Portar

Port 143: IMAP

Synkroniseringsprotokoll för brevlåda. Klartext som standard om inte uppgraderats med TLS eller StartTLS.

Var du ser detta: Du ser detta i skanningar, brandväggsregler, sårbarhetsrapporter och tjänstkonfigurationer. Behandla öppna portar som exponeringspunkter och verifiera att tjänsten är förväntad, härdad och begränsad.

Vad det är

TCP port 143 används av IMAP, ett protokoll för e-postsynkronisering. En port är ett transportlagernummer som används tillsammans med en IP-adress och ett protokoll som TCP eller UDP för att dirigera trafik till rätt tjänst på en värd.

En serverprocess binder en socket till en port och lyssnar, medan en klient vanligtvis väljer en tillfällig källport för utgående anslutningar. Kombinationen av käll- och destinations-IP-adresser, käll- och destinationsportar och transportprotokollet identifierar unikt ett flöde så att operativsystemet kan hålla många konversationer åtskilda.

Brandväggar, NAT och skannrar talar om portar eftersom destinationsporten är den stabila mötespunkten som exponerar en tjänst för nätverket. En IMAP-server lyssnar på 143 och klienter ansluter från tillfälliga källportar.

Efter TCP-handskakningen kan klienten uppgradera sessionen till TLS med STARTTLS, sedan autentisera och synkronisera mappar och meddelandetillstånd som läsflaggor och raderingar. Till skillnad från POP3, håller IMAP postlådan på servern och är designad för flera enheter, så klienter hämtar ofta rubriker och laddar bara ner hela texter när det behövs.

Den praktiska säkerhetsdetaljen är att port 143 kan starta i klartext om inte TLS upprätthålls, vilket skapar risk om klienter skickar inloggningsuppgifter före uppgradering. Det är därför många miljöer föredrar IMAPS på port 993 där kryptering etableras omedelbart, och varför övervakning av brute force på IMAP-portar är vanligt.

Hur det fungerar i stora drag

  1. Klienten ansluter och autentiserar och listar sedan mappar och meddelandemetadata.
  2. Klienten hämtar meddelandetexter på begäran och uppdaterar flaggor som läst eller raderat.
  3. Om STARTTLS stöds och krävs, uppgraderas anslutningen till TLS innan autentiseringsuppgifter skickas.

Konkret exempel

En mobil e-postapp använder IMAP för att hålla inkorgens tillstånd konsekvent. Varje gång du markerar ett meddelande som läst skickar klienten ett IMAP-kommando och servern uppdaterar flaggan för alla enheter.

Varför det är viktigt

IMAP är vanligt i företag och på äldre distributioner. Ur ett säkerhetsperspektiv är klartext IMAP riskabelt, och felkonfigurerad IMAP kan vara ett mål för brute force och referensfyllning.

Säkerhetsperspektiv

  • Föredrar IMAPS på 993 eller upprätthåll STARTTLS med starka chiffersviter.
  • Aktivera hastighetsbegränsning och övervaka för autentiseringsavvikelser.
  • Överväg modern OAuth-baserad autentisering där den stöds av din leverantör.

Vanliga fallgropar

  • Tillåter autentisering i klartext utan att tvinga fram STARTTLS.
  • Att anta att IMAP betyder att all e-post är säker på servern. Retention beror fortfarande på säkerhetskopiering och policy.
  • Lämna gamla klienter som inte stöder moderna autentiseringsmetoder.