SECURITY GUIA

Open Relay Test: Proteja Seu Servidor SMTP do Spam

Como verificar se seu servidor de email e um open relay, por que e perigoso e como corrigi-lo definitivamente.

Open relay: a porta aberta dos spammers

Um servidor SMTP e um open relay quando aceita e encaminha emails de qualquer remetente para qualquer destinatario sem exigir autenticacao. Nos anos 90 era a configuracao padrao — os servidores confiavam uns nos outros. Hoje e uma vulnerabilidade critica: os spammers escaneiam a Internet procurando open relays para enviar milhoes de emails spam usando servidores alheios. O resultado para o proprietario do servidor e devastador: o IP acaba em blacklists em horas, os emails legitimos sao rejeitados, o servidor fica sobrecarregado com o spam enviado, e pode haver consequencias legais.

Nosso Open Relay Test simula o envio de um email atraves do servidor sem autenticacao, para um dominio externo. Se o servidor aceita a mensagem e tenta a entrega, e um open relay. Se rejeita com um erro como "Relay access denied" (codigo 5xx), o servidor esta corretamente configurado. Este teste e nao destrutivo — o email de teste nao e realmente entregue, mas o comportamento do servidor durante a tentativa revela se e vulneravel.

Como testar e diagnosticar

Teste manual de open relay via telnet
$ telnet mail.esempio.com 25
220 mail.esempio.com ESMTP
EHLO test
250 OK
MAIL FROM:<spammer@esterno.com>
250 OK
RCPT TO:<vittima@altrodominio.com>

# Se risponde 250 OK → OPEN RELAY (vulnerabile!)
# Se risponde 550/553 → CHIUSO (corretto!)

O Open Relay Test automatiza este procedimento testando diferentes variantes: relay direto, relay com autenticacao parcial, relay via parametros SMTP nao padrao. Apos o teste, se o servidor esta seguro, verifique tambem os outros aspectos com SMTP Diagnostics para um quadro completo da saude do servidor SMTP: TLS, banner, capacidades e tempos de resposta.

Corrigir um open relay

A correcao depende do software do servidor de email. No Postfix (o mais comum no Linux), a configuracao chave e smtpd_relay_restrictions no main.cf: deve incluir permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination. No Exchange, verifique o Receive Connector e as configuracoes de relay. No Sendmail, verifique o arquivo access.db. Apos a correcao, sempre execute novamente o teste para confirmar que o relay esta efetivamente fechado.

Se seu servidor era um open relay e o IP ja esta em blacklist, a correcao e apenas o primeiro passo. Verifique as blacklists com Blacklist Check e proceda com o delisting. Monitore os logs do servidor pelas proximas 24-48 horas para garantir que nao haja outras tentativas de abuso. Implemente tambem SPF Lookup e DMARC para proteger seu dominio do spoofing, independentemente da configuracao do relay.

A prevencao e fundamental: apos cada atualizacao do software do servidor de email, apos cada mudanca de configuracao, e apos a migracao para um novo servidor, execute o teste de open relay. Algumas atualizacoes podem redefinir a configuracao para os padroes, e alguns padroes nao sao seguros. Um teste automatizado periodico (semanal ou mensal) garante que o servidor permaneca protegido ao longo do tempo.

Experimente Open Relay Test grátis
Verifica se um servidor de e-mail é um open relay explorável para spam
Usar Open Relay Test >

Explore the Network

capops.io Free tools for DevOps & SysAdmin — monitoring, deploy, CI/CD, server management and more Visit → pixcode.io Free graphic tools — image converter, color palette generator, SVG optimizer and more Visit →