STARTTLS
O que é STARTTLS?
STARTTLSExtensão SMTP, IMAP, POP3 e XMPP definida no RFC 3207 que atualiza uma conexão em texto-claro para TLS após o cumprimento do protocolo, permitindo cifragem oportunista entre servidores e clientes.
O STARTTLS é a extensão SMTP do RFC 3207 (com equivalentes em IMAP/POP3 no RFC 2595 e XMPP no RFC 6120) que permite ao cliente e ao servidor negociar TLS na mesma porta TCP após um cumprimento em texto-claro. O servidor anuncia STARTTLS via EHLO, o cliente envia STARTTLS e a ligação é atualizada para TLS com certificados e cifras como TLS 1.2/1.3 AEAD. Por ser oportunista por defeito, um atacante ativo pode remover o anúncio STARTTLS e forçar entrega em claro; o risco é mitigado por MTA-STS, DANE e validação de certificado. Implementações modernas exigem TLS, validam certificados e preferem TLS implícito nas portas 465 (submissions) e 993 (IMAPS) para clientes.
● Exemplos
- 01
Dois servidores de e-mail emitem EHLO e STARTTLS na porta 25 para passarem a TLS 1.3 antes de trocar mensagens.
- 02
Um cliente liga-se à porta 587, envia STARTTLS e autentica-se de seguida sobre o canal cifrado.
● Perguntas frequentes
O que é STARTTLS?
Extensão SMTP, IMAP, POP3 e XMPP definida no RFC 3207 que atualiza uma conexão em texto-claro para TLS após o cumprimento do protocolo, permitindo cifragem oportunista entre servidores e clientes. Pertence à categoria Segurança de rede da cibersegurança.
O que significa STARTTLS?
Extensão SMTP, IMAP, POP3 e XMPP definida no RFC 3207 que atualiza uma conexão em texto-claro para TLS após o cumprimento do protocolo, permitindo cifragem oportunista entre servidores e clientes.
Como funciona STARTTLS?
O STARTTLS é a extensão SMTP do RFC 3207 (com equivalentes em IMAP/POP3 no RFC 2595 e XMPP no RFC 6120) que permite ao cliente e ao servidor negociar TLS na mesma porta TCP após um cumprimento em texto-claro. O servidor anuncia STARTTLS via EHLO, o cliente envia STARTTLS e a ligação é atualizada para TLS com certificados e cifras como TLS 1.2/1.3 AEAD. Por ser oportunista por defeito, um atacante ativo pode remover o anúncio STARTTLS e forçar entrega em claro; o risco é mitigado por MTA-STS, DANE e validação de certificado. Implementações modernas exigem TLS, validam certificados e preferem TLS implícito nas portas 465 (submissions) e 993 (IMAPS) para clientes.
Como se defender contra STARTTLS?
As defesas contra STARTTLS costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para STARTTLS?
Nomes alternativos comuns: SMTP STARTTLS, Upgrade para TLS.
● Termos relacionados
- network-security№ 764
TLS oportunista
Postura de cifragem em que duas partes usam TLS quando ambas suportam e recorrem a texto-claro caso contrário, típica de SMTP entre servidores com STARTTLS sem autenticação forte.
- network-security№ 707
MTA-STS
Mecanismo de segurança de e-mail definido no RFC 8461 que permite a um domínio exigir TLS no SMTP de entrada e fixar uma lista de MX confiáveis, derrotando ataques de downgrade e remoção de STARTTLS.
- network-security№ 270
DANE
Família de protocolos definida no RFC 6698 que usa registos TLSA assinados com DNSSEC para associar certificados ou chaves públicas TLS a um serviço, reduzindo a dependência das AC públicas.
- network-security№ 1159
TLS (Transport Layer Security)
Protocolo criptográfico padronizado pelo IETF que fornece confidencialidade, integridade e autenticação ao tráfego entre duas aplicações em rede.
- network-security№ 984
Gateway de E-mail Seguro
Serviço de perímetro ou cloud que filtra e-mail de entrada e saída em busca de spam, phishing, malware, fugas de dados e violações de política antes de chegar às caixas de correio.
- network-security№ 1091
SSL Stripping
Ataque de homem no meio que rebaixa silenciosamente a ligação HTTPS da vítima para HTTP em claro, permitindo ao atacante ler e alterar o tráfego.