POP3-before-SMTP gilt heute als veraltet (deprecated) und wurde fast überall durch SMTP AUTH ersetzt. Es wird von unserem neuen Mail-Cluster (4future.email) nicht mehr unterstützt.
Warum POP3-before-SMTP früher verwendet wurde
In den 1990ern und frühen 2000ern unterstützten viele SMTP-Server und Clients keine Authentifizierung für SMTP. Das ist heute völlig unvorstellbar, aber in den Anfängen des Internets konnte jedermann über jeden SMTP Server beliebig Mails versenden und es gab keinen SPAM.
Um trotzdem nur Kunden das Versenden zu erlauben, wurde folgender Workaround genutzt:
-
Client meldet sich per POP3 am Mailserver an (User + Passwort).
-
Der POP3-Server schreibt die Client-IP in eine temporäre Whitelist.
-
Für z. B. 10–30 Minuten darf diese IP über SMTP senden.
Das war ein Hack, um fehlende SMTP-Anmeldung zu umgehen. Da Mailserver nun fast 30 Jahren Login untertützt, wird dieses Verfahren am neuen Mailserver nicht mehr Unterstützt.
Probleme mit POP3-before-SMTP
Der Ansatz ist aus heutiger Sicht problematisch:
-
IP-basiert → funktioniert schlecht bei NAT, mobilen Netzen, IPv6
-
Race conditions (mehrere User hinter einer IP)
-
keine echte SMTP-Authentifizierung
-
schlecht mit TLS kombinierbar (Keine Verschlüsselung)
-
nicht kompatibel mit modernen Mailclients
Was heute Standard ist
Heute nutzt praktisch jeder Mailserver:
-
SMTP AUTH (RFC 4954)
-
meist über Submission Port 587
-
mit STARTTLS oder SMTPS
Typischer Flow:
EHLO
STARTTLS
AUTH LOGIN / AUTH PLAIN / AUTH XOAUTH2
MAIL FROM
RCPT TO
DATA
Aktuelle Praxis bei großen Systemen
Beispiele:
-
Gmail – SMTP AUTH + OAuth2
-
Microsoft 365 – SMTP AUTH (oder Graph API)
-
ISP-Mailserver – SMTP AUTH über Port 587
-
Hostingpanel (ISPConfig, cPanel, Plesk) – ebenfalls SMTP AUTH
POP3-before-SMTP ist so gut wie nirgends mehr implementiert. Bei uns ist es daher auch Zeit in Pension zu gehen.