So, ich habe das jetzt mal mit den Indys (10) getestet.

• Host ist der SMTP-Server der Empfänger-Domain = keine Authentifizierung notwendig
• Host ist nicht der SMTP-Server der Empfänger-Domain (relaying) = Authentifizierung ist notwendig

Eingentlich sollte es so immer sein. Wenn ein SMTP-Server eMails ohne vorherige Anmeldung an einen anderen SMTP-Server weiterleitet (relaying) wäre er ein "offener Server" der dann ganz schnell auf Blacklisten landen sollte da er für SPAM offensteht.

Wenn die Empfängerdomain von dem SMTP-Server an den die eMail gesendet wird verwaltet wird erwartet er natürlich kein Kennwort. Wenn er dies verlangen würde könnte mir ja niemand eine eMail senden