El propósito de la autenticación SMTP es evitar que un servidor SMTP se utilice de forma maliciosa como un “Open Mail-Relay” para distribuir spam en la red. La necesidad de realizar esta autenticación se debe a algunas de las características inherentes al SMTP original de 1982, que no preveía la autenticación de usuario por defecto. Por esta razón, las retransmisiones de correo abierto eran la norma hasta aproximadamente 1997: servidores de correo que reenvían los emails, independientemente de la dirección del remitente o del destinatario. Lo que parece absurdo desde el punto de vista actual tenía sus motivos en aquel entonces: los errores del sistema y los fallos del servidor eran más comunes, por lo que los relés de correo abiertos debían mantener el tráfico en caso de emergencia.
Sin embargo, el uso generalizado de estos relés desprotegidos generó el problema del spam. Tanto anunciantes moralmente cuestionables como criminales maliciosos (especialmente el “rey del spam” Sanford “Spamford” Wallace con su compañía Cyberpromo) utilizaban los servidores abiertos con direcciones de correo electrónico robadas o inventadas para distribuir spam. Esta práctica se llama “mail-spoofing”.
Como los servidores no tenían ningún mecanismo de autenticación adicional en ese momento, aceptaban todos los mensajes de spam sin realizar ningún filtro. Mediante el uso de hardware externo, los spammers también ahorraban recursos y no podían ser rastreados. Además, el cambio constante de direcciones falsas permitía evitar los filtros de spam. Con el tiempo, se fueron desarrollando varias herramientas y estrategias para resolver el problema de los relés de correo abierto: primero SMTP-After-POP, luego ESMTP y ASMTP en 1995. Entre el 2005y el 2006, el número de repetidores de correo abierto se había reducido de varios cientos de miles a una pequeña fracción.
Aunque la situación actual ya no es tan crítica como entonces, los spammers siguen encontrando de 10 a 20 nuevos servidores abiertos al día en la red según la organización internacional sin ánimo de lucro Spamhaus. A veces, son el resultado de la imprudencia de los administradores sin experiencia que abren temporalmente su servidor para realizar diferentes pruebas. Según Spamhaus, sin embargo, el problema radica normalmente en cortafuegos mal configurados y en aplicaciones de seguridad externas. En el caso de pequeñas empresas regionales puede ser que el problema se deba a la configuración del servidor en sí. Si una aplicación deja pasar correo no deseado, se reenvía a través de una conexión SMTP local con la dirección IP de la aplicación correspondiente al servidor, que la trata como fiable. Además, cada vez más spammer bots utilizan ordenadores domésticos “zombificados” como relays.
Ahora, la mayor parte de los relays de correo abierto instrumentalizados para crear spam suelen identificarse como tales al cabo de unos pocos días o incluso horas y, por tanto, acaban rápidamente en las denominadas listas negras. En consecuencia, muchos correos electrónicos legítimos terminan en el filtro de spam del destinatario, de modo que el operador de un servidor de correo primero tiene que encargarse de cerrar el agujero de seguridad y luego intentar eliminarlos de la lista para poder operar otra vez con normalidad. Las empresas no solo generan mucho tráfico a expensas de la velocidad de su hardware a través de los spammers, sino que su reputación y el tiempo adicional que dedican también cuestan dinero.
Por esta razón, casi todos los servidores de correo utilizan, hoy en día, ESMTP en conexión con ASMTP, y siempre requieren autenticación antes de utilizar su servicio de correo electrónico. Una retransmisión SMTP configurada de forma óptima (también llamada “smart host”) es un servidor que solo reenvía correos electrónicos de remitentes a terceros si es responsable de ambas partes. En lenguaje sencillo: los correos entrantes solo van a los usuarios registrados y los salientes a aquellos que estén autorizados a utilizar el servidor de correo.