Guia da porta IMAP: acesso de e-mail na porta 143

O IMAP mantém o correio no servidor e permite que vários clientes sincronizem a mesma caixa de correio. Os clientes listam pastas, buscam cabeçalhos, baixam corpos de mensagens, marcam mensagens como lidas, movem e-mails, excluem e-mails e pesquisam no lado do servidor, dependendo dos recursos.

Ao contrário do POP3, o IMAP foi projetado para acesso a vários dispositivos. O servidor continua sendo a fonte da verdade, portanto, as cotas de armazenamento, a integridade do índice, a política de autenticação e a latência afetam a experiência do usuário.

A porta 143 é a porta IMAP padrão. Pode começar em texto simples e depois atualizar com STARTTLS. Se o STARTTLS for necessário e configurado corretamente, as credenciais não deverão ser enviadas antes que a criptografia esteja ativa.

A porta 993 é IMAPS, onde o TLS inicia imediatamente. Do ponto de vista da segurança e da configuração do cliente, o IMAPS costuma ser mais simples porque a criptografia é esperada a partir do primeiro byte da conexão.

Abra IMAP quando usuários, aplicativos ou ferramentas de migração precisarem acessar caixas de correio com clientes de e-mail padrão. Exemplos comuns incluem Outlook, Apple Mail, Thunderbird, aplicativos de e-mail móveis, ingestão de helpdesk e sistemas de migração de caixas de correio.

Não exponha o IMAP amplamente sem autenticação forte e controles de abuso. O IMAP público atrai pulverização de senhas, preenchimento de credenciais, raspagem de caixas de correio e tentativas de força bruta contra contas antigas.

Antes de permitir a porta 143, decida se o STARTTLS é necessário, se a porta 993 deve ser preferida, quais métodos de autenticação são permitidos e se as senhas básicas são aceitáveis. Para muitos ambientes hospedados, as senhas do OAuth ou de aplicativos podem ser mais seguras do que as senhas de contas comuns.

Um verificador de porta pode confirmar a acessibilidade do TCP, mas o acesso à caixa de correio também depende de TLS, certificados, política de login, estado do usuário, MFA, bloqueio de conta, cotas de caixa de correio e integridade de pasta/índice do lado do servidor.

Dovecot e Cyrus IMAP são comuns em sistemas de e-mail Linux. Configure certificados TLS, desative a autenticação fraca, exija STARTTLS em 143 se você mantê-lo ativado e exponha 993 quando os clientes oferecerem suporte a TLS implícito.

O Microsoft Exchange e muitos provedores hospedados expõem o IMAP somente quando habilitado pela política. Se o IMAP não for necessário, desabilite-o por caixa de correio ou locatário. Se for necessário, restrinja a autenticação legada e monitore logins com falha.

Para servidores de e-mail auto-hospedados e em nuvem, abra apenas as portas que os usuários precisam. Muitas implantações podem evitar totalmente o 143 público e usar o 993 com autenticação moderna ou acesso seguro específico do provedor.

Comece com uma verificação de porta externa em relação ao nome do host e à porta 143. Se estiver aberta, use openssl s_client -starttls imap -connect mail.example.com:143 para verificar o STARTTLS e o certificado. Para IMAPS, teste a porta 993 com openssl s_client -connect mail.example.com:993.

Em seguida, teste com um cliente de e-mail real ou uma ferramenta de linha de comando IMAP usando o mesmo método de autenticação que os usuários usarão. Confirme o login, a listagem de pastas, a busca de mensagens, o comportamento de exclusão ou movimentação e os logs do servidor para tentativas malsucedidas.

Se a porta 143 estiver fechada, o IMAP poderá ser desabilitado, vinculado apenas a uma interface privada, bloqueado por um firewall ou substituído por IMAPS em 993. Se a porta estiver aberta, mas o login falhar, inspecione os requisitos de TLS, formato do nome de usuário, estado da senha, política de MFA, requisitos de senha do aplicativo e bloqueio de conta.

Se o login funcionar, mas a sincronização estiver lenta ou incompleta, verifique o tamanho da caixa de correio, cotas, contagem de pastas, índices de servidor, cache do cliente, limites de taxa e antivírus ou gateways de segurança. Caixas de correio grandes e árvores de pastas profundas geralmente criam sintomas de desempenho que parecem problemas de conexão.

Exigir criptografia antes do envio das credenciais. Prefira IMAPS em 993 ou STARTTLS obrigatório em 143, desative versões fracas de TLS, monitore logins com falha e restrinja a autenticação legada sempre que possível.

Use padrões de acesso compatíveis com MFA, remova contas obsoletas, imponha bloqueios e limites de taxas e alerte sobre países de origem incomuns, viagens impossíveis ou picos de download de caixas de correio. A exposição IMAP é a exposição da caixa de correio, não apenas de uma porta de rede.