Skip to content
PortsDB

Référence des ports

Port 995 (TCP) – POP3S

POP3S — récupération de courrier POP3 chiffrée avec du TLS implicite dès la connexion.

tcpWell-known

État par défaut

Ouvert sur les serveurs de messagerie proposant le POP3 sécurisé. Généralement exposé à Internet pour que les clients téléchargent le courrier sur TLS.

Attaques courantes

  • Force brute et pulvérisation de mots de passe contre la connexion POP3
  • Exploitation et downgrade de TLS faible/obsolète
  • Prise de contrôle de compte via identifiants fuités/réutilisés
  • Abus de l'auth héritée/basique contournant la MFA

Durcissement

  • Exiger TLS 1.2/1.3 et désactiver les chiffrements faibles et vieux protocoles
  • Utiliser des mots de passe forts et uniques et imposer MFA / OAuth si possible
  • Limiter le débit des connexions et verrouiller la force brute ; alerter sur les anomalies
  • Désactiver l'auth héritée/basique et préférer IMAPS lorsque c'est adapté
  • Maintenir le serveur POP3 à jour et utiliser des certificats valides

Commande nmap

nmap -p995 --script pop3-capabilities,ssl-enum-ciphers,ssl-cert <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Qu'est-ce qui tourne sur le port 995 ?

Le port 995 est POP3S — POP3 sur TLS implicite. C'est la version sécurisée de POP3 (le protocole qui télécharge le courrier d'un serveur vers un client, en le supprimant généralement du serveur), chiffrée dès l'ouverture de la connexion. C'est l'équivalent TLS du POP3 simple sur le port 110, et les clients l'utilisent pour récupérer le courrier via un canal toujours chiffré.

Pourquoi c'est important pour la sécurité

POP3S protège les messages et les identifiants en transit, mais comme pour tout accès au courrier, la connexion est la cible. Un compte POP3 compromis expose le courrier téléchargé et est exploité pour réinitialiser des mots de passe et voler des données sensibles. Comme l'accès dépend d'un seul mot de passe, un TLS faible ou des identifiants faibles sur le 995 mènent directement à la prise de contrôle de compte, et le POP3 en auth basique est un moyen fréquent de contourner la MFA.

Comment il est attaqué

Les principales attaques sont la force brute et la pulvérisation de mots de passe contre la connexion POP3 et la prise de contrôle de compte via des mots de passe fuités ou réutilisés. Les attaquants exploitent le TLS faible ou obsolète pour lire ou rétrograder la session, et abusent de l'authentification héritée/basique qui contourne les contrôles MFA modernes, faisant du POP3 un canal privilégié pour un accès discret aux boîtes.

Liste de durcissement

Exigez TLS 1.2/1.3 avec des chiffrements forts et un certificat valide. Imposez des mots de passe forts et uniques et la MFA / OAuth, et désactivez l'auth héritée ou basique qui contourne la MFA. Limitez le débit des connexions, verrouillez la force brute et alertez sur les anomalies. Préférez IMAPS (993) pour un usage multi-appareils, et maintenez le serveur POP3 à jour. La commande nmap énumère les capacités POP3 et inspecte le TLS et le certificat sur les systèmes que vous êtes autorisé à tester.

Ports liés

Port 110Port 993Port 465Port 587

Questions fréquentes

Quelle est la différence entre le port 995 et le 110 ?
Le port 110 est du POP3 simple (éventuellement chiffré via STARTTLS) ; le port 995 est POP3S, chiffré en TLS implicite dès la connexion. Utilisez le 995 pour garder la session toujours chiffrée.
Faut-il utiliser POP3S (995) ou IMAPS (993) ?
POP3 télécharge et supprime souvent le courrier du serveur ; IMAP le garde synchronisé entre appareils. Pour un accès multi-appareils, préférez IMAPS (993) ; dans tous les cas, imposez TLS et MFA.