Open Relay Test : Protegez Votre Serveur SMTP du Spam

Open relay : la porte ouverte des spammeurs

Un serveur SMTP est un open relay quand il accepte et transmet des emails de n'importe quel expediteur vers n'importe quel destinataire sans exiger d'authentification. Dans les annees 90 c'etait la configuration standard — les serveurs se faisaient confiance. Aujourd'hui c'est une vulnerabilite critique : les spammeurs scannent Internet a la recherche d'open relays pour envoyer des millions d'emails spam en utilisant les serveurs des autres. Le resultat pour le proprietaire du serveur est devastateur : l'IP finit en blacklist en quelques heures, les emails legitimes sont rejetes, le serveur est surcharge par le spam sortant, et il peut y avoir des consequences legales.

Notre Open Relay Test simule l'envoi d'un email a travers le serveur sans authentification, vers un domaine externe. Si le serveur accepte le message et tente la livraison, c'est un open relay. S'il rejette avec une erreur comme "Relay access denied" (code 5xx), le serveur est correctement configure. Ce test est non destructif — l'email de test n'est pas reellement livre, mais le comportement du serveur pendant la tentative revele s'il est vulnerable.

Comment tester et diagnostiquer

$ telnet mail.esempio.com 25
220 mail.esempio.com ESMTP
EHLO test
250 OK
MAIL FROM:<spammer@esterno.com>
250 OK
RCPT TO:<vittima@altrodominio.com>

# Se risponde 250 OK → OPEN RELAY (vulnerabile!)
# Se risponde 550/553 → CHIUSO (corretto!)

L'Open Relay Test automatise cette procedure en testant differentes variantes : relay direct, relay avec authentification partielle, relay via des parametres SMTP non standard. Apres le test, si le serveur est securise, verifiez aussi les autres aspects avec SMTP Diagnostics pour un tableau complet de la sante du serveur SMTP : TLS, banniere, capacites et temps de reponse.

Corriger un open relay

La correction depend du logiciel du serveur de messagerie. Sur Postfix (le plus courant sous Linux), la configuration cle est smtpd_relay_restrictions dans main.cf : elle doit inclure permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination. Sur Exchange, verifiez le Receive Connector et les parametres de relay. Sur Sendmail, verifiez le fichier access.db. Apres la correction, reexecutez toujours le test pour confirmer que le relay est effectivement ferme.

Si votre serveur etait un open relay et que l'IP est deja en blacklist, la correction n'est que la premiere etape. Verifiez les blacklists avec Blacklist Check et procedez au delisting. Surveillez les logs du serveur pendant les 24-48 heures suivantes pour vous assurer qu'il n'y a pas d'autres tentatives d'abus. Implementez aussi SPF Lookup et DMARC pour proteger votre domaine du spoofing, independamment de la configuration du relay.

La prevention est fondamentale : apres chaque mise a jour du logiciel du serveur de messagerie, apres chaque modification de configuration, et apres la migration vers un nouveau serveur, executez le test d'open relay. Certaines mises a jour peuvent reinitialiser la configuration aux valeurs par defaut, et certaines valeurs par defaut ne sont pas securisees. Un test automatise periodique (hebdomadaire ou mensuel) garantit que le serveur reste protege dans le temps.