IMAP端口指南：端口143上的电子邮件访问

IMAP 将邮件保留在服务器上，并让多个客户端同步同一邮箱。客户端根据功能列出文件夹、获取标头、下载邮件正文、将邮件标记为已读、移动邮件、删除邮件以及搜索服务器端。

与 POP3 不同，IMAP 是为多设备访问而设计的。服务器仍然是事实来源，因此存储配额、索引运行状况、身份验证策略和延迟都会影响用户体验。

端口 143 是标准 IMAP 端口。它可能以纯文本形式开始，然后使用 STARTTLS 进行升级。如果需要 STARTTLS 并且配置正确，则在加密激活之前不应发送凭据。

端口 993 是 IMAPS，TLS 立即启动。从安全和客户端配置的角度来看，IMAPS 通常更简单，因为预计从连接的第一个字节开始进行加密。

当用户、应用程序或迁移工具需要使用标准邮件客户端访问邮箱时，打开 IMAP。常见示例包括 Outlook、Apple Mail、Thunderbird、移动邮件应用程序、帮助台摄取和邮箱迁移系统。

如果没有强大的身份验证和滥用控制，请勿广泛公开 IMAP。公共 IMAP 会吸引密码喷洒、撞库、邮箱抓取以及针对旧帐户的暴力尝试。

在允许端口 143 之前，请确定是否需要 STARTTLS、是否应首选端口 993、允许哪些身份验证方法以及是否可接受基本密码。对于许多托管环境，OAuth 或应用程序密码可能比普通帐户密码更安全。

端口检查器可以确认 TCP 可达性，但邮箱访问还取决于 TLS、证书、登录策略、用户状态、MFA、帐户锁定、邮箱配额和服务器端文件夹/索引运行状况。

Dovecot 和 Cyrus IMAP 在 Linux 邮件系统上很常见。配置 TLS 证书，禁用弱身份验证，在 143 上要求 STARTTLS（如果保持启用），并在客户端支持隐式 TLS 时公开 993。

Microsoft Exchange 和许多托管提供商仅在策略启用时才公开 IMAP。如果不需要 IMAP，请针对每个邮箱或租户禁用它。如果需要，限制旧式身份验证并监控失败的登录。

对于云和自托管邮件服务器，仅打开用户需要的端口。许多部署可以完全避免公共 143，并使用 993 和现代身份验证或特定于提供商的安全访问。

首先针对主机名和端口 143 进行外部端口检查。如果已打开，请使用 openssl s_client -starttls imap -connect mail.example.com:143 验证 STARTTLS 和证书。对于 IMAPS，使用 openssl s_client -connect mail.example.com:993 测试端口 993。

然后使用真实邮件客户端或 IMAP 命令行工具进行测试，使用用户将使用的相同身份验证方法。确认登录、文件夹列表、消息获取、删除或移动行为以及失败尝试的服务器日志。

如果端口 143 关闭，IMAP 可能被禁用、仅绑定到专用接口、被防火墙阻止或被 993 上的 IMAPS 替换。如果端口打开但登录失败，请检查 TLS 要求、用户名格式、密码状态、MFA 策略、应用程序密码要求和帐户锁定。

如果登录正常，但同步缓慢或不完整，请检查邮箱大小、配额、文件夹计数、服务器索引、客户端缓存、速率限制以及防病毒或安全网关。大型邮箱和较深的文件夹树通常会产生看似连接问题的性能症状。

在发送凭据之前需要加密。首选 993 上的 IMAPS 或 143 上的强制 STARTTLS、禁用弱 TLS 版本、监控失败的登录并在可能的情况下限制旧版身份验证。

使用 MFA 兼容的访问模式，删除过时的帐户，强制锁定和速率限制，并对异常来源国家/地区、不可能的旅行或邮箱下载峰值发出警报。 IMAP 暴露是邮箱暴露，而不仅仅是网络端口。