Open Relay Test: Proteggi il Tuo Server SMTP dallo Spam

Open relay: la porta aperta degli spammer

Un server SMTP è un open relay quando accetta e inoltra email da qualsiasi mittente verso qualsiasi destinatario senza richiedere autenticazione. Negli anni '90 era la configurazione standard — i server si fidavano a vicenda. Oggi è una vulnerabilità critica: gli spammer scandiscono Internet alla ricerca di open relay per inviare milioni di email spam usando server altrui. Il risultato per il proprietario del server è devastante: l'IP finisce in blacklist entro ore, le email legittime vengono rifiutate, il server viene sovraccaricato dallo spam in uscita, e possono esserci conseguenze legali.

Il nostro Open Relay Test simula l'invio di un'email attraverso il server senza autenticazione, verso un dominio esterno. Se il server accetta il messaggio e tenta la consegna, è un open relay. Se rifiuta con un errore come "Relay access denied" (codice 5xx), il server è correttamente configurato. Questo test è non distruttivo — l'email di test non viene effettivamente consegnata, ma il comportamento del server durante il tentativo rivela se è vulnerabile.

Come testare e diagnosticare

$ telnet mail.esempio.com 25
220 mail.esempio.com ESMTP
EHLO test
250 OK
MAIL FROM:<spammer@esterno.com>
250 OK
RCPT TO:<vittima@altrodominio.com>

# Se risponde 250 OK → OPEN RELAY (vulnerabile!)
# Se risponde 550/553 → CHIUSO (corretto!)

L'Open Relay Test automatizza questa procedura testando diverse varianti: relay diretto, relay con autenticazione parziale, relay tramite parametri SMTP non standard. Dopo il test, se il server è sicuro, verifica anche gli altri aspetti con SMTP Diagnostics per un quadro completo della salute del server SMTP: TLS, banner, capabilities e tempi di risposta.

Correggere un open relay

La correzione dipende dal software del mail server. Su Postfix (il più diffuso su Linux), la configurazione chiave è smtpd_relay_restrictions in main.cf: deve includere permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination. Su Exchange, controlla i Receive Connector e le impostazioni di relay. Su Sendmail, verifica il file access.db. Dopo la correzione, riesegui sempre il test per confermare che il relay sia effettivamente chiuso.

Se il tuo server era open relay e l'IP è già in blacklist, la correzione è solo il primo passo. Verifica le blacklist con Blacklist Check e procedi con il delisting. Monitora i log del server per le successive 24-48 ore per assicurarti che non ci siano altri tentativi di abuso. Implementa anche SPF Lookup e DMARC per proteggere il tuo dominio dallo spoofing, indipendentemente dalla configurazione del relay.

La prevenzione è fondamentale: dopo ogni aggiornamento del software del mail server, dopo ogni modifica alla configurazione, e dopo la migrazione a un nuovo server, esegui il test open relay. Alcuni aggiornamenti possono resettare la configurazione ai default, e alcuni default non sono sicuri. Un test automatizzato periodico (settimanale o mensile) garantisce che il server resti protetto nel tempo.