Open Relay Test: Protege Tu Servidor SMTP del Spam

Open relay: la puerta abierta de los spammers

Un servidor SMTP es un open relay cuando acepta y reenvía emails de cualquier remitente hacia cualquier destinatario sin requerir autenticacion. En los anos 90 era la configuracion estandar — los servidores confiaban unos en otros. Hoy es una vulnerabilidad critica: los spammers escanean Internet buscando open relays para enviar millones de emails spam usando servidores ajenos. El resultado para el propietario del servidor es devastador: el IP termina en blacklists en horas, los emails legitimos son rechazados, el servidor se sobrecarga con el spam saliente, y puede haber consecuencias legales.

Nuestro Open Relay Test simula el envio de un email a traves del servidor sin autenticacion, hacia un dominio externo. Si el servidor acepta el mensaje e intenta la entrega, es un open relay. Si rechaza con un error como "Relay access denied" (codigo 5xx), el servidor esta correctamente configurado. Esta prueba es no destructiva — el email de prueba no se entrega realmente, pero el comportamiento del servidor durante el intento revela si es vulnerable.

Como probar y diagnosticar

$ telnet mail.esempio.com 25
220 mail.esempio.com ESMTP
EHLO test
250 OK
MAIL FROM:<spammer@esterno.com>
250 OK
RCPT TO:<vittima@altrodominio.com>

# Se risponde 250 OK → OPEN RELAY (vulnerabile!)
# Se risponde 550/553 → CHIUSO (corretto!)

El Open Relay Test automatiza este procedimiento probando diferentes variantes: relay directo, relay con autenticacion parcial, relay mediante parametros SMTP no estandar. Despues de la prueba, si el servidor es seguro, verifica tambien los otros aspectos con SMTP Diagnostics para un cuadro completo de la salud del servidor SMTP: TLS, banner, capacidades y tiempos de respuesta.

Corregir un open relay

La correccion depende del software del servidor de correo. En Postfix (el mas comun en Linux), la configuracion clave es smtpd_relay_restrictions en main.cf: debe incluir permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination. En Exchange, verifica el Receive Connector y la configuracion de relay. En Sendmail, verifica el archivo access.db. Despues de la correccion, siempre vuelve a ejecutar la prueba para confirmar que el relay esta efectivamente cerrado.

Si tu servidor era un open relay y el IP ya esta en blacklist, la correccion es solo el primer paso. Verifica las blacklists con Blacklist Check y procede con el delisting. Monitorea los logs del servidor durante las siguientes 24-48 horas para asegurarte de que no haya otros intentos de abuso. Implementa tambien SPF Lookup y DMARC para proteger tu dominio del spoofing, independientemente de la configuracion del relay.

La prevencion es fundamental: despues de cada actualizacion del software del servidor de correo, despues de cada cambio de configuracion, y despues de la migracion a un nuevo servidor, ejecuta la prueba de open relay. Algunas actualizaciones pueden resetear la configuracion a los valores por defecto, y algunos valores por defecto no son seguros. Una prueba automatizada periodica (semanal o mensual) garantiza que el servidor permanezca protegido en el tiempo.