Eu executo Courier IMAP com suporte a STARTTLS. Atualmente, IMAP_TLS_REQUIRED é definido como 0 (falso), o que significa que um cliente pode usar um login de texto não criptografado em um canal desprotegido. Defini-lo como 1 (verdadeiro) não é uma opção, pois ele interrompe o SquirrelMail (que não pode usar STARTTLS); no entanto, sei que apenas alguns endereços IP legitimamente usam o transporte não criptografado.
No caso mais simples, teoricamente seria possível permitir conexões de 127.0.0.1 sem criptografia, enquanto exigia STARTTLS antes de auth em todas as outras conexões. No entanto, não consegui fazer isso. Além disso, e se eu quiser algo mais complicado - talvez haja um servidor web em 203.0.113.147 falando com um servidor IMAP em 203.0.113.148, com uma LAN segura no meio. (Ignore por enquanto o desafio de provar que a LAN é realmente segura.) Existe uma maneira de definir IMAP_TLS_REQUIRED de maneira diferente para conexões diferentes?