Katalog
concept#Integration#Architektur#Plattform#Sicherheit

Simple Mail Transfer Protocol (SMTP)

Standardprotokoll für den Austausch und Versand von E‑Mails zwischen Mailservern.

Das Simple Mail Transfer Protocol (SMTP) ist der Internetstandard zum Versand von E‑Mails zwischen Mailservern und von Clients an Server.
Etabliert
Mittel

Klassifikation

  • Mittel
  • Technisch
  • Architektur
  • Fortgeschritten

Technischer Kontext

MTA (z. B. Postfix, Exim)MDA/IMAP/POP‑Server für Zustellung und AbrufSpam‑ und Virenfilter sowie DKIM/DMARC‑Signer

Prinzipien & Ziele

Trennung von Submission und Relay zur klaren Verantwortlichkeit.Vertrauen nicht blind, immer Authentifizierung und Verschlüsselung nutzen.Kompatibilität mit RFC‑Standards sicherstellen, um Interoperabilität zu gewährleisten.
Betrieb
Unternehmen, Domäne, Team

Use Cases & Szenarien

Kompromisse

  • Misconfigured Server kann als Open‑Relay missbraucht werden.
  • Unverschlüsselte Übertragung ermöglicht Abhören und Manipulation.
  • Fehlende Authentizität führt zu Spoofing und Reputationseinbußen.
  • Submission über Port 587 mit STARTTLS und AUTH erzwingen.
  • DKIM‑Signaturen, SPF‑Policy und DMARC‑Reporting konfigurieren.
  • Monitoring von Queues, Bounce‑Raten und TLS‑Abdeckungsmetriken.

I/O & Ressourcen

  • MIME‑Nachricht inkl. Envelope‑Sender und Empfänger
  • DNS‑MX‑Einträge und A/AAAA Records
  • Netzwerkverbindung und Portzugang (25/587)
  • Zustellungsbestätigung oder Bounce‑Nachricht
  • SMTP‑Antwortcodes und Serverlogs
  • Weitergeleitete Nachricht an Ziel‑MTA

Beschreibung

Das Simple Mail Transfer Protocol (SMTP) ist der Internetstandard zum Versand von E‑Mails zwischen Mailservern und von Clients an Server. Es definiert Befehle, Antwortcodes, MX‑basierte Zustellung und Relay‑Verhalten. Durch seine einfache Spezifikation gewährleistet SMTP Interoperabilität, benötigt aber ergänzende Maßnahmen für Sicherheit und Zustellbarkeit.

  • Weit verbreitetes, gut dokumentiertes Protokoll mit großer Interoperabilität.
  • Einfaches Text‑basiertes Protokoll erleichtert Fehlersuche und Logging.
  • Skalierbar über Relays und Queuing‑Mechanismen.

  • Ursprünglich ohne eingebaute Authentifizierung oder Verschlüsselung entworfen.
  • Grundlegende Spam‑Abwehr und Zustellungsvalidierung fehlen ohne Zusatzmechanismen.
  • Fehlende Standardisierung für moderne Zustellbarkeitsmetriken im Protokoll selbst.

  • Zustellquote

    Anteil erfolgreich zugestellter Nachrichten im Verhältnis zu gesendeten Nachrichten.

  • Bounce‑Rate

    Anteil der permanent abgewiesenen Nachrichten (Hard Bounces).

  • Durchschnittliche Zustelllatenz

    Zeit vom Absenden bis zur erfolgreichen Zustellung oder finaler Ablehnung.

RFC‑basierte Implementierung (Postfix/Sendmail)

Betrieb von Postfix als MTA mit Standard‑SMTP‑Konfiguration und TLS für MX‑Delivery.

Authentifizierte Submission für Clients

Clients senden über Port 587 mit STARTTLS und AUTH zur Verhinderung von Open‑Relay.

Cloud‑MTA‑Relay für ausgehende E‑Mails

Organisation nutzt einen gehosteten SMTP‑Relay für bessere Zustellbarkeit und IP‑Reputation.

1

MTA (z. B. Postfix) installieren und Basis‑SMTP konfigurieren.

2

DNS‑Einträge (MX, SPF, DKIM) erstellen und verifizieren.

3

TLS und Authentifizierung aktivieren; Monitoring und Queue‑Management einrichten.

⚠️ Technische Schulden & Engpässe

  • Legacy‑MTA mit veralteten Auth‑Mechanismen noch im Einsatz.
  • Fehlende Automatisierung für Zertifikats‑Rollovers.
  • Keine zentrale Sicht auf Reputation und Zustellmetriken.
Spam‑FilterungTLS‑TerminationDNS‑Konfiguration (MX/DKIM/SPF)
  • Ein Server wird als Spam‑Relay missbraucht wegen fehlender Authentifizierung.
  • Massenversand über Port 25 führt zu IP‑Blacklisting.
  • Fehlende DKIM‑Signaturen reduzieren Zustellbarkeit massiv.
  • Annahme, dass TLS allein Spam‑Probleme löst.
  • Unterschätzung der DNS‑Propagation beim Testen von MX‑Änderungen.
  • Ignorieren von Bounce‑Feedback bei großen Versandmengen.
Mailserver‑Administration und MTA‑KonfigurationDNS‑Management (MX, SPF, DKIM, DMARC)Netzwerk‑ und Security‑Grundlagen (TLS, Ports, Firewalls)
Zustellbarkeit und Reputation (IP/Domain Reputation)Interoperabilität mit RFC‑konformen MTAsSicherheit (TLS, Auth, DKIM/SPF/DMARC)
  • Standardports (25, 465, 587) und mögliche ISP‑Blockaden.
  • Historische Kompatibilität mit alten Clients und Servern.
  • Externes Abhängigkeitsverhältnis zu DNS‑Auflösung und MX‑Records.