Allereerst; STARTTLS is geen beveiliging. Het is een methode waardoor applicatie zonder TLS ondersteuning als nog in staat kunnen worden gesteld over TLS (Transport Layer Security) beveiligde verbinding te communiceren.
Het enige wat TLS doet is het verkeerde tijdens transport beveiligen middels encryptie maar niet de inhoud van het verkeerd of het bericht zelf.
De waarde van TLS kan per implementatie verschillen. Zo zijn een aantal zaken van essentieel belang, namelijk de versie van het protocol, encryptie algoritmes, cipher suites, fall backs, identiteit en certificaat controle. Daarnaast wordt de sterkte van de keten bepaald door de zwakste schakel, als alle informatiesystemen de informatie middels TLS uitwisselen en ontvangen maakt haalt zijn e-mail op over SMTP dan gaat de informatie nog steeds als plain text over de lijn van de ontvangende server naar de ontvangende cliënt
Onderschepping en manipulatie van het berichtenverkeer zijn hierbij de grootste risico's en hebben impact op de integriteit en vertrouwelijkheid van de berichten die worden uitgewisseld.
Tot slot is het goed beveiligen van e-mail verkeer volgens de best practices een behoorlijke uitdaging omdat je vaak met relays en ontvangende parrijen te maken hebben die mogelijk die juist of geen beveiliging ondersteunen. Hierdoor zie je vaak dat server wel TLS ondersteunen maar dat de geen certificaat of identiteitscontrole plaats vindt waardoor het verkeer als nog relatief makkelijk is om te leiden en vervolgens is af te luisteren of te manipuleren.