Quels ports pour l'e-mail ? SMTP, IMAP, POP3
Guide complet des ports e-mail : SMTP 25, soumission 587, SMTPS 465, POP3 110/995, IMAP 143/993 — quand utiliser chacun et comment les sécuriser avec TLS.
Si vous avez déjà configuré un client de messagerie ou un serveur de courrier, vous avez rencontré un amas déroutant de numéros de ports. L'e-mail n'est pas un seul protocole mais trois — un pour l'envoi et deux pour la réception — et chacun existe en version en clair et en version chiffrée. Ce guide explique chaque port e-mail, son rôle, et ceux que vous devriez réellement utiliser. Chaque port renvoie vers sa fiche ProtocolPorts complète, ou vous pouvez parcourir tous les ports.
Les ports e-mail en un coup d'œil
| Port | Protocole / Service | Chiffré ? | Rôle |
|---|---|---|---|
| 25 | SMTP | Non (opportuniste) | Relais de courrier de serveur à serveur |
| 587 | Soumission SMTP | STARTTLS | Le client envoie du courrier authentifié |
| 465 | SMTPS | TLS implicite | Le client envoie du courrier (ancien/moderne) |
| 110 | POP3 | Non | Le client télécharge le courrier |
| 995 | POP3S | TLS implicite | Le client télécharge le courrier en sécurité |
| 143 | IMAP | Non | Le client synchronise la boîte aux lettres |
| 993 | IMAPS | TLS implicite | Le client synchronise la boîte de façon sécurisée |
| 563 | NNTPS | TLS implicite | Groupes de discussion sécurisés (connexe) |
| 2525 | SMTP (alternatif) | STARTTLS | Soumission quand 587/465 sont bloqués |
Envoyer du courrier vs recevoir du courrier
La distinction la plus importante est celle entre l'envoi et la réception. Ils utilisent des protocoles entièrement différents.
L'envoi est géré par SMTP (Simple Mail Transfer Protocol). La réception — récupérer le courrier d'un serveur vers votre boîte de réception — est gérée soit par POP3, soit par IMAP. Une configuration e-mail complète utilise donc un port d'envoi et un port de réception.
Envoi : les ports SMTP
Le port 25 est le port SMTP d'origine, mais son rôle s'est restreint. Aujourd'hui, il est utilisé presque exclusivement pour le relais de serveur à serveur — un serveur de courrier transmettant un message à un autre. La plupart des FAI et fournisseurs cloud bloquent le port 25 sortant pour les utilisateurs finaux afin de lutter contre le spam, vous ne devriez donc pas configurer votre client de messagerie pour envoyer dessus.
Pour qu'un client de messagerie soumette un nouveau message, utilisez un port de soumission dédié :
- Le port 587 est la norme moderne de soumission. Le client se connecte en clair et passe au chiffrement avec STARTTLS, puis s'authentifie avec un identifiant et un mot de passe. C'est celui que vous devriez utiliser.
- Le port 465 est SMTPS — la négociation TLS a lieu immédiatement (TLS implicite) avant toute commande SMTP. Autrefois déprécié, il a été rétabli et constitue désormais un choix parfaitement valide et sécurisé.
- Le port 2525 est une solution de repli non standard que certains fournisseurs proposent quand les réseaux bloquent 587 et 465.
Réception : les ports POP3 et IMAP
POP3 télécharge les messages et, par défaut, les supprime du serveur — pratique pour un seul appareil, malcommode pour plusieurs. Il fonctionne en clair sur le port 110 et en TLS implicite sur le port 995.
IMAP conserve les messages sur le serveur et synchronise l'état lu/non lu et les dossiers entre tous vos appareils. Il fonctionne en clair sur le port 143 et en TLS implicite sur le port 993. Pour les comptes modernes, IMAP sur 993 est le meilleur choix par défaut.
Les paires clair vs TLS
Remarquez le schéma : presque chaque protocole e-mail possède un port en clair et un jumeau sécurisé.
- Soumission SMTP 587 (STARTTLS) — SMTPS 465 (TLS implicite)
- POP3 110 — POP3S 995
- IMAP 143 — IMAPS 993
Sur les ports en clair, votre identifiant, votre mot de passe et le contenu de vos messages peuvent circuler sur le réseau sans chiffrement, à moins que STARTTLS ne réussisse à élever la connexion. Sur un réseau hostile, quiconque se trouve sur le chemin peut les lire. Préférez toujours les variantes TLS, et configurez les clients pour exiger le chiffrement plutôt que de retomber silencieusement en clair.
Pourquoi 587 + TLS est la norme moderne de soumission
Le port 25 n'a jamais été conçu pour l'authentification des utilisateurs finaux, ce qui en a fait un favori des spammeurs relayant du courrier indésirable. L'IETF a séparé la soumission de message (authentifiée, depuis un utilisateur) du relais de message (entre serveurs) et a attribué la soumission au port 587. Combiné à un STARTTLS obligatoire et à SMTP AUTH, cela vous donne un canal chiffré et authentifié que les fournisseurs de messagerie peuvent limiter en débit et surveiller — c'est exactement pourquoi c'est la méthode recommandée pour que les clients envoient du courrier.
Risques de relais ouvert et de vol d'identifiants
Deux échecs classiques de sécurité e-mail méritent d'être signalés :
- Relais ouvert. Un serveur SMTP mal configuré sur le port 25 qui accepte et retransmet le courrier de n'importe qui devient un canon à spam et finit sur les listes de blocage. Limitez le relais à la soumission authentifiée.
- Vol d'identifiants. Utiliser les ports en clair 110, 143 ou un 25 non chiffré expose les identifiants à l'écoute réseau. Imposez TLS partout et désactivez les ports en clair lorsque vous le pouvez.
Conclusion
L'e-mail utilise un port pour envoyer et un pour recevoir, chacun avec une version sécurisée que vous devriez toujours préférer : soumettez sur le port 587 ou le port 465, et récupérez sur le port 993 (IMAP) ou le port 995 (POP3). Laissez le port 25 aux serveurs, exigez TLS, et recherchez tout port inconnu sur ProtocolPorts.