Blog

E-Mail-SMTP-Ports: 25 vs 465 vs 587 vs 2525

Entprellung

Artikel

47 min gelesen

13. März 2026

Wichtige Erkenntnisse

SMTP-Ports steuern, wie E-Mails von Clients und Anwendungen an Mailserver gesendet werden, und sind daher unerlässlich für den Aufbau sicherer und zuverlässiger E-Mail-Verbindungen.

Port 587 ist heutzutage der empfohlene SMTP-Port für den E-Mail-Versand, da er Authentifizierung und STARTTLS-Verschlüsselung unterstützt und von vielen E-Mail-Anbietern unterstützt wird.

Eine starke SMTP-Sicherheit basiert auf mehreren Kernpraktiken: der Erzwingung einer TLS-Verschlüsselung für alle Verbindungen, der Verwendung von authentifizierter E-Mail-Übermittlung (SMTP AUTH), der Aktualisierung von SSL/TLS-Zertifikaten, der Implementierung von Authentifizierungsstandards wie SPF, DKIM und DMARC sowie der Überwachung der SMTP-Aktivität, um Sicherheitsprobleme oder Fehlkonfigurationen frühzeitig zu erkennen.

Häufige Probleme mit dem SMTP-Port sind Verbindungs-Timeouts, Authentifizierungsfehler, Portblockierung durch Internetdienstanbieter oder Firewalls sowie TLS-Aushandlungsprobleme wie Zertifikatsfehler, Protokollabweichungen oder nicht unterstützte Verschlüsselungssammlungen.

Jeden Tag mehr als 370 Milliarden E-Mails E-Mails bewegen sich ständig im Internet, doch nur wenige machen sich Gedanken über die Infrastruktur, die diesen unaufhörlichen Kommunikationsfluss ermöglicht. Im Zentrum steht das Simple Mail Transfer Protocol (SMTP), das Standardprotokoll, das für das Senden von E-Mails vom Client oder der Anwendung des Absenders an einen Mailserver und von dort weiter an den Server des Empfängers zuständig ist.

Ein SMTP-Port ist der Netzwerk-Endpunkt, der diese Verbindung ermöglicht. Bei der E-Mail-Übertragung bestimmt der Port, wie ein Client oder eine Anwendung mit dem Mailserver kommuniziert und welche Sicherheitsmechanismen, wie z. B. … Verschlüsselung Während des Prozesses werden Sicherheitsmaßnahmen und Authentifizierung angewendet. Daher ist der verwendete SMTP-Port sowohl für die Zustellbarkeit als auch für die Sicherheit entscheidend. Ein falscher Port kann zu Verbindungsfehlern, blockierten Nachrichten oder einem schwächeren Schutz während der Übertragung führen, während die korrekte Konfiguration eine zuverlässige und sichere E-Mail-Zustellung gewährleistet.

Die heute am häufigsten verwendeten SMTP-Ports sind 25, 465, 587 und 2525. In diesem Leitfaden erklären wir die Funktionsweise der einzelnen Ports und wie Sie den richtigen für eine sichere und zuverlässige E-Mail-Zustellung auswählen.

Lass uns eintauchen.

Hier ist eine kurze Übersicht der SMTP-Ports:
✔ Port 25: Standard-SMTP-Port für die Server-zu-Server-E-Mail-Weiterleitung (wird aufgrund von Spam-Problemen häufig blockiert).
✔ Port 587: Standardmäßiger sicherer Port für die E-Mail-Übermittlung (empfohlen).
✔ Port 465: Legacy-SMTPS-Port (nur bei Bedarf verwenden).
✔ Port 2525: Alternativer Port, wenn andere Ports blockiert sind.

SMTP-Grundlagen verstehen

Was ist SMTP und wie funktioniert es?

Simple Mail Transfer Protocol (SMTP) ist der Internetstandard für die elektronische Postübertragung.

SMTP wurde Anfang der 1980er Jahre entwickelt und dient als Grundlage für die Übermittlung von E-Mails über Netzwerke vom Absender zum Empfänger.

Die Funktionen von SMTP lassen sich in etwa mit einem Staffellauf vergleichen:

Verfassen: Sie schreiben eine E-Mail in Ihrem E-Mail-Client (z. B. Gmail, Outlook oder Apple Mail).
Übermittlung: Ihr E-Mail-Client übermittelt die Nachricht an einen SMTP-Server.
Weiterleitung: Der SMTP-Server bestimmt, wohin die Nachricht als Nächstes gesendet werden soll.
Zustellung: Nachdem die Nachricht möglicherweise mehrere SMTP-Server durchlaufen hat, erreicht sie den Mailserver des Empfängers.
Abruf: Der Empfänger greift über Protokolle wie POP3 oder IMAP auf die Nachricht zu.

Eine Illustration, die den einfachen Prozess des E-Mail-Versands über das Internet veranschaulicht (Verfassen > SMTP-Server > An den Mailserver des Empfängers senden und dann lesen).

Um sich diesen Vorgang vorzustellen, stellen Sie sich vor, Sie versenden einen physischen Brief:

Sie (E-Mail-Client) schreiben eine Nachricht und werfen sie in ein Postfach (SMTP-Übermittlung).
Der Postdienst (SMTP-Relay) leitet Ihren Brief durch verschiedene Sortieranlagen.
Schließlich erreicht der Brief das örtliche Postamt des Empfängers (Posteingangsserver).
Ihr Empfänger leert seinen Briefkasten (POP3/IMAP) und holt Ihren Brief heraus.

Die Entwicklung der SMTP-Ports

Als SMTP 1982 erstmals standardisiert wurde, spielte die E-Mail-Sicherheit keine vorrangige Rolle.

Das Internet war ein wesentlich kleineres, vertrauenswürdigeres Netzwerk, das hauptsächlich von akademischen Einrichtungen und Forschungsinstitutionen genutzt wurde.

Daher verfügte die ursprüngliche SMTP-Spezifikation über keine eingebauten Sicherheitsmechanismen – E-Mails wurden als Klartext ohne Verschlüsselung oder robuste Authentifizierung übertragen.

