Stand: Juli 2026
Zusammenfassung: Amazon Web Services (AWS) sperrt den ausgehenden Port 25 auf Amazon EC2-Instanzen für alle öffentlichen IPv4- und IPv6-Adressen standardmäßig. Eine Freischaltung muss manuell und getrennt für jede genutzte AWS-Region beantragt werden. Als offizielle Alternative empfiehlt Amazon den Versand über Amazon SES.
Wer auf einer Amazon EC2-Instanz (Elastic Compute Cloud) einen eigenen E-Mail-Server einrichtet, stellt fest, dass ausgehende SMTP-Verbindungen zu externen Empfängern ins Leere laufen. Die Ursache liegt in einer strikten Ressourcenbegrenzung seitens AWS, die Missbrauch im gesamten Cloud-Netzwerk verhindern soll.
Geltungsbereich und die Standard-Sperre
Die Port-Sperre unterscheidet strikt zwischen dem internen Cloud-Netzwerk (VPC) und dem öffentlichen Internet. In der offiziellen EC2-Benutzerdokumentation erklärt Amazon:
By default, Amazon EC2 allows outbound traffic over port 25 only to private IPv4 addresses. Traffic over port 25 is blocked to public IPv4 addresses and IPv6 addresses. You can request that this restriction be removed.
Das bedeutet, dass interne E-Mail-Weiterleitungen zwischen privaten IPv4-Adressen innerhalb einer Virtual Private Cloud (VPC) funktionieren, während jeder Verbindungsversuch auf Port 25 zu öffentlichen MX-Servern im Internet durch die AWS-Netzwerkinfrastruktur blockiert wird.
Freischaltung pro Region beantragen
Wenn deine Architektur den direkten Versand über Port 25 erfordert, musst du einen formellen Entsperrungsantrag stellen. Amazon regelt diesen Prozess über ein spezielles Antragsformular im Support-Center:
To remove the restriction on port 25, you must submit a request to AWS.
Besonders wichtig für Umgebungen mit mehreren Standorten ist die regionale Einschränkung der Freischaltung. Amazon betont in seiner Wissensdatenbank:
If you have instances in more than one AWS Region, then you must submit a separate request for each Region.
Im Antrag prüft AWS deinen Einsatzzweck, das erwartete E-Mail-Volumen, den Nachweis elastischer IP-Adressen (Elastic IPs) sowie vorhandene Reverse-DNS-Einträge (PTR-Records).
Ehrlicher Realitätscheck zur IP-Reputation
Selbst wenn AWS deinen Antrag genehmigt und Port 25 in deiner Region freigibt, stehst du beim direkten Versand über EC2 vor großen Zustellproblemen. Da der weltweite EC2-IP-Pool von Millionen von Nutzern geteilt und extrem dynamisch recycelt wird, leiden ganze AWS-Subnetze unter einer historisch vorbelasteten Reputation.
Sehr häufig sind Elastic IPs auf Blocklisten (DNSBLs) wie Spamhaus oder UCEPROTECT gelistet. Große Empfänger-Dienste (wie Gmail, Yahoo oder Microsoft 365) verwerfen direkte Nachrichten aus EC2-Netzen oft pauschal oder stufen sie trotz korrekter SPF- und DKIM-Einträge als Spam ein.
Die offizielle Alternative: Amazon SES und Port 587
Um langwierige regionale Anträge und Reputationsprobleme von EC2-IPs zu vermeiden, verweist AWS ausdrücklich auf den hauseigenen E-Mail-Dienst:
use Amazon Simple Email Service (Amazon SES) to send email from your instances or Lambda functions.
Zudem kannst du auch jedes andere externe Smarthost-Relay nutzen, indem du E-Mails authentifiziert über Port 587 versendest, da Port 587 von der EC2-Sperre nicht betroffenen ist.
Ein Auszug aus einer Postfix-Konfiguration /etc/postfix/main.cf für die Nutzung eines Smarthosts über Port 587 sieht wie folgt aus:
relayhost = [smtp.provider.com]:587
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_tls_security_level = encrypt
Oder zuverlässig über Dispatch versenden. Wenn du dich nicht mit regionalen Entsperrungsanträgen, Elastic-IP-Reputationen, DNS-Blocklisten und der Konfiguration von Amazon SES oder Relays beschäftigen möchtest, kannst du deine E-Mails auch einfach und abgesichert über Dispatch versenden.
Konfiguration prüfen
Nach der Freischaltung oder der Einrichtung eines Smarthosts solltest du deine E-Mail-Authentifizierung (SPF, DKIM, DMARC) sowie deine Zustellbarkeit mit dem kostenlosen MXAudit-Scanner testen.
Weiterführende Links
- Amazon EC2 User Guide — Resource limits (Port 25) (abgerufen: 16. Juli 2026)
- AWS Knowledge Center — How do I remove the restriction on port 25 from my EC2 instance? (abgerufen: 16. Juli 2026)