Ce qu'il faut retenir de l'email quarantine

  • L’email quarantine isole les messages électroniques suspects dans une zone protégée, séparée de la boîte de réception, pour empêcher tout dommage avant qu’une analyse confirme leur nature réelle.
  • En 2025, Mailinblack a analysé 1,9 milliard d’emails et identifié 2,86 % de messages malveillants, soit environ 54,9 millions de menaces potentielles traitées sans jamais atteindre les messageries des utilisateurs.
  • Un taux de faux positifs de 0,5 % dans une PME de 200 collaborateurs peut représenter plusieurs dizaines de courriers électroniques légitimes bloqués chaque mois, dont des factures ou des confirmations de commande critiques.
  • Les fausses notifications de quarantaine constituent une technique d’hameçonnage ciblée qui imite les vraies alertes de sécurité pour pousser l’utilisateur à saisir ses identifiants sur une page frauduleuse.
  • La mise en quarantaine d’un mail n’est pas un stockage passif mais une analyse active. La politique de quarantaine (durée, périmètre, quarantine notifications) doit être configurée délibérément, sous peine de laisser expirer des messages légitimes sans recours.

Un courriel isolé en quarantaine est un message électronique intercepté avant sa livraison et placé dans une zone d’analyse séparée. Il n’atteint pas la boîte de réception du destinataire. Il ne peut pas s’exécuter, ni se propager sur le réseau. L’utilisateur ne le voit pas, sauf via une notification récapitulative ou un portail dédié. Contrairement au dossier spam, le mail de la quarantaine n’est accessible qu’en se connectant au portail de sécurité ou via la notification récapitulative. Cette distinction est souvent méconnue des utilisateurs qui pensent que les messages bloqués apparaissent dans leur boîte.

Comment fonctionne ce mécanisme ?

Ce mécanisme repose sur une passerelle de messagerie sécurisée (SEG, pour Secure Email Gateway). La SEG intercepte chaque courrier électronique entrant, analyse son contenu en temps réel et décide, selon des règles prédéfinies, de le livrer, de le rediriger vers le dossier courrier indésirable ou de le placer en quarantaine. L’analyse combine deux types d’approches. La première s’appuie sur la détection par signatures pour les menaces connues. La seconde fait appel à l’intelligence artificielle et à l’apprentissage automatique pour les attaques sophistiquées, notamment les compromissions de messagerie professionnelle (BEC) qui ne contiennent parfois aucun lien ni fichier suspect apparent.

La distinction avec le dossier «courrier indésirable» est fondamentale. Le message indésirable reste dans la boîte de messagerie de l’utilisateur. Il est visible, accessible, et le destinataire peut signaler une erreur directement depuis Outlook. La quarantaine, elle, est une zone séparée sur un portail centralisé dédié. Un mail placé en quarantaine n’atteint jamais le destinataire. Pour y accéder, il faut se connecter au portail web dédié ou attendre la notification récapitulative automatique.

À lire aussi :  Qu’est-ce que l’authentification multifactorielle (MFA) ?

C’est précisément cette invisibilité qui crée le risque le plus concret pour une PME. Un email professionnel légitime bloqué peut disparaître sans que personne ne le sache, si personne ne consulte régulièrement le portail.

La quarantaine n’est pas un tiroir où les emails s’accumulent passivement. Les filtres continuent d’évaluer la menace pendant la période de rétention. C’est une analyse continue, pas un simple stockage.

Qu’est-ce qui cause la mise en quarantaine d’un email ?

Un message électronique est isolé quand il déclenche un ou plusieurs critères de risque.

Les causes sont classées ci-dessous par ordre de gravité croissante :

