Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 860

机会性 TLS

审核人Cybersecurity entrepreneur & security researcher

机会性 TLS 是什么?

机会性 TLS双方在均支持时使用 TLS、否则回退到明文的加密策略,典型见于使用 STARTTLS 但缺乏强认证的邮件服务器之间。


机会性 TLS 是 SMTP STARTTLS (RFC 3207) 等协议的默认行为:优先使用 TLS,但并非必需。如果对端未通告 TLS、证书验证失败或握手出错,发送方会静默改用明文以保证投递。这种方式可抵御被动监听,但无法抵御能动攻击者剥离 STARTTLS、出示不受信证书或降级加密套件。为了加固机会性 TLS,运营者通常会部署 MTA-STS (RFC 8461) 作为可强制策略、DANE/TLSA (RFC 7672) 作为基于 DNSSEC 的认证、SMTP TLS Reporting (RFC 8460) 提升可观测性,并启用带强套件的 TLS 1.2/1.3。

示例

  1. 01

    外发 MTA 在与合作伙伴域名之间 STARTTLS 成功时加密邮件,失败时回退到明文。

  2. 02

    Postfix 设置 smtp_tls_security_level=may 体现默认的机会性策略。

常见问题

机会性 TLS 是什么?

双方在均支持时使用 TLS、否则回退到明文的加密策略,典型见于使用 STARTTLS 但缺乏强认证的邮件服务器之间。 它属于网络安全的 网络安全 分类。

机会性 TLS 是什么意思?

双方在均支持时使用 TLS、否则回退到明文的加密策略,典型见于使用 STARTTLS 但缺乏强认证的邮件服务器之间。

如何防御 机会性 TLS?

针对 机会性 TLS 的防御通常结合技术控制与运营实践,详见上方完整定义。

机会性 TLS 还有哪些其他名称?

常见的别称包括: 机会性加密, 尽力而为 TLS。

相关术语