Wenn die E-Mail die elek­tro­ni­sche Post ist, dann ist das SMTP der Postbote. SMTP ist bis heute das wich­tigs­te Protokoll für den E-Mail-Versand, wird in der Praxis aber fast immer in der er­wei­ter­ten Form ESMTP ein­ge­setzt – mit Au­then­ti­fi­zie­rung und Ver­schlüs­se­lung als Standard.

Was ist das SMTP-Protokoll?

SMTP steht für „Simple Mail Transfer Protocol“, was sich mit „Einfaches E-Mail-Trans­fer­pro­to­koll“ über­set­zen lässt. Es handelt sich dabei um ein ver­bin­dungs­ori­en­tier­tes, text­ba­sier­tes Netz­werk­pro­to­koll aus der In­ter­net­pro­to­koll­fa­mi­lie und ist als solches auf der siebten Schicht des OSI-Modells, der An­wen­dungs­schicht, an­ge­sie­delt. Genauso wie jedes andere Netz­pro­to­koll enthält es Regeln für die korrekte Kom­mu­ni­ka­ti­on zwischen Computern in einem Netzwerk. Dabei ist SMTP speziell für das Ein­spei­sen und Wei­ter­lei­ten von E-Mails von einem Absender zu einem Empfänger zuständig.

Seit seiner Ver­öf­fent­li­chung im Jahr 1982 im Arpanet ist SMTP zum Stan­dard­pro­to­koll für den Versand von E-Mails avanciert. Für End­nut­ze­rin­nen und Endnutzer erfolgt die Kon­fi­gu­ra­ti­on heute fast au­to­ma­tisch: Moderne Clients wie Outlook, Thun­der­bird oder Webmail-An­wen­dun­gen stellen SMTP (bzw. ESMTP) mit STARTTLS und Port 587 als Vor­ein­stel­lung bereit.

Die nach­fol­gen­de Übersicht zeigt Ihnen die SMTP-Server-Adressen und SMTP-Ports für einige der be­lieb­tes­ten E-Mail-Provider:

E-Mail-Provider SMTP-Server-Adresse SMTP-Port
Yahoo smtp.mail.yahoo.com 587
GMX mail.gmx.net 587
Web.de smtp.web.de 587
Gmail smtp.gmail.com 587 (TLS/STARTTLS), 465 (SSL)
Microsoft 365 / Outlook.com smtp.office365.com 587 (STARTTLS, empfohlen), 465 (SSL)
Hinweis

Hinweis: Port 25 (tra­di­tio­nel­les SMTP) ist für End-User meist blockiert und dient nur noch dem Mail-Transport zwischen Servern. Für das Senden über ein Nut­zer­kon­to sollten immer 587 oder 465 verwendet werden.

Pro­fes­sio­nel­les E-Mail-Hosting ganz nach Ihrem Bedarf
  • Per­so­na­li­sier­te E-Mail-Adresse
  • Zugriff auf E-Mails immer und überall
  • Höchste Si­cher­heits­stan­dards

Wie funk­tio­niert das SMTP-Verfahren?

Das SMTP-Verfahren zu verstehen bedeutet, E-Mail zu verstehen. Im Grunde läuft es wie folgt ab:

Schritt 1: Absender/Ab­sen­de­rin überträgt an SMTP-Server (Sub­mis­si­on)

  • Der SMTP-Client, also der Absender bzw. die Ab­sen­de­rin, lädt die E-Mail auf den SMTP-Server, also den E-Mail-Server (Post­aus­gangs­ser­ver) des je­wei­li­gen Providers.
  • Dies geschieht über eine Webmail-Anwendung im Browser oder ein E-Mail-Programm („Mail User Agent“, kurz MUA) wie Outlook oder Mozilla Thun­der­bird.
  • Mitt­ler­wei­le erfolgt diese Über­tra­gung stan­dard­mä­ßig über Port 587 mit STARTTLS-Ver­schlüs­se­lung und SMTP AUTH (Be­nut­zer­na­me + Passwort).

