STARTTLS
Что такое STARTTLS?
STARTTLSРасширение SMTP, IMAP, POP3 и XMPP по RFC 3207, переводящее открытое соединение в TLS после приветствия протокола и обеспечивающее оппортунистическое шифрование между серверами и клиентами почты.
STARTTLS — расширение SMTP, описанное в RFC 3207 (с аналогами для IMAP/POP3 в RFC 2595 и XMPP в RFC 6120). На одном TCP-порту клиент и сервер сначала обмениваются открытым приветствием, после чего сервер сообщает в EHLO о поддержке STARTTLS, клиент отправляет STARTTLS, и соединение переключается на TLS с сертификатами и наборами шифров TLS 1.2/1.3 (AEAD). Поскольку STARTTLS по умолчанию оппортунистичен, активный атакующий может удалить уведомление и заставить отправлять в открытом виде; этот риск снижают MTA-STS, DANE и валидация сертификатов. Современные конфигурации требуют TLS, проверяют сертификаты и предпочитают неявный TLS на портах 465 (submissions) и 993 (IMAPS) для клиентов.
● Примеры
- 01
Два почтовых сервера обмениваются EHLO и STARTTLS на порту 25 и переходят на TLS 1.3 до обмена сообщениями.
- 02
Почтовый клиент подключается на порт 587, отправляет STARTTLS, после чего аутентифицируется по зашифрованному каналу.
● Частые вопросы
Что такое STARTTLS?
Расширение SMTP, IMAP, POP3 и XMPP по RFC 3207, переводящее открытое соединение в TLS после приветствия протокола и обеспечивающее оппортунистическое шифрование между серверами и клиентами почты. Относится к категории Сетевая безопасность в кибербезопасности.
Что означает STARTTLS?
Расширение SMTP, IMAP, POP3 и XMPP по RFC 3207, переводящее открытое соединение в TLS после приветствия протокола и обеспечивающее оппортунистическое шифрование между серверами и клиентами почты.
Как работает STARTTLS?
STARTTLS — расширение SMTP, описанное в RFC 3207 (с аналогами для IMAP/POP3 в RFC 2595 и XMPP в RFC 6120). На одном TCP-порту клиент и сервер сначала обмениваются открытым приветствием, после чего сервер сообщает в EHLO о поддержке STARTTLS, клиент отправляет STARTTLS, и соединение переключается на TLS с сертификатами и наборами шифров TLS 1.2/1.3 (AEAD). Поскольку STARTTLS по умолчанию оппортунистичен, активный атакующий может удалить уведомление и заставить отправлять в открытом виде; этот риск снижают MTA-STS, DANE и валидация сертификатов. Современные конфигурации требуют TLS, проверяют сертификаты и предпочитают неявный TLS на портах 465 (submissions) и 993 (IMAPS) для клиентов.
Как защититься от STARTTLS?
Защита от STARTTLS обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия STARTTLS?
Распространённые альтернативные названия: SMTP STARTTLS, Апгрейд до TLS.
● Связанные термины
- network-security№ 764
Оппортунистический TLS
Подход к шифрованию, при котором обе стороны используют TLS, если поддерживают его, и переходят к открытому тексту в противном случае; типичен для SMTP между серверами с STARTTLS без строгой аутентификации.
- network-security№ 707
MTA-STS
Механизм почтовой безопасности (RFC 8461), позволяющий домену требовать TLS для входящего SMTP и фиксировать список доверенных MX-хостов, противодействуя downgrade- и STARTTLS-stripping-атакам.
- network-security№ 270
DANE
Семейство протоколов по RFC 6698, использующее подписанные DNSSEC записи TLSA для привязки TLS-сертификатов или публичных ключей к сервису, снижая зависимость от публичных CA.
- network-security№ 1159
TLS (Transport Layer Security)
Стандартизованный IETF криптографический протокол, обеспечивающий конфиденциальность, целостность и аутентификацию трафика между двумя сетевыми приложениями.
- network-security№ 984
Защитный почтовый шлюз
Периметровый или облачный сервис, фильтрующий входящую и исходящую почту на спам, фишинг, вредоносное ПО, утечки данных и нарушения политик до доставки в почтовые ящики.
- network-security№ 1091
SSL Stripping
Атака «человек посередине», незаметно понижающая HTTPS-соединение жертвы до открытого HTTP, чтобы злоумышленник мог читать и изменять трафик.