  1. Les pièces jointes et fichiers suspects déclenchent le blocage dès qu’un lien ou un fichier joint est identifié comme potentiellement malveillant. Les stratégies anti-malware s’appuient sur une liste d’extensions de fichiers dangereuses et sur une analyse approfondie du contenu. Un fichier compressé, un exécutable ou un document Office avec macros activées peuvent suffire à déclencher le blocage. Ces emails restent isolés 30 jours et cette durée n’est pas personnalisable.
  2. Les tentatives d’hameçonnage constituent la deuxième cause majeure. Les politiques anti-phishing détectent l’usurpation de domaine, l’emprunt d’identité d’un utilisateur interne ou externe, et la falsification de l’adresse de l’expéditeur. Ces messages électroniques sont souvent conçus pour paraître légitimes à l’œil nu.
  3. Le score spam élevé et les envois en masse alimentent aussi la quarantaine. Un courrier électronique obtient un score selon de multiples signaux, parmi lesquels la réputation de l’IP expéditrice, les mots-clés suspects dans l’objet, le ratio texte/images et le comportement d’envoi. Au-delà d’un certain seuil, il est bloqué ou réorienté.
  4. L’échec des protocoles d’authentification est souvent sous-estimé. Quand un email ne passe pas les vérifications SPF, DKIM et DMARC, le serveur destinataire applique la quarantine policy définie par le propriétaire du domaine. Si cette policy est réglée sur p=quarantine, tous les messages non authentifiés envoyés depuis ce domaine sont automatiquement isolés. Depuis mai 2025, Microsoft rejette les emails non conformes provenant de domaines envoyant plus de 5 000 messages par jour vers Outlook.
À lire aussi :  Browser in the Browser (BitB) : quelle est cette nouvelle technique de phishing ?

2,86 % des 1,9 milliard d’emails analysés dans notre Baromètre Cyber 2026 étaient malveillants, soit environ 54,9 millions de menaces traitées en amont, sans intervention humaine.

Bon à savoir

La Quarantaine email et la quarantaine fichier sont deux mécanismes distincts. La quarantaine email isole un message électronique complet avant sa livraison dans la messagerie du destinataire. La quarantaine fichier intercepte un fichier spécifique (téléchargé sur SharePoint, OneDrive ou Teams par exemple) détecté après réception. Un email peut être livré normalement tout en déclenchant le blocage d’un fichier malveillant qu’il contient. Les fichiers mis en quarantaine via SharePoint ou Teams restent bloqués pendant 30 jours avant suppression automatique (documentation officielle Microsoft).

Combien de temps un email reste-t-il en quarantaine ?

Les messages isolés ne disparaissent pas immédiatement. Ils sont conservés dans la zone d’analyse pendant une durée variable selon la nature de la menace, puis supprimés automatiquement et définitivement si aucune action n’est prise.

Par exemple, les durées de rétention par défaut dans Microsoft Defender sont les suivantes. Les messages classés comme spam ou courrier en masse sont conservés 15 jours. Cette valeur par défaut est modifiable jusqu’à 30 jours par un responsable technique. Les emails bloqués par une politique anti-phishing (usurpation d’identité, emprunt de domaine) restent 30 jours. Les courriers électroniques contenant des logiciels malveillants sont également retenus 30 jours, mais ce paramètre n’est pas personnalisable. Les messages arrivés à expiration ne sont pas récupérables.

Les quarantine notifications sont envoyées tous les trois jours. Elles récapitulent les messages en attente, avec l’expéditeur, l’objet et la date. L’utilisateur peut prévisualiser, libérer ou bloquer depuis cette notification.

Un mail légitime bloqué un vendredi soir peut ne pas être consulté avant le mardi suivant. Si le délai de rétention est de 15 jours et que personne ne surveille régulièrement, le message expire sans recours. Ce n’est pas anecdotique. Pour des organisations qui reçoivent des bons de commande, des devis ou des confirmations de livraison, un mail perdu est un risque métier direct.

La quarantaine filtre les emails. L'humain reste la cible. Protect filtre les courriers électroniques avant qu'ils n'atteignent les boîtes de réception.

Démonstration gratuite de Protect

Comment configurer une politique de quarantaine efficace pour une PME ?

Une quarantaine mal configurée est presque aussi risquée qu’une absence de quarantaine. Elle génère des faux positifs non détectés, des emails légitimes perdus, et une charge de travail invisible pour l’équipe IT.

Quatre décisions structurantes doivent être prises délibérément pour construire une solution de mise en quarantaine adaptée.