Schritt 2: Adress­auf­lö­sung via DNS

  • Der SMTP-Server der ab­sen­den­den Person kon­tak­tiert den DNS-Server und ermittelt die IP-Adresse des Ziel-SMTP-Servers (MX-Record der Emp­fän­ger­do­main).

Schritt 3: Wei­ter­lei­tung über Mail Transfer Agents (MTAs)

  • Die E-Mail wird über einen oder mehrere Mail Transfer Agents (MTA) wei­ter­ge­lei­tet.
  • Jeder MTA arbeitet nach den SMTP- bzw. ESMTP-Regeln.
  • Auf dem Trans­port­weg wird die Ver­bin­dung in der Regel per TLS gesichert, um Ma­ni­pu­la­ti­on und Mitlesen zu ver­hin­dern.

Schritt 4: Annahme beim Ziel-SMTP-Server

  • Der Ziel­ser­ver (Empfänger-Mail­ser­ver) prüft, ob das Postfach existiert.
  • Viele Mail­ser­ver kon­trol­lie­ren zu­sätz­lich SPF-, DKIM- und DMARC-Einträge, um Spoofing und Spam zu ver­hin­dern.
  • Die E-Mail wird im Nach­rich­ten­spei­cher zwi­schen­ge­spei­chert.

Schritt 5: Abruf durch den Empfänger oder die Emp­fän­ge­rin

  • Die emp­fan­gen­de Person ruft die E-Mail über IMAP oder POP3 ab.
  • Heute ist IMAP der Standard, da es eine Syn­chro­ni­sa­ti­on zwischen Geräten er­mög­licht.
Bild: Schaubild SMTP-Verfahren
Die Wei­ter­lei­tung einer E-Mail vom SMTP-Client über den Server bis zum Nach­rich­ten­spei­cher des Ziel-SMTP-Servers wird vom SMTP-Protokoll geregelt. Erst ab dann greifen andere Netz­werk­pro­to­kol­le.

Wie läuft eine SMTP-Session ab?

Die im ersten Schritt des SMTP-Ver­fah­rens erwähnte In­ter­ak­ti­on zwischen dem SMTP-Client und dem SMTP-Server stellt die ei­gent­li­che SMTP-Session dar. Jede Session besteht aus einer Abfolge von SMTP-Kommandos seitens des Clients und Antworten in Form von Sta­tus­codes seitens des Servers.

Übersicht über die SMTP-Kommandos

Gemäß den geltenden SMTP-Spe­zi­fi­ka­tio­nen muss jede Im­ple­men­tie­rung des Netz­werk­pro­to­kolls min­des­tens die folgenden acht Kommandos, bestehend aus 7-Bit-ASCII-Zeichen, un­ter­stüt­zen:

SMTP-Kommando Bedeutung
HELO „Hello.“ – Client meldet sich mit Com­pu­ter­na­men an und startet damit die Session.
EHLO Er­wei­ter­tes „Hello“. Fordert die Fä­hig­kei­ten des Servers an (ESMTP), z. B. STARTTLS oder AUTH.
MAIL FROM Client gibt den Absender bzw. die Ab­sen­de­rin der E-Mail an.
RCPT TO „Recipient“ – Client nennt Emp­fän­ger­adres­se der E-Mail.
DATA Beginn der Über­tra­gung (Header + Body).
RSET Abbruch der Über­tra­gung, Ver­bin­dung bleibt bestehen.
VRFY/EXPN „Verify“/„Expand“ – Über­prü­fung, ob ein Postfach existiert / Verteiler wird aufgelöst.
NOOP „Keep alive“: Ver­hin­dert eine Zeit­über­schrei­tung.
QUIT Beendet die Session.

