При подключении к SMTP-серверам следует сначала попробовать SSL или TCP/STARTTLS?

Если у вас нет предварительной договоренности с администратором сервера, не пытайтесь подключиться с помощью SSL. Порт (465) использовался для SSMTP или SMTPS (SMTP через SSL). Ожидалось, что подключения к этому порту начнут соединение с SSL. От использования этого порта и протокола отказались теперь, когда доступен StartTLS.

Есть два порта, которые могут поддерживать SMTP с StartTLS. Ожидается, что ни один из них не будет поддерживать SSL без StartTLS и, скорее всего, прервет соединение, если вы попытаетесь. И SMTP (25), и отправка (587) могут поддерживать StartTLS. Если он поддерживается, он будет указан в ответе на сообщение EHLO. Затем вы можете инициировать процесс StartTLS. Дополнительные сведения см. в RFC 3207.

Из ваших комментариев следует, что вас действительно беспокоит, как проверить сертификат. Это другой, но связанный вопрос. Также предполагается, что почтовые серверы не используют самозаверяющие сертификаты. В моем случае я использую самозаверяющий сертификат. Это хорошо работает для меня, так как StartTLS редко, если вообще когда-либо, используется для соединений SMTP (порт 25). У меня есть разумный контроль над клиентами, подключающимися для отправки сообщений (порт 587 или порт 25), которые должны аутентифицироваться перед отправкой сообщений. По моему опыту, StartTLS в основном используется для защиты соединения для клиентов, которые должны пройти аутентификацию перед отправкой электронной почты.

Поддержка SSL/TLS при подключении (SMTPS) или SSL/TLS после STARTTLS действительно варьируется от одного сервера к другому, в зависимости от программного обеспечения и того, как они были настроены.

Основное преимущество SSL/TLS при подключении заключается в том, что он не требует никаких изменений в протоколе приложения. На самом деле вы можете обернуть соединение, используя что-то вроде stunnel с каждой стороны.

Основное преимущество SSL/TLS после STARTTLS заключается в том, что это можно сделать на том же порту. Еще одним преимуществом может быть возможность размещения нескольких имен хостов (заменяя необходимость указания имени сервера на уровне TLS), но я не уверен, что это когда-либо использовалось для SMTP-серверов.

STMPS (SSL/TLS при подключении) не имеет официальной спецификации и использует номер порта, для которого он не зарегистрирован (465). Это также устарело, в теории. Тем не менее, некоторые серверы могут его поддерживать (например, Exim) и смогут поддерживать оба, если они в состоянии это сделать: служба хостинга будет решать, что настраивать.

Если вы пишете клиент и уже имеете поддержку STARTTLS, поддержка SSL/TLS при подключении также должна быть довольно дешевой. Это, безусловно, хорошая идея, чтобы поддерживать оба, так как они будут использоваться более широким кругом пользователей (если я правильно помню, в какой-то момент Gmail поддерживал только SMTPS, и это также может быть полезно в случае брандмауэра, который будет блокировать только один из портов).

Оба могут предлагать одинаковые уровни безопасности, если так или иначе используется SSL/TLS (и выполняется надлежащая проверка сертификата, включая имя хоста).

Обычно существует некоторая путаница в отношении разницы между SSL и TLS. По какой-то причине кажется, что ряд реализаций программного обеспечения электронной почты не осознали, что самым важным словом в «STARTTLS» является «START», а не TLS (с точки зрения режима подключения и выбора протокола). Эта путаница, к сожалению, распространилась на некоторые параметры конфигурации программного обеспечения (даже в популярных почтовых клиентах) и, таким образом, в документации провайдера. Ожидайте, что ваши пользователи будут сбиты с толку.

Какой бы режим вы ни хотели поддерживать, убедитесь, что он не имеет "Использовать TLS, если доступно", который будет возвращаться к обычному обмену, если SSL/TLS недоступен: это открывает соединения для атак MITM.