Jenže pak by celé SSL bylo skoro k ničemu. Útočník MITM by prostě použil svůj certifikát – a nebylo by jak se MITM útoku bránit.
Problém není v tom, že se po STARTTLS vyžaduje důvěryhodný certifikát, problém je v tom, že není snadné pro některé domény SSL vynutit. Na webu se to řeší poučením uživatelů „do banky jedině přes HTTPS“, bude potřeba umět stejně instruovat i SMTP klienty. Ideální by bylo mít na to příznak v DNS (a pak už tam rovnou může být i ten certifikát…).