Übersicht über die Server-Sta­tus­codes

Auf jedes dieser SMTP-Kommandos des Clients antwortet der Server mit einem drei­stel­li­gen Sta­tus­code inklusive Klar­text­mel­dung. Zum besseren Ver­ständ­nis haben wir diese Meldungen in den folgenden Über­sich­ten ins Deutsche übersetzt.

Sta­tus­codes, die si­gna­li­sie­ren, dass der Server das Kommando er­folg­reich aus­ge­führt hat:

Sta­tus­code Klar­text­mel­dung (ins Deutsche übersetzt)
200 (Nicht stan­dard­mä­ßi­ge Er­folgs­ant­wort)
211 An­for­de­rung von Sys­tem­sta­tus oder Sys­tem­hil­fe
214 An­for­de­rung von Hilfe bezüglich der Aus­füh­rung eines Kommandos
220 Server ist bereit für die SMTP-Session
221 Server beendet die Ver­bin­dung
250 OK – Kommando aus­ge­führt
251 OK – Kein lokaler User vorhanden, Mail wird wei­ter­ge­lei­tet
252 OK – Emp­fän­ger­adres­se kann nicht ve­ri­fi­ziert werden, Über­tra­gung wird trotzdem versucht
253 OK – Nach­rich­ten werden auf „Aus­ste­hend“ gesetzt

Sta­tus­codes, die si­gna­li­sie­ren, dass der Server das Kommando ver­stan­den hat, für die Ver­ar­bei­tung aber weitere In­for­ma­tio­nen benötigt:

Sta­tus­code Klar­text­mel­dung (ins Deutsche übersetzt)
354 Server startet Mail­emp­fang

Sta­tus­codes, die si­gna­li­sie­ren, dass der Server einen tem­po­rä­ren Fehler fest­ge­stellt hat, das Kommando aber mög­li­cher­wei­se trotzdem ver­ar­bei­tet werden kann:

Sta­tus­code Klar­text­mel­dung (ins Deutsche übersetzt)
421 Server nicht verfügbar, Ver­bin­dung wird beendet
450 Kommando nicht aus­ge­führt, Postfach nicht vorhanden
451 Kom­man­do­aus­füh­rung wegen lokalem Fehler ab­ge­bro­chen
452 Kommando nicht aus­ge­führt, da nicht genügend Sys­tem­spei­cher

Sta­tus­codes, die si­gna­li­sie­ren, dass der Server einen fatalen Fehler fest­ge­stellt hat und das Kommando nicht ver­ar­bei­tet werden kann:

Sta­tus­code Klar­text­mel­dung (ins Deutsche übersetzt)
500 Syn­tax­feh­ler, Kommando unbekannt
501 Syn­tax­feh­ler in Pa­ra­me­tern oder Ar­gu­men­ten
502 Kommando existiert nicht
503 Un­zu­läs­si­ge Kom­man­do­rei­hen­fol­ge
504 Kommando-Parameter existiert nicht
521 Server nimmt keine Mails an
530 Zugriff ver­wei­gert
550 Kommando nicht aus­ge­führt, Postfach nicht vorhanden
551 Kein lokaler User vorhanden, Wei­ter­lei­ten versuchen
552 Kom­man­do­aus­füh­rung ab­ge­bro­chen, Fehler bei der Spei­cher­zu­wei­sung
553 Kommando nicht aus­ge­führt, un­zu­läs­si­ger Postfach-Name
554 Über­tra­gung fehl­ge­schla­gen
Pro­fes­sio­nel­ler Mail-Server mit voller Kontrolle
E-Mail-Server von IONOS
  • Höchste Si­cher­heits­stan­dards
  • Au­to­ma­ti­sche Ver­schlüs­se­lung mit SSL/TLS
  • ISO 27001 zer­ti­fi­zier­te und geo­red­un­dan­te Re­chen­zen­tren
  • IMAP & SMTP

SMTP-Beispiel-Session

Eine SMTP-Session zwischen Client und Server kann bei­spiels­wei­se wie folgt ablaufen:

