Lo scopo di SMTP-Auth è quello di impedire che un server SMTP venga usato impropriamente come “open mail relay” per distribuire spam nella rete. La necessità di questa procedura è dovuta alle caratteristiche intrinseche dell’SMTP originale del 1982, che non prevedeva di default l’autenticazione dell’utente. Pertanto i mail relay aperti, ovvero server di posta che inoltrano qualsiasi e-mail indipendentemente dall’indirizzo del mittente e del destinatario, sono stati la norma fino a circa il 1997. Ciò che pare assurdo dal punto di vista odierno aveva però allora le sue buone ragioni: gli errori di sistema e i guasti del server si sono verificati più frequentemente, motivo per cui i mail relay aperti dovrebbero salvaguardare il traffico in caso di emergenza.
Tuttavia, l’utilizzo diffuso di tali relay non protetti ha creato il problema dello spam. Pubblicitari moralmente discutibili, nonché pirati del web (soprattutto il famigerato “spam king” Sanford “Spamford” Wallace con la sua azienda Cyberpromo) hanno utilizzato i server aperti con indirizzi e-mail rubati o inventati per spargere spam (una pratica chiamata “mail spoofing”).
Poiché all’epoca i server non disponevano di meccanismi di autenticazione aggiuntivi, accettavano senza esitazione le e-mail di spam e ne riempivano la rete. Utilizzando hardware esterni, gli spammer hanno anche risparmiato risorse proprie e non è stato possibile rintracciarli. Inoltre il costante cambio degli indirizzi fake ha permesso di aggirare i filtri antispam. Per risolvere il problema dei mail relay aperti sono state sviluppate diverse contromisure: prima SMTP After-POP, poi ESMTP e ASMTP nel 1995. Queste misure hanno avuto successo: nel biennio 2005/2006 il numero di mail relay aperti si è ridotto da diverse centinaia di migliaia a un numero molto ridotto.
Anche se la situazione attuale non è più critica come allora, secondo l’organizzazione no profit Spamhaus, gli spammer trovano nella rete ancora 10-20 nuovi server aperti al giorno. A volte sono il risultato dell’incuria di amministratori inesperti che aprono temporaneamente i propri server a scopo di test. Tuttavia, secondo Spamhaus, il problema è più spesso causato da firewall e applicazioni di sicurezza esterna mal configurati o “craccati”. Perciò il problema non risiede necessariamente nella configurazione stessa del server, come invece spesso accade nelle piccole aziende regionali.
Se un’applicazione lascia passare un’e-mail di spam, essa viene inoltrata al server tramite una connessione SMTP locale con l’indirizzo IP dell’applicazione in questione, che la considera affidabile. Inoltre, sempre più spammer utilizzano botnet, computer di casa “zombificati” come relay.
Oggi i mail relay aperti strumentalizzati per lo spam vengono solitamente identificati come tali entro pochi giorni o addirittura ore e vengono immediatamente inseriti nelle cosiddette blacklist. Di conseguenza anche le e-mail legittime finiscono nel filtro antispam del destinatario, cosicché l’operatore di un server di posta deve prima occuparsi di colmare la lacuna di sicurezza e poi della cancellazione dalla lista per poter di nuovo operare normalmente. Le aziende non solo generano un elevato traffico attraverso gli spammer a discapito della velocità dell’hardware, ma ricevono anche un danno di immagine oltre al costo del tempo impiegato per risolvere la situazione.
Proprio per questo motivo quasi tutti i server di posta elettronica utilizzano oggi ESMTP in connessione con ASMTP. Pertanto richiedono sempre l’autenticazione prima di utilizzare il loro servizio di posta elettronica. Un relay SMTP configurato in modo ottimale (chiamato anche “Smart Host”) è un server che inoltra le e-mail dai mittenti a terzi solo se è responsabile per entrambe le parti. Detto in parole più semplici, le e-mail in entrata vanno solo agli utenti registrati, mentre le e-mail in uscita provengono solo da utenti registrati o da coloro che sono autorizzati a utilizzare il server di posta.