Stand: Juli 2026

Zusammenfassung: DigitalOcean blockiert ausgehenden SMTP-Datenverkehr auf den Port-Nummern 25, 465 und 587 auf allen Droplets sowie für Reserved IP-Adressen standardmäßig. Der Anbieter rät grundsätzlich vom Betrieb eigener E-Mail-Server ab und empfiehlt stattdessen die Anbindung von externen E-Mail-Dienstleistern.

Wer auf einem DigitalOcean Droplet eine Applikation oder einen E-Mail-Server betreibt, wird feststellen, dass der herkömmliche E-Mail-Versand vollständig blockiert ist. Im Gegensatz zu anderen Cloud-Anbietern, die nur den direkten Server-zu-Server-Versand über Port 25 einschränken, verfolgt DigitalOcean eine besonders strikte Netzwerksicherheitsstrategie.

Totale SMTP-Sperre auf allen Droplets und Reserved IPs

DigitalOcean unterbindet nicht nur den direkten Mailversand über Port 25, sondern schließt auch die typischen Einlieferungsports für authentifizierte Relays (Port 465 und Port 587) auf Netzwerkebene.

In der offiziellen Support-Dokumentation erklärt der Anbieter unmissverständlich: SMTP ports 25, 465, and 587 are blocked on Droplets to prevent spam and other abuses on our platform. This block applies to all Droplets by default and includes traffic passing through a Reserved IP address.

Selbst wenn du deinem Droplet eine feste Reserved IP zuweist oder versuchst, lokale Firewall-Regeln im Betriebssystem anzupassen, bleibt ausgehender Datenverkehr auf diesen drei SMTP-Ports durch die globale Infrastruktur von DigitalOcean abgefangen.

Warum DigitalOcean vom Selbsthosting abrät

Die strikte Haltung von DigitalOcean begründet sich durch den enormen Wartungs- und Reputationsaufwand von Cloud-IP-Netzen. Der Anbieter warnt seine Kunden explizit vor den Gefahren des Selbsthostings: Even if SMTP were available, we strongly recommend against running your own mail server , as self-hosted mail servers are difficult to secure and maintain, frequently get flagged as spam, and require constant monitoring to protect your IP address.

(Anmerkung: Das Leerzeichen vor dem Komma im Zitat entspricht exakt der Schreibweise in der offiziellen Dokumentation.)

Ehrlicher Realitätscheck zur IP-Reputation

Die Warnung vor Reputationsproblemen spiegelt die reale Situation bei Cloud-Hostern wider. Da Droplet-IP-Pools weltweit und in hoher Schlagzahl von Entwicklern, aber auch von automatisierten Spam-Systemen genutzt werden, sind ganze Subnetze von DigitalOcean historisch stark vorbelastet.

Sehr häufig sind Droplet-IPs auf aggressiven Blocklisten (DNSBLs) wie UCEPROTECT (Level 2 oder 3) oder Spamhaus gelistet. Wenn ein Server-Betreiber versucht, E-Mails direkt aus einem Cloud-Rechenzentrum zu senden, verwerfen große E-Mail-Dienste (Gmail, Yahoo, Outlook) die Nachrichten in der Regel sofort oder stufen sie trotz sauberer SPF- und DKIM-Einträge als Spam ein.

Die Lösung: Externe E-Mail-Dienste (Third-Party Providers)

Da die Standard-SMTP-Ports auf Droplet-Ebene gesperrt sind, verweist DigitalOcean klar auf die Auslagerung des E-Mail-Versands: To send mail from services hosted on DigitalOcean, we recommend using a third-party email as a service provider.

Um Nachrichten aus Anwendungen auf DigitalOcean Droplets zuverlässig zu versenden, nutzen Entwickler meist externe E-Mail-Dienstleister über HTTP-APIs (über den nicht gesperrten Port 443/HTTPS) oder über spezielle, abweichende Relay-Ports.

Wenn dein externer Anbieter beispielsweise ein Smarthost-Relay über einen alternativen, nicht von der Sperre betroffenen Port anbietet, sieht die Struktur in deiner Postfix-Konfiguration /etc/postfix/main.cf klassischerweise so aus:

relayhost = [smtp.provider.com]:2525
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_tls_security_level = encrypt

Oder zuverlässig über Dispatch versenden. Wenn du keine Lust auf gesperrte SMTP-Ports, komplexe API-Anbindungen, IP-Reputationsprobleme und die Wartung eigener E-Mail-Server hast, kannst du deine E-Mails auch einfach und abgesichert über Dispatch versenden.

Konfiguration prüfen

Sobald du deinen E-Mail-Versand über einen externen Dienst eingerichtet hast, solltest du deine E-Mail-Authentifizierung (SPF, DKIM, DMARC) sowie deine Domain-Reputation mit dem kostenlosen MXAudit-Scanner testen.