  1. La première concerne les catégories de messages à traiter automatiquement versus celles nécessitant une révision humaine. Les emails contenant des malwares ou de l’hameçonnage à haute fiabilité doivent être systématiquement bloqués sans option de libération directe pour l’utilisateur. Les spams et courriers en masse peuvent, selon le contexte, rester accessibles directement par l’utilisateur.
  2. La deuxième décision porte sur les durées de rétention. La durée de 15 jours pour le spam est personnalisable jusqu’à 30 jours. Ce paramètre doit être ajusté selon les habitudes de surveillance de l’équipe IT. Si personne ne vérifie le portail, les messages expireront de toute façon. La vraie question est d’aligner la durée sur le processus de surveillance réel de l’organisation.
  3. La troisième décision concerne les droits de libération. Pour les menaces modérées (spam, courrier en masse, hameçonnage standard), les utilisateurs peuvent par défaut afficher, supprimer et libérer leurs courriels isolés. Il est possible de restreindre cette option et d’imposer une demande de libération validée par l’IT. Pour les menaces graves (hameçonnage à haute fiabilité, malwares), les messages sont invisibles pour les utilisateurs. Seul le responsable technique peut intervenir.
  4. La quatrième décision porte sur la fréquence des notifications. La fréquence par défaut est de trois jours. Une PME sans SOC peut activer une fréquence quotidienne pour limiter le risque de perte d’emails légitimes bloqués par erreur.
À lire aussi :  Qu’est-ce que l’authentification multifactorielle (MFA) ?

Comment libérer un email mis en quarantaine par erreur sur Microsoft ?

Un responsable technique peut accéder aux messages isolés depuis la page quarantaine dans le portail de sécurité Microsoft 365, à l’adresse https://security.microsoft.com/quarantine. La connexion au portail permet une prévisualisation en texte brut ou en HTML avec les liens désactivés, sans risque pour le poste. La libération d’un faux positif prend généralement entre cinq et dix minutes.

La libération n’est jamais automatique. Chaque message doit être traité manuellement. Lors de la libération, il est possible de soumettre simultanément le message à Microsoft pour analyse, ce qui permet d’affiner l’algorithme et d’éviter que des messages similaires ne soient bloqués à l’avenir. Une entrée d’autorisation temporaire peut également être créée pour débloquer immédiatement la situation.

Une connexion hebdomadaire pour accéder à la quarantaine dans le portail reste le minimum recommandé pour une PME de 100 à 500 collaborateurs. Sans cette routine, les faux positifs s’accumulent silencieusement.

Pourquoi mon email s’est retrouvé en quarantaine chez le destinataire ?

Si un mail que vous envoyez est bloqué chez votre destinataire, la cause la plus fréquente est un problème d’authentification de votre domaine. Quand SPF, DKIM ou DMARC ne valident pas votre message, le serveur destinataire applique la policy de son service de sécurité.

Bon à savoir

Depuis mai 2025, Microsoft rejette ou classe en spam les emails non conformes provenant de domaines envoyant plus de 5 000 messages par jour vers Outlook. Pour une PME qui utilise des plateformes d’envoi en masse (newsletter, facturation, CRM), ce seuil est rapidement atteint.

Un audit DNS s’impose. Vérifiez que votre enregistrement SPF liste bien toutes vos sources d’envoi légitimes, que la signature DKIM est active sur votre domaine, et que votre policy DMARC est configurée avec les rapports activés. L’IP de votre serveur d’envoi peut également figurer sur une liste noire.

Comment distinguer une vraie notification de quarantaine d’un phishing ?

Les fausses notifications de quarantaine sont parmi les techniques d’hameçonnage les plus efficaces, précisément parce qu’elles imitent un processus réel. L’objectif est de pousser l’utilisateur à saisir ses identifiants sur une page frauduleuse en lui faisant croire qu’il agit pour débloquer ses propres emails. Une fois le compte de messagerie compromis, les cybercriminels accèdent à tous les services associés et peuvent mener d’autres attaques en se faisant passer pour la victime.

Cinq points de vérification permettent de distinguer le vrai du faux.

