Stand: Juli 2026
Zusammenfassung: Microsoft Azure blockiert den ausgehenden SMTP-Datenverkehr über TCP-Port 25 für die meisten virtuellen Maschinen standardmäßig zur Sicherheitsabschirmung. Während Enterprise-Agreement-Kunden direkt versenden können, erfordern Dev/Test-Tarife eine manuelle Freischaltung im Portal. Für alle anderen Abonnements empfiehlt Microsoft den Versand an externe Relays über Port 587.
Wer in Microsoft Azure eine virtuelle Maschine (VM) aufsetzt, um einen eigenen E-Mail-Server zu betreiben, stößt häufig auf Verbindungsprobleme. Ob ausgehende E-Mails über Port 25 zugestellt werden können, hängt bei Azure strikt vom jeweiligen Abonnement-Typ (Subscription Type) ab.
Allgemeine Begründung und Standard-Sperre
Microsoft schützt seine Cloud-Infrastruktur vor Spam-Wellen durch eine zentrale Netzwerkrichtlinie. In der offiziellen technischen Dokumentation zu Azure Virtual Networks erklärt der Anbieter:
The Azure platform blocks outbound SMTP connections on TCP port 25 for deployed VMs. This block is to ensure better security for Microsoft partners and customers, protect Microsoft's Azure platform, and conform to industry standards.
Diese Richtlinie greift auf Ebene der Azure-Fabric. Lokale Betriebssystem-Firewalls oder Sicherheitsgruppen (Network Security Groups, NSGs) können diese Einschränkung nicht umgehen.
Unterschiede nach Abonnement-Typ
Die Freischaltung und Erreichbarkeit von Port 25 regelt Microsoft in drei Kategorien:
1. Enterprise Agreement und MCA-E (Keine Sperre)
Für große Unternehmenskunden, die über ein Enterprise Agreement oder ein Microsoft Customer Agreement for enterprise (MCA-E) abrechnen, ist Port 25 standardmäßig offen:
For VMs and Azure Firewall that are deployed in standard Enterprise Agreement or Microsoft Customer Agreement for enterprise (MCA-E) subscriptions, the outbound SMTP connections on TCP port 25 aren't blocked.
2. Enterprise Dev/Test (Freischaltung möglich)
Bei speziellen Entwicklungs- und Testabonnements greift zunächst die Standard-Blockade, allerdings können Administratoren über das Diagnose-Tool im Azure Portal eine Entsperrung beantragen:
For Enterprise Dev/Test subscriptions, port 25 is blocked by default. It's possible to have this block removed.
3. Pay-As-You-Go und andere Standardtarife
Für reguläre Pay-As-You-Go-Kunden, MSDN-Tarife, Cloud-Solution-Provider (CSP) oder kostenlose Testkonten bleibt Port 25 dauerhaft gesperrt. Eine direkte Freischaltung durch den Support ist für diese Vertragstypen nicht vorgesehen.
Ehrlicher Realitätscheck zur IP-Reputation
Selbst in einem Enterprise Agreement, in dem Port 25 uneingeschränkt geöffnet ist, bringt das direkte Versenden über Azure-VM-IPs massive Herausforderungen mit sich. Die öffentlichen IP-Adressen der Azure-Rechenzentren werden global genutzt und von Millionen von Workloads geteilt.
Daher sind viele IP-Subnetze von Microsoft Azure regelmäßig auf strengen Blocklisten (DNSBLs) wie Spamhaus oder UCEPROTECT zu finden. Empfangende Mailserver weisen Nachrichten von Azure-VM-IPs häufig pauschal ab, unabhängig von korrekten SPF- und DKIM-Signaturwerten.
Die offizielle Alternative: Smarthost-Relay über Port 587
Um Reputationsproblemen und Abonnement-Beschränkungen zu entgehen, empfiehlt Microsoft allen Kunden ausdrücklich die Einlieferung über externe E-Mail-Dienste:
We recommend you use authenticated SMTP relay services to send email from Azure VMs or from Azure App Service. Connections to authenticated SMTP relay services are typically on TCP port 587 and isn't blocked.
Dieser Weg steht über sämtliche Tarife und Instanztypen hinweg uneingeschränkt zur Verfügung, wie Microsoft betont:
Using these email delivery services on authenticated SMTP port 587 isn't restricted in Azure, regardless of the subscription type.
Ein typischer Auszug in einer Postfix-Konfiguration /etc/postfix/main.cf für die Nutzung eines Smarthosts über Port 587 sieht so aus:
relayhost = [smtp.provider.com]:587
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_tls_security_level = encrypt
Oder zuverlässig über Dispatch versenden. Wenn du keine Zeit mit Abonnement-Upgrades, Portal-Diagnosetools, IP-Reputationsüberwachung und Relay-Pflege verschwenden möchtest, kannst du deine E-Mails auch einfach und abgesichert über Dispatch versenden.
Konfiguration prüfen
Sobald deine E-Mail-Infrastruktur eingerichtet ist, solltest du deine E-Mail-Authentifizierung (SPF, DKIM, DMARC) und die Zustellbarkeit mit dem kostenlosen MXAudit-Scanner testen.
Weiterführende Links
- Microsoft Learn — Troubleshoot outbound SMTP connectivity in Azure (abgerufen: 16. Juli 2026)