SMTP: Protokoll, Ports und E-Mail-Versand

SMTP – Simple Mail Transfer Protocol – ist eines der ältesten Anwendungs-Protokolle des Internets: in seiner ersten Form 1982 in RFC 821 spezifiziert. Mit ein paar Erweiterungen (heutige Standard-Referenz: RFC 5321 für SMTP, RFC 6531 für internationale Adressen) treibt es noch immer den globalen Mail-Verkehr. Die zentrale Idee: ein textbasiertes Kommando-Antwort-Protokoll, das so simpel ist, dass du es mit telnet oder openssl s_client manuell sprechen kannst – und in der Tat ist das in Prüfungen ein Klassiker. Diese Lektion zeigt dir die wichtigsten SMTP-Kommandos (HELO/EHLO, MAIL FROM, RCPT TO, DATA), den Aufbau einer realistischen SMTP-Session mit allen Antworten, die Bedeutung der Reply-Codes, die Unterschiede der Ports 25 / 465 / 587 und wie STARTTLS die Verbindung sichert. Wer SMTP versteht, versteht auch Spam, Bounces und Mail-Routing besser.

1) Die wichtigsten SMTP-Kommandos

SMTP hat nicht viele Befehle – aber jeder hat eine klare Rolle:

SMTP-Befehle im Überblick

HELO <hostname>Klassische Begrüßung des Clients. Identifiziert sich mit seinem Hostnamen.

EHLO <hostname>„Extended HELO" – Server antwortet zusätzlich mit Liste unterstützter Erweiterungen (STARTTLS, AUTH, PIPELINING, SIZE).

MAIL FROM:<...>Beginn einer Mail-Transaktion. Legt den Envelope-Absender fest.

RCPT TO:<...>Legt den/die Envelope-Empfänger fest. Kann mehrfach hintereinander kommen.

DATABeginnt die Übertragung des Mail-Inhalts (Headers + Body). Wird mit einem einzelnen Punkt auf eigener Zeile beendet.

QUITBeendet die Verbindung sauber.

RSETSetzt aktuelle Transaktion zurück, ohne die Verbindung zu schließen.

VRFY <adresse>Adress-Prüfung. Heute meist deaktiviert (Spammer-Tool).

STARTTLSWechselt mid-session in eine verschlüsselte TLS-Verbindung.

AUTH <mech>Authentifizierung (PLAIN, LOGIN, CRAM-MD5, XOAUTH2). Pflicht für Submission (587).

NOOPNo-op – tut nichts, hält die Verbindung am Leben.

HELPListet verfügbare Befehle (manchmal abgeschaltet).

2) Eine echte SMTP-Session – interaktiv

Hier siehst du eine vollständige SMTP-Übertragung zwischen zwei Mailservern (mail.firma.de → mx.partner.com). Wähle ein Szenario und klick „Session abspielen":

SMTP-Session live mitlesen

smtp-session: mail.firma.de → mx.partner.com:25

Klick auf „Session abspielen", um die SMTP-Konversation Schritt für Schritt zu sehen.

Szenario:

3) Reply-Codes – die Sprache der Antworten

SMTP-Antworten haben immer einen 3-stelligen Status-Code. Die erste Ziffer signalisiert das Ergebnis:

SMTP Reply-Codes nach erstem Ziffer-Bereich

2xx

Success / Positive Completion. Kommando wurde erfolgreich ausgeführt. Beispiele: 220 (Server Hello), 250 (OK), 221 (Closing Connection), 235 (Authentication successful).

3xx

Intermediate / Positive Intermediate. Server erwartet mehr Daten. Beispiele: 354 (Start mail input – nach DATA-Befehl), 334 (Authentication challenge).

4xx

Temporary Failure. Wiederholungsversuch sinnvoll. Beispiele: 421 (Service not available), 450 (Mailbox busy / Greylisting), 451 (Temporary error), 452 (Insufficient storage).

5xx

Permanent Failure. Mail wird endgültig zurückgewiesen. Beispiele: 550 (Mailbox unavailable), 551 (User not local), 552 (Storage exceeded), 553 (Mailbox name not allowed), 554 (Transaction failed).

