Skip to content
PortsDB

Référence des ports

Port 110 (TCP) – POP3

Protocole de relève du courrier qui télécharge les messages du serveur vers le client, en clair par défaut.

tcpWell-knownSouvent attaqué

État par défaut

Ouvert sur les serveurs de messagerie offrant l'accès POP3 ; parfois exposé à Internet aux côtés de POP3S sur le 995.

Attaques courantes

  • Capture d'identifiants et de messages en clair par écoute réseau
  • Force brute et pulvérisation de mots de passe
  • STARTTLS stripping / rétrogradation vers le clair
  • Réutilisation des identifiants récoltés contre d'autres services

Durcissement

  • Utiliser POP3S sur le port 995 (TLS implicite) ou imposer STARTTLS sur le 110
  • Désactiver les connexions en clair ; exiger TLS avant l'authentification
  • Ajouter limitation de débit / verrouillage et imposer mots de passe forts ou MFA
  • Restreindre l'accès par IP source ou VPN si possible

Commande nmap

nmap -p110 --script pop3-capabilities,pop3-ntlm-info,banner <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Qu'est-ce qui tourne sur le port 110 ?

Le port 110 est le port par défaut de POP3 (Post Office Protocol version 3), un protocole qui télécharge le courrier depuis un serveur de messagerie vers un client, en le supprimant généralement du serveur ensuite. C'est l'un des deux protocoles classiques d'accès aux boîtes aux lettres, aux côtés d'IMAP (port 143). Par défaut, la connexion sur le port 110 est non chiffrée ; l'équivalent sécurisé par TLS est POP3S sur le port 995.

Pourquoi c'est important pour la sécurité

Le POP3 simple s'authentifie avec un nom d'utilisateur et un mot de passe en clair, et les messages téléchargés traversent eux aussi le réseau sans chiffrement. Quiconque peut observer le trafic peut capturer à la fois les identifiants et le courrier. Comme les utilisateurs réutilisent leurs mots de passe, un identifiant POP3 capturé ou deviné ici est souvent valide ailleurs. STARTTLS sur le port 110 est opportuniste : un attaquant actif peut le supprimer et maintenir la session en clair.

Comment il est attaqué

Les attaques principales sont l'écoute passive de la connexion et des messages en clair, et la force brute / pulvérisation de mots de passe contre la connexion à la boîte. Le STARTTLS stripping rétrograde une session censée être chiffrée vers le clair afin de lire les identifiants. Les identifiants récoltés sont ensuite rejoués contre d'autres services (webmail, VPN, SSO) dans des attaques de credential stuffing.

Liste de durcissement

Utilisez POP3S sur le port 995 (TLS implicite) ou, sur le port 110, imposez STARTTLS et désactivez les connexions en clair afin que l'authentification ne se fasse jamais à découvert. Ajoutez une limitation de débit / verrouillage pour casser la force brute, imposez des mots de passe forts ou la MFA, et restreignez l'accès par IP source ou VPN lorsque c'est possible. Maintenez le serveur de messagerie à jour. La commande nmap ci-dessus énumère les capacités annoncées et la bannière afin de repérer le support des connexions en clair sur les systèmes que vous êtes autorisé à tester.

Ports liés

Port 995Port 143Port 993Port 25Port 587

Questions fréquentes

POP3 sur le port 110 est-il sûr ?
Pas par défaut. Le POP3 simple sur le port 110 envoie le nom d'utilisateur, le mot de passe et les messages en clair. Utilisez POP3S sur le port 995 ou imposez STARTTLS pour chiffrer la session.
Quelle est la différence entre le port 110 et le port 995 ?
Le port 110 est le POP3 simple (en clair sauf si STARTTLS est négocié). Le port 995 est POP3S, qui enveloppe la session dans TLS dès le départ, chiffrant les identifiants et le courrier.