Nie, to bardzo zły pomysł.
W rzeczywistości, jak się okazuje, większość serwerów / klientów STARTTLS nie implementuje żadnego algorytmu ponownej próby bez StartTLS w przypadku niepowodzenia negocjacji połączenia TLS.
Jako takie, nawet reklamowanie STARTTLS jako opcji już zmniejsza twoje szanse na otrzymywanie (i wysyłanie) e-maili!
Wystarczy wyszukać, a zobaczysz, że wiele osób nie może wysłać ŻADNEGO e-maila do domen Microsoft Outlook obsługiwanych przez klaster * .protection.outlook.com:
Wiadomości Sendmail odrzucone przez Microsoft podczas korzystania z TLS
powód: 403 4.7.0 Uzgadnianie TLS nie powiodło się
Podsumowując problemy przedstawione w dwóch powyższych postach:
- może wysyłać dowolną pocztę do dowolnego hosta innego niż obsługiwany przez program Outlook, z STARTTLS lub bez,
- może wysyłać pocztę bez certyfikatu klienta i bez STARTTLS do programu Outlook,
- lub z certyfikatem klienta o zerowej długości,
- ale nie z certyfikatem, którego Microsoft nie lubi, aw przypadku awarii klienci (cóż, serwery działające w trybie klienta) nie próbują ponownie wysłać wiadomości bez STARTTLS, jeśli serwer odbiorcy reklamuje STARTTLS!
Podobnie, gdy host działa jako serwer, podobna sytuacja może wystąpić poza twoją kontrolą, jeśli zdecydujesz się włączyć STARTTLS - gdy serwer klienta zobaczy, że twój serwer w trybie serwera oferuje STARTTLS, spróbuje negocjować TLS, ale jeśli negocjacja się nie powiedzie , po prostu czekają i ponawiają te same kroki, nie udaje się, dopóki wiadomość nie zostanie odesłana do nadawcy!
I zdarza się to dość często w przypadku różnych domen w krainie STARTTLS!
Niestety, o ile w przeszłości byłem zwolennikiem STARTTLS, teraz jestem bardzo pozbawiony praw wyborczych, że wprowadzono mnie w błąd, jeśli reklama pozbawiona ryzyka była moim zdaniem szyfrowaniem oportunistycznym.
Nie tylko nie powinieneś wymagać STARTTLS, ale nawet rozsądne może być całkowite wyłączenie go, jeśli chcesz zapewnić interoperacyjność.