STARTTLS
¿Qué es STARTTLS?
STARTTLSExtensión de SMTP, IMAP, POP3 y XMPP (RFC 3207) que actualiza una conexión en texto claro a TLS tras el saludo del protocolo, habilitando cifrado oportunista entre servidores y clientes de correo.
STARTTLS es la extensión SMTP del RFC 3207 (con equivalentes en IMAP/POP3 en el RFC 2595 y XMPP en el RFC 6120) que permite a cliente y servidor negociar TLS sobre el mismo puerto TCP después de un saludo en claro. El servidor anuncia STARTTLS con EHLO, el cliente emite STARTTLS y la conexión se actualiza a TLS con certificados y cifrados como TLS 1.2/1.3 con AEAD. Al ser oportunista por defecto, un atacante activo puede eliminar el anuncio STARTTLS y forzar el envío en claro; este riesgo se mitiga con MTA-STS, DANE y validación de certificado. Los despliegues modernos exigen TLS, validan certificados y prefieren TLS implícito en los puertos 465 (submissions) y 993 (IMAPS) para clientes.
● Ejemplos
- 01
Dos servidores de correo emiten EHLO y STARTTLS en el puerto 25 para actualizarse a TLS 1.3 antes de intercambiar mensajes.
- 02
Un cliente se conecta al puerto 587, envía STARTTLS y luego se autentica sobre el canal cifrado.
● Preguntas frecuentes
¿Qué es STARTTLS?
Extensión de SMTP, IMAP, POP3 y XMPP (RFC 3207) que actualiza una conexión en texto claro a TLS tras el saludo del protocolo, habilitando cifrado oportunista entre servidores y clientes de correo. Pertenece a la categoría de Seguridad de red en ciberseguridad.
¿Qué significa STARTTLS?
Extensión de SMTP, IMAP, POP3 y XMPP (RFC 3207) que actualiza una conexión en texto claro a TLS tras el saludo del protocolo, habilitando cifrado oportunista entre servidores y clientes de correo.
¿Cómo funciona STARTTLS?
STARTTLS es la extensión SMTP del RFC 3207 (con equivalentes en IMAP/POP3 en el RFC 2595 y XMPP en el RFC 6120) que permite a cliente y servidor negociar TLS sobre el mismo puerto TCP después de un saludo en claro. El servidor anuncia STARTTLS con EHLO, el cliente emite STARTTLS y la conexión se actualiza a TLS con certificados y cifrados como TLS 1.2/1.3 con AEAD. Al ser oportunista por defecto, un atacante activo puede eliminar el anuncio STARTTLS y forzar el envío en claro; este riesgo se mitiga con MTA-STS, DANE y validación de certificado. Los despliegues modernos exigen TLS, validan certificados y prefieren TLS implícito en los puertos 465 (submissions) y 993 (IMAPS) para clientes.
¿Cómo defenderse de STARTTLS?
Las defensas contra STARTTLS combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para STARTTLS?
Nombres alternativos comunes: SMTP STARTTLS, Actualización a TLS.
● Términos relacionados
- network-security№ 764
TLS oportunista
Postura de cifrado en la que dos partes usan TLS si ambas lo soportan y caen a texto claro si no, típica de SMTP entre servidores mediante STARTTLS sin autenticación fuerte.
- network-security№ 707
MTA-STS
Mecanismo de seguridad de correo (RFC 8461) que permite a un dominio exigir TLS en SMTP entrante y fijar la lista de MX de confianza, frustrando ataques de degradación y stripping de STARTTLS.
- network-security№ 270
DANE
Familia de protocolos del RFC 6698 que utiliza registros TLSA firmados con DNSSEC para vincular certificados o claves públicas TLS a un servicio, reduciendo la dependencia del sistema de CAs públicas.
- network-security№ 1159
TLS (Transport Layer Security)
Protocolo criptográfico estandarizado por el IETF que aporta confidencialidad, integridad y autenticación al tráfico entre dos aplicaciones en red.
- network-security№ 984
Pasarela de correo seguro
Servicio perimetral o en la nube que filtra el correo entrante y saliente buscando spam, phishing, malware, fugas de datos e infracciones de política antes de llegar a los buzones.
- network-security№ 1091
SSL Stripping
Ataque de hombre en el medio que degrada silenciosamente la conexión HTTPS de la víctima a HTTP en claro para poder leer y modificar el tráfico.