IMAP-poortgids: e-mailtoegang op poort 143

IMAP bewaart e-mail op de server en laat meerdere clients dezelfde mailbox synchroniseren. Clients geven mappen weer, halen kopteksten op, downloaden berichtteksten, markeren berichten als gelezen, verplaatsen e-mail, verwijderen e-mail en zoeken op de server, afhankelijk van de mogelijkheden.

In tegenstelling tot POP3 is IMAP ontworpen voor toegang vanaf meerdere apparaten. De server blijft de bron van de waarheid, dus opslagquota, indexstatus, authenticatiebeleid en latentie hebben allemaal invloed op de gebruikerservaring.

Poort 143 is de standaard IMAP-poort. Het kan in leesbare tekst beginnen en vervolgens upgraden met STARTTLS. Als STARTTLS vereist is en correct is geconfigureerd, mogen er geen inloggegevens worden verzonden voordat de codering actief is.

Poort 993 is IMAPS, waarbij TLS onmiddellijk start. Vanuit het oogpunt van beveiliging en clientconfiguratie is IMAPS vaak eenvoudiger omdat codering wordt verwacht vanaf de eerste byte van de verbinding.

Open IMAP wanneer gebruikers, applicaties of migratietools toegang moeten krijgen tot mailboxen met standaard e-mailclients. Veel voorkomende voorbeelden zijn Outlook, Apple Mail, Thunderbird, mobiele mail-apps, helpdeskopname en mailboxmigratiesystemen.

Stel IMAP niet breed beschikbaar zonder krachtige verificatie- en misbruikcontroles. Publieke IMAP lokt het misbruiken van wachtwoorden, het opvullen van inloggegevens, het schrapen van mailboxen en brute force-pogingen tegen oude accounts uit.

Voordat u poort 143 toestaat, moet u beslissen of STARTTLS vereist is, of poort 993 de voorkeur verdient, welke authenticatiemethoden zijn toegestaan en of basiswachtwoorden acceptabel zijn. Voor veel gehoste omgevingen kunnen OAuth- of app-wachtwoorden veiliger zijn dan gewone accountwachtwoorden.

Een poortcontrole kan de bereikbaarheid van TCP bevestigen, maar de toegang tot mailboxen is ook afhankelijk van TLS, certificaten, inlogbeleid, gebruikersstatus, MFA, accountvergrendeling, mailboxquota en de gezondheid van mappen/indexen op de server.

Dovecot en Cyrus IMAP zijn gebruikelijk op Linux-mailsystemen. Configureer TLS-certificaten, schakel zwakke authenticatie uit, vereist STARTTLS op 143 als u dit ingeschakeld houdt, en stel 993 beschikbaar wanneer clients impliciete TLS ondersteunen.

Microsoft Exchange en veel gehoste providers stellen IMAP alleen beschikbaar als dit door beleid is ingeschakeld. Als IMAP niet vereist is, schakelt u dit per mailbox of tenant uit. Als dit nodig is, beperk dan de verouderde authenticatie en controleer mislukte aanmeldingen.

Open voor cloud- en zelfgehoste mailservers alleen de poorten die gebruikers nodig hebben. Veel implementaties kunnen openbare 143 volledig vermijden en 993 gebruiken met moderne authenticatie of providerspecifieke beveiligde toegang.

Begin met een externe poortcontrole aan de hand van de hostnaam en poort 143. Als deze open is, gebruik dan openssl s_client -starttls imap -connect mail.example.com:143 om STARTTLS en het certificaat te verifiëren. Voor IMAPS test u poort 993 met openssl s_client -connect mail.example.com:993.

Test vervolgens met een echte e-mailclient of een IMAP-opdrachtregelprogramma met dezelfde authenticatiemethode die gebruikers zullen gebruiken. Bevestig het inloggen, de mappenlijst, het gedrag van het ophalen, verwijderen of verplaatsen van berichten en serverlogboeken voor mislukte pogingen.

Als poort 143 gesloten is, kan IMAP worden uitgeschakeld, alleen gebonden aan een privé-interface, geblokkeerd door een firewall of vervangen door IMAPS op 993. Als de poort open is maar inloggen mislukt, controleer dan de TLS-vereisten, de gebruikersnaamindeling, de wachtwoordstatus, het MFA-beleid, de app-wachtwoordvereisten en de accountvergrendeling.

Als het inloggen werkt maar de synchronisatie traag of onvolledig is, controleer dan de mailboxgrootte, quota's, aantal mappen, serverindexen, clientcache, snelheidslimieten en antivirus- of beveiligingsgateways. Grote postvakken en diepe mapstructuren veroorzaken vaak prestatiesymptomen die op verbindingsproblemen lijken.

Versleuteling vereisen voordat inloggegevens worden verzonden. Geef de voorkeur aan IMAPS op 993 of verplichte STARTTLS op 143, schakel zwakke TLS-versies uit, controleer mislukte aanmeldingen en beperk waar mogelijk verouderde authenticatie.

Gebruik MFA-compatibele toegangspatronen, verwijder verouderde accounts, handhaaf lock-out- en tarieflimieten en waarschuwt voor ongebruikelijke bronlanden, onmogelijke reizen of pieken in het downloaden van mailboxen. IMAP-blootstelling is mailboxblootstelling, niet alleen een netwerkpoort.