oportunistický TLS je oportunistický šifrovací mechanismus. Protože počáteční handshake se koná ve formátu prostého textu, útočník v řízení sítě lze upravit server zpráv prostřednictvím man-in-the-middle útok, aby to vypadalo, že TLS je k dispozici (tzv. STRIPTLS útok). Většina klientů SMTP pak pošle e-mail a případně hesla v prostém textu, často bez oznámení uživateli. Zejména mnoho SMTP spojení dochází mezi poštovními servery, kde uživatel oznámení není praktické.,
v září 2014 bylo zjištěno, že dva poskytovatelé internetových služeb v Thajsku to dělají svým vlastním zákazníkům. V říjnu 2014 byla společnost Cricket Wireless, dceřiná společnost AT&T, odhalena, že to dělá svým zákazníkům. Toto chování začalo již v září 2013 společností AIO Wireless, která se později spojila s kriketem, kde praxe pokračovala.
STRIPTLS útoky mohou být blokovány konfigurace SMTP klienty vyžadovat TLS pro odchozí spojení (například Exim agent přenosu Zpráv může vyžadovat TLS prostřednictvím směrnice „hosts_require_tls“)., Protože však ne každý poštovní server podporuje TLS, není praktické jednoduše vyžadovat TLS pro všechna připojení.,
příklad STRIPTLS útok typu používané v Thajské masové sledování technologie:
220 smtp.gmail.com ESMTP mail.redacted.com - gsmtp ehlo a 250-smtp.gmail.com at your service, 250-SIZE 35882577 250-8BITMIME # The STARTTLS command is stripped here 250-ENHANCEDSTATUSCODES 250-PIPELINING 250 SMTPUTF8 |
220 smtp.gmail.com ESMTP - gsmtp ehlo a 250-smtp.gmail.com at your service 250-SIZE 35882577 250-8BITMIME 250-STARTTLS 250-ENHANCEDSTATUSCODES 250-PIPELINING 250 SMTPUTF8 |
Tento problém řeší DNS-based Authentication of Named entities (DANE), část DNSSEC, a to zejména v RFC 7672 pro SMTP. DANE umožňuje inzerovat podporu bezpečného SMTP prostřednictvím záznamu TLSA., To říká spojujícím klientům, že by měli vyžadovat TLS, čímž se zabrání útokům STRIPTŮ. Projekt STARTTLS Everywhere od Nadace Electronic Frontier Foundation funguje podobným způsobem. Nicméně, DNSSEC, vzhledem k nasazení složitosti a zvláštní kritiku, čelí nízkou míru přijetí a nový protokol s názvem SMTP MTA Strict Transport Security nebo MTA-STS byl vypracován skupinou hlavních poskytovatelů e-mailových služeb, včetně Microsoft, Google a Yahoo., MTA-STS nevyžaduje použití DNSSEC ověření DANE TLSA záznamy, ale spoléhá na certifikátu úřadu (CÚ) systému a trust-on-first-use (TOFU) přístup, aby se zabránilo zachycení. Model TOFU umožňuje stupeň zabezpečení podobný zabezpečení HPKP, což snižuje složitost, ale bez záruk na první použití nabízených DNSSEC. Kromě toho MTA-STS zavádí mechanismus hlášení poruch a režim pouze pro hlášení, který umožňuje postupné zavádění a audit shody.