SMTP est un protocole assez simple, dans lequel il faut commencer par spécifier l'expéditeur du message, puis le ou les destinataires d'unmessage, puis, en général après avoir vérifié leur existence, le corps du message est transféré. Il est possible de tester unserveur SMTP en utilisant la commandetelnet sur leport 25 d'un serveur distant.
Le SMTP commence à être largement utilisé au début desannées 1980. Il est alors un complément à l'UUCP, celui-ci étant plus adapté pour le transfert de courriers électroniques entre des machines dont l'interconnexion est intermittente. Le SMTP, de son côté, fonctionne mieux lorsque les machines qui envoient et reçoivent les messages sont interconnectées en permanence.
Comme le protocole utilisait du texte enASCII (7bits), il ne fonctionnait pas pour l'envoi de n'importe quelsoctets dans desfichiers binaires. Pour pallier ce problème, des standards commeMIME ont été développés pour permettre le codage des fichiers binaires au travers de SMTP. Aujourd'hui, la plupart des serveurs SMTP acceptent le MIME sur 8 bits, ce qui permet de transférer des fichiers binaires presque aussi facilement que du texte simple.
Lesclients de messagerie utilisaient aussi le port 25 (SMTP) pour soumettre des messages en utilisant le protocole SMTP. Mais la nécessité de mieux contrôler les envois des clients, en particulier par l'authentification, a conduit à l'attribution du port 587 (submission)[3].
Le test partelnet mentionné ci-dessus donnerait, dans une fenêtre de terminal shell, un dialogue semblable à :
(la saisie de l'utilisateur est envert et les messages du serveur sont enrouge)
telnet smtp.----.---- 25Connected to smtp.----.----.220 smtp.----.---- SMTP ReadyHELO client250-smtp.----.----250-PIPELINING250 8BITMIMEMAIL FROM: <auteur@yyyy.yyyy>250 Sender okRCPT TO: <destinataire@----.---->250 Recipient ok.DATA354 Enter mail, end with "." on a line by itselfSubject: TestCorps du texte.250 OkQUIT221 Closing connectionConnection closed by foreign host.
Notons que la fin du texte est repérée par un point seul sur sa ligne. Lorsque le texte doit contenir un point seul sur sa ligne, il est donc nécessaire de le doubler (<CR><LF>..<CR><LF>).
Comme on le constate dans l'exemple ci-dessus, il existe une syntaxe précise pour envoyer les messages et une série de codes retour sur trois chiffres pour indiquer le statut de la demande. Le premier chiffre du code retour indique le statut global de la demande, les deux autres chiffres donnent le détail du statut :
code 2 : la demande a été exécutée sans erreur ;
code 3 : la demande est en cours d'exécution ;
code 4 : indique une erreur temporaire ;
code 5 : la demande n'est pas valide et n'a pas pu être traitée.
Premier code envoyé par le serveur lorsque la connexion s'est effectuée avec succès.
250
Confirmation de commande acceptée.
354
Réponse à la commande DATA. Le serveur attend les données du corps du message. Le client indique la fin du message par un point seul sur une ligne : <CR><LF>.<CR><LF>
421
Échec temporaire au niveau de la connexion. Il se peut que le serveur soit surchargé, qu'il limite le nombre de connexions en provenance d'une même adresse IP ou que le service soit indisponible.
452
Échec temporaire : nombre de destinataires maximum atteint.
550
Échec permanent. La boîte aux lettres n'existe pas ou l'adresse du destinataire est invalide.
554
Échec permanent au niveau de la connexion : utilisé à la place du code 220 pour les hôtes sur liste noire.
Une des limitations de SMTP vient de l'impossibilité d'authentifier l'expéditeur. Pour ceci, l'extensionSMTP-AUTH a été définie. Malheureusement, l'impossibilité d'imposer largement SMTP-AUTH a rendu ce protocole impuissant face au phénomène duspam.
Le spam est dû à un certain nombre de facteurs dont : l'implémentation de logicielsMail Transfer Agent (MTA) ne respectant pas les standards, lesfailles de sécurité dans lessystèmes d'exploitation autorisant les spammeurs à contrôler à distance des PC utilisateurs pour leur faire envoyer du spam et enfin un manque d'intelligence de certains MTA.
Afin de lutter efficacement contre ce phénomène, il existe deux approches : modifier profondément SMTP (voire le remplacer) ou bien lui adjoindre d'autres protocoles pour combler ses lacunes. Modifier SMTP de manière importante, ou le remplacer complètement, ne paraît pas faisable, à cause de l'importance du réseau de serveurs déjà installé. Malgré tout, des solutions alternatives ont été développées commeInternet Mail 2000(en) ouePost.
Une autre approche consiste à créer des systèmes visant à assister les opérations du protocole SMTP. Le groupe de recherche anti-spam (ASRG) de l'IRTF(en), travaille actuellement[Quand ?] sur l'authentification descourriers électroniques dans le but de fournir un système flexible, léger, extensible, et évolutif. L'ensemble de ces recherches ont abouti au protocoleMARID en 2004 ainsi qu'au protocoleDomainKeys Identified Mail en 2006.
En 2006, l'AFA recommande auxfournisseurs d'accès internet (FAI) de bloquer les paquets TCP/IP sortant à destination du port 25[8]. L'idée développée est qu'« un utilisateur résidentiel ne devrait pouvoir émettre ses messages électroniques que via le serveur de sonfournisseur de messagerie électronique. »
En France et au Canada, les principaux FAI ont suivi cette recommandation : Orange, Bell, Videotron et CCAPcable bloquent le port 25 depuis[10], Free depuis (c'est une option, le blocage peut être désactivé)[11], AOL depuis 2003.
La pratique aujourd'hui est la soumission avec chiffrementTLS du message par l'utilisateur au serveur de messagerie en utilisant du SMTP authentifié (port 587 ou port 465). Le port 25 sert uniquement aux serveurs SMTP entre eux.
