POP3 (Post Office Protocol Version 3)
Familie:
|
Internetprotokollfamilie
|
Einsatzgebiet:
|
Abholen von
E-Mail
vom Provider
|
Port:
|
110/TCP
995/TCP (Verschlusselt)
|
|
Standards:
|
RFC 1939 (POP3, 1996)
[1]
|
Das
Post Office Protocol
(
POP
) ist ein
Netzwerkprotokoll
auf
Anwendungsschicht
, uber das ein
E-Mail-Programm
E-Mails
von einem
E-Mail-Server
abholen kann und das 1984 erstmals beschrieben wurde. Version 3 (
POP3
) von 1988 wird im RFC 1939
[1]
beschrieben.
POP3 ist in der Funktionalitat sehr beschrankt und erlaubt nur das Auflisten, Abholen und Loschen von E-Mails am E-Mail-Server. Fur weitere Funktionen wie hierarchische Mailboxen direkt am Mailserver, Zugriff auf mehrere Mailboxen wahrend einer Sitzung, Vorselektion der E-Mails usw. mussen Protokolle wie
IMAP
verwendet werden.
Als Gegenstuck zu POP3 ist fur das Versenden von
E-Mails
ublicherweise in Clients und Servern das
Simple Mail Transfer Protocol
(SMTP) implementiert.
Erstmals wurde das Post Office Protocol im Oktober 1984 in RFC 918
[2]
beschrieben. Bereits im Februar 1985 folgte das in RFC 937
[3]
beschriebene POP2, bevor POP3 erstmals im November 1988 in RFC 1081
[4]
erschien.
POP3 entspricht POP und POP2 in der grundsatzlichen Form. Die Vorgehensweise des Mailabrufs unterscheidet sich vor allem dadurch, dass die Notwendigkeit der Empfangsbereitschaft des Clients wegfallt sowie der korrekte Empfang einer Mail nicht mehr bestatigt zu werden braucht. Die geringere Komplexitat und das Vorhandensein von ?Ubersichtsbefehlen“ wie STAT und LIST gehoren zu den Merkmalen von POP3. Auch ist POP3 von Anfang an genauer und ausfuhrlicher beschrieben.
Fur POP4 als Nachfolgerversion wurde ein Vorschlag inklusive funktionierender Serverimplementierung dargelegt. Dieser Vorschlag enthalt elementares Verzeichnismanagement, Unterstutzung fur
multi-part messaging
sowie Nachrichtenmarkierungen, was ein einfaches Protokoll ermoglicht, um einige populare IMAP-Funktionen nachzurusten, die in POP3 fehlen. Seit 2003 konnten aber keine Fortschritte mehr bei der Entwicklung von POP4 beobachtet werden.
[5]
Das POP3-Protokoll ist in verbreiteten
E-Mail-Programmen
integriert, wird jedoch zunehmend von
IMAP
abgelost.
Ein POP3-
Server
lauscht standardmaßig auf
Port
110.
Bei Windows-E-Mail-Servern kann der POP3-Server in das entsprechende E-Mail-Server-Paket (z. B. im Mail-Server von
Windows Server 2003
oder bei Server-Software wie beispielsweise
Microsoft Exchange
oder
Lotus Domino
) integriert sein. Bei
Mercury/32
ist die POP3-Funktionalitat als Modul vorhanden. Andere Softwarehersteller konnen weitere Losungen vorsehen.
Im
Unix
-Bereich gibt es u. a. folgende POP3-Server-Software:
POP3-Verbindungen werden bei Bedarf vom Client aufgebaut und beendet; nach der Anmeldung werden alle E-Mails vom Mailserver heruntergeladen.
Eine Synchronisierung zwischen den Clients findet per POP3 hingegen nicht statt. Wenn eine E-Mail geloscht oder als ?gelesen“ markiert wird, bleibt die Nachricht ungeloscht bzw. ungelesen auf allen anderen Geraten erhalten.
Dadurch unterscheidet sich POP3 von
IMAP
, das sowohl eine dauerhafte Verbindung zum Server als auch eine Synchronisierung zwischen Clients ermoglicht.
POP3 ist ein textbasiertes Protokoll, das
ASCII
verwendet. Der Client sendet auf einer Zeile ein
Kommando
an den Server, der mit einer oder mehreren Zeilen antwortet.
Standardkommandos (auf jedem Server vorhanden):
USER xxx
- wahlt den
Benutzernamen
bzw. das
Benutzerkonto
auf dem E-Mail-Server.
PASS xxx
- ubergibt das
Passwort
in
Klartext
.