Dieser Sicherheitsmangel erwies sich jedoch als problematisch, als das Internet wuchs und E-Mails zu einem wichtigen Kommunikationsmittel für Unternehmen und Privatpersonen wurden.

Zu den wichtigsten Sicherheitsproblemen des herkömmlichen SMTP-Protokolls gehören:

Übertragung im Klartext: Nachrichten könnten abgefangen und gelesen werden
Keine Verschlüsselung: Sensible Daten waren gefährdet.
Eingeschränkte Authentifizierung: Absenderidentitäten lassen sich leicht fälschen
Offenes Relay-Potenzial: Server könnten zum Versenden von Spam missbraucht werden.

Im Laufe der Zeit wurden Erweiterungen und Verbesserungen für SMTP entwickelt, um diese Mängel zu beheben:

SMTP-AUTH: Bereitgestellte Authentifizierungsmechanismen
STARTTLS: Unterstützung für Transportverschlüsselung hinzugefügt.
SMTPS: SSL/TLS-Verschlüsselung für die gesamte Verbindung implementiert

Was sind Häfen und warum sind sie wichtig?

Eine Illustration mit Symbolen, die die verschiedenen E-Mail-Ports darstellen und deren Verwendungszweck erklären.

In der Netzwerktechnik ist ein Port ein logischer Endpunkt für die Kommunikation.

Man kann sich Ports wie spezielle Zugänge zu einem Computersystem vorstellen – jeder dient einer bestimmten Art von Datenverkehr. Ports werden durch Nummern von 0 bis 65535 identifiziert.

Für die SMTP-Kommunikation wurden bestimmte Ports festgelegt:

Port 25: Der ursprüngliche SMTP-Port
Port 465: Ursprünglich für SMTPS (SMTP über SSL) vorgesehen
Port 587: Der moderne Port für die Übermittlung von Nachrichten
Port 2525: Ein alternativer Port, der verwendet wird, wenn Standardports blockiert sind.

Die Wahl des Hafens hat folgende Auswirkungen:

Sicherheit: Verschiedene Ports bieten unterschiedliche Verschlüsselungs- und Authentifizierungsstufen.
Zustellbarkeit: Internetanbieter können bestimmte Ports blockieren, um Spam zu reduzieren.
Kompatibilität: Nicht alle E-Mail-Dienste unterstützen alle Ports
Funktionalität: Einige Ports sind für spezifische Zwecke im E-Mail-Ökosystem konzipiert.

Das Verständnis dieser Unterschiede ist entscheidend für die Einrichtung zuverlässiger und sicherer E-Mail-Systeme.

Die wichtigsten SMTP-Ports: Eine historische Perspektive

Warum also diese Ports und warum gibt es Unterschiede? Warum nicht einfach einen einzigen sicheren Port speziell für E-Mails, den jeder nutzt? Schauen wir uns das genauer an.

Port 25: Der Originalstandard

Port 25 wurde 1982 als Standard-SMTP-Port festgelegt, als das Protokoll erstmals von der Internet Engineering Task Force (IETF) definiert wurde.

Viele Jahre lang diente er als Standardport für den gesamten SMTP-Verkehr, sowohl für die Übermittlung von E-Mails von Clients an Server als auch für die Server-zu-Server-Weiterleitung.

Die Implementierung von Port 25 geht auf eine Anfrage der University of Southern California an die Internet Engineering Task Force (IETF) aus dem Jahr 1982 zurück.

Damals lag der Schwerpunkt auf der Einrichtung eines standardisierten Kommunikationskanals für die E-Mail-Übertragung mit grundlegendem Schutz vor Angriffen wie dem Abfangen durch Man-in-the-Middle-Angriffe.

Heute hat sich die Rolle von Hafen 25 deutlich eingeschränkt. Seine Hauptfunktion beschränkt sich nun auf Folgendes:

Server-zu-Server-Kommunikation: Mail Transfer Agents (MTAs) verwenden Port 25, um Nachrichten zwischen Mailservern weiterzuleiten.
Unterstützung für ältere Systeme: Einige ältere E-Mail-Systeme verwenden weiterhin Port 25.

Eine einfache Telnet-Verbindung zu einem SMTP-Server auf Port 25 könnte folgendermaßen aussehen:

> telnet smtp.example.com 25Trying 192.0.2.1…

Connected to smtp.example.com.

Escape character is ‘^]’.

220 smtp.example.com ESMTP Postfix

> EHLO client.example.com

250-smtp.example.com

250-PIPELINING

250-SIZE 10240000

250-VRFY

250-ETRN

250-STARTTLS

250-ENHANCEDSTATUSCODES

250-8BITMIME

250 DSN

Beachten Sie die Zeile 250-STARTTLS. Sie zeigt an, dass dieser Server die Verschlüsselung über den STARTTLS-Befehl unterstützt, dies ist jedoch nicht zwingend erforderlich.

Vor diesem Hintergrund weist Hafen 25 jedoch mehrere erhebliche Sicherheitslücken auf:

Keine Verschlüsselung erforderlich: Standardmäßig erfolgt die Kommunikation über Port 25 unverschlüsselt.
Optionales STARTTLS: Die Verschlüsselung wird zwar unterstützt, ist aber nicht obligatorisch.
Anfällig für Abhören: Klartextkommunikation kann bei Abfangen leicht gelesen werden.
Spam-Vektor: Wurde in der Vergangenheit zum Versenden von Spam-E-Mails verwendet.

Wegen dieser Probleme, insbesondere der Ausnutzung durch Spammer, blockieren viele Internetdienstanbieter (ISPs) und Cloud-Hosting-Anbieter mittlerweile den ausgehenden Datenverkehr ihrer Kunden über Port 25.

Diese Blockierung hilft, zu verhindern, dass kompromittierte Systeme zur Verbreitung von Spam missbraucht werden.