Partei SMTP-Kommandos und Sta­tus­codes Er­läu­te­rung
Server 220 smtp.beispiel.com ESMTP Postfix Nach dem Ver­bin­dungs­auf­bau meldet sich der SMTP-Server.
Client HELO relay.beispiel.com Der SMTP-Client meldet sich mit seinem Rech­ner­na­men an.
Server 250 smtp.beispiel.com, Guten Tag Der Server bestätigt die Anmeldung.
Client MAIL FROM:<max@mustermann.com> Der Client gibt die Ab­sen­der­adres­se des MUA an.
Server 250 OK Der Server bestätigt.
Client RCPT TO:<chef@arbeitsplatz.com> Der Client gibt die Emp­fän­ger­adres­se an.
Server 250 OK Der Server bestätigt.
Client DATA Der Client leitet die Über­tra­gung der E-Mail ein.
Server 354 End data with <CR><LF>.<CR><LF> Der Server startet den Empfang und gibt an, dass der E-Mail-Text mit einem Punkt („.) ge­schlos­sen werden soll.
Client From: „Max Mustermann“ <max@mustermann.com><br>To: Chef Arbeitsplatz chef@arbeitsplatz.com<br>Date: Montag, 19. September 2025 10:03:42<br>Subject: Krankmeldung

Hallo Chef,
leider muss ich mich heute krank­mel­den. Meine Arzt­be­schei­ni­gung lasse ich der HR per Fax zukommen.
Ich bitte um Ihr Ver­ständ­nis,
Max Mus­ter­mann. 		Der Client gibt den E-Mail-Text durch, hebt ihn mit einem Zei­len­um­bruch nach Subject: Krankmeldung hervor und beendet ihn mit dem ge­wünsch­ten Punkt.
Server 250 OK: queued as 15432 Der Server bestätigt den er­folg­rei­chen Empfang der E-Mail und nimmt sie in die War­te­schlan­ge auf.
Client QUIT Der Client si­gna­li­siert das Ende der Session.
Server 221 Auf Wiedersehen Der Server beendet die Ver­bin­dung.

Welche Nachteile hat das SMTP-Protokoll?

Trotz seiner weiten Ver­brei­tung hat SMTP einige Nachteile, die das Protokoll von Haus aus mitbringt:

Keine stan­dar­di­sier­te Ver­sand­be­stä­ti­gung

  • SMTP liefert von sich aus keine ver­läss­li­che Emp­fangs­be­stä­ti­gung.
  • Zwar können Server Rück­mel­dun­gen geben (z. B. so­ge­nann­te Delivery Status No­ti­fi­ca­ti­ons), doch deren For­ma­tie­rung ist nicht ein­heit­lich und oft schwer ver­ständ­lich.
  • Die Folge: Es ist schwierig, die genaue Ursache einer fehl­ge­schla­ge­nen Zu­stel­lung (z. B. Tipp­feh­ler in der Adresse, über­füll­tes Postfach) zu erkennen.

Fehlende Au­then­ti­fi­zie­rung im Ursprung

  • SMTP kennt ur­sprüng­lich keine Benutzer-Au­then­ti­fi­zie­rung. Theo­re­tisch kann jede Person eine E-Mail mit be­lie­bi­ger Ab­sen­der­adres­se versenden.
  • Dieses Problem führte zu mas­sen­haf­tem Spam und Spoofing (Fälschung von Ab­sen­der­adres­sen).
  • Um Miss­brauch zu ver­hin­dern, setzen Provider heute fast aus­schließ­lich auf: SMTP AUTH (Be­nut­zer­au­then­ti­fi­zie­rung mit Login-Daten), TLS-Ver­schlüs­se­lung (STARTTLS, Port 587 oder Port 465) und das Abweisen von offenen Relays
Hinweis

Hinweis: Viele Provider, etwa Microsoft 365, ersetzen die Basic-Au­then­ti­fi­zie­rung (Be­nut­zer­na­me + Passwort) in SMTP AUTH zunehmend durch OAuth 2.0. Prüfen Sie bei der Ein­rich­tung Ihres Mail­cli­ents, ob dieses sichere An­mel­de­ver­fah­ren un­ter­stützt wird.