STAT
- liefert den Status der Mailbox, u. a. die Anzahl aller E-Mails im Postfach und deren Gesamtgroße (in Byte).
LIST n
- liefert die Anzahl und die Große der (
n
-ten) E-Mail(s).
RETR n
- holt die
n
-te E-Mail vom E-Mail-Server.
DELE n
- loscht die
n
-te E-Mail auf dem E-Mail-Server.
NOOP
- keine Funktion, der Server antwortet mit +OK.
RSET
- setzt alle DELE-Kommandos zuruck.
QUIT
- beendet die aktuelle POP3-Sitzung und fuhrt alle DELE-Kommandos durch.
Optionale Kommandos (serverabhangig):
APOP
- sichere Anmeldung,
s. u.
TOP n x
- ruft den Header und die ersten
x
Zeilen der
n
-ten Mail ab.
UIDL n
- zeigt die eindeutige ID der E-Mail an.
Zum Test von POP3-Verbindungen konnen die Kommandos mittels eines
Telnet
-Programms direkt an den Port 110 gesendet und die Antworten des POP3-Servers uberpruft werden. (Fur dieses Beispiel gibt man unter Windows oder Linux
telnet example.com pop3
in der Eingabeaufforderung oder in der Konsole ein.
Domain
und
Port
werden durch Leerzeichen und nicht durch Doppelpunkt getrennt.)
Eine typische POP3-Session zwischen Server und Client konnte folgendermaßen aussehen:
Client
|
Server
|
|
(wartet auf Verbindungen auf TCP Port 110)
|
(offnet Verbindung)
|
|
|
+OK example.com POP3-Server
|
USER wiki@example.com
|
|
|
+OK Please enter password
|
PASS passwort_im_klartext
|
|
|
+OK mailbox locked and ready
|
STAT
|
|
|
+OK 1 236
|
LIST
|
|
|
+OK mailbox has 1 messages (236 octets)
1 236
.
|
RETR 1
|
|
|
+OK message follows
Date: Mon, 18 Oct 2004 04:11:45 +0200
From: Someone <someone@example.com>
To: wiki@example.com
Subject: Test-E-Mail
Content-Type: text/plain; charset=us-ascii; format=flowed
Content-Transfer-Encoding: 7bit
Dies ist eine Test-E-Mail
.
|
DELE 1
|
|
|
+OK message marked for delete
|
QUIT
|
|
|
+OK bye
(schließt Verbindung und fuhrt DELE Befehl aus)
|
Wie auch SMTP ist POP3 recht simpel. Es setzt die Authentifizierung des Benutzers uber Benutzernamen und Passwort voraus. Nutzername und Passwort werden ungeschutzt als Klartext ubertragen. Das ermoglicht Angreifern den unbemerkten Zugriff auf die Mailbox und ist eine eklatante Sicherheitslucke. Um die Authentifizierung abzusichern, gibt es verschiedene Erweiterungen. Abhilfe schaffen die bei vielen Servern verfugbaren uber
SASL
eingebundenen Mechanismen und das ebenfalls im Standard definierte
APOP
. Bei Benutzung von APOP wird das Passwort nicht mehr im Klartext ubertragen. Stattdessen ubertragt der Server am Anfang der Sitzung einen
Zeitstempel
. Der Mailclient berechnet aus diesem und dem Passwort einen
Hash-Wert
, der dann an den Server ubertragen wird. Kommt der Server zu demselben Ergebnis, gilt der
Loginvorgang
als erfolgreich.
Authentifizierungsdaten, POP3-Kommandos und die Nachricht selbst konnen uber
SSL
/
TLS
auch komplett verschlusselt ubertragen werden. Dabei wird alternativ das
STARTTLS
-Verfahren (das Kommando lautet STLS) auf dem Standard-TCP-Port 110 oder
POP3 uber SSL (POP3S)
auf TCP-Port 995 verwendet.
- ↑
a
b
RFC
1939
?
Post Office Protocol ? Version 3
. 1996 (englisch).
- ↑
RFC
918
?
Post Office Protocol
. Oktober 1984 (englisch).
- ↑
RFC
937
?
Post Office Protocol ? Version 2
. Februar 1985 (englisch).
- ↑
RFC
1081
?
Post Office Protocol ? Version 3
. November 1988 (englisch).
- ↑
POP4 specification although pop is used to receive mail after system is not online.
2003, archiviert vom
Original
(nicht mehr online verfugbar) am
27. September 2011
;
abgerufen am 17. Oktober 2011
(englisch).