Wenn Sie Verbindungsprobleme mit Port 25 haben, liegt das wahrscheinlich daran, dass Ihr Internetanbieter diesen Port blockiert. Ein einfacher Test könnte Folgendes zeigen:

> telnet smtp.example.com 25Trying 192.0.2.1…

telnet: Unable to connect to remote host: Connection timed out

Diese Blockierung ist so weit verbreitet, dass Port 25 nicht mehr für E-Mail-Client-Anfragen verwendet werden sollte. Stattdessen sollte er ausschließlich für die Server-zu-Server-Kommunikation reserviert werden.

Port 465: Der Port für die implizite SSL/TLS-Verschlüsselung

Port 465 hat vielleicht die komplizierteste Geschichte aller SMTP-Ports.

Mitte der 1990er Jahre, als der Bedarf an E-Mail-Verschlüsselung deutlich wurde, wies die Internet Assigned Numbers Authority (IANA) kurzzeitig Port 465 für „SMTPS“ – SMTP über SSL – zu.

Dieser Einsatz war jedoch nur von kurzer Dauer.

Um 1997 entschied sich die IETF für einen anderen Ansatz zur Sicherung von SMTP: die Hinzufügung des STARTTLS-Befehls zum SMTP-Protokoll selbst, wodurch die Verschlüsselung über bestehende Ports ausgehandelt werden könnte.

Infolgedessen wurde die offizielle Zuständigkeit von Hafen 465 für SMTPS nach nur etwa einem Jahr wieder aufgehoben.

Trotz dieser offiziellen Abschaffung hatten viele E-Mail-Dienste bereits die Unterstützung für Port 465 implementiert, und er wurde weiterhin häufig genutzt. Dies führte dazu, dass Port 465 in der Praxis verwendet wurde, obwohl er offiziell nicht mehr für SMTP vorgesehen war.

Implizite TLS-Funktionalität

Port 465 verwendet das sogenannte „Implizite TLS“ oder „Implizites SSL“:

Die Verbindung beginnt sofort mit der SSL/TLS-Aushandlung.
Kein Teil der Kommunikation erfolgt im Klartext.
Schlägt die TLS-Aushandlung fehl, wird die Verbindung beendet.
Alle nachfolgenden SMTP-Befehle werden über den verschlüsselten Kanal gesendet.

Dieses Vorgehen ähnelt der Funktionsweise von HTTPS im Web – die sichere Verbindung wird hergestellt, bevor Anwendungsdaten übertragen werden.

Hier ist ein vereinfachter Kommunikationsablauf für Port 465:

Der Client initiiert eine Verbindung zum Server auf Port 465.
SSL/TLS-Handshake findet statt
Nach erfolgreichem Handshake beginnt die SMTP-Kommunikation.
Alle SMTP-Befehle und -Daten werden verschlüsselt.

Heute befindet sich Port 465 in einem kuriosen Zustand:

Es ist von der IETF für SMTP nicht offiziell anerkannt.
Es wird von E-Mail-Dienstleistern weitgehend unterstützt.
Es wird von einigen E-Mail-Anbietern für Endverbraucher empfohlen.
Es bietet hohe Sicherheit durch seinen impliziten TLS-Ansatz.

Port 465 ist geeignet für:

Ältere Systeme, die für die Verwendung von SMTPS an diesem Port konfiguriert waren
Szenarien, in denen maximaler Schutz vor Downgrade-Angriffen erforderlich ist
Situationen, in denen ein E-Mail-Anbieter dies ausdrücklich empfiehlt

Die Internet Assigned Numbers Authority hat Port 465 nun einem anderen Dienst („URL Rendezvous Directory for SSM“) zugewiesen, obwohl er in der Praxis weiterhin hauptsächlich für sicheres SMTP verwendet wird.

Hafen 587: Der moderne Unterwerfungshafen

1998 führte RFC 2476 (später ersetzt durch RFC 6409) das Konzept eines dedizierten „Nachrichtenübermittlungs“-Ports ein, der vom SMTP-Relay-Port getrennt ist. Diese Trennung trug dem wachsenden Bedarf Rechnung, zwischen zwei verschiedenen Arten von SMTP-Datenverkehr zu unterscheiden:

Nachrichtenübermittlung: E-Mail-Clients senden Nachrichten an ihren Mailserver.
Nachrichtenweiterleitung: Mailserver leiten Nachrichten an andere Mailserver weiter.

Port 587 wurde für die Übermittlung von Nachrichten reserviert, wodurch eine klare Trennung von der Weiterleitungsfunktion von Port 25 geschaffen wurde. Diese Trennung ermöglichte die Anwendung unterschiedlicher Richtlinien und Sicherheitsanforderungen für die verschiedenen Datenverkehrsarten.

STARTTLS-Funktionen

Port 587 verwendet „Explizites TLS“ über den Befehl STARTTLS. So funktioniert es:

Der Client verbindet sich über Port 587 mit dem Server.
Der Server identifiziert sich und listet die unterstützten Erweiterungen auf.
Der Client sendet den STARTTLS-Befehl.
Der Server antwortet, und die TLS-Aushandlung beginnt.
Nach erfolgreicher Verhandlung wird die SMTP-Sitzung verschlüsselt.
Der Client authentifiziert sich üblicherweise über SMTP AUTH.
Die E-Mail-Übermittlung erfolgt innerhalb des verschlüsselten Kanals.

Eine typische SMTP-Sitzung über Port 587 mit STARTTLS könnte folgendermaßen aussehen:

> telnet smtp.example.com 587Trying 192.0.2.1…

Connected to smtp.example.com.

Escape character is ‘^]’.

220 smtp.example.com ESMTP Postfix

> EHLO client.example.com

250-smtp.example.com

250-PIPELINING

250-SIZE 10240000

250-VRFY

250-ETRN

250-STARTTLS

250-AUTH PLAIN LOGIN

250-ENHANCEDSTATUSCODES

250-8BITMIME

250 DSN

> STARTTLS

220 2.0.0 Ready to start TLS

… (TLS negotiation occurs) …

> EHLO client.example.com

250-smtp.example.com

250-PIPELINING

250-SIZE 10240000

250-VRFY

250-ETRN

250-AUTH PLAIN LOGIN

250-ENHANCEDSTATUSCODES

250-8BITMIME

250 DSN

> AUTH LOGIN

334 VXNlcm5hbWU6

dXNlcm5hbWU=

334 UGFzc3dvcmQ6

cGFzc3dvcmQ=

235 2.7.0 Authentication successful

Beachten Sie, dass die SMTP-Kommunikation zunächst im Klartext erfolgt, aber nach dem Befehl STARTTLS auf TLS-Verschlüsselung umschaltet.

