该论文对电子邮件生态系统中使用 TLS 和自动检测功能的安全性进行了多方面的研究。电子邮件协议（如 IMAP、POP3、SMTP）最初设计为明文协议，缺乏机密性和完整性保护。TLS 可以通过隐式方式（在邮件协议开始前）或机会性升级方式（后补方式）引入。为改善用户体验，许多邮件客户端提供“自动检测”功能，自动为用户确定一组可行的配置参数。本研究首先评估了客户端 TLS 和自动检测的设计与实现，测试了 49 个邮件客户端，发现了多种缺陷，这些缺陷可能导致隐蔽的安全降级，并将用户凭据暴露给攻击者。其次，为了了解当前部署实践是否充分避免了机会性 TLS 和自动检测引入的安全陷阱，作者收集并分析了全球学术机构的 1102 份电子邮件设置指南，观察到一些问题可能促使用户采用不安全的邮件设置。最后，利用从设置指南中获得的服务器地址，评估了服务器端对隐式和机会性 TLS 的支持情况以及证书特性。结果表明，许多用户因对 TLS 和自动检测的处理疏忽而无意中遭受安全损失，组织总体上最好为其用户规定具体详细的配置。研究综合考虑了邮件生态系统的三个视角：客户端应用程序的设计与实现、IT 管理员提供的设置指南、以及服务器端 TLS 支持与证书特性。