Die zweite und dritte Ziffer geben Detail-Informationen, sind aber für die schnelle Diagnose oft weniger wichtig. Faustregel: 4xx = „noch nicht aufgeben, später versuchen", 5xx = „die Mail kommt nie an, Bounce erzeugen".

4) Wann welcher Port?

Port	Zweck	Verschlüsselung	Authentifizierung
25	Server-zu-Server (MTA→MTA)	STARTTLS (optional, sollte aber Standard sein)	Meist keine
587 (Submission)	MUA → eigener MTA	STARTTLS (Pflicht)	Pflicht (AUTH)
465 (SMTPS)	MUA → eigener MTA (Implicit TLS)	TLS sofort beim Verbinden	Pflicht (AUTH)
2525	Alternativer Submission-Port (wenn 25/587 blockiert)	STARTTLS	Pflicht (AUTH)

Praxis-Hinweise:

Port 25 für Client-Versand ist tot. Fast alle ISPs blocken Outbound 25 für Endkunden (Anti-Spam-Maßnahme).
587 ist heute Standard für Submission (MUA → MTA).
465 (SMTPS) war jahrelang als „deprecated" markiert, ist aber durch RFC 8314 (2018) als legitime Alternative zurück.
Outbound-Port-25-Block sorgt dafür, dass infizierte PCs keine Spam-Bots werden können.

5) STARTTLS – Verschlüsselung mid-session

STARTTLS ist ein eleganter Trick: die Verbindung startet im Klartext, der Client fragt mit dem Befehl STARTTLS einen Wechsel zu TLS an, beide handeln die Verschlüsselung aus und reden ab da verschlüsselt. Vorteil: ein einziger Port reicht (kein dedizierter TLS-Port nötig). Nachteil: ein „Downgrade-Angriff" ist möglich, wenn ein Man-in-the-Middle das STARTTLS-Angebot aus dem EHLO-Response löscht.

Dagegen schützt MTA-STS (RFC 8461) und DANE (DNSSEC-basiert) – Mechanismen, die einem Sender signalisieren „dieser Server verlangt TLS, akzeptiere kein Downgrade".

6) Authentifizierungs-Mechanismen

Bei Submission (587) muss der Client sich authentifizieren. Die wichtigsten Mechanismen:

AUTH-Methode	Bedeutung
`PLAIN`	User + Passwort im Klartext (nur sinnvoll mit TLS!)
`LOGIN`	Wie PLAIN, aber Base64-kodiert, schrittweise. Auch nur mit TLS sicher.
`CRAM-MD5`	Challenge-Response – Passwort wird nicht direkt übertragen. Heute unmodern.
`XOAUTH2`	OAuth-Token statt Passwort. Standard bei Gmail, Office 365 (Modern Authentication).
`SCRAM-SHA-256`	Salted Challenge Response – modernes Verfahren, ohne Token-Weitergabe.

7) Wichtige SMTP-Erweiterungen (ESMTP)

Das „E" in EHLO steht für Extended. Der Server kündigt nach EHLO seine Erweiterungen an:

SIZE – maximale Mail-Größe. Server: 250-SIZE 52428800 → 50 MB. Client kann Mail vorab ablehnen lassen.
STARTTLS – TLS-Verschlüsselung möglich (siehe oben).
AUTH – mit welchen Mechanismen Authentifizierung möglich ist.
PIPELINING – mehrere Kommandos in einem Paket schicken, ohne auf einzelne Antworten zu warten. Beschleunigung.
8BITMIME – 8-Bit-Daten erlaubt (für nicht-ASCII-Zeichen).
SMTPUTF8 – internationale Domain-Namen (IDN) im RCPT TO erlaubt.
DSN – Delivery Status Notifications, detaillierte Zustellungs-Berichte.
CHUNKING / BDAT – Alternative zu DATA, für sehr große Mails effizienter.