In den meisten Fällen ist Port 587 der richtige Hafen für Sie.

Es hat sich aus mehreren überzeugenden Gründen als empfohlener Standard für die E-Mail-Übermittlung etabliert:

Offizieller Standard: Es wird von der IETF als der korrekte Port für die Nachrichtenübermittlung anerkannt.
Weitgehende Unterstützung: Die meisten modernen E-Mail-Anbieter unterstützen Port 587.
Kompatibilität mit Internetdienstanbietern: Die Wahrscheinlichkeit einer Blockierung durch Internetdienstanbieter ist geringer als bei Port 25.
Sicherheit und Flexibilität: Unterstützt starke Verschlüsselung bei gleichzeitiger Abwärtskompatibilität
Erforderliche Authentifizierung: Erzwingt in der Regel SMTP-Authentifizierung, um Spam zu reduzieren.

Für die überwiegende Mehrheit der Benutzer und Organisationen, die neue E-Mail-Systeme einrichten, sollte Port 587 die Standardwahl für die Nachrichtenübermittlung sein.

Port 2525: Die alternative Option

Port 2525 ist weder von der IANA noch von der IETF ein offiziell festgelegter SMTP-Port. Er entstand vielmehr als praktische Alternative, wenn die Standardports (25, 465 und 587) von Internetdienstanbietern oder Unternehmensnetzwerken blockiert werden.

Funktionell gesehen arbeitet Port 2525 typischerweise identisch zu Port 587:

Es unterstützt STARTTLS zur Verschlüsselung.
Es erfordert eine Authentifizierung via SMTP AUTH.
Es dient der Nachrichtenübermittlung, nicht der Weiterleitung.

Der Hauptunterschied besteht schlicht und einfach in der Portnummer selbst, die dabei hilft, Netzwerkbeschränkungen zu umgehen.

Port 2525 sollte in folgenden Szenarien berücksichtigt werden:

Beim Verbinden aus Netzwerken, die die Ports 25, 465 und 587 blockieren
In Unternehmensumgebungen mit strengen Firewall-Richtlinien
Bei der Verwendung von Cloud-Anbietern, die Standard-E-Mail-Ports einschränken
Wenn Sie regelmäßig Verbindungsprobleme mit Standardports haben

Viele E-Mail-Dienstleister, darunter Mailgun, SendGrid und andere, unterstützen Port 2525 speziell, um ihren Kunden diese Ausweichoption zu bieten.

Wie man aus Sicherheitssicht den richtigen SMTP-Port auswählt

Eine Illustration eines Entwicklers, der darüber nachdenkt, welchen E-Mail-Port er in seinem Projekt verwenden sollte.

Sprechen wir über Sicherheit, denn aus Entwicklersicht ist dies einer der wichtigsten Aspekte. Es gibt mehrere Möglichkeiten.

STARTTLS (Explizites TLS)

STARTTLS, das hauptsächlich auf den Ports 25 und 587 verwendet wird, bietet „opportunistische Verschlüsselung“ durch folgende Schritte:

Die Verbindung beginnt unverschlüsselt.
Der Client sendet den STARTTLS-Befehl.
Wenn der Server dies unterstützt, wird die Verschlüsselung ausgehandelt.
Die Kommunikation wird weiterhin verschlüsselt.

Vorteile:

Abwärtskompatibilität mit Nicht-TLS-Servern
Funktioniert mit bestehenden Häfen und Infrastrukturen

Nachteile:

Die erste Kommunikation erfolgt unverschlüsselt.
Anfällig für Downgrade-Angriffe, bei denen ein Angreifer den STARTTLS-Befehl verhindert.
Nicht alle Server benötigen TLS, daher ist ein Fallback auf Klartext möglich.

Implizites TLS

Implizites TLS, das auf Port 465 verwendet wird, verfolgt einen anderen Ansatz:

Die Verbindung beginnt sofort mit der TLS-Aushandlung.
Schlägt die TLS-Aushandlung fehl, wird die Verbindung beendet.
Es findet niemals unverschlüsselte Kommunikation statt

Vorteile:

Jegliche Kommunikation im Klartext ist untersagt.
Es ist nicht möglich, auf eine unverschlüsselte Verbindung umzuschalten.
Besserer Schutz vor Man-in-the-Middle-Angriffen

Nachteile:

Nicht abwärtskompatibel mit Servern, die TLS nicht unterstützen.
Nicht der offizielle IETF-Standardansatz

Authentifizierungsanforderungen

Die Authentifizierung ist eine kritische Sicherheitskomponente, die die Identität des sendenden Clients überprüft. Die Authentifizierungsanforderungen variieren je nach Port:

Port 25:

Authentifizierung oft optional
Häufig wird eine nicht authentifizierte Weiterleitung zwischen Servern ermöglicht.
Auf einigen Servern kann die anonyme Übermittlung von Nachrichten ermöglicht werden.

Port 465:

In der Regel ist eine Authentifizierung erforderlich.
Wird üblicherweise nach der Einrichtung der TLS-Verschlüsselung erzwungen.
Anonyme Nachrichtenübermittlung wird nur selten zugelassen.

Port 587:

Authentifizierung gemäß Standard erforderlich
Wird nach der STARTTLS-Verschlüsselung erzwungen.
Speziell entwickelt für die authentifizierte Übermittlung

Port 2525:

Die Authentifizierungsanforderungen entsprechen Port 587
Für die Nachrichtenübermittlung ist eine Authentifizierung erforderlich.

Es ist wichtig zu beachten, dass moderne E-Mail-Server unabhängig vom Port immer eine Authentifizierung für die Nachrichtenübermittlung verlangen sollten, um Missbrauch zu verhindern.

