintenant d’un emplacement nommé qui pointe directement vers votre adresse IP de confiance.
Créez une politique d’accès conditionnel pour restreindre l’authentification SMTP à votre adresse IP.
Voici l’élément essentiel : configurer Microsoft 365 pour qu’il n’autorise l’authentification SMTP pour cet utilisateur que lorsqu’il se connecte depuis votre adresse IP spécifique. Sur une configuration, cela a fonctionné immédiatement ; sur une autre, il a fallu quelques minutes ou une déconnexion/reconnexion. Pensez-y.
- De retour dans le centre d’administration Entra, accédez à Politiques > Nouvelle politique.
- Nommez-le quelque chose comme « Authentification SMTP restreinte ».
- Sous *Inclure*, choisissez Sélectionner les utilisateurs et les groupes et choisissez l’utilisateur/la boîte aux lettres activé(e) précédemment.
- Pour accéder aux *Ressources*, sélectionnez Office 365 Exchange Online.
- Sous *Conditions*, définissez *Emplacements* :
- Définissez *Configurer* sur Oui.
- Dans *Inclure*, sélectionnez N’importe quel emplacement.
- Dans *Exclure*, ajoutez votre emplacement nommé (par exemple « Adresse IP autorisée SMTP ») afin que les connexions provenant de cet emplacement ne soient pas bloquées.
- Pour les applications clientes, assurez-vous que l’option « Configurer » est activée, puis limitez-la aux autres clients. Cela permet de prendre en charge les anciens protocoles de messagerie, ce qui peut s’avérer nécessaire.
- Dans *Accorder*, sélectionnez Bloquer l’accès — cela bloque toutes les autres tentatives en dehors de votre adresse IP.
Configurer un mot de passe d’application pour la boîte aux lettres
L’authentification SMTP nécessitant généralement un mot de passe d’application (surtout si l’authentification multifacteur est activée), il faut le générer. Ce n’est pas très élégant, mais c’est indispensable.
- Consultez la page relative à la sécurité des comptes Microsoft.
- Connectez-vous avec les identifiants de la boîte mail pour laquelle vous avez activé le protocole SMTP.
- Accédez aux informations de sécurité et sélectionnez Ajouter une méthode de connexion, puis choisissez Mot de passe de l’application. Générez-le et enregistrez-le dans un endroit sûr.
Configurez votre client ou appareil
Il est temps de configurer les paramètres. Assurez-vous que tout corresponde, car des ports ou des modes de chiffrement incompatibles peuvent être source de frustration.
- Nom du serveur : smtp.office365.com
- Port : 587
- Chiffrement : STARTTLS ou TLS
- Authentification : Oui
- Nom d’utilisateur : votre adresse e-mail complète
- Mot de passe : le mot de passe de l’application que vous avez généré
Essayez-le
Envoyez un e-mail de test depuis cet appareil ou cette application. Si l’envoi réussit, c’est parfait ! Sinon, consultez les journaux de connexion dans Entra. L’erreur « 530 5.7.57 » peut parfois indiquer que vous avez omis une étape ou qu’il faut patienter pour que les règles soient appliquées. Modifiez les paramètres ou reconnectez-vous si nécessaire.
Résumé
En résumé, sécuriser l’authentification SMTP pour une adresse IP et une boîte mail spécifiques implique d’activer le protocole SMTP dans la boîte mail, de définir l’adresse IP de confiance via un emplacement nommé, puis de créer une stratégie d’accès conditionnel qui restreint l’accès SMTP à partir de cette adresse IP pour cet utilisateur uniquement. C’est un peu complexe, mais une fois configuré, cela constitue une bonne couche de protection sans bloquer totalement les anciens clients ou appareils qui dépendent de l’authentification SMTP.
Conclure
J’espère que cela clarifie un peu les choses, car Microsoft adore intégrer un maximum d’options dans différents portails. Une fois la configuration effectuée, vous n’avez plus à vous en soucier. Le secret, c’est la patience : ces politiques ne sont pas toujours instantanées. Mais en principe, votre système de messagerie est parfaitement sécurisé et n’accepte que les connexions SMTP provenant de votre adresse IP et de votre boîte aux lettres de confiance. Cela a fonctionné pour moi ; j’espère que cela fonctionnera pour vous aussi.
Liste de contrôle
- L’authentification SMTP a été activée sur la boîte aux lettres appropriée.
- Vous avez créé un emplacement nommé avec votre adresse IP statique.
- J’ai créé une politique d’accès conditionnel restreignant l’accès SMTP à cette adresse IP et à cet utilisateur.
- Génération d’un mot de passe d’application pour la boîte aux lettres (si l’authentification multifacteur est activée).
- Configurez les paramètres SMTP sur votre client/appareil : serveur, port, chiffrement, nom d’utilisateur et mot de passe de l’application
- Envoi testé – vérification des journaux de connexion si nécessaire