Der komplette SMTP-Konfigurationsleitfaden: Ports, Authentifizierung und E-Mail-Server-Setup

Navigieren
Zurück zum Blog
Veröffentlicht
Apr 20, 2026
Lesezeit
11 Min. Lesezeit
Geschrieben von
Simon Meier
Cybersicherheitsillustration mit Authentifizierung, gesichertem Server mit Schutzschild, Schloss und Serverports auf dunkelblauem Hintergrund

SMTP-Konfiguration ist der Prozess der Einrichtung deines Mail-Servers (oder E-Mail-Clients), um Nachrichten korrekt über das Simple Mail Transfer Protocol zu versenden. Machst du es richtig, landen deine E-Mails in den Posteingängen. Machst du es falsch, wirst du mit Zustellungsfehlern, Authentifizierungsfehlern oder Nachrichten konfrontiert, die stillschweigend in Spam-Ordnern landen. Die drei Dinge, die du jedes Mal richtig machen musst, sind der richtige Port, die richtige Verschlüsselungsmethode und funktionierende Authentifizierungsdaten.

Inhaltsverzeichnis

Was SMTP eigentlich macht

SMTP ist das Protokoll, das dein E-Mail-Client oder deine Anwendung nutzt, um ausgehende Nachrichten an einen Mail-Server zu übergeben, der sie dann zum Empfänger leitet. Es verarbeitet nur die Sendeseite. Der Empfang von E-Mails wird durch separate Protokolle gehandhabt: IMAP (zum Synchronisieren) oder POP3 (zum Herunterladen).

Wenn du auf "Senden" klickst, öffnet dein Client eine TCP-Verbindung zum SMTP-Server, authentifiziert sich, übergibt die Nachricht und trennt die Verbindung. Der Server versucht dann, diese Nachricht an den Mail-Server des Empfängers zu liefern, indem er dasselbe Protokoll nutzt und den MX-DNS-Eintrag (Mail Exchange) des Ziels nachschlägt, um herauszufinden, wohin er sie senden soll.

SMTP ist inRFC 5321definiert, die das ursprüngliche RFC 2821 ersetzt. Das Verständnis der Spezifikation hilft, wenn du Raw-SMTP-Konversationen debuggen oder einen Server von Grund auf konfigurieren musst.

SMTP-Ports erklärt: 25, 465 und 587

Es gibt drei Ports, auf die du in jeder SMTP-Konfiguration stoßen wirst. Jeder hat eine spezifische Rolle, und die Verwendung des falschen ist eine der häufigsten Ursachen für E-Mail-Zustellungsfehlschläge.

Port Name Verschlüsselung Typische Verwendung
25 SMTP Keine (oder STARTTLS) Server-zu-Server-Relay (MTA zu MTA)
465 SMTPS Implizites SSL/TLS Legacy-Client-Übermittlung (ältere Apps)
587 Submission STARTTLS (explizites TLS) Authentifizierte Client-E-Mail-Übermittlung

Port 25 vs. 587: Welchen solltest du verwenden?

Port 25 ist der ursprüngliche SMTP-Port, der 1982 definiert wurde. Er wurde für Mail-Server konzipiert, die miteinander kommunizieren, nicht für Endbenutzer, die E-Mails versenden. Die meisten ISPs und Cloud-Provider blockieren ausgehenden Port 25 von Wohngebiets- und Shared-Hosting-IPs speziell, um Spam zu verhindern. Wenn du eine Anwendung betreibst, die E-Mails versendet, wird der Versuch, Port 25 zu verwenden, mit ziemlicher Sicherheit fehlschlagen.

Port 587 ist die richtige Wahl für den Versand von E-Mails von einem Client oder einer Anwendung aus. Er wurde inRFC 6409als dedizierter "Message-Submission"-Port standardisiert. Er erfordert STARTTLS, was bedeutet, dass die Verbindung unverschlüsselt beginnt und sich dann zu TLS upgradet, bevor Anmeldedaten gesendet werden. Das ist das, was Gmail, Outlook und praktisch jeder moderne E-Mail-Anbieter von dir erwartet.

