Perbedaan TLS/SSL dan STARTTLS

Email Security Informasi Teknis

Secara umum, SMTP protokol server pada internal sebuah organisasi biasanya jarang dilengkapi oleh security (TLS). Kemampuan VIMANAMAIL untuk menerima pengiriman email dari manapun secara Cloud mewajibkan sistem pengamanan menjadi salah satu syarat utama. Protokol SMTP yang menggunakan security secara garis besar memiliki dua metode, yaitu TLS/SSL dan STARTTLS yang masing-masing memiliki kelebihan dan kekurangan.

TLS/SSL

TLS yang kita kenal saat ini umumnya digunakan pada HTTP protocol mejadi HTTPS menjadikan akses web menjadi lebih aman. Pada SMTP mulai diperkenalkan sejak tahun 1997 menggunakan port TCP 465, mengubah SMTP menjadi SMTPS (smtps – dengan huruf kecil) dengan tujuan mengamakan komunikasi pengiriman email (MTA), namun tidak dianggap sebagai pengembangan dari SMTP. Metode ini dapat digambarkan sebagai pengiriman email yang berjalan didalam jalur yang sudah diamankan dengan TLS. Secara garis besar metode kerjanya dapat diurutkan sebagai berikut:

  • Ada permintaan komunikasi pengiriman email
  • Komunikasi TLS dapat terjalin sehingga jalur diamankan
  • Komunikasi SMTP berjalan dalam komunikasi TLS

STARTTLS

Dikenal pula sebagai Opportunistic TLS, digunakan umumnya pada dunia email, FTP dan LDAP. Pada tahun 1998 IANA mengenalkan metode ini dengan tujuan menggantikan SMTPS yang lebih dulu dikenal. Metode ini dibuat dengan tujuan untuk memudahkan MTA dalam pengiriman email bila tidak mendukung TLS serta menghemat dalam penggunaan TCP Port untuk komunikasi internal. Untuk penggiriman email, STARTTLS menggunakan port TCP 587 atau 25. Secara garis besar, metode kerjannya dapat diurutkan sebagai berikut:

  • Ada permintaan komunikasi pengiriman email
  • Server tujuan menjawab dan menawarkan komunikasi TLS jika pengirim mendukung
  • Saat pengirim tidak mendukung maka komunikasi tanpa enkripsi langsung dijalankan (tidak aman), bila pengirim mendukung maka komunikasi TLS akan terjalin

SMTPS vs STARTTLS

Kedua metode ini masih dipakai sampai sekarang walau IANA secara resmi membuat STARTTLS menjadi acuan. SMTPS sendiri dianggap sebagai protokol tidak resmi walau banyak digunakan, menjadi pilihan kedua pada setiap sistem. STARTTLS karena dianggap sebagai sebagai protokol resmi, selalu ada dan menjadi pilihan pertama.

Yang menjadikan SMTP tetap digunakan karena STARTTLS sendiri dianggap tidak aman, karena komunikasi awal merupakan plain text yang mudah dibaca dengan metode MitMA (Man in the Middle Attack), karena setelah serangan terjadi sebagian besar sistem mengirimkan authentikasi menggunakan plain text, terlebih setelah kasus pada sebuah ISP di Thailand. STARTTLS dapat diamankan bila semua komunikasi mewajibkan menggunakan TLS, tanpa ada pilihan lain.

Oleh karena itu, berdasarkan RFC 8314 pada tahun 2018 pemakaian port 465 (SMTPS) diajukan kembali ke IANA agar menjadi salah satu pilihan baku pengiriman email yang aman.

Sebagai solusi, VIMANAMAIL memilih menggunakan SMTPS port 465 untuk pengiriman email dari server pelanggan.

Secure email dengan SMTPS