Skip to content
PortsDB

Référence des ports

Port 587 (TCP) – Soumission SMTP

Soumission SMTP — courrier sortant authentifié, chiffré via STARTTLS.

tcpWell-known

État par défaut

Ouvert sur les serveurs de messagerie acceptant la soumission client. Généralement exposé à Internet pour les utilisateurs authentifiés.

Attaques courantes

  • Force brute et pulvérisation de mots de passe contre SMTP AUTH
  • Abus de relais ouvert dû à une authentification absente/mal configurée
  • STARTTLS stripping / downgrade vers le clair
  • Relais de spam et de phishing via des comptes compromis

Durcissement

  • Exiger SMTP AUTH sur le 587 et refuser le relais non authentifié
  • Rendre STARTTLS obligatoire et refuser les connexions en clair
  • Imposer TLS 1.2/1.3 et désactiver les chiffrements faibles
  • Limiter le débit, verrouiller la force brute et surveiller les volumes d'envoi
  • Imposer SPF/DKIM/DMARC et utiliser des identifiants forts et uniques

Commande nmap

nmap -p587 --script smtp-commands,smtp-open-relay,smtp-enum-users,ssl-enum-ciphers <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Qu'est-ce qui tourne sur le port 587 ?

Le port 587 est le port dédié de soumission SMTP, défini pour que les clients de messagerie confient le courrier sortant à leur fournisseur. Il commence comme une session SMTP en clair puis passe au chiffrement avec la commande STARTTLS. Il se distingue du port 25 (relais serveur à serveur) : le 587 est destiné aux utilisateurs finaux authentifiés qui envoient du courrier, raison pour laquelle la plupart des fournisseurs et FAI y dirigent la soumission client.

Pourquoi c'est important pour la sécurité

Comme tous les ports de soumission, le 587 doit imposer authentification et TLS. Sans STARTTLS obligatoire, les identifiants peuvent être envoyés — ou interceptés — en clair, et sans règles de relais strictes le serveur peut devenir un relais ouvert abusé par les spammeurs. Comme une connexion valide permet à un attaquant d'envoyer du courrier au nom de votre domaine, la compromission de compte sur le 587 nuit directement à la délivrabilité et à la réputation.

Comment il est attaqué

Les attaquants mènent de la force brute et de la pulvérisation de mots de passe contre SMTP AUTH, et abusent des relais ouverts lorsque l'authentification manque. Comme le 587 démarre en clair, des attaques de STARTTLS stripping / downgrade tentent de maintenir la session non chiffrée pour capturer les identifiants. Les comptes compromis servent ensuite à relayer spam et phishing en contournant les filtres de réputation.

Liste de durcissement

Exigez SMTP AUTH et refusez le relais non authentifié. Rendez STARTTLS obligatoire, refusez les connexions en clair, imposez TLS 1.2/1.3 et désactivez les chiffrements faibles. Limitez le débit et verrouillez la force brute et surveillez les volumes d'envoi anormaux. Publiez et imposez SPF/DKIM/DMARC, et utilisez des mots de passe forts et uniques avec la MFA si possible. La commande nmap énumère les commandes SMTP, le statut de relais et d'utilisateurs, et le TLS sur les systèmes que vous êtes autorisé à tester.

Ports liés

Port 465Port 25Port 993Port 995

Questions fréquentes

Quelle est la différence entre le port 587 et le 465 ?
Le port 587 démarre en clair et passe au chiffrement avec STARTTLS ; le port 465 utilise le TLS implicite dès la connexion. Les deux sont des ports de soumission qui exigent une authentification.
Pourquoi utiliser le port 587 plutôt que le port 25 ?
Le port 25 sert au relais serveur à serveur et est largement bloqué pour l'envoi client. Le port 587 est le port de soumission dédié aux utilisateurs authentifiés, avec STARTTLS obligatoire.