opportunista TLS egy opportunista titkosítási mechanizmus. Mivel a kezdeti kézfogás egyszerű szövegben történik, a hálózat irányítását végző támadó módosíthatja a szerverüzeneteket egy középső támadáson keresztül, hogy úgy tűnjön, hogy a TLS nem érhető el (STRIPTLS támadásnak hívják). A legtöbb SMTP kliens ezután elküldi az e-mailt, esetleg jelszavakat egyszerű szövegben, gyakran értesítés nélkül a felhasználónak. Különösen sok SMTP kapcsolat fordul elő a levelezőszerverek között, ahol a felhasználói értesítés nem praktikus.,
2014 szeptemberében kiderült, hogy két thaiföldi internetszolgáltató ezt teszi saját ügyfeleivel. 2014 októberében kiderült, hogy a Cricket Wireless, az AT&t leányvállalata ezt teszi ügyfeleivel. Ez a viselkedés már 2013 szeptemberében kezdődött az Aio Wireless által, aki később összeolvadt a Crickel, ahol a gyakorlat folytatódott.
STRIPTLS támadások blokkolható konfigurálásával SMTP kliensek megkövetelni TLS kimenő kapcsolatok (például az Exim üzenet átviteli ügynök megkövetelheti TLS keresztül az irányelv “hosts_require_tls”)., Mivel azonban nem minden levelezőszerver támogatja a TLS-t, nem praktikus egyszerűen megkövetelni a TLS-t minden kapcsolathoz.,
egy példa a STRIPTLS támadás a használt típus a Thai tömeg felügyeleti technológia:
220 smtp.gmail.com ESMTP mail.redacted.com - gsmtp ehlo a 250-smtp.gmail.com at your service, 250-SIZE 35882577 250-8BITMIME # The STARTTLS command is stripped here 250-ENHANCEDSTATUSCODES 250-PIPELINING 250 SMTPUTF8 |
220 smtp.gmail.com ESMTP - gsmtp ehlo a 250-smtp.gmail.com at your service 250-SIZE 35882577 250-8BITMIME 250-STARTTLS 250-ENHANCEDSTATUSCODES 250-PIPELINING 250 SMTPUTF8 |
Ez a probléma által felvetett DNS-alapú Hitelesítés a Megnevezett Személyek (DÁN), egy része a DNSSEC-et, különösen az RFC 7672 SMTP. A DANE lehetővé teszi a biztonságos SMTP támogatásának hirdetését TLSA rekordon keresztül., Ez azt mondja összekötő ügyfelek kell megkövetelni TLS, így megakadályozza STRIPTLS támadások. A STARTTLS Everywhere projekt az Electronic Frontier Foundation-től hasonló módon működik. Azonban a DNSSEC miatt telepítés bonyolult, különös kritika, szemben egy alacsony elfogadása ráta, valamint egy új protokoll úgynevezett SMTP MTA Szigorú Közlekedés Biztonságát vagy MTA-SZEM készült egy csoport őrnagy e-mail szolgáltatók, köztük a Microsoft, a Google vagy a Yahoo., Az MTA-STS nem követeli meg a DNSSEC használatát a DANE TLSA rekordok hitelesítéséhez, hanem a certificate authority (CA) rendszerre és a trust-on-first-use (TOFU) megközelítésre támaszkodik az elfogások elkerülése érdekében. A TOFU modell lehetővé teszi a HPKP-hez hasonló biztonsági szintet, csökkentve a komplexitást, de a DNSSEC által kínált első használat garanciái nélkül. Emellett az MTA-STS bevezeti a hibajelentés mechanizmusát és a jelentéstételi módot, amely lehetővé teszi a megfelelés fokozatos bevezetését és auditálását.