Руководство по порту IMAP: доступ к электронной почте через порт 143

IMAP хранит почту на сервере и позволяет нескольким клиентам синхронизировать один и тот же почтовый ящик. Клиенты просматривают папки, извлекают заголовки, загружают тела сообщений, отмечают сообщения как прочитанные, перемещают почту, удаляют почту и выполняют поиск на стороне сервера в зависимости от возможностей.

В отличие от POP3, IMAP предназначен для доступа с нескольких устройств. Сервер остается источником достоверной информации, поэтому квоты хранилища, работоспособность индекса, политика аутентификации и задержка — все это влияет на взаимодействие с пользователем.

Порт 143 — это стандартный порт IMAP. Он может начинаться с открытого текста, а затем обновляться с помощью STARTTLS. Если STARTTLS требуется и настроен правильно, учетные данные не следует отправлять, пока не будет активно шифрование.

Порт 993 — это IMAPS, где TLS запускается немедленно. С точки зрения безопасности и конфигурации клиента IMAPS зачастую проще, поскольку шифрование ожидается с первого байта соединения.

Открывайте IMAP, когда пользователям, приложениям или средствам миграции требуется доступ к почтовым ящикам с помощью стандартных почтовых клиентов. Типичные примеры включают Outlook, Apple Mail, Thunderbird, мобильные почтовые приложения, системы приема сообщений в службу поддержки и системы миграции почтовых ящиков.

Не раскрывайте широко доступный протокол IMAP без строгой проверки подлинности и контроля злоупотреблений. Публичный IMAP привлекает к распылению паролей, вбросу учетных данных, очистке почтовых ящиков и попыткам грубой силы против старых учетных записей.

Прежде чем разрешить порт 143, решите, требуется ли STARTTLS, следует ли отдать предпочтение порту 993, какие методы аутентификации разрешены и приемлемы ли базовые пароли. Для многих размещенных сред пароли OAuth или приложений могут быть безопаснее, чем обычные пароли учетных записей.

Средство проверки портов может подтвердить доступность TCP, но доступ к почтовому ящику также зависит от TLS, сертификатов, политики входа в систему, состояния пользователя, MFA, блокировки учетной записи, квот почтового ящика и работоспособности папки/индекса на стороне сервера.

Dovecot и Cyrus IMAP широко распространены в почтовых системах Linux. Настройте сертификаты TLS, отключите слабую аутентификацию, требуйте STARTTLS для 143, если вы оставляете его включенным, и предоставляйте 993, когда клиенты поддерживают неявный TLS.

Microsoft Exchange и многие хостинг-провайдеры предоставляют IMAP только в том случае, если это разрешено политикой. Если IMAP не требуется, отключите его для каждого почтового ящика или клиента. Если необходимо, ограничьте устаревшую аутентификацию и отслеживайте неудачные входы в систему.

Для облачных и автономных почтовых серверов открывайте только те порты, которые нужны пользователям. Во многих развертываниях можно полностью избежать общедоступного 143 и использовать 993 с современной аутентификацией или безопасным доступом, зависящим от поставщика.

Начните с проверки внешнего порта по имени хоста и порту 143. Если он открыт, используйте openssl s_client -starttls imap -connect mail.example.com:143 для проверки STARTTLS и сертификата. Для IMAPS проверьте порт 993 с помощью openssl s_client -connect mail.example.com:993.

Затем протестируйте реальный почтовый клиент или инструмент командной строки IMAP, используя тот же метод аутентификации, который будут использовать пользователи. Подтвердите вход в систему, список папок, получение сообщений, поведение при удалении или перемещении, а также журналы сервера для неудачных попыток.

Если порт 143 закрыт, IMAP может быть отключен, привязан только к частному интерфейсу, заблокирован брандмауэром или заменен IMAPS на 993. Если порт открыт, но вход невозможен, проверьте требования TLS, формат имени пользователя, состояние пароля, политику MFA, требования к паролю приложения и блокировку учетной записи.

Если вход в систему работает, но синхронизация выполняется медленно или не полностью, проверьте размер почтового ящика, квоты, количество папок, индексы сервера, кэш клиента, ограничения скорости, а также антивирус или шлюзы безопасности. Большие почтовые ящики и глубокие деревья папок часто создают проблемы с производительностью, похожие на проблемы с подключением.

Требовать шифрования перед отправкой учетных данных. Предпочитайте IMAPS на 993 или обязательный STARTTLS на 143, отключите слабые версии TLS, отслеживайте неудачные входы в систему и ограничивайте устаревшую аутентификацию, где это возможно.

Используйте шаблоны доступа, совместимые с MFA, удаляйте устаревшие учетные записи, применяйте блокировку и ограничения скорости, а также предупреждайте о необычных странах происхождения, невозможности поездок или скачках загрузки почтовых ящиков. Воздействие IMAP — это воздействие на почтовый ящик, а не только на сетевой порт.