TL; DR
Rekomendasi baru adalah untuk mendukung pengajuan / smtps dan pengajuan dengan STARTTLS untuk sementara waktu, menghapus secara bertahap setelah itu tidak digunakan lagi. (Rekomendasi yang sama juga berlaku untuk POP3 vs POP3S dan IMAP vs IMAPS.)
Detail
Praktik terbaik telah berubah dengan RFC 8314 Bagian 3.3 :
Ketika koneksi TCP dibuat untuk layanan "pengiriman" (port default 465), jabat tangan TLS segera dimulai. [...]
Mekanisme STARTTLS pada port 587 relatif banyak digunakan karena situasi dengan port 465 (dibahas dalam Bagian 7.3). Ini berbeda dari layanan IMAP dan POP di mana TLS implisit lebih banyak digunakan pada server daripada STARTTLS. Hal ini diinginkan untuk protokol inti bermigrasi digunakan oleh perangkat lunak MUA untuk TLS implisit dari waktu ke waktu, untuk konsistensi serta untuk alasan tambahan dibahas dalam
Lampiran A .
Namun, untuk memaksimalkan penggunaan enkripsi untuk pengiriman, diinginkan untuk mendukung kedua mekanisme untuk Pengiriman Pesan melalui TLS untuk masa transisi beberapa tahun. Hasil dari, klien dan server HARUS mengimplementasikan STARTTLS pada port 587 dan TLS implisit pada port 465 untuk periode transisi ini. Perhatikan bahwa tidak ada perbedaan yang signifikan antara properti keamanan STARTTLS pada port 587 dan TLS implisit pada port 465 jika implementasinya benar dan jika klien dan server dikonfigurasikan untuk memerlukan negosiasi TLS yang berhasil sebelum Pengiriman Pesan.
Lampiran A yang dikutip kemudian menguraikan keputusan untuk memilih TLS implisit untuk semua SMTP, POP3 dan IMAP, karena poin-poin utama ini
- Kami hanya ingin memiliki koneksi terenkripsi di mana saja, jadi tidak ada gunanya mempertahankan versi yang kompatibel dengan semua protokol ini ketika, dalam praktiknya kepatuhan tidak digunakan
- Telah ada eksploitasi dari fase negosiasi STARTTLS karena masalah yang sama dalam beberapa implementasi