Merkmal	Port 25	Port 465	Port 587	Port 2525
Hauptnutzen	Server-zu-Server-Relay	Sichere Nachrichtenübermittlung	Nachrichtenübermittlung	Alternativer Einreichungsantrag
Verschlüsselungstyp	Optionales STARTTLS	Implizites TLS	STARTTLS	STARTTLS
Erstverbindung	Unverschlüsselt	Verschlüsselte	Unverschlüsselt	Unverschlüsselt
Risiko eines Downgrade-Angriffs	Hoch	Niedrig	Medium	Medium
Authentifizierung	Optional	Erforderlich	Erforderlich	Erforderlich
Wahrscheinlichkeit einer ISP-Sperre	Hoch	Medium	Niedrig	Niedrig
IETF-Standard	Ja (für die Relaisstation)	Nein	Ja (zur Einreichung)	Nein
Empfohlen für	Nur Server-zu-Server-Kommunikation	Legacy-Systeme	Moderne Kunden	Wenn andere blockiert sind

Bewährte Verfahren für maximale E-Mail-Sicherheit

Um bei der Konfiguration von SMTP ein Höchstmaß an E-Mail-Sicherheit zu gewährleisten:

Verwenden Sie immer Verschlüsselung:

Konfigurieren Sie Ihre Server so, dass TLS für alle Verbindungen erforderlich ist.
Klartextauthentifizierung deaktivieren
Verwenden Sie sichere TLS-Versionen (TLS 1.2 oder höher).

Implementieren Sie eine starke Authentifizierung:

SMTP-Authentifizierung für alle Nachrichtenübermittlungen erforderlich
Verwenden Sie eine sichere Passwortspeicherung (Hashing mit Salt).
Erwägen Sie die Implementierung einer Zwei-Faktor-Authentifizierung für E-Mail-Konten.

Halten Sie Ihre Zertifikate auf dem neuesten Stand:

Verwenden Sie vertrauenswürdige, von einer Zertifizierungsstelle signierte Zertifikate.
SSL/TLS-Zertifikate regelmäßig erneuern
Überwachung auf Zertifikatsschwachstellen

Konfigurieren Sie die entsprechenden Header und Richtlinien:

Implementieren Sie SPF, DKIM und DMARC zur Authentifizierung.
Geeignete HSTS-Header festlegen
Konfigurieren Sie Ihre Mailserver so, dass sie unverschlüsselte Verbindungen ablehnen.

Überwachen und prüfen:

Alle SMTP-Transaktionen protokollieren
Überprüfen Sie regelmäßig die Protokolle auf verdächtige Aktivitäten.
Testen Sie Ihre E-Mail-Sicherheitskonfiguration regelmäßig.

Wie man SMTP-Ports implementiert

Eine Illustration eines Entwicklers, der über die beste Methode zur Einrichtung seiner SMTP-Ports für den E-Mail-Versand nachdenkt.

Nun geht es darum, die für Ihr Projekt optimalen Anschlüsse auszuwählen. Wir können dies nach Anwendungsfällen aufschlüsseln, damit Sie die beste Lösung finden.

Für Einzelnutzer und E-Mail-Clients

Wenn Sie einen E-Mail-Client wie Outlook, Apple Mail oder Thunderbird konfigurieren:

Erste Wahl: Port 587 mit STARTTLS

Weitgehend unterstützt und am wenigsten wahrscheinlich blockiert zu werden
Beispielkonfiguration für Gmail in Outlook:
Ausgehender Mailserver: smtp.gmail.com
Hafen: 587
Verschlüsselung: STARTTLS
Authentifizierung: Ja, mit Benutzername und Passwort

Zweite Wahl: Port 465 mit SSL/TLS

Wenn Ihr Anbieter es ausdrücklich empfiehlt
Beispielkonfiguration für Yahoo Mail:
Ausgehender Mailserver: smtp.mail.yahoo.com
Hafen: 465
Verschlüsselung: SSL/TLS
Authentifizierung: Ja, mit Benutzername und Passwort

Letzter Ausweg: Hafen 2525 mit STARTTLS

Nur wenn die Ports 587 und 465 blockiert sind
Nicht alle Anbieter unterstützen diesen Port, daher sollten Sie die Dokumentation überprüfen.

Für Geschäftsanwendungen und große Absendermengen

Für Anwendungen, die Transaktions- oder Marketing-E-Mails versenden:

Alternative: Port 465

Für Anbieter, die es ausdrücklich empfehlen
Beispiel in PHP mit PHPMailer:

<?php
use PHPMailerPHPMailerPHPMailer;

require ‘vendor/autoload.php’;

$mail = new PHPMailer;

$mail->isSMTP();

$mail->Host = ‘smtp.example.com’;

$mail->SMTPAuth = true;

$mail->Username = ‘username’;

$mail->Password = ‘password’;

$mail->SMTPSecure = PHPMailer::ENCRYPTION_SMTPS; // SSL encryption

$mail->Port = 465;

Backup-Option: Port 2525

Bei der Bereitstellung auf Plattformen, die Standardports blockieren
Beispiel in Python mit smtplib:

import smtplibimport ssl

from email.message import EmailMessage

msg = EmailMessage()

msg.set_content(“This is a test email.”)

msg[‘Subject’] = ‘Test Email’

msg[‘From’] = ‘[email protected]’

msg[‘To’] = ‘[email protected]’

context = ssl.create_default_context()

with smtplib.SMTP(‘smtp.example.com’, 2525) as server:

server.starttls(context=context)

server.login(‘username’, ‘password’)

server.send_message(msg)

Für die Server-zu-Server-Kommunikation

Für die Konfiguration des Mailservers zur Verarbeitung von Relay-Verkehr:

Standard: Anschluss 25

Wird für die Kommunikation zwischen den MTA-Behörden verwendet.
Sollte nach Möglichkeit mit STARTTLS konfiguriert werden.
Beispiel einer Postfix-Konfiguration in /etc/postfix/main.cf:

