SECURITY Handleiding

Open Relay Test: Bescherm Uw SMTP-Server Tegen Spam

Hoe u controleert of uw mailserver een open relay is, waarom het gevaarlijk is en hoe u het definitief oplost.

Open relay: de open deur van spammers

Een SMTP-server is een open relay wanneer hij e-mails accepteert en doorstuurt van elke afzender naar elke ontvanger zonder authenticatie te vereisen. In de jaren 90 was dit de standaardconfiguratie — servers vertrouwden elkaar. Vandaag is het een kritieke kwetsbaarheid: spammers scannen het internet op zoek naar open relays om miljoenen spam-e-mails te versturen via servers van anderen. Het resultaat voor de servereigenaar is verwoestend: het IP belandt binnen uren op blacklists, legitieme e-mails worden geweigerd, de server wordt overbelast door uitgaande spam, en er kunnen juridische gevolgen zijn.

Onze Open Relay Test simuleert het versturen van een e-mail via de server zonder authenticatie, naar een extern domein. Als de server het bericht accepteert en bezorging probeert, is het een open relay. Als hij weigert met een fout zoals "Relay access denied" (5xx-code), is de server correct geconfigureerd. Deze test is niet-destructief — de test-e-mail wordt niet daadwerkelijk bezorgd, maar het gedrag van de server tijdens de poging onthult of hij kwetsbaar is.

Hoe testen en diagnosticeren

Handmatige open relay test via telnet
$ telnet mail.esempio.com 25
220 mail.esempio.com ESMTP
EHLO test
250 OK
MAIL FROM:<spammer@esterno.com>
250 OK
RCPT TO:<vittima@altrodominio.com>

# Se risponde 250 OK → OPEN RELAY (vulnerabile!)
# Se risponde 550/553 → CHIUSO (corretto!)

De Open Relay Test automatiseert deze procedure door verschillende varianten te testen: directe relay, relay met gedeeltelijke authenticatie, relay via niet-standaard SMTP-parameters. Na de test, als de server veilig is, controleer ook de andere aspecten met SMTP Diagnostics voor een compleet beeld van de SMTP-servergezondheid: TLS, banner, mogelijkheden en reactietijden.

Een open relay oplossen

De oplossing hangt af van de mailserversoftware. Op Postfix (de meest gangbare op Linux) is de sleutelconfiguratie smtpd_relay_restrictions in main.cf: deze moet permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination bevatten. Op Exchange controleer de Receive Connector en relay-instellingen. Op Sendmail verifieer het access.db-bestand. Na de correctie voer altijd de test opnieuw uit om te bevestigen dat de relay daadwerkelijk gesloten is.

Als uw server een open relay was en het IP al op blacklists staat, is de correctie slechts de eerste stap. Controleer blacklists met Blacklist Check en ga door met delisting. Monitor de serverlogs gedurende de volgende 24-48 uur om te verzekeren dat er geen verdere misbruikpogingen zijn. Implementeer ook SPF Lookup en DMARC om uw domein te beschermen tegen spoofing, ongeacht de relayconfiguratie.

Preventie is fundamenteel: na elke update van de mailserversoftware, na elke configuratiewijziging en na migratie naar een nieuwe server, voer de open relay test uit. Sommige updates kunnen de configuratie terugzetten naar standaardwaarden, en sommige standaardwaarden zijn niet veilig. Een periodieke geautomatiseerde test (wekelijks of maandelijks) garandeert dat de server na verloop van tijd beschermd blijft.

Probeer Open Relay Test gratis
Controleer of een mailserver een misbruikbaar open relay is voor spam
Gebruik Open Relay Test >

Explore the Network

capops.io Free tools for DevOps & SysAdmin — monitoring, deploy, CI/CD, server management and more Visit → pixcode.io Free graphic tools — image converter, color palette generator, SVG optimizer and more Visit →