SMTP: o protocolo que movimenta os e-mails
Simple Mail Transfer Protocol (SMTP) é o protocolo fundamental para o envio e a transferência de e-mail na Internet. Definido inicialmente na RFC 821 em 1982, foi atualizado diversas vezes até a RFC 5321 atual. Apesar de sua idade, o SMTP continua sendo o protocolo universal para e-mail, suportado por todos os servidores de correio do mundo. Compreender seu funcionamento é essencial para diagnosticar problemas de entrega e garantir a segurança das comunicações.
Uma sessão SMTP é uma conversa baseada em texto entre cliente e servidor. O cliente se conecta à porta 25 (ou 587 para envio autenticado), se apresenta com EHLO, o servidor responde com suas capacidades, o cliente especifica o remetente (MAIL FROM) e o destinatário (RCPT TO), envia a mensagem (DATA) e encerra a conexão (QUIT). Cada resposta do servidor inclui um código numérico de três dígitos: 2xx indica sucesso, 4xx um erro temporário e 5xx um erro permanente.
O que o Diagnóstico SMTP testa
Nosso Diagnóstico SMTP executa uma bateria completa de testes no servidor de correio: verifica a acessibilidade TCP, lê o banner SMTP para identificar o software, testa o EHLO para enumerar as capacidades suportadas, verifica o suporte a STARTTLS e a versão TLS utilizada, realiza um teste de open relay e mede os tempos de resposta em cada fase da conexão.
STARTTLS e a segurança das conexões SMTP
STARTTLS é uma extensão SMTP que permite atualizar uma conexão em texto simples para uma conexão criptografada com TLS. Quando um servidor suporta STARTTLS, o cliente pode solicitar a atualização antes de enviar dados sensíveis. No entanto, o STARTTLS é oportunista: se o comando falhar, muitos clientes prosseguem em texto simples. Essa vulnerabilidade é conhecida como ataque de downgrade e pode ser mitigada com o MTA-STS Lookup, que impõe conexões TLS obrigatórias.
Para verificar a qualidade da configuração TLS do seu servidor, nosso Teste de Cifras TLS analisa os conjuntos de cifras suportados e identifica os fracos. Um servidor SMTP moderno deve suportar TLS 1.2 e 1.3, com cifras que garantam forward secrecy (ECDHE). Os protocolos TLS 1.0 e 1.1 devem ser desabilitados também nas portas SMTP, não apenas no HTTPS.
Open relay: um risco que não deve ser subestimado
Um teste fundamental é a verificação de open relay. Um servidor SMTP configurado como open relay aceita e-mail de qualquer remetente para qualquer destinatário sem autenticação. Spammers varrem a Internet procurando open relays para enviar milhões de e-mails de spam através de servidores alheios. As consequências são imediatas: o IP do servidor é incluído em listas negras, e-mails legítimos são rejeitados e o proprietário pode enfrentar responsabilidade legal pelo spam enviado.
Verifique regularmente se seu servidor não é um open relay com nosso Teste de Open Relay. Após cada alteração na configuração SMTP, execute novamente o teste. Causas acidentais de open relay incluem: regras de retransmissão excessivamente permissivas, confiança de rede configurada em faixas de IP muito amplas e atualizações de software que restauram a configuração padrão. A prevenção é muito mais simples do que a remoção das listas negras após um incidente.
Se o teste detectar um open relay, corrija a configuração imediatamente. No Postfix, verifique smtpd_relay_restrictions. No Exchange, revise os Receive Connectors. Após a correção, execute novamente o teste de verificação e monitore as listas negras durante as 24-48 horas seguintes para garantir que o IP não tenha sido marcado enquanto isso.