SECURITY ANLEITUNG

Open Relay Test: Schuetzen Sie Ihren SMTP-Server vor Spam

So ueberpruefen Sie, ob Ihr Mailserver ein Open Relay ist, warum es gefaehrlich ist und wie Sie es dauerhaft beheben.

Open Relay: Die offene Tuer der Spammer

Ein SMTP-Server ist ein Open Relay, wenn er E-Mails von jedem Absender an jeden Empfaenger annimmt und weiterleitet, ohne Authentifizierung zu verlangen. In den 90er Jahren war das die Standardkonfiguration — Server vertrauten einander. Heute ist es eine kritische Schwachstelle: Spammer scannen das Internet nach Open Relays, um Millionen von Spam-E-Mails ueber fremde Server zu versenden. Das Ergebnis fuer den Serverbesitzer ist verheerend: Die IP landet innerhalb von Stunden auf Blacklists, legitime E-Mails werden abgelehnt, der Server wird durch ausgehenden Spam ueberlastet, und es kann rechtliche Folgen geben.

Unser Open Relay Test simuliert den Versand einer E-Mail ueber den Server ohne Authentifizierung an eine externe Domain. Wenn der Server die Nachricht akzeptiert und eine Zustellung versucht, ist er ein Open Relay. Wenn er mit einem Fehler wie "Relay access denied" (5xx-Code) ablehnt, ist der Server korrekt konfiguriert. Dieser Test ist nicht destruktiv — die Test-E-Mail wird nicht tatsaechlich zugestellt, aber das Verhalten des Servers waehrend des Versuchs zeigt, ob er verwundbar ist.

So testen und diagnostizieren Sie

Manueller Open-Relay-Test via Telnet
$ telnet mail.esempio.com 25
220 mail.esempio.com ESMTP
EHLO test
250 OK
MAIL FROM:<spammer@esterno.com>
250 OK
RCPT TO:<vittima@altrodominio.com>

# Se risponde 250 OK → OPEN RELAY (vulnerabile!)
# Se risponde 550/553 → CHIUSO (corretto!)

Der Open Relay Test automatisiert dieses Verfahren, indem er verschiedene Varianten testet: direktes Relay, Relay mit teilweiser Authentifizierung, Relay ueber nicht-standardmaessige SMTP-Parameter. Nach dem Test, wenn der Server sicher ist, ueberpruefen Sie auch die anderen Aspekte mit SMTP Diagnostics fuer ein vollstaendiges Bild der SMTP-Server-Gesundheit: TLS, Banner, Faehigkeiten und Antwortzeiten.

Ein Open Relay beheben

Die Behebung haengt von der Mailserver-Software ab. Bei Postfix (dem gaengigsten unter Linux) ist die Schluesselkonfiguration smtpd_relay_restrictions in main.cf: Sie muss permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination enthalten. Bei Exchange ueberpruefen Sie den Receive Connector und die Relay-Einstellungen. Bei Sendmail ueberpruefen Sie die access.db-Datei. Nach der Korrektur fuehren Sie immer den Test erneut durch, um zu bestaetigen, dass das Relay tatsaechlich geschlossen ist.

Wenn Ihr Server ein Open Relay war und die IP bereits auf Blacklists steht, ist die Korrektur nur der erste Schritt. Ueberpruefen Sie die Blacklists mit Blacklist Check und fahren Sie mit dem Delisting fort. Ueberwachen Sie die Server-Logs fuer die naechsten 24-48 Stunden, um sicherzustellen, dass keine weiteren Missbrauchsversuche stattfinden. Implementieren Sie auch SPF Lookup und DMARC, um Ihre Domain vor Spoofing zu schuetzen, unabhaengig von der Relay-Konfiguration.

Praevention ist grundlegend: Nach jedem Update der Mailserver-Software, nach jeder Konfigurationsaenderung und nach der Migration auf einen neuen Server fuehren Sie den Open-Relay-Test durch. Einige Updates koennen die Konfiguration auf Standardwerte zuruecksetzen, und einige Standardwerte sind nicht sicher. Ein periodischer automatisierter Test (woechentlich oder monatlich) stellt sicher, dass der Server langfristig geschuetzt bleibt.

Open Relay Test kostenlos testen
Prüft ob ein Mailserver ein ausnutzbares Open Relay für Spam ist
Open Relay Test verwenden >

Explore the Network

capops.io Free tools for DevOps & SysAdmin — monitoring, deploy, CI/CD, server management and more Visit → pixcode.io Free graphic tools — image converter, color palette generator, SVG optimizer and more Visit →