Sende niemals Anmeldedaten über eine unverschlüsselte Verbindung.Wenn dein SMTP-Client auf Klartext zurückfällt, wenn STARTTLS fehlschlägt, wird dein Benutzername und Passwort im Klartext übertragen. Konfiguriere deinen Client immer so, dass er TLS erfordert und die Verbindung ablehnt, wenn die Verschlüsselung nicht hergestellt werden kann.

SMTP-Port 465: Der SSL-Legacy-Port

Port 465 hat eine ungewöhnliche Geschichte. Er wurde 1997 kurz SMTPS (SMTP über SSL) zugewiesen, dann wurde diese Zuweisung 1998 widerrufen, als STARTTLS auf Port 587 zum bevorzugten Ansatz wurde. Obwohl es offiziell veraltet ist, unterstützten viele Mail-Server es weiterhin, und es wurde später von der IANA für einen anderen Zweck erneut registriert.

In der Praxis akzeptieren die meisten Provider weiterhin Verbindungen auf Port 465 mit implizitem SSL/TLS. Das bedeutet, dass TLS die gesamte Verbindung vom ersten Byte an umhüllt, anstatt sich wie STARTTLS im Handshake zu upgraden. Einige ältere Anwendungen und Hardware (bestimmte Netzwerkdrucker, Legacy-CRMs) unterstützen nur Port 465, daher bleibt er in diesen Fällen nützlich.

  • Verwende Port 465, wenn deine Anwendung oder dein Gerät speziell implizites SSL erfordert und kein STARTTLS kann.
  • Verwende Port 587 für alles andere. Es ist der moderne Standard.
  • Vermeide Port 25 für Client-Übermittlung ganz.

SMTP-Authentifizierung: So funktioniert es

SMTP-Authentifizierung (oft als SMTP AUTH geschrieben) ist inRFC 4954definiert. Sie erfordert, dass sich der Client authentifiziert, bevor der Server ausgehende E-Mails akzeptiert. Ohne sie könnte jeder, der deinen Server erreichen kann, ihn zum Versand von Spam nutzen, weshalb offene Relays als ernstes Sicherheitsproblem behandelt werden.

Die häufigsten Authentifizierungsmechanismen, die du in der SMTP-Konfiguration sehen wirst, sind:

  • PLAIN:Sendet Benutzername und Passwort Base64-kodiert. Sicher nur über eine verschlüsselte Verbindung (TLS muss zuerst aktiv sein).
  • LOGIN:Ähnlich wie PLAIN, aber sendet Benutzername und Passwort als separate Austausche. Erfordert auch TLS.
  • CRAM-MD5:Ein Challenge-Response-Mechanismus, der das direkte Versenden des Passworts vermeidet. Weniger häufig auf modernen Servern.
  • XOAUTH2:Verwendet von Gmail und anderen Google-Workspace-Konten. Anstelle eines Passworts stellst du ein OAuth-2.0-Zugangstoken zur Verfügung. Das ist das, was du brauchst, wenn "Zugriff für weniger sichere Apps" deaktiviert ist.
App-Passwörter vs. dein Hauptpasswort:Gmail, Outlook und Yahoo unterstützen alle App-spezifische Passwörter für SMTP-Clients, die OAuth nicht unterstützen. Generiere eines aus deinen Kontosicherheitseinstellungen und verwende das statt deines echten Passworts. Es kann unabhängig widerrufen werden, ohne deine Hauptanmeldedaten zu ändern.

E-Mail-Server-Einrichtung Schritt für Schritt

Ob du einen E-Mail-Client wie Thunderbird, eine Web-App, die Transaktions-E-Mails versendet, oder einen selbst gehosteten Mail-Server konfigurierst, der Prozess folgt derselben logischen Abfolge.

