Portar

Port 995: POP3S

POP3 över implicit TLS. Säker nedladdning av brevlådor, fortfarande enklare än IMAP.

Var du ser detta: Du ser detta i skanningar, brandväggsregler, sårbarhetsrapporter och tjänstkonfigurationer. Behandla öppna portar som exponeringspunkter och verifiera att tjänsten är förväntad, härdad och begränsad.

Vad det är

TCP port 995 används av POP3S, vilket betyder POP3 med implicit TLS. En port är ett transportlagernummer som används tillsammans med en IP-adress och ett protokoll som TCP eller UDP för att dirigera trafik till rätt tjänst på en värd. En serverprocess binder en socket till en port och lyssnar, medan en klient vanligtvis väljer en tillfällig källport för utgående anslutningar.

Kombinationen av käll- och destinations-IP-adresser, käll- och destinationsportar och transportprotokollet identifierar unikt ett flöde så att operativsystemet kan hålla många konversationer åtskilda. Brandväggar, NAT och skannrar talar om portar eftersom destinationsporten är den stabila mötespunkten som exponerar en tjänst för nätverket.

En server lyssnar på 995 och klienten upprättar en TCP-session, sedan en TLS-session, innan den autentiseras. Efter det listar och hämtar klienten meddelanden, vanligtvis laddar ner dem till lokal lagring istället för att hålla serversidans tillstånd synkroniserat som IMAP.

Den modellen är anledningen till att POP fortfarande används för enkla inställningar och äldre klienter, men det betyder också att kvarhållning och incidentrespons beror på var e-post lagras och säkerhetskopieras. Säkerhetsmässigt tar POP3S bort autentiseringsuppgifter i klartext på tråden, men svaga lösenord, brist på MFA och exponerade tjänster gör fortfarande port 995 till ett vanligt mål för autentiseringsattacker.

Hur det fungerar i stora drag

  1. Klienten ansluter och förhandlar TLS omedelbart.
  2. Klienten autentiserar, listar meddelanden, hämtar dem och kan ta bort dem från servern.
  3. Klienten lagrar meddelanden lokalt och avslutar sessionen.

Konkret exempel

En gammal e-postklient stöder endast POP3S. Den ansluter till 995, autentiserar, laddar ner ny e-post och arkiverar den lokalt, varför serverlagring kanske inte speglar vad användaren fortfarande har.

Varför det är viktigt

POP3S spelar roll eftersom vissa enheter och äldre klienter fortfarande är beroende av POP. Ur ett försvarsperspektiv hjälper säker transport, men du måste fortfarande skydda konton från brute force och överväga retention och backup-implikationer.

Säkerhetsperspektiv

  • Föredrar IMAPS när du behöver synkronisering med flera enheter, eller leverantörs-API:er för appar.
  • Framtvinga starka lösenord och MFA och övervaka misslyckade inloggningar.
  • Inaktivera äldre klartext POP3 på 110.

Vanliga fallgropar

  • Använder POP för scenarier med flera enheter och förlorar sedan konsistensen i e-posttillståndet.
  • Svag kontosäkerhet som leder till att postlådan kompromitteras.
  • Förutsatt att TLS löser allt. Serversidans policy och övervakning krävs fortfarande.