STARTTLS
STARTTLS とは何ですか?
STARTTLSRFC 3207 で定義される SMTP/IMAP/POP3/XMPP の拡張。プロトコルの挨拶後にプレーンテキスト接続を TLS にアップグレードし、メールサーバ・クライアント間で日和見的暗号化を可能にする。
STARTTLS は RFC 3207 で規定された SMTP 拡張で、IMAP/POP3 では RFC 2595、XMPP では RFC 6120 に対応規定があります。同一の TCP ポートでプレーンテキストの挨拶後にクライアントとサーバが TLS をネゴシエートします。サーバは EHLO レスポンスで STARTTLS 能力を通知し、クライアントが STARTTLS を発行すると、TLS 1.2/1.3 と AEAD などのスイートを用いた TLS チャネルへ移行します。既定では日和見的なため、能動的攻撃者が STARTTLS 通知を取り除いて平文配送を強制する可能性がありますが、MTA-STS、DANE、厳格な証明書検証で軽減できます。現代の構成では TLS を必須化し、クライアント接続では 465 (submissions) や 993 (IMAPS) などの暗黙 TLS を優先します。
● 例
- 01
2 台のメールサーバがポート 25 上で EHLO と STARTTLS を交換し、メッセージ送受信前に TLS 1.3 へアップグレードする。
- 02
クライアントがポート 587 に接続して STARTTLS を発行し、暗号化チャネル上で認証を行う。
● よくある質問
STARTTLS とは何ですか?
RFC 3207 で定義される SMTP/IMAP/POP3/XMPP の拡張。プロトコルの挨拶後にプレーンテキスト接続を TLS にアップグレードし、メールサーバ・クライアント間で日和見的暗号化を可能にする。 サイバーセキュリティの ネットワークセキュリティ カテゴリに属します。
STARTTLS とはどういう意味ですか?
RFC 3207 で定義される SMTP/IMAP/POP3/XMPP の拡張。プロトコルの挨拶後にプレーンテキスト接続を TLS にアップグレードし、メールサーバ・クライアント間で日和見的暗号化を可能にする。
STARTTLS からどのように防御しますか?
STARTTLS に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
STARTTLS の別名は何ですか?
一般的な別名: SMTP STARTTLS, TLS アップグレード。