Office365 – Utiliser le SMTP pour envoyer des mails à partir d’une application tierce
Objectif
Cette page est un recueil des informations trouvées sur la documentation officielle de Microsoft pour vous aider à comprendre comment envoyer des e-mails via Office 365 (Exchange Online) en SMTP depuis une application, un site web ou un équipement (scanner, ERP, etc.).
Préférer l’authentification moderne (OAuth 2.0) car l’authentification Basic Auth pour SMTP client submission sera retiré progressivement à partir du 1ᵉʳ mars 2026. Anticipez la migration vers OAuth, ou utilisez une alternative (HVE pour l’interne, Azure Communication Services – Email pour l’externe).
source : Communauté Tech Microsoft
Votre application supporte OAuth
Si votre application / équipement supporte OAuth, vous utilisée la méthode d’authentification la plus sécurisée du moment 🥳!
Suivez ces étapes : Authentifier une connexion IMAP, POP ou SMTP à l’aide d’OAuth | Microsoft Learn
Cas MFA & mot de passe d’application
- Si votre application ne supporte pas OAuth mais doit passer par SMTP AUTH (Basic), vous pouvez utiliser un mot de passe d’application (si l’administrateur l’autorise et si SMTP AUTH est actif).
- La création se fait depuis la page Informations de sécurité du compte.
- Suivez la procédure suivante : Créer des mots de passe d’application à partir de la page Informations de sécurité
Le mot de passe d’application sert uniquement avec Basic (quand la MFA empêche une app qui ne supporte pas OAuth).
Ne sera plus utilisable avec Client Submission après le 30 avril 2026 (fin de Basic pour ce scénario).
Autres cas
ℹ️ Important sécurité & conformité
Votre application doit supporter :
- TLS 1.2 (ou 1.3) ;
- port 587/STARTTLS recommandé. Le port 465 n’est pas pris en charge pour cette méthode. Microsoft Learn
Historique – Basic Authentification
Depuis de nombreuses années, les applications utilisent l’authentification de base pour se connecter aux serveurs, services et points de terminaison d’API. L’authentification de base signifie simplement que l’application envoie un nom d’utilisateur et un mot de passe à chaque requête, et que ces informations d’identification sont également souvent stockées ou enregistrées sur l’appareil. Traditionnellement, l’authentification de base est activée par défaut sur la plupart des serveurs ou services et est simple à configurer.
La simplicité n’est pas du tout mauvaise, mais l’authentification de base permet aux attaquants de capturer plus facilement les informations d’identification de l’utilisateur (en particulier si les informations d’identification ne sont pas protégées par TLS), ce qui augmente le risque que ces informations d’identification volées soient réutilisées sur d’autres points de terminaison ou services. En outre, l’application de l’authentification multifacteur (MFA) n’est pas simple ou, dans certains cas, possible lorsque l’authentification de base reste activée.
Entre 2021 et 2023 Microsoft a supprimé la possibilité d’utiliser l’authentification de base dans Exchange Online pour Exchange ActiveSync (EAS), POP, IMAP, Remote PowerShell, Exchange Web Services (EWS), carnet d’adresses en mode hors connexion (OAB), découverte automatique, Outlook pour Windows et Outlook pour Mac.
Dépréciation de l’authentification de base dans Exchange Online | Microsoft Learn
Bon à savoir
- Pratiquement tous les clients de messagerie modernes qui se connectent à Exchange Online boîtes aux lettres dans Office 365 ou Microsoft 365 (par exemple, Outlook, Outlook sur le web, messagerie iOS, Outlook pour iOS et Android, etc.) n’utilisent pas l’authentification SMTP pour envoyer des messages électroniques. Par défaut, avec Security Defaults activé, SMTP AUTH est désactivé au niveau de l’organisation ; il faut l’autoriser explicitement si vous en avez besoin. Microsoft Learn
- En dernier recours pour du matériel ancien, Microsoft propose un endpoint TLS hérité (
smtp-legacy.office365.com) qui nécessite un opt-in administratif. Préférez toutefois la mise à niveau de l’équipement. Microsoft Learn
Questions fréquentes
Quelle est la différence entre Client Submission (SMTP AUTH) et SMTP AUTH (Basic) ?
- Client Submission (SMTP AUTH)
C’est la méthode d’envoi recommandée via Exchange Online : le client/appareil se connecte au point d’entréesmtp.office365.comsur le port 587 avec TLS/STARTTLS, et s’authentifie. Cette méthode accepte l’authentification moderne (OAuth 2.0) et, jusqu’à sa suppression, l’authentification basique. - SMTP AUTH (Basic)
Ce n’est pas une méthode d’envoi différente, mais un mode d’authentification de SMTP AUTH basé sur nom d’utilisateur + mot de passe (y compris mot de passe d’application quand la MFA bloque les apps qui ne gèrent pas OAuth). Microsoft va retirer Basic sur Client Submission : refus progressif du 1ᵉʳ mars 2026 à 100 % au 30 avril 2026 → il faudra OAuth.
En clair : Client Submission = le canal/protocole d’envoi. Basic et OAuth = deux façons de s’y authentifier (Basic disparaît pour ce scénario).
Quelles sont les méthodes possibles pour envoyer depuis une appli/appareil ?
Microsoft en documente trois pour M365 / Exchange Online :
- Client SMTP submission (SMTP AUTH) – Recommandée. Connexion à
smtp.office365.com:587avec TLS, authentification OAuth (ou Basic tant que disponible). Envoi vers internes & externes. Microsoft Learn - SMTP relay (via connecteur) – Votre serveur/appareil relaie via un connecteur en port 25 et certificat/IP fixe. Utile pour envoyer « en tant que » des adresses du domaine sans boîte dédiée. Microsoft Learn
- Direct Send – Envoi sans authentification vers vos destinataires internes uniquement (via l’MX de votre domaine). Pas d’envoi vers l’externe. Microsoft Learn
Alternatives Microsoft (hors SMTP classique)
- HVE (High Volume Email) – envois internes de masse (préversion). Microsoft Learn
- Azure Communication Services – Email (SMTP) – relais/plateforme d’envoi managé avec SMTP + OAuth. Microsoft Learn
- Brevo –