Guide des ports IMAP : accès email sur le port 143

IMAP conserve le courrier sur le serveur et permet à plusieurs clients de synchroniser la même boîte aux lettres. Les clients répertorient les dossiers, récupèrent les en-têtes, téléchargent le corps des messages, marquent les messages comme lus, déplacent le courrier, suppriment le courrier et effectuent des recherches côté serveur en fonction des capacités.

Contrairement à POP3, IMAP est conçu pour un accès multi-appareils. Le serveur reste la source de vérité, donc les quotas de stockage, l'état de l'index, la politique d'authentification et la latence affectent tous l'expérience utilisateur.

Le port 143 est le port IMAP standard. Il peut démarrer en texte brut, puis être mis à niveau avec STARTTLS. Si STARTTLS est requis et configuré correctement, les informations d’identification ne doivent pas être envoyées avant que le cryptage ne soit actif.

Le port 993 est IMAPS, où TLS démarre immédiatement. Du point de vue de la sécurité et de la configuration du client, IMAPS est souvent plus simple car le chiffrement est attendu dès le premier octet de la connexion.

Ouvrez IMAP lorsque les utilisateurs, les applications ou les outils de migration doivent accéder aux boîtes aux lettres avec des clients de messagerie standard. Les exemples courants incluent Outlook, Apple Mail, Thunderbird, les applications de messagerie mobile, l'ingestion du service d'assistance et les systèmes de migration de boîtes aux lettres.

N'exposez pas largement IMAP sans une authentification forte et des contrôles abusifs. L'IMAP public attire la pulvérisation de mots de passe, le bourrage d'informations d'identification, le grattage de boîtes aux lettres et les tentatives de force brute contre d'anciens comptes.

Avant d'autoriser le port 143, décidez si STARTTLS est requis, si le port 993 doit être préféré, quelles méthodes d'authentification sont autorisées et si les mots de passe de base sont acceptables. Pour de nombreux environnements hébergés, les mots de passe OAuth ou d'application peuvent être plus sûrs que les mots de passe de compte ordinaires.

Un vérificateur de port peut confirmer l'accessibilité de TCP, mais l'accès à la boîte aux lettres dépend également de TLS, des certificats, de la politique de connexion, de l'état de l'utilisateur, de l'AMF, du verrouillage du compte, des quotas de boîte aux lettres et de l'état des dossiers/index côté serveur.

Dovecot et Cyrus IMAP sont courants sur les systèmes de messagerie Linux. Configurez les certificats TLS, désactivez l'authentification faible, exigez STARTTLS sur 143 si vous le laissez activé et exposez 993 lorsque les clients prennent en charge TLS implicite.

Microsoft Exchange et de nombreux fournisseurs d'hébergement exposent IMAP uniquement lorsqu'ils sont activés par une stratégie. Si IMAP n’est pas requis, désactivez-le par boîte aux lettres ou par locataire. Si cela est nécessaire, limitez l’authentification héritée et surveillez les échecs de connexion.

Pour les serveurs de messagerie cloud et auto-hébergés, ouvrez uniquement les ports dont les utilisateurs ont besoin. De nombreux déploiements peuvent éviter complètement le 143 public et utiliser le 993 avec une authentification moderne ou un accès sécurisé spécifique au fournisseur.

Commencez par une vérification du port externe par rapport au nom d'hôte et au port 143. S'il est ouvert, utilisez openssl s_client -starttls imap -connect mail.example.com:143 pour vérifier STARTTLS et le certificat. Pour IMAPS, testez le port 993 avec openssl s_client -connect mail.example.com:993.

Testez ensuite avec un vrai client de messagerie ou un outil de ligne de commande IMAP en utilisant la même méthode d'authentification que les utilisateurs utiliseront. Confirmez la connexion, la liste des dossiers, la récupération des messages, le comportement de suppression ou de déplacement et les journaux du serveur pour les tentatives infructueuses.

Si le port 143 est fermé, IMAP peut être désactivé, lié uniquement à une interface privée, bloqué par un pare-feu ou remplacé par IMAPS sur 993. Si le port est ouvert mais que la connexion échoue, inspectez les exigences TLS, le format du nom d'utilisateur, l'état du mot de passe, la politique MFA, les exigences en matière de mot de passe de l'application et le verrouillage du compte.

Si la connexion fonctionne mais que la synchronisation est lente ou incomplète, vérifiez la taille de la boîte aux lettres, les quotas, le nombre de dossiers, les index du serveur, le cache client, les limites de débit et les passerelles antivirus ou de sécurité. Les grandes boîtes aux lettres et les arborescences de dossiers approfondies créent souvent des symptômes de performances qui ressemblent à des problèmes de connexion.

Exiger le cryptage avant l'envoi des informations d'identification. Préférez IMAPS sur 993 ou STARTTLS obligatoire sur 143, désactivez les versions TLS faibles, surveillez les échecs de connexion et restreignez l'authentification héritée lorsque cela est possible.

Utilisez des modèles d'accès compatibles MFA, supprimez les comptes obsolètes, appliquez le verrouillage et les limites de débit, et alertez en cas de pays sources inhabituels, de voyages impossibles ou de pics de téléchargement de boîtes aux lettres. L'exposition IMAP est une exposition à une boîte aux lettres, pas seulement un port réseau.