An­fäl­lig­keit für Spam & Spoofing

  • Ohne zu­sätz­li­che Schutz­me­cha­nis­men können An­grei­fe­rin­nen und Angreifer im Namen fremder Domains E-Mails ver­schi­cken.
  • Moderne Si­cher­heits­stan­dards, die dieses Problem abfedern, sind unter anderem die bereits genannten SPF, DKIM und DMARC
  • MTA-STS (Mail Transfer Agent Strict Transport Security) sorgt dafür, dass E-Mails nur über ver­schlüs­sel­te Ver­bin­dun­gen über­tra­gen werden.
  • DANE (DNS-based Au­then­ti­ca­ti­on of Named Entities) gewährt eine zu­sätz­li­che Ab­si­che­rung von TLS-Zer­ti­fi­ka­ten via DNSSEC.

Dank dieser Er­wei­te­run­gen ist SMTP in Kom­bi­na­ti­on mit ESMTP und den modernen Si­cher­heits­stan­dards heute deutlich zu­ver­läs­si­ger und sicherer als noch vor wenigen Jahren.

Was ist ESMTP?

Als Reaktion auf die Si­cher­heits­lü­cken und Be­schrän­kun­gen des ur­sprüng­li­chen SMTP wurde 1995 das Extended Simple Mail Transfer Protocol (ESMTP) ein­ge­führt. ESMTP erweitert SMTP um zu­sätz­li­che Kommandos und Optionen, die den Versand von E-Mails sicherer, flexibler und ef­fi­zi­en­ter machen.

Wichtige Funk­tio­nen von ESMTP

  • Au­then­ti­fi­zie­rung des Absenders bzw. der Ab­sen­de­rin über SMTP AUTH, um Spoofing und Spam zu ver­hin­dern.
  • TLS-Ver­schlüs­se­lung über STARTTLS, sodass Nach­rich­ten beim Versand geschützt sind.
  • Anhängen von Mul­ti­me­dia-Dateien (z. B. Bilder, Videos, Dokumente).
  • Grö­ßen­be­schrän­kun­gen nach Server-Vorgaben (z. B. SIZE).
  • Par­al­le­ler Versand an mehrere Emp­fän­ge­rin­nen und Empfänger.
  • Stan­dar­di­sier­te Feh­ler­mel­dun­gen bei Un­zu­stell­bar­keit.
  • Un­ter­stüt­zung von 8-Bit-Inhalten durch das Kommando 8BITMIME, womit z. B. Son­der­zei­chen und UTF-8-Symbole direkt über­tra­gen werden können.

Beispiele für ESMTP-Kommandos

ESMTP-Kommando Bedeutung
EHLO Al­ter­na­ti­ve zu HELO. Meldet den Client an und prüft, ob der Server ESMTP un­ter­stützt.
AUTH Au­then­ti­fi­zie­rung des Absenders (z. B. über Be­nut­zer­na­me/Passwort).
STARTTLS Aus­han­deln einer ver­schlüs­sel­ten Ver­bin­dung (TLS).
SIZE Server gibt die maximal zulässige E-Mail-Größe in Byte an.
8BITMIME Erlaubt die Über­tra­gung von Nach­rich­ten mit 8-Bit-ASCII oder UTF-8.
Fazit

In der Praxis spricht man heute meist von SMTP, obwohl nahezu alle modernen Mail­ser­ver ESMTP mit seinen Er­wei­te­run­gen einsetzen. Erst diese Funk­tio­nen – ins­be­son­de­re Au­then­ti­fi­zie­rung und Ver­schlüs­se­lung – machen den E-Mail-Versand sicher und zu­ver­läs­sig.

Zum Hauptmenü