Процесс STARTLS
сообщает клиенту и серверу начать согласование зашифрованного соединения, поэтому все дальнейшие данные будут зашифрованы TLS (SSL, достаточно близко). Это предотвратит проникновение людей в ваш трафик (например, имена пользователей, пароли).
Теперь некоторые серверы могут быть настроены для предоставления различных услуг; например, сервер IMAP может отказать в разрешении команды LOGIN по простому соединению, но разрешит его по шифрованному соединению TLS.
Мы видим разницу. В этом примере для обычного соединения IMAP показано:
* OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE STARTTLS LOGINDISABLED] Dovecot ready.
Обратите внимание на часть «LOGINDISABLED».
Если мы подключаемся к тому же серверу через TLS
* CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE AUTH=PLAIN
Теперь мы видим, что «AUTH» доступен, и я могу попытаться войти в систему.
IMAP - не единственная служба, которая может работать таким образом; например, SMTP с простыми соединениями:
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
И с TLS
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-AUTH PLAIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
Снова доступна новая команда AUTH
.