Vulnerabilidades de IMAP

Las características de acceso abierto de IMAP lo hacen especialmente vulnerable a los ataques, dado que los cortafuegos no filtran habitualmente el tráfico dirigido a él para permitir el acceso remoto al correo electrónico. De este modo, los atacantes que explotan las vulnerabilidades en IMAP habitualmente obtienen acceso instantáneo como root.

En muchas ocasiones, el texto y el password son enviados en claro a través de la red sin ningún tipo de encriptación, por lo que son fácilmente interceptables por un atacante.

El puerto IMAP (puerto 143) es uno de los puertos más escaneados por los atacantes. Se trata de un sistema relativamente nuevo y, dado que sus servidores no han tenido tiempo suficiente para madurar, este puerto abierto en un sistema acapara gran atención para los intrusos.

Otra gran parte de los ataques utiliza el puerto IDENT (puerto 113). Los servidores de Internet como IMAP consultan este puerto en respuesta a conexiones de clientes para tareas de identificación y autorización. En general, nunca debe estar abierto dado que es una fuente tremenda de escape de información. Existen numerosos troyanos que utilizan este puerto para introducirse en el equipo: DM worm, Alicia, Cyn, DataSpy Network X, Dosh...

El problema de filtrar este puerto es que muchas peticiones legítimas no recibirán respuesta produciéndose un retraso significativo o incluso el abandono de la conexión. Por ello, los cortafuegos tradicionales tienen a mostrarlo cerrado; sólo los más nuevos y sofisticados son capaces de camuflar este puerto contra escaneos aleatorios al mismo tiempo que aceptan las peticiones de los servidores válidos.