# Outgoing relay settingsrelayhost = [mail.example.com]:25

smtp_tls_security_level = may

smtp_tls_note_starttls_offer = yes

Alternative, falls Port 25 blockiert ist: Benutzerdefinierte Konfiguration

Einige Anbieter erlauben die Weiterleitung über alternative Ports.
Ejemplo:

# Using alternative port for relayrelayhost = [mail.example.com]:587

smtp_tls_security_level = encrypt

smtp_sasl_auth_enable = yes

smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd

smtp_sasl_security_options = noanonymous

Konfigurationsbeispiele für gängige E-Mail-Server

Postfix-Konfiguration (Linux)

So konfigurieren Sie Postfix für die sichere SMTP-Übermittlung über Port 587:

Bearbeiten Sie /etc/postfix/master.cf:

# SMTP submission on port 587submission inet n – y – – smtpd

-o syslog_name=postfix/submission

-o smtpd_tls_security_level=encrypt

-o smtpd_sasl_auth_enable=yes

-o smtpd_tls_auth_only=yes

-o smtpd_client_restrictions=permit_sasl_authenticated,reject

-o milter_macro_daemon_name=ORIGINATING

Bearbeiten Sie die Datei /etc/postfix/main.cf, um TLS zu konfigurieren:

# TLS parameterssmtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem

smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key

smtpd_tls_security_level=may

smtpd_tls_protocols = !SSLv2, !SSLv3

smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3

Postfix neu starten:

sudo systemctl restart postfix

Microsoft Exchange Server

So konfigurieren Sie Exchange Server für die sichere SMTP-Übermittlung:

Öffnen Sie das Exchange Admin Center.
Navigieren Sie zu E-Mail-Fluss > Empfangskonnektoren
Konnektor für Client-Einreichungen erstellen oder bearbeiten
Konfigurieren Sie den Konnektor wie folgt:

Hören Sie auf Port 587
TLS-Verschlüsselung erforderlich
Authentifizierung erforderlich
Legen Sie geeignete Berechtigungsgruppen fest (typischerweise „Exchange-Benutzer“).

Testen der Portverbindung und Fehlerbehebung

Um die Verbindung zu einem SMTP-Server an einem bestimmten Port zu testen, können Sie einfache Befehlszeilentools verwenden:

Using Telnet:# Testing port 587

telnet smtp.example.com 587

# You should see something like:

Trying 192.0.2.1…

Connected to smtp.example.com.

Escape character is ‘^]’.

220 smtp.example.com ESMTP ready

Using OpenSSL for TLS testing:

# Testing STARTTLS on port 587

openssl s_client -starttls smtp -crlf -connect smtp.example.com:587

# Testing implicit TLS on port 465

openssl s_client -connect smtp.example.com:465

Using a dedicated SMTP testing tool like swaks:

# Basic SMTP test with authentication

swaks –server smtp.example.com –port 587 –tls –auth-user username –auth-password password –to [email protected] –from [email protected]

Häufige Probleme mit dem SMTP-Port und Lösungen

Verbindungsabbrüche und Authentifizierungsfehler

Problem: Verbindungs-Timeouts

Symptome:

Es konnte keine Verbindung zum SMTP-Server hergestellt werden.
Der Client meldet den Fehler „Verbindungstimeout“.
Der E-Mail-Versand scheint sich endlos aufzuhängen.

Mögliche Ursachen:

Internetanbieter oder Netzwerk blockiert den Port
Firewall-Einschränkungen
Der Server ist ausgefallen oder nicht erreichbar.
Falsche Serveradresse

Solutions:

Versuchen Sie einen alternativen Port (587, 465 oder 2525).
Überprüfen Sie die Firewall-Einstellungen und Netzwerkrichtlinien.
Überprüfen Sie, ob die Serveradresse korrekt ist.
Testen Sie in einem anderen Netzwerk, um Probleme mit der ISP-Blockierung zu isolieren.
Erhöhen Sie die Einstellungen für das Verbindungstimeout in Ihrem E-Mail-Client.

Problem: Authentifizierungsfehler

Symptome:

Verbindung hergestellt, aber Authentifizierung fehlgeschlagen.
Fehlermeldungen wie „535 Authentifizierung fehlgeschlagen“ oder „Ungültiger Benutzername/Passwort“
E-Mail kann trotz erfolgreicher Verbindung nicht gesendet werden.

Mögliche Ursachen:

Falscher Benutzername oder Passwort
Authentifizierungsmethode stimmt nicht überein
Kontobeschränkungen oder Sicherheitsrichtlinien
TLS/SSL-Anforderungen vor der Authentifizierung nicht erfüllt

Solutions:

Überprüfen Sie, ob die Zugangsdaten korrekt und aktuell sind.
Prüfen Sie, welche Authentifizierungsmethoden der Server unterstützt (PLAIN, LOGIN, CRAM-MD5).
Stellen Sie sicher, dass die Verschlüsselung vor der Authentifizierung korrekt konfiguriert ist.
Für Google- und Microsoft-Konten benötigen Sie möglicherweise ein app-spezifisches Passwort oder müssen weniger sichere Apps aktivieren.
Prüfen Sie, ob Kontobeschränkungen oder IP-Beschränkungen vorliegen.

Portblockierung durch Internetanbieter und Netzwerke

Portblockierungen kommen immer häufiger vor, insbesondere bei Port 25:

Identifizierung von Portblockierungen

Anzeichen für eine Portblockierung:

Es kommt regelmäßig zu Verbindungsabbrüchen.
Andere Internetdienste funktionieren normal
Das Problem besteht weiterhin bei verschiedenen E-Mail-Clients.
Die Probleme treten in einem Netzwerk auf, in anderen jedoch nicht.

Test auf Portblockierung:

# Use telnet to test connectivitytelnet smtp.example.com 25

# If blocked, you’ll see no response or a timeout

# If open, you’ll see the server’s greeting banner

Lösungen für Hafenblockaden

Wechseln Sie zu einem anderen Port:

Versuchen Sie, Nachrichten über Port 587 zu senden.
Falls das nicht funktioniert, versuchen Sie es mit Port 465.
Als letzte Möglichkeit versuchen Sie es mit Hafen 2525.

