谷歌、微软与雅虎：我们希望修复漏洞以避免邮件窥探行为

各网络巨头正联手修复STARTTLS安全问题，希望解决其面临的加密连接降级攻击威胁。

Amazon、Facebook、谷歌、微软以及雅虎等多家技术巨头正努力推进STARTTLS扩展方案——旨在将SMTP上的纯文本连接升级为全新加密版本。

不过根据谷歌公司最近发布的研究报告，STARTTLS采用的“机会型加密”机制有可能导致该系统遭受“开放性攻击”，这意味着即使存在异常状况，电子邮件仍会以未加密方式发送——此种状况亦被称为“纯文本”问题。

这一设计原本是为了鼓励用户采纳STARTTLS。然而研究结果发现，攻击者能够轻松利用网络设备迫使其降级至非加密通道。

举例来说，突尼斯的研究人员们发现，由当地发往Gmail的全部邮件中有96%处于“纯文本”状态。

目前谷歌、雅虎、Comcast、微软、领英以及1&1 Mail & Media开发与技术公司正希望通过一项名为SMTP严格传输安全的IETF建议解决此类问题。

其需要解决的另一个问题则与消息传输代理（简称MTA）服务器中的验证机制有关。

其中一项提案要求在交付机制处于非安全状态时，停止对消息进行交付。具体来讲，其要求通过SMTP STS策略记录允许发送服务检查收件人的执行策略，并在检查通过后方执行邮件发送。

“SMTP STS是一种要求邮件服务供应商申报自身接收TLS保护型连接能力的机制，旨在借此声明具体证书验证方法并要求SMTP服务器对无法安全交付的情况进行上报并/或拒绝交付消息，”这份建议草案指出。

这份IETF草案已经由各网络企业于上周五提交，审核日期截止至今年9月19日。