Für E-Mail-Clients und Anwendungen

  1. Rufe den SMTP-Hostnamen von deinem Anbieter ab.Beispiele: smtp.gmail.com , smtp.office365.com , mail.yourdomain.com .
  2. Wähle den richtigen Port.Verwende 587 mit STARTTLS als Standard. Greife auf 465 mit SSL zurück, nur wenn deine App es erfordert.
  3. Gib deine Authentifizierungsdaten ein.Das ist normalerweise deine vollständige E-Mail-Adresse als Benutzername plus dein Passwort oder App-Passwort.
  4. Stelle die Verschlüsselungsmethode ein.Passe sie an den Port an: STARTTLS für 587, SSL/TLS für 465.
  5. Teste die Verbindung.Die meisten E-Mail-Clients haben einen Button "Kontoeinstellungen testen" oder "Verifizieren". Nutze ihn, bevor du speicherst.

Für einen selbst gehosteten Mail-Server (Postfix-Beispiel)

Wenn du deinen eigenen Server mit Postfix betreibst, befindet sich die Kern-SMTP-Konfiguration in /etc/postfix/main.cf . Hier ist ein minimales funktionierendes Beispiel für einen Server, der über einen Drittanbieter-SMTP-Provider relayed:

# /etc/postfix/main.cf - Basic relay configuration

relayhost = [smtp.sendgrid.net]:587
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_tls_security_level = encrypt
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
smtp_use_tls = yes

Nach dem Bearbeiten erstelle /etc/postfix/sasl_passwd mit deinen Anmeldedaten, führe postmap /etc/postfix/sasl_passwd aus, um es zu hashen, und lade dann Postfix neu mit systemctl reload postfix .

Sperr sasl_passwd sofort.Führe chmod 600 /etc/postfix/sasl_passwd und chmod 600 /etc/postfix/sasl_passwd.db aus, nachdem du die Datei erstellt hast. Lesbare Anmeldedatendateien sind eine häufige Server-Fehlkonfiguration.

Häufige SMTP-Einstellungen für beliebte Anbieter

Anbieter SMTP-Host Port Verschlüsselung Authentifizierungshinweis
Gmail smtp.gmail.com 587 STARTTLS Verwende App-Passwort oder OAuth2
Gmail (alt) smtp.gmail.com 465 SSL/TLS Verwende App-Passwort oder OAuth2
Microsoft 365 smtp.office365.com 587 STARTTLS Moderne Authentifizierung / App-Passwort
Yahoo Mail smtp.mail.yahoo.com 465 SSL/TLS App-Passwort erforderlich
Zoho Mail smtp.zoho.com 587 STARTTLS Vollständige E-Mail-Adresse als Benutzername
Amazon SES email-smtp.us-east-1.amazonaws.com 587 STARTTLS IAM-SMTP-Anmeldedaten

Behebung von SMTP-Verbindungsproblemen

Die meisten SMTP-Fehlschläge fallen in eine kleine Anzahl von Kategorien. Bevor du dich in Logs vertiefst, überprüfe, ob der Port tatsächlich von deinem Server oder Netzwerk erreichbar ist. Eine Firewall oder ein ISP-Block ist oft der Schuldige, und du kannst ihn schnell ohne spezielle Tools bestätigen.

Du kannst überprüfen, ob ein SMTP-Port auf deinem Mail-Server offen ist, indem du einen kostenlosen Online-Port-Checker verwendest. Gib den Hostnamen oder die IP deines Mail-Servers ein, wähle Port 25, 465 oder 587 und führe den Test aus. Wenn das Ergebnis als geschlossen oder Timeout angezeigt wird, ist das Problem auf Netzwerk-Ebene (Firewall, ISP-Block oder der Service läuft nicht), nicht ein Konfigurationsfehler in deiner App.

