Opportunistiske TLS er en opportunistisk kryptering mekanisme. Fordi den første håndtrykk foregår i ren tekst, kan en angriper i kontroll av nettverket kan endre server meldinger via et man-in-the-middle-angrep for å få det til å virke som TLS er utilgjengelig (kalt en STRIPTLS angrep). De fleste SMTP-kunder vil deretter sende e-post og eventuelt passord i klartekst, ofte uten varsel til brukeren. Spesielt mange SMTP-tilkoblinger oppstå mellom e-postservere, der brukeren varsling ikke er praktisk.,
I September 2014, to Leverandører i Thailand ble funnet å være å gjøre dette til sine egne kunder. I oktober 2014, Cricket Wireless, et datterselskap av PÅ&T, ble avslørt for å være med å gjøre dette til sine kunder. Dette problemet startet så tidlig som i September 2013 av Trådløs alt-i-ett, som senere fusjonerte med Cricket hvor praksis fortsatte.
STRIPTLS angrep kan være blokkert ved å konfigurere SMTP-klienter til å kreve TLS for utgående tilkoblinger (for eksempel Exim Message transfer agent kan kreve TLS via direktivet «hosts_require_tls»)., Imidlertid, siden ikke alle mail server støtter TLS, er det ikke praktisk å bare kreve TLS for alle tilkoblinger.,
Et eksempel på en STRIPTLS angrep av den typen som brukes i Thai masse overvåking teknologi:
220 smtp.gmail.com ESMTP mail.redacted.com - gsmtp ehlo a 250-smtp.gmail.com at your service, 250-SIZE 35882577 250-8BITMIME # The STARTTLS command is stripped here 250-ENHANCEDSTATUSCODES 250-PIPELINING 250 SMTPUTF8 |
220 smtp.gmail.com ESMTP - gsmtp ehlo a 250-smtp.gmail.com at your service 250-SIZE 35882577 250-8BITMIME 250-STARTTLS 250-ENHANCEDSTATUSCODES 250-PIPELINING 250 SMTPUTF8 |
Dette problemet løses ved hjelp av DNS-basert Autentisering av Navngitte Enheter (DANSKE), en del av DNSSEC, og i særdeleshet av RFC 7672 for SMTP. DANE gjør det mulig å annonsere støtte for sikker SMTP via en TLSA spille inn., Dette forteller koble klienter de skal kreve TLS, og dermed hindre STRIPTLS angrep. Den STARTTLS Overalt prosjektet fra Electronic Frontier Foundation fungerer på en lignende måte. Imidlertid, DNSSEC, på grunn av distribusjon kompleksiteten og merkelig kritikk, overfor en lav adopsjon pris, og en ny protokoll som heter SMTP-MTA Strenge Transport Sikkerhet eller MTA-STS har blitt utarbeidet av en gruppe av store leverandører av e-posttjenester, inkludert Microsoft, Google og Yahoo., MTA-STS krever ikke bruk av DNSSEC til å godkjenne DANSKE TLSA postene, men er avhengig av certificate authority (CA) system og en stol-på-første-bruk (TOFU) tilnærming for å unngå interceptions. TOFU modellen tillater en viss grad av sikkerhet lik som HPKP, redusere kompleksiteten men uten garantier på første bruk som tilbys av DNSSEC. I tillegg MTA-STS introduserer en mekanisme for manglende rapportering og en rapport-modus, slik at progressive rulle ut og revisjon for samsvar.