Sinn hinter SMTP-Auth ist es, zu verhindern, dass ein SMTP-Serverals „Offenes Mail-Relay“ missbraucht wird, um Spam im Netzwerk zu verteilen. Die Notwendigkeit dieses Verfahrens ist in den inhärenten Eigenschaften des ursprünglichen SMTP von 1982 begründet, das standardmäßig keine Authentifizierung von Nutzern vorsah. Aus diesem Grund waren Offene Mail-Relays bis etwa 1997 die Norm – also Mail-Server, die jede E-Mail weiterleiten, egal, von welcher Absenderadresse und an welche Empfängeradresse. Was aus heutiger Sicht absurd erscheint, hatte damals gute Gründe: Systemfehler und Serverausfälle traten häufiger auf, weshalb Offene Mail-Relays im Notfall den Traffic aufrechterhalten sollten.
Aus der weiten Verbreitung solch ungeschützter Relays erwuchs jedoch das Problem der Spam-Flut. Moralisch fragwürdige Werbetreibende wie auch böswillige Kriminelle (allen voran der berüchtigte „Spam-King“ Sanford „Spamford“ Wallace mit seiner Firma Cyberpromo) nutzten die offenen Server mittels gestohlener oder erfundener E-Mail-Adressen, um Spam zu verteilen (diese Praktik nennt sich „Mail-Spoofing“).
Da die Server seinerzeit nicht über zusätzliche Authentifizierungsmechanismen verfügten, nahmen sie die Spam-Mails anstandslos entgegen und speisten sie in das Netzwerk ein. Durch die Nutzung fremder Hardware sparten die Spammer zugleich eigene Ressourcen und konnten zudem nicht zurückverfolgt werden. Weiterhin ermöglichte es der ständige Wechsel der Fake-Adressen, Spamfilter zu umgehen. Verschiedene Gegenmaßnahmen wurden entwickelt, um das Problem der Offenen Mail-Relays zu lösen – zuerst SMTP-After-POP, 1995 dann ESMTP und ASMTP. Mit Erfolg: Die Anzahl Offener Mail-Relays schrumpfte bis 2005/06 von mehreren Hunderttausend auf einen verschwindend geringen Bruchteil zusammen.
Zwar ist die Situation heute längst nicht mehr so kritisch wie damals, trotzdem machen Spammer laut der internationalen Non-Profit-Organisation Spamhaus immer noch 10 bis 20 neue offene Server pro Tag im Netzwerk ausfindig. Manchmal sind sie das Ergebnis der Leichtsinnigkeit unerfahrener Administratoren, die ihren Server zu Testzwecken vorübergehend öffnen. Häufiger liegt das Problem laut Spamhaus aber bei schlecht konfigurierten oder gecrackten Firewalls und externen Sicherheitsapplikationen – also nicht unbedingt bei der Serverkonfiguration an sich, wie es oft bei kleinen regionalen Firmen der Fall ist. Lässt eine Applikation eine Spam-Mail durch, wird diese nämlich über eine lokale SMTP-Verbindung mit der IP-Adresse der jeweiligen Applikation an den Server weitergereicht, der sie dann als vertrauenswürdig behandelt. Zudem nutzen immer mehr Spammer Botnetze aus „zombifizierten“ Heimcomputern als Relays.
Nun ist es so, dass für Spam instrumentalisierte Offene Mail-Relays in der Regel schon nach wenigen Tagen oder sogar Stunden als solche identifiziert werden und anschließend auf sogenannten Blacklists landen. Das hat zur Folge, dass selbst legitime E-Mails im Spamfilter des Empfängers landen, sodass sich der Betreiber eines Mailservers erst um die Schließung der Sicherheitslücke kümmern und dann um die Löschung von der Liste bemühen muss, um wieder normal operieren zu können. Unternehmen entsteht durch Spammer also nicht nur hoher Traffic zulasten ihrer Hardware-Geschwindigkeit; ihre angeschlagene Reputation und der zusätzliche Zeitaufwand kosten auch bares Geld.
Genau aus diesem Grund verwenden nahezu alle Mailserver heutzutage ESMTP in Verbindung mit ASMTP. Sie verlangen also im Vorfeld der Nutzung ihrer E-Mail-Dienstleistung immer eine Authentifizierung. Als optimal konfiguriertes SMTP-Relay (auch „Smart Host“ genannt) gilt dabei ein Server, der nur dann E-Mails von Absendern an Dritte weiterleitet, wenn er für beide Parteien zuständig ist. Im Klartext: Ankommende Mails gehen nur an registrierte Benutzer, und ausgehende Mails stammen ausschließlich von registrierten Benutzernbzw. solchen, die zur Nutzung des Mailservers autorisiert sind.