Verwenden Sie ein VPN oder ein anderes Netzwerk:

Mobilfunknetze können andere Richtlinien haben als Heim-Internetanbieter.
Unternehmensnetzwerke können über einen intelligenten Host geleitet werden.

Kontaktieren Sie Ihren ISP:

Manche Internetanbieter entsperren Port 25 für Geschäftskunden.
Seien Sie darauf vorbereitet, Ihren berechtigten Bedarf zu erläutern.

Verwenden Sie einen intelligenten Host oder Relay:

Konfigurieren Sie Ihren Mailserver so, dass er die Weiterleitung über den SMTP-Server Ihres Internetanbieters durchführt.
Nutzen Sie einen E-Mail-Zustellungsdienst eines Drittanbieters.

TLS-Aushandlungsprobleme

TLS-Probleme können subtil und schwierig zu beheben sein:

Häufige TLS-Probleme

Fehler bei der Zertifikatsvalidierung:

Das Serverzertifikat ist abgelaufen.
Das Zertifikat stammt nicht von einer vertrauenswürdigen Zertifizierungsstelle.
Der Hostname im Zertifikat stimmt nicht mit dem Servernamen überein.
Client und Server können sich nicht auf Verschlüsselungssammlungen einigen.

Protokollversionskonflikte:

Der Client verwendet eine neuere TLS-Version als die vom Server unterstützte.
Der Server benötigt eine neuere TLS-Version als der Client unterstützt.
Veraltete TLS-Implementierungen mit Sicherheitslücken

Diagnose von TLS-Problemen

Verwenden Sie OpenSSL, um den TLS-Handshake zu untersuchen:

# For port 587 with STARTTLSopenssl s_client -starttls smtp -connect smtp.example.com:587 -tls1_2

# For port 465 with implicit TLS

openssl s_client -connect smtp.example.com:465 -tls1_2

# Look for these in the output:

# – Certificate information and expiration

# – Certificate chain validation

# – TLS version and cipher used

Lösung von TLS-Problemen

Serverseitige Lösungen:

SSL/TLS-Zertifikate aktualisieren
Konfigurieren Sie die korrekten Zertifikatsketten
Unterstützung moderner TLS-Versionen (1.2, 1.3)
Unsichere Verschlüsselungssammlungen deaktivieren

Clientseitige Lösungen:

Aktualisieren Sie Ihren E-Mail-Client oder Ihre Bibliotheken, um modernes TLS zu unterstützen.
Konfigurieren Sie den Client so, dass er der Zertifizierungsstelle des Servers vertraut.
Passen Sie die TLS-Sicherheitseinstellungen bei Bedarf an.

Vorübergehende Umgehungslösungen (mit Vorsicht verwenden):

Zertifikatsvalidierung nur für Testzwecke deaktivieren
Probieren Sie verschiedene TLS-Versionen aus, um Kompatibilitätsprobleme zu isolieren.

Jenseits von SMTP: Verwandte E-Mail-Protokolle

Jemand sitzt an einem Computer, auf dem Pfeile auf Symbole für SMTP, IMAP und POP3 zeigen.

SMTP ist nicht das einzige System im Zusammenhang mit E-Mail. Es ist wichtig, auch die anderen Systemkomponenten zu verstehen, um Systeme zu entwickeln, die effektiv, nachhaltig und effizient funktionieren. Hier finden Sie eine kurze Übersicht über einige weitere wichtige Faktoren.

Während SMTP für den E-Mail-Versand zuständig ist, erfordert der Empfang von E-Mails unterschiedliche Protokolle:

POP3 (Post Office Protocol Version 3)

POP3 ist eines der ältesten Protokolle zum Abrufen von E-Mails:

Funktion: Lädt Nachrichten vom Server zum Client herunter
Standardports: 110 (unverschlüsselt) und 995 (SSL/TLS)
Verhalten: Entfernt in der Regel nach dem Herunterladen Nachrichten vom Server.
Ideal für: Zugriff von einem einzelnen Gerät mit begrenztem Serverspeicher

Eine einfache POP3-Sitzung könnte wie folgt aussehen:

> telnet mail.example.com 110+OK POP3 server ready

> USER username

+OK

> PASS password

+OK Logged in

> LIST

+OK 2 messages

1 1425

2 32360

> RETR 1

+OK 1425 octets

(… message content …)

> QUIT

+OK Logging out

IMAP (Internet Message Access Protocol)

IMAP ist ein ausgefeilteres Protokoll für den Zugriff auf Postfächer:

Funktion: Synchronisiert Nachrichten zwischen Server und Clients
Standardports: 143 (unverschlüsselt) und 993 (SSL/TLS)
Verhalten: Speichert Nachrichten auf dem Server und ermöglicht so den Zugriff von mehreren Geräten.
Ideal für: Mehrere Geräte, die auf dasselbe Postfach zugreifen

Eine IMAP-Sitzung könnte beginnen:

> telnet mail.example.com 143* OK IMAP4rev1 Server Ready

> A001 LOGIN username password

* OK Logged in

> A002 SELECT INBOX

* 18 EXISTS

* 2 RECENT

* OK [UNSEEN 17] Message 17 is first unseen

* OK [UIDVALIDITY 1428913542] UIDs valid

* FLAGS (Answered Flagged Deleted Seen Draft)

* OK [PERMANENTFLAGS (Answered Flagged Deleted Seen Draft *)] Limited

A002 OK [READ-WRITE] SELECT completed

Wie diese Protokolle mit SMTP interagieren

Der gesamte Prozess der E-Mail-Übertragung umfasst das Zusammenwirken mehrerer Protokolle:

Komposition & Versand (SMTP):

Der Nutzer schreibt eine E-Mail
Der E-Mail-Client sendet die E-Mail per SMTP an den Übermittlungsserver.
Die Nachricht wird per SMTP an den Mailserver des Empfängers weitergeleitet.

Speicherung und Abruf (POP3/IMAP):

Der Server des Empfängers speichert die eingehende Nachricht.
Der Empfänger verbindet sich über POP3 oder IMAP, um auf sein Postfach zuzugreifen.
Nachrichten werden heruntergeladen (POP3) oder synchronisiert (IMAP).

