Skip to content
PortsDB

Référence des ports

Port 143 (TCP) – IMAP

Protocole d'accès aux boîtes aux lettres qui conserve le courrier sur le serveur et synchronise les dossiers, en clair par défaut.

tcpWell-knownSouvent attaqué

État par défaut

Ouvert sur les serveurs de messagerie offrant l'accès IMAP ; souvent exposé à Internet aux côtés d'IMAPS sur le 993.

Attaques courantes

  • Capture d'identifiants et de messages en clair par écoute réseau
  • Force brute et pulvérisation de mots de passe
  • STARTTLS stripping / rétrogradation vers le clair
  • Credential stuffing et réutilisation contre d'autres services

Durcissement

  • Utiliser IMAPS sur le port 993 (TLS implicite) ou imposer STARTTLS sur le 143
  • Désactiver les connexions en clair ; exiger TLS avant l'authentification
  • Ajouter limitation de débit / verrouillage et imposer mots de passe forts ou MFA
  • Restreindre l'accès par IP source ou VPN si possible

Commande nmap

nmap -p143 --script imap-capabilities,imap-ntlm-info,banner <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Qu'est-ce qui tourne sur le port 143 ?

Le port 143 est le port par défaut d'IMAP (Internet Message Access Protocol), le protocole d'accès aux boîtes aux lettres qui conserve le courrier sur le serveur et synchronise dossiers, marqueurs et états entre plusieurs clients. Contrairement à POP3, qui télécharge et supprime les messages, IMAP est conçu pour un accès permanent et multi-appareils. Par défaut, la connexion sur le port 143 est non chiffrée ; l'équivalent sécurisé par TLS est IMAPS sur le port 993.

Pourquoi c'est important pour la sécurité

L'IMAP simple s'authentifie avec un nom d'utilisateur et un mot de passe en clair, et le contenu des messages traverse lui aussi le réseau sans chiffrement. Quiconque observe le trafic peut capturer les identifiants et lire le courrier. Comme IMAP conserve toute la boîte sur le serveur, une seule connexion compromise expose tout l'historique de courrier de l'utilisateur, pas seulement les messages récemment téléchargés. STARTTLS sur le port 143 est opportuniste : un attaquant actif peut le supprimer et maintenir la session en clair.

Comment il est attaqué

Les attaques principales sont l'écoute passive des connexions et des corps de messages en clair, et la force brute / pulvérisation de mots de passe contre la boîte. Le STARTTLS stripping rétrograde les sessions pour lire les identifiants. Les identifiants capturés ou devinés alimentent le credential stuffing contre le webmail, le VPN et le SSO, et l'IMAP ancien qui contourne la MFA est un vecteur connu de compromission de comptes.

Liste de durcissement

Utilisez IMAPS sur le port 993 (TLS implicite) ou, sur le port 143, imposez STARTTLS et désactivez les connexions en clair afin que l'authentification ne se fasse jamais à découvert. Ajoutez une limitation de débit / verrouillage pour ralentir la force brute, imposez des mots de passe forts ou la MFA, et désactivez les chemins d'authentification anciens qui la contournent. Restreignez l'accès par IP source ou VPN lorsque c'est possible et maintenez le serveur à jour. La commande nmap ci-dessus énumère les capacités annoncées et la bannière afin de repérer le support des connexions en clair sur les systèmes que vous êtes autorisé à tester.

Ports liés

Port 993Port 110Port 995Port 25Port 587

Questions fréquentes

IMAP sur le port 143 est-il sûr ?
Pas par défaut. L'IMAP simple sur le port 143 envoie le nom d'utilisateur, le mot de passe et les messages en clair. Utilisez IMAPS sur le port 993 ou imposez STARTTLS pour chiffrer la session.
Quelle est la différence entre le port 143 et le port 993 ?
Le port 143 est l'IMAP simple (en clair sauf si STARTTLS est négocié). Le port 993 est IMAPS, qui enveloppe toute la session dans TLS dès le départ, chiffrant les identifiants et le courrier.