Häufige Fehlermeldungen und ihre Bedeutung

  • Verbindung abgelehnt / Verbindung zeitüberschritten:Der Port ist blockiert oder der Service horcht nicht. Überprüfe deine Firewall-Regeln und bestätige, dass der SMTP-Daemon läuft.
  • 535 Authentifizierung fehlgeschlagen:Falscher Benutzername oder Passwort. Bei Gmail bedeutet das normalerweise, dass du ein App-Passwort brauchst, nicht dein Kontopasswort.
  • 550 5.7.1 Relay-Zugang verweigert:Dein Server ist nicht so konfiguriert, dass er E-Mails für diese Absenderadresse relayed, oder die Authentifizierung hat nicht stattgefunden, bevor der MAIL-FROM-Befehl gesendet wurde.
  • 421 Zu viele Verbindungen:Der empfangende Server drosselt dich. Reduziere die Sendefrequenz oder implementiere eine Warteschlange mit Verzögerungen.
  • TLS-Handshake fehlgeschlagen:Zertifikat-Nichtübereinstimmung oder veraltete TLS-Version. Überprüfe, dass das SSL-Zertifikat deines Servers gültig ist und dass du nicht versuchst, TLS 1.0 oder 1.1 zu verwenden, die die meisten Provider deaktiviert haben.

Schnelle Diagnose-Checkliste

  1. Bestätige, dass der SMTP-Port offen ist und von deiner Sendeumgebung aus erreichbar ist.
  2. Verifiziere, dass der Hostname korrekt mit nslookup smtp.yourdomain.com aufgelöst wird.
  3. Überprüfe, dass deine sendende IP nicht auf einer Blockierungsliste steht, indem du ein Tool wieMXToolbox Blacklist Checkverwendest.
  4. Bestätige, dass deine SPF-, DKIM- und DMARC-DNS-Einträge korrekt veröffentlicht sind. Fehlende oder beschädigte Einträge führen dazu, dass legitime E-Mails abgelehnt oder in den Spam verschoben werden.
  5. Überprüfe deine Mail-Server-Logs. Bei Postfix, überprüfe /var/log/mail.log . Die tatsächlichen SMTP-Antwort-Codes im Log zeigen dir genau, was der Remote-Server abgelehnt hat und warum.
SPF, DKIM und DMARC sind genauso wichtig wie deine SMTP-Einstellungen.Selbst ein perfekt konfigurierter SMTP-Server wird Zustellbarkeitsprobleme haben, wenn diese DNS-Einträge fehlen. SPF teilt empfangenden Servern mit, welche IPs zum Versand für deine Domain berechtigt sind. DKIM fügt ausgehenden Nachrichten eine kryptographische Signatur hinzu. DMARC teilt Empfängern mit, was zu tun ist, wenn eine der Überprüfungen fehlschlägt.
Online-Port-Checker-Tool zur Überprüfung des SMTP-Port-Status für die E-Mail-Server-Einrichtung

Ist dein SMTP-Port wirklich offen?

Bevor du deine SMTP-Konfiguration beschuldigst, bestätige, dass das Problem nicht ein blockierter Port ist. Unser kostenloser Port-Checker ermöglicht dir, Port 25, 465 oder 587 auf jedem Mail-Server sofort zu testen, damit du weißt, ob du mit einem Firewall-Problem oder einem Konfigurationsfehler zu tun hast.

Überprüfe deinen SMTP-Port jetzt →

Port 465 nutzt implizites SSL/TLS, was bedeutet, dass die gesamte Verbindung von Anfang an verschlüsselt ist. Port 587 nutzt STARTTLS, das als einfache Verbindung beginnt und sich dann zu TLS upgradet, bevor Anmeldedaten gesendet werden. Beide sind sicher, wenn sie korrekt konfiguriert sind, aber Port 587 ist der moderne Standard, der für die Client-E-Mail-Übermittlung empfohlen wird. Verwende 465 nur, wenn deine Anwendung speziell implizites SSL erfordert und STARTTLS nicht unterstützen kann.

