¿Por qué los servidores SMTP no requieren que todos los remitentes estén ¿Autenticado antes de aceptar correo?
La pereza en su mayoría. Fácil de configurar, es más fácil para los administradores configurar un servidor central SMTP que no requiere autenticación para enviar correos electrónicos, que uno que sí lo haga.
A menudo verá que los proveedores de servicios de Internet también ofrecen esto para acomodar a sus clientes con mayor facilidad.
Creo que estás haciendo la siguiente suposición:
Esto es solo la mitad de la historia.
La autenticación puede ( y debería ) aplicarse cuando los clientes intentan usar un servidor SMTP para transmitir un correo electrónico a un usuario en un dominio remoto. La falta de autenticación y los mecanismos de control de los destinatarios durante esta fase se consideran una mala práctica y dichos servidores se denominan "relés abiertos" , ya que permiten que cualquiera los use para retransmitir correos electrónicos en cualquier lugar.
La otra mitad de la historia es cuando recibe correos electrónicos. El "remitente" en este caso es otro servidor SMTP que se conecta a su servidor SMTP y lo usa para enviarle un mensaje. Hacer cumplir la autenticación durante esta fase significaría que cada servidor SMTP legítimo del planeta tendría que tener una cuenta en todos los demás servidores SMTP legítimos del planeta para poder enviar correos electrónicos a cualquier persona. Mantener todas estas cuentas sincronizadas sería un gran desafío y una sobrecarga administrativa.
Por ejemplo, no hay muchas cosas que eviten que Trudy se conecte a un servidor SMTP mail-provider-a y envíe un correo electrónico a [email protected] mientras listan bob @ mail -provider-b.com como el remitente. mail-provider-a no tiene forma de verificar los usuarios de mail-provider-b. Esto no es una mala configuración, así es como funciona el correo electrónico.
Los registros deSPF se pueden usar para verificar los servidores SMTP remotos y mitigar el ataque anterior, asegurándose de que el remitente La dirección IP coincide con la dirección IP especificada en el registro SPF para el dominio que se reclama como el origen del correo electrónico. Esto no se aplica por muchos proveedores de correo electrónico.
Esta es la razón por la que las personas deben usar firmas de correo electrónico.
Fechas de correo electrónico de un tiempo anterior. El spam no era un problema y la suplantación de identidad no era un problema importante, la falta de conectividad era un problema. El comportamiento normal de un servidor de correo electrónico era reenviar el correo a cualquiera que lo pidiera. Hoy en día, la retransmisión abierta lo desvinculará, pero uno debe entender que la autenticación es algo que se ha incorporado gradualmente al correo electrónico, no es una parte fundamental del diseño.
El correo que maneja un servidor de correo se puede dividir ampliamente en "entrante" y "saliente".
El correo "saliente" se retransmitirá al servidor asociado con la dirección de correo electrónico de destino. Para evitar ser rechazado como retransmisión abierta, el administrador del servidor de correo debe implementar algún tipo de restricción sobre quién puede usar el servidor como retransmisión. Las restricciones basadas en IP son un método común porque no requieren ninguna configuración de cliente o administración de base de datos de usuario.
el correo "entrante" puede almacenarse localmente o retransmitirse a otro servidor de correo interno. Dicho correo puede provenir de cualquier persona en Internet, por lo que es difícil implementar restricciones de acceso. A algunos les gustaría introducir restricciones para probar y asegurar que el remitente fuera quien dicen ser, pero la existencia de listas de correo y servicios de reenvío de correo complica esto.
Lea otras preguntas en las etiquetas authentication encryption network email smtp