  • L’adresse de l’expéditeur en premier : Les notifications légitimes de Microsoft Defender proviennent de l’adresse quarantine@messaging.microsoft.com. Survolez le champ «De» sans cliquer. Une adresse comme @account-security-noreply.com ou @m1crosoft.com (avec un «1» à la place du «i») est un signal d’hameçonnage immédiat.
  • Le lien de destination ensuite : Survolez chaque lien dans le message avant de cliquer. Le portail officiel de quarantaine Microsoft se trouve à https://security.microsoft.com/quarantine. Un lien qui redirige vers un domaine en .app, .xyz ou vers un hébergeur générique est frauduleux. Ne jamais cliquer sur un lien dans une notification de quarantaine. Ouvrez directement votre navigateur et connectez-vous au portail web de votre logiciel de messagerie.
  • Le langage d’urgence est un troisième signal : Les fausses notifications prétendent que vos emails seront supprimés dans les 24 heures pour vous pousser à agir immédiatement. En réalité, la politique par défaut conserve les messages 15 jours pour le spam et 30 jours pour le hameçonnage et les malwares. Aucune vraie notification ne vous donne un compte à rebours de 24 heures.
  • La formule de salutation ensuite : Les vraies notifications s’adressent à vous par votre nom ou votre adresse précise. «Cher utilisateur» ou «Cher client» sont des formules génériques caractéristiques du phishing, selon l’analyse de PCrisk (2023).
  • La demande de mot de passe enfin : Aucune notification de quarantaine légitime ne vous demande de saisir votre mot de passe depuis l’email lui-même. Si un message vous demande de «valider votre compte» en entrant vos identifiants via un lien dans le mail, c’est une tentative d’hameçonnage.

Astuce

Si vous avez saisi vos identifiants sur une page frauduleuse. Changez immédiatement votre mot de passe sur tous les services liés à ce compte de messagerie. Activez l’authentification à deux facteurs MFA si ce n’est pas déjà fait. Alertez votre responsable IT sans délai pour qu’il surveille les activités suspectes et notifie les parties concernées.

Quarantaine email et RGPD : ce que les responsables IT doivent savoir

Ce mécanisme donne techniquement au responsable technique un accès complet au contenu des courriers électroniques bloqués. Il peut prévisualiser le corps du message en texte brut ou en HTML (avec les liens désactivés), consulter tous les en-têtes et télécharger l’email. Pour les menaces graves (hameçonnage à haute fiabilité, malwares), les messages isolés sont totalement invisibles pour les utilisateurs. Seul le responsable technique peut intervenir.

Trois points de vigilance méritent l’attention de toute PME qui déploie ce type de logiciel de filtrage.

  • La charte informatique d’abord. Le fait qu’un responsable technique puisse lire le contenu d’un message d’un collaborateur ne signifie pas qu’il y est autorisé sans encadrement. La charte informatique doit définir précisément les conditions dans lesquelles cet accès est exercé. Uniquement lors d’une alerte de sécurité avérée. Uniquement sur demande de l’utilisateur qui réclame la libération d’un faux positif. Sans charte, l’accès existe mais son usage n’est pas encadré.
  • Le RGPD ensuite. Les emails des collaborateurs constituent des données personnelles au sens du règlement. Si votre organisation conserve des courriels bloqués pendant 30 jours et que des responsables les consultent dans le cadre de leur mission, ce traitement doit figurer dans le registre des activités de traitement. La durée de rétention doit être proportionnée à l’objectif de sécurité poursuivi.
  • Le DPO enfin. Pour toute question sur les modalités précises d’encadrement légal, consultez votre Délégué à la Protection des Données ou un conseiller juridique spécialisé. Ce contenu vous présente des points de vigilance reconnus, pas un avis juridique.
À lire aussi :  La cyber-résilience : un enjeu de taille

Exemple

Un bon de commande urgent d’un fournisseur est bloqué en quarantaine en raison d’un fichier PDF à l’extension inhabituelle. Personne ne consulte le portail de sécurité ce jour-là. La notification automatique arrive trois jours plus tard, noyée dans la messagerie. L’email est finalement libéré avec quatre jours de retard. La livraison attendue n’a pas été confirmée dans les délais. Le fournisseur a relancé par téléphone. Ce scénario se reproduit régulièrement dans des organisations sans processus de surveillance structuré de leurs mails en quarantaine.

Gérer la quarantaine sans y consacrer un mi-temps. Mailinblack, automatise ces décisions via intelligence artificielle et Deep Learning.

Demander une démo

FAQ sur l'email quarantine

Comment arrêter les notifications automatiques de quarantaine ?

