Entry № 860
机会性 TLS
机会性 TLS 是什么?
机会性 TLS双方在均支持时使用 TLS、否则回退到明文的加密策略,典型见于使用 STARTTLS 但缺乏强认证的邮件服务器之间。
机会性 TLS 是 SMTP STARTTLS (RFC 3207) 等协议的默认行为:优先使用 TLS,但并非必需。如果对端未通告 TLS、证书验证失败或握手出错,发送方会静默改用明文以保证投递。这种方式可抵御被动监听,但无法抵御能动攻击者剥离 STARTTLS、出示不受信证书或降级加密套件。为了加固机会性 TLS,运营者通常会部署 MTA-STS (RFC 8461) 作为可强制策略、DANE/TLSA (RFC 7672) 作为基于 DNSSEC 的认证、SMTP TLS Reporting (RFC 8460) 提升可观测性,并启用带强套件的 TLS 1.2/1.3。
● 示例
- 01
外发 MTA 在与合作伙伴域名之间 STARTTLS 成功时加密邮件,失败时回退到明文。
- 02
Postfix 设置 smtp_tls_security_level=may 体现默认的机会性策略。
● 常见问题
机会性 TLS 是什么?
双方在均支持时使用 TLS、否则回退到明文的加密策略,典型见于使用 STARTTLS 但缺乏强认证的邮件服务器之间。 它属于网络安全的 网络安全 分类。
机会性 TLS 是什么意思?
双方在均支持时使用 TLS、否则回退到明文的加密策略,典型见于使用 STARTTLS 但缺乏强认证的邮件服务器之间。
如何防御 机会性 TLS?
针对 机会性 TLS 的防御通常结合技术控制与运营实践,详见上方完整定义。
机会性 TLS 还有哪些其他名称?
常见的别称包括: 机会性加密, 尽力而为 TLS。