Portar

Port 110: POP3

Ladda ner postlåda i äldre stil. Klartext som standard om den inte har uppgraderats till TLS.

Var du ser detta: Du ser detta i skanningar, brandväggsregler, sårbarhetsrapporter och tjänstkonfigurationer. Behandla öppna portar som exponeringspunkter och verifiera att tjänsten är förväntad, härdad och begränsad.

Vad det är

TCP port 110 används av POP3, ett äldre protokoll för att hämta e-post från en brevlåda. En port är ett transportlagernummer som används tillsammans med en IP-adress och ett protokoll som TCP eller UDP för att dirigera trafik till rätt tjänst på en värd. En serverprocess binder en socket till en port och lyssnar, medan en klient vanligtvis väljer en tillfällig källport för utgående anslutningar.

Kombinationen av käll- och destinations-IP-adresser, käll- och destinationsportar och transportprotokollet identifierar unikt ett flöde så att operativsystemet kan hålla många konversationer åtskilda. Brandväggar, NAT och skannrar talar om portar eftersom destinationsporten är den stabila mötespunkten som exponerar en tjänst för nätverket.

En POP3-server lyssnar på 110 och en e-postklient ansluter från en tillfällig källport, slutför TCP-handskakningen och autentiserar och utfärdar sedan kommandon för att lista och hämta meddelanden. Den typiska POP-modellen är att ladda ner och eventuellt ta bort, vilket innebär att klienten ofta drar e-post till en enhet snarare än att hålla status synkroniserad mellan enheter som IMAP gör.

Utan kryptering skickar POP3 autentiseringsuppgifter och meddelandeinnehåll i klartext, vilket är anledningen till att säkra varianter använder TLS via STARTTLS eller den implicita TLS porten 995. Ur säkerhetssynpunkt är exponerade POP3-tjänster frekventa mål för lösenordssprayning och kontokapning, och de kan även exponera meddelandeinnehåll.

Hur det fungerar i stora drag

  1. Klienten ansluter till servern och autentiserar med ett användarnamn och lösenord.
  2. Klienten listar meddelanden, hämtar valda meddelanden och raderar dem om du vill.
  3. Sessionen avslutas och servern verkställer raderingar, medan lokal e-postlagring blir källan till sanningen.

Konkret exempel

En skrivare använder POP3 på 110 för att hämta jobb från en brevlåda. Om anslutningen inte är krypterad kan alla med nätverkssynlighet fånga inloggningsuppgifterna för brevlådan.

Varför det är viktigt

POP3 finns fortfarande i äldre e-postinställningar och vissa enheter. För säkerhets skull är klartext POP3 en röd flagga. I drift kan POP-stilarbetsflöden också dölja problem med lagring på serversidan eftersom e-posten snabbt lämnar servern.

Säkerhetsperspektiv

  • Föredrar POP3S på 995 eller IMAPS på 993, eller använd moderna leverantörs-API:er.
  • Inaktivera autentisering av klartext och framtvinga starka lösenord och MFA där det är möjligt.
  • Övervaka efter brute force-försök och ovanliga inloggningsplatser.

Vanliga fallgropar

  • Använder klartext POP3 över opålitliga nätverk.
  • Förutsatt att POP3 beter sig som IMAP. Den är inte designad för synkronisering med flera enheter.
  • Lämna gamla konton aktiverade eftersom POP-klienter ofta körs i flera år utan förändring.