Ні, це дуже погана ідея.
Насправді, як виявляється, більшість серверів / клієнтів STARTTLS не реалізують будь-який алгоритм повторного спроби без StartTLS, якщо TLS-з'єднання не зможе узгодити.
Таким чином, навіть реклама STARTTLS як опція вже знижує ваші шанси отримувати (і надсилати) електронні листи!
Просто шукайте, і ви знайдете, що багато людей не в змозі надсилати БУДЬ-яку електронну пошту в домени Microsoft Outlook, якими керує кластер * .protection.outlook.com
Sendmail, відхилені від Microsoft при використанні TLS
причина: 403 4.7.0 TLS рукостискання не вдалося
Для узагальнення питань, представлених у вищезгаданих двох публікаціях:
- може надсилати будь-яку пошту на будь-який хост, окрім того, яким обробляється Outlook, з STARTTLS або без нього,
- може надсилати пошту без клієнтського сертифіката та без STARTTLS до Outlook,
- або з клієнтським сертифікатом нульової довжини,
- але не з сертифікатом, який Microsoft не любить, і після відмови клієнти (ну, сервери, що працюють в режимі клієнта) не намагаються повторно надіслати повідомлення без STARTTLS, якщо сервер одержувача рекламує STARTTLS!
Так само, коли ваш хост виступає як сервер, схожа ситуація може виникнути поза вашим контролем, якщо ви вирішите включити STARTTLS - коли клієнтський сервер бачить, що ваш сервер у серверному режимі пропонує STARTTLS, вони намагаються домовитись про TLS, але якщо переговори не вдається. , вони просто чекають і повторюють ті ж самі кроки знову, продовжуйте відмовлятися, поки повідомлення не повинно повернутися відправника!
І це трапляється досить часто з різними доменами на землі STARTTLS!
На жаль, настільки, наскільки я раніше був прихильником СТАРТЛС, зараз я дуже знешкоджений тим, що мене ввели в оману безризиковою рекламою того, що, на мою думку, повинно бути опортуністичним шифруванням.
Ви не тільки не потребуєте STARTTLS, але навіть може бути доцільним повністю відключити його, якщо ви хочете забезпечити сумісність.