STARTTLS
STARTTLS 是什么?
STARTTLSRFC 3207 定义的 SMTP/IMAP/POP3/XMPP 扩展,在协议握手之后将明文连接升级到 TLS,实现邮件服务器与客户端之间的机会性加密。
STARTTLS 是 RFC 3207 定义的 SMTP 扩展(IMAP/POP3 在 RFC 2595、XMPP 在 RFC 6120 中有对应),允许客户端与服务器在同一 TCP 端口先以明文打招呼,然后协商 TLS。服务器在 EHLO 响应中通告 STARTTLS 能力,客户端发送 STARTTLS,连接随后升级为使用 TLS 1.2/1.3 与 AEAD 套件的 TLS 通道。由于默认是机会性加密,主动攻击者可剥离 STARTTLS 通告,迫使邮件以明文发送;这种风险可通过 MTA-STS、DANE 与严格证书校验来缓解。现代部署会强制 TLS、校验证书,并在客户端连接中优先使用 465 (submissions) 与 993 (IMAPS) 等隐式 TLS 端口。
● 示例
- 01
两台邮件服务器在 25 端口发出 EHLO 和 STARTTLS,在交换邮件前升级到 TLS 1.3。
- 02
邮件客户端连接 587 端口,发出 STARTTLS,然后在加密通道中完成身份认证。
● 常见问题
STARTTLS 是什么?
RFC 3207 定义的 SMTP/IMAP/POP3/XMPP 扩展,在协议握手之后将明文连接升级到 TLS,实现邮件服务器与客户端之间的机会性加密。 它属于网络安全的 网络安全 分类。
STARTTLS 是什么意思?
RFC 3207 定义的 SMTP/IMAP/POP3/XMPP 扩展,在协议握手之后将明文连接升级到 TLS,实现邮件服务器与客户端之间的机会性加密。
如何防御 STARTTLS?
针对 STARTTLS 的防御通常结合技术控制与运营实践,详见上方完整定义。
STARTTLS 还有哪些其他名称?
常见的别称包括: SMTP STARTTLS, TLS 升级。