Tidak, itu ide yang sangat buruk.
Pada kenyataannya, ternyata, sebagian besar server / klien STARTTLS tidak mengimplementasikan segala jenis algoritma coba lagi tanpa StartTLS seandainya koneksi TLS gagal bernegosiasi.
Dengan demikian, bahkan mengiklankan STARTTLS sebagai opsi sudah mengurangi peluang Anda untuk mendapatkan (dan mengirim) email!
Cukup telusuri, dan Anda akan menemukan banyak orang tidak dapat mengirim email APA SAJA ke domain Microsoft Outlook yang ditangani oleh cluster * .protection.outlook.com:
Pesan sendmail ditolak dari Microsoft saat menggunakan TLS
alasan: Jabat tangan 403 4.7.0 TLS gagal
Untuk merangkum masalah yang disajikan dalam dua pos di atas:
- dapat mengirim surat apa pun ke host apa pun selain yang ditangani oleh Outlook, dengan atau tanpa STARTTLS,
- dapat mengirim email tanpa sertifikat klien dan tanpa STARTTLS ke Outlook,
- atau dengan sertifikat klien panjang nol,
- tetapi tidak dengan sertifikat yang tidak disukai Microsoft, dan setelah gagal, klien (well, server bertindak dalam mode klien) tidak berusaha mengirim ulang pesan tanpa STARTTLS jika server penerima mengiklankan STARTTLS!
Demikian juga, ketika host Anda bertindak sebagai server, situasi serupa dapat terjadi di luar kendali Anda jika Anda memutuskan untuk mengaktifkan STARTTLS - ketika server klien melihat bahwa server Anda dalam mode server menawarkan STARTTLS, mereka mencoba untuk menegosiasikan TLS, tetapi jika negosiasi gagal , mereka hanya menunggu, dan mencoba lagi langkah yang sama, terus gagal sampai pesan harus dipantulkan kembali ke pengirim!
Dan ini cukup sering terjadi dengan berbagai domain di tanah STARTTLS!
Sedihnya, seperti dulu saya adalah pendukung STARTTLS di masa lalu, saya sekarang sangat kehilangan haknya sehingga saya disesatkan oleh iklan bebas risiko dari apa yang saya pikir seharusnya merupakan enkripsi oportunistik.
Anda tidak hanya harus tidak memerlukan STARTTLS, tetapi bahkan mungkin lebih bijaksana untuk menonaktifkannya sepenuhnya, jika Anda ingin memastikan interoperabilitas.