SMTP: das Protokoll, das E-Mails bewegt
Das Simple Mail Transfer Protocol (SMTP) ist das grundlegende Protokoll für den Versand und die Übertragung von E-Mails im Internet. Ursprünglich 1982 in RFC 821 definiert, wurde es mehrfach aktualisiert bis zur aktuellen RFC 5321. Trotz seines Alters bleibt SMTP das universelle Protokoll für elektronische Post, das von jedem Mailserver weltweit unterstützt wird. Das Verständnis seiner Funktionsweise ist essenziell, um Zustellprobleme zu diagnostizieren und die Sicherheit der Kommunikation zu gewährleisten.
Eine SMTP-Sitzung ist ein textbasierter Dialog zwischen Client und Server. Der Client verbindet sich mit Port 25 (oder 587 für Submission), stellt sich mit EHLO vor, der Server antwortet mit seinen Fähigkeiten, der Client gibt Absender (MAIL FROM) und Empfänger (RCPT TO) an, sendet die Nachricht (DATA) und schließt die Verbindung (QUIT). Jede Serverantwort enthält einen dreistelligen numerischen Code: 2xx zeigt Erfolg an, 4xx einen temporären Fehler, 5xx einen permanenten Fehler.
Was die SMTP-Diagnose testet
Unsere SMTP-Diagnose führt eine umfassende Testreihe am Mailserver durch: Sie überprüft die TCP-Erreichbarkeit, liest das SMTP-Banner zur Identifizierung der Software, testet EHLO zur Auflistung der unterstützten Funktionen, überprüft die STARTTLS-Unterstützung und die verwendete TLS-Version, führt einen Open-Relay-Test durch und misst die Antwortzeiten für jede Phase der Verbindung.
STARTTLS und die Sicherheit von SMTP-Verbindungen
STARTTLS ist eine SMTP-Erweiterung, die es ermöglicht, eine Klartextverbindung auf eine verschlüsselte TLS-Verbindung hochzustufen. Wenn ein Server STARTTLS unterstützt, kann der Client das Upgrade anfordern, bevor sensible Daten gesendet werden. Allerdings ist STARTTLS opportunistisch: Schlägt der Befehl fehl, fahren viele Clients unverschlüsselt fort. Diese Schwachstelle ist als Downgrade-Angriff bekannt und kann durch MTA-STS Lookup gemildert werden, das obligatorische TLS-Verbindungen erzwingt.
Um die Qualität der TLS-Konfiguration Ihres Servers zu überprüfen, analysiert unser TLS-Cipher-Test die unterstützten Cipher-Suites und identifiziert schwache. Ein moderner SMTP-Server sollte TLS 1.2 und 1.3 unterstützen, mit Cipher-Suites, die Forward Secrecy gewährleisten (ECDHE). Die Protokolle TLS 1.0 und 1.1 sollten auch auf SMTP-Ports deaktiviert werden, nicht nur bei HTTPS.
Open Relay: ein nicht zu unterschätzendes Risiko
Ein grundlegender Test ist die Open-Relay-Überprüfung. Ein als Open Relay konfigurierter SMTP-Server akzeptiert E-Mails von beliebigen Absendern an beliebige Empfänger ohne Authentifizierung. Spammer durchsuchen das Internet nach Open Relays, um Millionen von Spam-E-Mails über fremde Server zu versenden. Die Folgen sind unmittelbar: Die IP des Servers landet auf Blacklists, legitime E-Mails werden abgelehnt, und der Betreiber kann für den versendeten Spam rechtlich haftbar gemacht werden.
Überprüfen Sie regelmäßig mit unserem Open-Relay-Test, ob Ihr Server ein Open Relay ist. Führen Sie den Test nach jeder Änderung der SMTP-Konfiguration erneut durch. Häufige versehentliche Ursachen für Open Relays sind: zu freizügige Relay-Regeln, Netzwerkvertrauen auf zu breite IP-Bereiche und Software-Updates, die die Konfiguration zurücksetzen. Prävention ist weitaus einfacher als die Entfernung von Blacklists nach einem Vorfall.
Wenn der Test ein Open Relay erkennt, korrigieren Sie die Konfiguration sofort. Bei Postfix überprüfen Sie smtpd_relay_restrictions. Bei Exchange kontrollieren Sie die Receive Connectors. Führen Sie nach der Korrektur den Überprüfungstest erneut durch und überwachen Sie die Blacklists in den folgenden 24–48 Stunden, um sicherzustellen, dass die IP zwischenzeitlich nicht gemeldet wurde.