8) Mail-Queues und Retries

Was passiert, wenn der Ziel-MTA nicht erreichbar ist (z. B. wegen Wartung)? Der sendende MTA versucht es später erneut – die Mail liegt in der Mail-Queue. Übliche Retry-Strategie:

Erstversuch sofort.
Nach 5 Min., 15 Min., 30 Min., 1 h, 4 h, 12 h erneut.
Nach 4-5 Tagen ohne Erfolg: Bounce (Mail wird mit Fehlermeldung an Absender zurückgeschickt).

Standard-Tools wie Postfix verwalten das automatisch in /var/spool/postfix/. Über postqueue -p siehst du, welche Mails noch hängen, mit postqueue -f kannst du sofortige Wiederholung forcieren.

9) Bounces – wenn Mails zurückkommen

Wenn eine Mail nicht zustellbar ist (5xx-Fehler oder Queue-Timeout), wird sie als Bounce an den Envelope-Sender zurückgeschickt. Zwei Bounce-Typen:

Hard Bounce: Permanenter Fehler (5xx). Empfänger existiert nicht, Domain unbekannt. Mail kommt nie an.
Soft Bounce: Temporärer Fehler (4xx). Mailbox voll, Server kurzzeitig down. Wiederholung wahrscheinlich.

Bei Massen-Mailings (Newsletter, Marketing) ist Bounce-Management wichtig: User-IDs mit Hard Bounces aus der Liste streichen, Soft-Bounces ggf. nach einigen Versuchen markieren.

10) Antipatterns

Offener Relay. SMTP-Server akzeptiert Mails von beliebigem Absender für beliebigen Empfänger – Spammer-Paradies. Lösung: Restriktive Konfiguration, AUTH-Pflicht.
Submission auf Port 25. Veraltet. Heute 587 oder 465.
VRFY aktiv lassen. Spammer können Adress-Listen scannen. Heute fast immer deaktivieren.
Klartext-AUTH ohne TLS. Passwort im Klartext im Netz. Lösung: STARTTLS Pflicht vor AUTH.
Maximaler Größenlimit zu hoch. 1 GB-Anhänge belegen Queue für Stunden. Maximalgröße realistisch (25-50 MB).
Reverse-DNS fehlt. Viele Empfänger-MTAs lehnen Mails ab, deren Absender-IP keinen passenden PTR-Record hat. Pflicht für jeden produktiven MTA.

Zusammenfassung

SMTP ist das textbasierte Kommando-Antwort-Protokoll für E-Mail-Übertragung (RFC 5321). Wichtigste Kommandos: HELO/EHLO (Begrüßung), MAIL FROM (Envelope-Absender), RCPT TO (Empfänger), DATA (Mail-Inhalt, mit Punkt auf eigener Zeile beenden), QUIT. EHLO (statt HELO) liefert ESMTP-Erweiterungen: STARTTLS, AUTH, SIZE, PIPELINING, 8BITMIME, SMTPUTF8. Reply-Codes: 2xx Success, 3xx Intermediate, 4xx temporärer Fehler (Retry), 5xx permanenter Fehler (Bounce). Ports: 25 Server-zu-Server (Outbound oft geblockt), 587 Submission (Standard heute mit AUTH+STARTTLS), 465 SMTPS (Implicit TLS, RFC 8314 rehabilitiert). AUTH-Mechanismen: PLAIN/LOGIN (mit TLS), CRAM-MD5 (älter), XOAUTH2 (modern, Token), SCRAM-SHA-256. STARTTLS sichert die Verbindung mid-session; gegen Downgrade schützen MTA-STS und DANE. Bei Nicht-Erreichbarkeit landen Mails in der Queue mit Retry-Strategie (5 min, 15 min, ..., 4-5 Tage), danach Bounce (Hard 5xx, Soft 4xx). Antipatterns: Open Relay, Submission auf 25, VRFY aktiv, Klartext-AUTH ohne TLS, fehlendes Reverse-DNS.

Verwandte Lektionen: Wie E-Mail funktioniert · TLS & S/MIME · DNS und E-Mail · und mehrWeitere relevante LektionenPOP3 vs. IMAP Postfix & Dovecot Spam-Schutz DNS TLS Port-Übersicht Exchange/M365