Le but de SMTP-Auth est d’empêcher qu’un serveur SMTP soit utilisé comme « Open Mail Relay » pour distribuer du spam sur le réseau. La nécessité de cette procédure est due aux caractéristiques inhérentes au SMTP original de 1982, qui ne prévoyait pas l’authentification des utilisateurs par défaut. C’est pourquoi, jusqu’en 1997 environ, les relais de messagerie ouverts constituaient la norme : il s’agit de serveurs de messagerie qui redirigent tous les emails, quelle que soit l’adresse de l’expéditeur ou du destinataire. Ce qui semble absurde aujourd’hui se basait à l’époque sur de bonnes raisons : en effet, les erreurs de système et les pannes de serveur sont plus fréquentes, c’est pourquoi les relais de messagerie ouverts devraient maintenir le trafic en cas d’urgence.
Toutefois, l’utilisation généralisée de ces relais non protégés a créé le problème du spam. Des annonceurs moralement douteux ainsi que des criminels malveillants (surtout le tristement célèbre « Spam-King » Sanford « Spamford » Wallace avec sa société Cyberpromo) ont utilisé les serveurs ouverts avec des adresses email volées ou inventées pour distribuer du spam. Cette pratique est appelée « Mail Spoofing ».
Comme les serveurs ne disposaient à l’époque d’aucun mécanisme d’authentification supplémentaire, ils ont accepté sans hésitation les courriers indésirables et les ont introduits dans le réseau. En utilisant du matériel externe, les spammeurs ont également économisé leurs propres ressources et n’ont pas pu être tracés. De plus, le changement constant de fausses adresses permettait de contourner les filtres anti-spam. Diverses contre-mesures ont été mises au point pour résoudre le problème des relais de courrier ouvert : d’abord SMTP-After-POP, puis ESMTP et ASMTP en 1995. Ces mesures ont été un succès, car en 2005-2006, le nombre de relais de courrier ouvert est passé de plusieurs centaines de milliers à une infime fraction.
Bien que la situation actuelle ne soit plus aussi critique qu’à l’époque, les spammeurs trouvent encore 10 à 20 nouveaux serveurs ouverts par jour sur le réseau, selon l’organisation internationale sans but lucratif Spamhaus. Parfois, ils sont le résultat de la négligence d’administrateurs inexpérimentés qui ouvrent temporairement leurs serveurs à des fins de test. Cependant, selon Spamhaus, le problème est plus souvent causé par des pare-feu mal configurés ou fissurés et des applications de sécurité externes (pas nécessairement la configuration du serveur elle-même), comme c’est souvent le cas pour les petites entreprises régionales. Si une application laisse passer un courrier indésirable, il est transmis via une connexion SMTP locale avec l’adresse IP de l’application concernée au serveur, qui le traite alors comme étant digne de confiance. De plus, de plus en plus de spammeurs botnets utilisent des ordinateurs domestiques « zombifiés » comme relais.
Aujourd’hui, les relais de messagerie ouverts instrumentalisés pour le spam sont généralement identifiés comme tels au bout de quelques jours, voire quelques heures, et se retrouvent ensuite sur des listes noires. Par conséquent, même les emails légitimes finissent dans le filtre anti-spam du destinataire, de sorte que l’opérateur d’un serveur de messagerie doit d’abord s’occuper de combler les lacunes de sécurité, puis essayer de les supprimer de la liste afin de pouvoir à nouveau fonctionner normalement. Les entreprises ne génèrent pas seulement un trafic élevé par le biais des spammeurs au détriment de leur vitesse matérielle ; leur réputation ternie et le temps supplémentaire qu’elles y consacrent coûtent également de l’argent.
C’est exactement pour cette raison que presque tous les serveurs de messagerie utilisent aujourd’hui ESMTP en liaison avec ASMTP. Ils ont donc toujours besoin d’une authentification avant d’utiliser leur service de courrier électronique. Un relais SMTP configuré de manière optimale (également appelé « Smart Host ») est un serveur qui ne transmet les emails des expéditeurs à des tiers que s’il est responsable des deux parties. En clair : les messages entrants ne sont envoyés qu’aux utilisateurs enregistrés, et les messages sortants proviennent uniquement des utilisateurs enregistrés ou de ceux qui sont autorisés à utiliser le serveur de messagerie.