Accedere a un server IMAP senza TLS significa che un utente malintenzionato nella rete
- può annusare nome utente e password. Poiché spesso vengono utilizzati anche per autenticare l'invio di posta, un utente malintenzionato può inviare posta a proprio nome.
- può leggere e forse anche modificare qualsiasi mail che ricevi come un uomo attivo nel mezzo. Ad esempio, un utente malintenzionato potrebbe essere in grado di sostituire un allegato innocente da una persona fidata con un allegato dannoso. L'utente malintenzionato potrebbe anche eliminare messaggi di posta o iniettare nuovi messaggi, in pratica l'attaccante è il tuo server di posta.
Si noti che TLS non protegge necessariamente da tutto ciò. Molti client di posta hanno la possibilità di utilizzare TLS ma accettano qualsiasi certificato. In questo caso, gli attacchi man in the middle sono ancora possibili poiché l'attaccante può presentare un certificato arbitrario invece del certificato dal server IMAP originale.
Inoltre, TLS non protegge contro un utente malintenzionato che ha compromesso il server IMAP stesso.