Antwort (erneut SMTP):

Der Empfänger antwortet auf die Nachricht
Ihr Kunde sendet die Antwort per SMTP.
Der Kreislauf setzt sich fort

Portkonfigurationen für ein komplettes E-Mail-System

Für eine umfassende E-Mail-Server-Konfiguration werden mehrere Ports benötigt:

Service	Protokoll	Unverschlüsselter Port	Verschlüsselter Port	Verschlüsselungsmethode
Nachrichten senden	SMTP (Relay)	25	25	STARTTLS
Mail-Übermittlung	SMTP	587	587	STARTTLS
Sichere Übermittlung	SMTPS	N / A	465	Implizites TLS
E-Mail-Abruf	POP3	110	995	Implizites TLS
E-Mail-Zugriff	IMAP	143	993	Implizites TLS

Für die Einrichtung eines vollständigen E-Mail-Servers müssen all diese Ports entsprechend für die Sende- und Empfangsfunktion konfiguriert werden.

Wrapping up

Nach eingehender Untersuchung der Komplexität von SMTP-Ports lassen sich einige klare Richtlinien ableiten:

Port 587 bleibt der empfohlene Standard für die E-Mail-Übermittlung:

Es gewährleistet eine sichere Übertragung über STARTTLS.
Es genießt breite Unterstützung und wird seltener blockiert.
Es entspricht den etablierten IETF-Standards.

Port 25 sollte ausschließlich für die Server-zu-Server-Kommunikation reserviert sein:

Es wird häufig für Clientverbindungen blockiert.
In vielen Implementierungen fehlt es an obligatorischen Sicherheitsvorkehrungen.
Es handelt sich um den Standardport für die E-Mail-Übertragung zwischen Servern.

Port 465 dient als Alternative für die sichere Übermittlung:

Es bietet implizites TLS, das Downgrade-Angriffe verhindert.
Für ältere Systeme kann dies erforderlich sein.
Es bietet eine gute Sicherheit, entspricht aber nicht dem IETF-Standard.

Port 2525 dient als Ausweichoption:

Es umgeht gängige Portblöcke
Es ist nicht standardisiert, wird aber weitgehend unterstützt.
Es sollte nur verwendet werden, wenn Standardanschlüsse nicht verfügbar sind.

Für verschiedene E-Mail-Nutzer empfehlen wir folgende Ports:

Für Einzelnutzer:

Konfigurieren Sie E-Mail-Clients so, dass sie Port 587 mit STARTTLS verwenden.
Stellen Sie sicher, dass die ordnungsgemäße Authentifizierung aktiviert ist.
Verwenden Sie Port 465 nur, wenn dies von Ihrem E-Mail-Anbieter ausdrücklich empfohlen wird.

Für Administratoren von geschäftlichen E-Mail-Adressen:

Konfigurieren Sie die Mailserver so, dass sie Anfragen über Port 587 annehmen.
Erfordern TLS-Verschlüsselung und -Authentifizierung
Verwenden Sie Port 25 ausschließlich für Server-zu-Server-Relay mit aktiviertem TLS.
Halten Sie alle Sicherheitsmaßnahmen und Zertifikate auf dem neuesten Stand.

Für Entwickler, die E-Mail-Funktionen integrieren:

Implementieren Sie Port 587 als Ihren Standard-SMTP-Port.
Ausweichoptionen für andere Ports (465, 2525) einbeziehen
Verwenden Sie stets Authentifizierung und Verschlüsselung.
Bleiben Sie hinsichtlich der besten Sicherheitspraktiken auf dem Laufenden.

Für E-Mail-Dienstleister:

Unterstützt sowohl Port 587 als auch Port 465 für maximale Kompatibilität
Bieten Sie Port 2525 als Ausweichoption an.
Implementieren Sie strenge Sicherheitsmaßnahmen an allen Ports
Bleiben Sie den neuen Standards und Sicherheitspraktiken einen Schritt voraus.

Durch die Befolgung dieser bewährten Vorgehensweisen und durch ständiges Auf dem Laufenden bleiben Sie sicher, dass Ihre E-Mail-Infrastruktur sicher und zuverlässig bleibt und Nachrichten erfolgreich zustellt, während gleichzeitig sensible Informationen vor Abfangen oder Kompromittierung geschützt werden.

E-Mail ist nach wie vor eines unserer wichtigsten Kommunikationsmittel, und das Verständnis der Feinheiten von SMTP-Ports ist für jeden, der E-Mail-Systeme verwaltet, unerlässlich.

Die von uns untersuchten Protokolle und Ports repräsentieren Jahrzehnte der Weiterentwicklung von Internetstandards, die sich an wachsende Sicherheitsbedrohungen anpassen und gleichzeitig die Interoperabilität beibehalten, die E-Mail so universell macht.

Häufig gestellte Fragen

Antworten auf häufig gestellte Fragen zu diesem Thema.

Kann Antivirensoftware SMTP-Ports blockieren?

Ja. Einige Antiviren- und Sicherheitsprogramme verfügen über Firewall- oder E-Mail-Scanfunktionen, die SMTP-Ports, insbesondere die Ports 25, 465 oder 587, blockieren oder einschränken können. Falls der E-Mail-Versand fehlschlägt, überprüfen Sie die Firewall-Regeln Ihres Antivirenprogramms oder deaktivieren Sie den E-Mail-Scan vorübergehend, um zu sehen, ob das Problem dadurch behoben wird.

Sind die SMTP-Ports für Gmail, Outlook oder andere Anbieter unterschiedlich?

Die Portnummern selbst sind standardisiert, Anbieter können jedoch unterschiedliche Konfigurationen empfehlen. Die meisten Dienste, darunter Gmail und Outlook, unterstützen Port 587 für die sichere E-Mail-Übermittlung, während Port 465 für SSL/TLS-Verbindungen ebenfalls verfügbar sein kann. Überprüfen Sie stets die SMTP-Einstellungen Ihres Anbieters, um die korrekte Serveradresse und Sicherheitsmethode zu bestätigen.