Opportunistinen TLS on opportunistinen salaus mekanismi. Koska ensimmäinen kättely tapahtuu tekstimuodossa, hyökkääjä hallitsee verkko voi muuttaa palvelimen viestien kautta man-in-the-middle-hyökkäys, jotta se näyttäisi, että TLS-protokolla ei ole käytettävissä (kutsutaan STRIPTLS hyökkäys). Useimmat SMTP-asiakkaat lähettävät sitten sähköpostin ja mahdollisesti salasanat pelkällä tekstillä, usein ilman ilmoitusta käyttäjälle. Erityisesti postipalvelimien välillä on useita SMTP-yhteyksiä, joissa käyttäjäilmoitus ei ole käytännöllinen.,
syyskuussa 2014 havaittiin, että kaksi thaimaalaista Internet-palveluntarjoajaa tekee näin omille asiakkailleen. Lokakuussa 2014, Cricket Wireless, tytäryhtiö OSOITTEESSA&T, paljastui, että tekee tällaista asiakkailleen. Tämä ongelma alkoi jo syyskuussa 2013 Aio Wireless, joka myöhemmin sulautui Kriketti, joissa käytäntö jatkui.
STRIPTLS hyökkäyksiä voidaan estää määrittämällä SMTP asiakkaita vaadi TLS-lähtevät yhteydet (esimerkiksi Exim Message transfer agent voi vaatia TLS-yhteyden kautta-direktiivi ”hosts_require_tls”)., Koska kaikki postipalvelimet eivät kuitenkaan tue TLS: ää, ei ole käytännöllistä yksinkertaisesti vaatia TLS: ää kaikkiin yhteyksiin.,
esimerkki STRIPTLS hyökkäys, jollaisia käytetään Thai massa valvonta tekniikka:
220 smtp.gmail.com ESMTP mail.redacted.com - gsmtp ehlo a 250-smtp.gmail.com at your service, 250-SIZE 35882577 250-8BITMIME # The STARTTLS command is stripped here 250-ENHANCEDSTATUSCODES 250-PIPELINING 250 SMTPUTF8 |
220 smtp.gmail.com ESMTP - gsmtp ehlo a 250-smtp.gmail.com at your service 250-SIZE 35882577 250-8BITMIME 250-STARTTLS 250-ENHANCEDSTATUSCODES 250-PIPELINING 250 SMTPUTF8 |
Tämä ongelma on ratkaistu DNS-based Authentication of Named Yhteisöt (TANSKANDOGGI), osa DNSSEC, ja erityisesti RFC 7672 SMTP. DANE avulla mainostaa tukea secure SMTP kautta TLSA ennätys., Tämä kertoo yhteyden asiakkaiden ne pitäisi vaatia TLS, mikä estää STRIPLES hyökkäyksiä. Electronic Frontier Foundationin STARTTLS Everywhere-projekti toimii samalla tavalla. Kuitenkin, DNSSEC, koska käyttöönoton monimutkaisuutta ja erikoinen kritiikkiä, edessä pieni hyväksyminen korko ja uuden protokollan nimeltään SMTP MTA Strict Transport Security tai MTA-STS on laatinut ryhmä suurten sähköpostin tarjoajat, kuten Microsoft, Google ja Yahoo., MTA-STS ei edellytä DNSSEC todentaa DANE TLSA tietueita, mutta vetoaa certificate authority (CA) – järjestelmän ja luottamus-on-ensimmäinen-käyttö (TOFU) lähestymistapa välttää kuuntelua. TOFU-malli mahdollistaa samanlaisen turvallisuuden kuin HPP, mikä vähentää monimutkaisuutta mutta ilman dnssecin tarjoamia takuita ensimmäisestä käytöstä. Lisäksi MTA-STS: ssä otetaan käyttöön vikailmoitusmekanismi ja raportointimoodi, joka mahdollistaa asteittaisen käyttöönoton ja vaatimustenmukaisuuden tarkastamisen.