Port 25 ist auf den meisten Wohngebiets- und Shared-Hosting-Netzwerken blockiert, weil er historisch verwendet wurde, um Spam direkt von kompromittierten Maschinen zu versenden. Durch die Blockierung des ausgehenden Port 25 verhindern ISPs und Cloud-Provider (einschließlich AWS EC2 standardmäßig), dass ihre IP-Bereiche als Spam-Quellen verwendet werden. Zum Versand von E-Mails aus Anwendungen verwendest du Port 587. Wenn du einen legitimen Mail-Server betreibst, der Port 25 für Server-zu-Server-Relay offen benötigt, musst du normalerweise deinen Provider um Aufhebung der Blockierung bitten.

In den meisten Fällen ist dein SMTP-Benutzername deine vollständige E-Mail-Adresse, zum Beispiel you@yourdomain.com . Einige ältere Systeme verwenden nur den lokalen Teil vor dem @-Zeichen. Bei Diensten wie Amazon SES ist der Benutzername eine separate von IAM generierte SMTP-Anmeldedaten, nicht deine E-Mail-Adresse überhaupt. Überprüfe immer die Dokumentation für deinen spezifischen Anbieter. Wenn du Gmail oder Outlook mit aktivierter Zwei-Faktor-Authentifizierung verwendest, musst du ein App-spezifisches Passwort generieren, anstatt dein reguläres Kontopasswort zu verwenden.

Du kannst auf mehreren Ebenen testen. Überprüfe zuerst, dass der SMTP-Port mit einem Port-Checker-Tool erreichbar ist oder indem du telnet smtp.yourdomain.com 587 von deinem Server aus ausführst. Wenn der Port offen ist, kannst du den vollständigen SMTP-Handshake mit openssl s_client -starttls smtp -connect smtp.yourdomain.com:587 testen, das das TLS-Zertifikat zeigt und dir ermöglicht, Raw-SMTP-Befehle einzugeben. Für einen vollständigen End-to-End-Test ohne Lieferung an einen echten Posteingang, verwende einen Dienst wie Mailtrap, der SMTP-Verbindungen akzeptiert und dir die Nachricht anzeigt, ohne sie weiterzuleiten.

Erfolgreiche SMTP-Authentifizierung beweist nur, dass du berechtigt bist, den Server zu verwenden. Spam-Filterung findet separat am empfangenden Ende statt und basiert auf einer Kombination von Faktoren: ob deine sendende IP auf einer Blockierungsliste steht, ob dein SPF-Eintrag diese IP zum Versand für deine Domain autorisiert, ob deine DKIM-Signatur gültig ist und mit deinem DNS-Eintrag übereinstimmt, und ob deine DMARC-Richtlinie veröffentlicht ist. Ein fehlender oder beschädigter SPF-Eintrag allein reicht aus, um Gmail oder Outlook dazu zu bringen, deine Nachrichten in den Spam zu verschieben. Überprüfe alle drei DNS-Einträge und verifiziere den Ruf deiner sendenden IP.

Ja, aber mit Einschränkungen. Der SMTP-Server von Gmail ( smtp.gmail.com auf Port 587) versendet E-Mails authentifiziert als dein Gmail-Konto. Wenn du möchtest, dass die "Von"-Adresse deine benutzerdefinierte Domain anzeigt, musst du diese Adresse in Gmails Einstellungen unter "E-Mail versenden als" hinzufügen und den Besitz verifizieren. Gmail fügt jedoch eine "gesendet via gmail.com"-Anmerkung hinzu, die in einigen E-Mail-Clients sichtbar ist. Für ein sauberes Setup mit deiner eigenen Domain ist die Verwendung eines Transaktions-E-Mail-Providers wie Amazon SES oder eines dedizierten SMTP-Relays eine bessere langfristige Wahl.