Par exemple, les quarantine notifications envoyées par quarantine@messaging.microsoft.com signalent que des courriers électroniques ont été bloqués pour vous. Pour ne plus les recevoir, un responsable technique peut ajuster la fréquence ou les désactiver complètement depuis les stratégies de filtrage anti-spam. Côté utilisateur, une règle de messagerie peut marquer ces notifications comme lues et les archiver automatiquement. Les désactiver ne signifie pas que la quarantaine est inactive. Les messages restent bloqués, mais vous ne serez plus alerté. Pour les organisations qui reçoivent régulièrement des emails critiques via des partenaires ou fournisseurs, désactiver ces alertes sans mettre en place un processus de vérification alternatif augmente le risque de perte de mails légitimes.

Un email en quarantaine peut-il infecter mon ordinateur ?

Un email isolé en quarantaine n’atteint jamais votre messagerie ni votre poste de travail. Il ne peut pas s’exécuter ni se propager. La prévisualisation dans le portail de cybersécurité est conçue pour être sans risque. Les liens sont désactivés, les images bloquées, aucun code ne s’exécute. Le risque apparaît uniquement si vous libérez un email et ouvrez ensuite une pièce jointe infectée ou cliquez sur un lien malveillant sans avoir consulté les informations détaillées du message au préalable.

Quelle est la différence entre la quarantaine et le dossier courrier indésirable ?

Le dossier courrier indésirable se trouve dans votre compte de messagerie, accessible directement depuis Outlook. Il reçoit les spams et courriers commerciaux non sollicités. Vous pouvez y accéder à tout moment et signaler une erreur en un clic. La quarantaine est une zone séparée sur un portail de sécurité centralisé. Elle reçoit les messages considérés comme potentiellement dangereux (hameçonnage, malwares). Un courriel isolé en quarantaine n’est jamais visible dans votre messagerie habituelle. Il nécessite une connexion au portail de sécurité ou une notification récapitulative pour être consulté ou libéré avant sa suppression automatique.

Quels droits a l'administrateur sur les emails bloqués en quarantaine ?

L’administrateur dispose d’un accès complet aux messages bloqués depuis le portail de sécurité. Il peut prévisualiser le contenu en texte brut ou en HTML avec les liens désactivés, consulter les en-têtes complets, libérer manuellement un message vers la messagerie du destinataire, soumettre le message à Microsoft pour analyse ou le supprimer définitivement. Pour les menaces critiques (hameçonnage à haute fiabilité, malwares), les messages sont invisibles pour les utilisateurs ordinaires et seul l’administrateur peut intervenir. Cet accès étendu doit être encadré par une charte informatique et documenté au titre du RGPD.

Que faire si mon email légitime a été bloqué en quarantaine chez mon destinataire ?

La cause la plus probable est un problème d’authentification de votre domaine. Vérifiez que vos enregistrements SPF, DKIM et DMARC sont correctement configurés et que votre IP d’envoi ne figure pas sur une liste noire. Si votre organisation envoie plus de 5 000 messages par jour vers Outlook, la conformité à ces trois protocoles est obligatoire depuis mai 2025. Un audit DNS via MXToolbox prend quelques minutes. Côté destinataire, vous pouvez demander à votre interlocuteur de contacter son responsable technique pour libérer le message et créer une entrée d’autorisation temporaire pour votre domaine.

Comment l'email quarantine interagit-il avec le maillage DMARC ?

DMARC (Domain-based Message Authentication, Reporting and Conformance) est le protocole qui orchestre le traitement des emails non authentifiés. Quand SPF ou DKIM échoue, DMARC applique la stratégie définie par le propriétaire du domaine. Trois niveaux existent. p=none correspond à la surveillance sans action. p=quarantine entraîne l’isolation du message ou son placement en dossier spam. p=reject provoque le rejet immédiat. Configurer DMARC sur p=quarantine signifie que tout message qui ne passe pas les vérifications SPF et DKIM sera isolé chez vos destinataires. DMARC est aussi le seul de ces trois protocoles à envoyer des rapports automatiques au propriétaire du domaine, ce qui permet de détecter les tentatives d’usurpation d’identité et les problèmes de délivrabilité avant qu’ils ne se généralisent.

Articles similaires
En savoir plus
Juliette Pierre
En savoir plus
Juliette Pierre
En savoir plus
Juliette Pierre
En savoir plus
Juliette Pierre
En savoir plus
Juliette Pierre