嘿，这个问题我之前帮同事排查邮件客户端问题时刚好碰到过，给你一步步说清楚怎么操作——毕竟*IMAPS（端口993）*用的是TLS加密，所以核心就是让Wireshark能解析TLS层的流量，主要有两种靠谱的方法，看你能拿到哪类权限：

方法一：如果能获取IMAP服务器的私钥（适合自己管理服务器的情况） #

如果你的IMAP服务器是自己搭建的，或者有服务器管理员权限能拿到私钥文件，可以直接用Wireshark加载私钥解密：

• 第一步：找到服务器上IMAPS服务对应的私钥，通常是PEM格式的文件，比如在Dovecot/Postfix这类邮件服务的配置目录里，比如/etc/dovecot/private/imap.pem（不同服务器路径可能不同，得根据你用的邮件服务找）。
• 第二步：打开Wireshark，点击顶部菜单栏的「编辑」→「首选项」，在弹出的窗口里展开「Protocols」找到「TLS」。
• 第三步：在「RSA keys list」里点击「Edit」，添加一条新条目：
  • IP地址：填你的IMAP服务器的公网/内网IP
  • 端口：填993
  • 协议：选imap
  • 密钥文件：选择你找到的服务器私钥文件
  • 如果私钥有密码保护，在「Passphrase」里填入对应的密码
• 第四步：点击「确定」保存设置，之后重新捕获流量，或者加载之前已经捕获的pcap文件，Wireshark就会自动解密IMAPS的流量，你就能在「Packet Details」面板里看到明文的IMAP命令和响应内容了。

方法二：导出Outlook的SSL密钥日志（适合没有服务器权限的情况） #

要是你拿不到服务器私钥，这个方法绝对是你的救星——因为Windows上的Outlook依赖Schannel组件处理SSL/TLS，我们可以让系统导出密钥日志，再让Wireshark用这个日志解密：

• 第一步：设置系统环境变量：
  1. 按下Win + R输入sysdm.cpl打开系统属性窗口，切换到「高级」标签页，点击「环境变量」。
  2. 在「系统变量」区域点击「新建」，变量名填SSLKEYLOGFILE，变量值填一个你能访问的本地文件路径，比如C:\Users\你的用户名\Documents\ssl_keys.log。
  3. 点击「确定」保存所有设置。
• 第二步：必须重启Outlook！这一步千万不能忘，只有重启后Outlook才会开始往刚才指定的文件里写入密钥日志。
• 第三步：配置Wireshark使用密钥日志：
  打开Wireshark，同样进入「编辑」→「首选项」→「Protocols」→「TLS」，在「(Pre)-Master-Secret log filename」里选择刚才创建的ssl_keys.log文件，点击「确定」。
• 第四步：现在开始捕获流量（或者加载之前的pcap文件），Wireshark就会自动解密所有Outlook发起的TLS流量，包括IMAPS的明文内容啦。

一些要注意的小细节 #

• 密钥日志文件ssl_keys.log里包含敏感的加密密钥，用完之后记得立刻删除，别泄露给其他人。
• 要是你用的是TLS 1.3协议，确保你的Wireshark版本是3.0以上的，旧版本对TLS 1.3的解密支持很有限。
• 如果你是先捕获了流量再设置的密钥日志，那得重新捕获一次，或者确保捕获时Outlook已经在生成密钥日志了。

备注：内容来源于stack exchange，提问作者vico