Stand: Juli 2026

Zusammenfassung: Google Cloud (GCP) sperrt ausgehende Verbindungen über TCP-Port 25 an externe Ziele außerhalb des eigenen VPC-Netzwerks standardmäßig zur Spamabwehr. Dies betrifft auch Versuche, Port 25 für das Google Workspace SMTP-Relay zu nutzen. Alternativ stehen Port 587 und 465 uneingeschränkt für externe Relays zur Verfügung.

Wer auf einer VM-Instanz in Google Compute Engine einen eigenen Mailserver (wie Postfix oder Sendmail) betreibt und versucht, E-Mails direkt an externe Empfänger auszuliefern, stößt auf Verbindungsabbrüche. Die Ursache liegt in einer strikten Netzwerksicherheitsrichtlinie von Google Cloud.

Begründung und Geltungsbereich der Port-25-Sperre

Die Einschränkung unterscheidet zwischen internem Datenverkehr im eigenen Virtual Private Cloud (VPC) Netzwerk und externen Zielen im Internet. In der offiziellen Compute Engine Dokumentation erklärt Google: Due to the risk of abuse, connections to destination TCP Port 25 are blocked when the destination is external to your VPC network. This includes using SMTP relay with Google Workspace. However, some projects do not have this restriction and do allow external SMTP egress on port 25.

Während einige wenige, historisch gewachsene oder speziell berechtigte Projekte über eine Ausnahme verfügen, ist die Auslieferung von E-Mails über Port 25 an externe MX-Server für fast alle Workloads dauerhaft und auf Netzwerkebene gesperrt. Selbst das Ändern von VPC-Firewallregeln öffnet Port 25 nicht nach außen.

Besonderheit: Google Workspace SMTP Relay

Viele Unternehmen versuchen, ihre Compute Engine Instanzen über ihren bestehenden Google Workspace Account als Relay zu nutzen und dabei Port 25 anzusprechen. Google schließt dies explizit aus und stellt klar: SMTP relaying through Google Workspace is only allowed through ports 465 or 587. Port 25 is not supported through Google Workspace.

Ehrlicher Realitätscheck zur IP-Reputation

Selbst in Projekten, in denen Port 25 ausnahmsweise geöffnet ist, bringt der direkte Versand über eine VM-IP in Google Cloud erhebliche Reputationsrisiken mit sich. Die externen IP-Adressen von Compute Engine werden dynamisch aus großen Rechenzentrums-Pools vergeben, die von Millionen von Cloud-Nutzern geteilt werden.

Sehr häufig sind diese IP-Subnetze auf bekannten Blocklisten (DNSBLs) wie Spamhaus oder UCEPROTECT gelistet. Große E-Mail-Anbieter verwerfen direkte E-Mails aus Cloud-Subnetzen oft pauschal oder stufen sie trotz fehlerfreier SPF- und DKIM-Records als Spam ein.

Die Lösung: Smarthost-Relays über Port 587 oder 465

Um Reputationsprobleme und die netzwerkseitige Port-25-Sperre zu umgehen, bietet Google Cloud eine klare Ausweichmöglichkeit für externe Einlieferungen: Google Cloud does not place any restrictions on traffic sent to external destination IP addresses using destination TCP ports 587 or 465.

Du kannst deine ausgehenden E-Mails somit problemlos an ein externes Smarthost-Relay über Port 587 (STARTTLS) oder Port 465 (SSL/TLS) weiterleiten.

Ein typischer Auszug aus einer Postfix-Konfigurationsdatei /etc/postfix/main.cf für die Nutzung eines Smarthosts über Port 587 sieht so aus:

relayhost = [smtp.provider.com]:587
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_tls_security_level = encrypt

Oder zuverlässig über Dispatch versenden. Wenn du keine Zeit mit Ausnahmegenehmigungen, IP-Blacklists und der Konfiguration von Google Workspace Relays oder Smarthosts verschwenden möchtest, kannst du deine ausgehenden E-Mails auch einfach und abgesichert über Dispatch versenden.

Konfiguration prüfen

Sobald du dein Smarthost-Relay oder den Versandweg konfiguriert hast, kannst du deine E-Mail-Authentifizierung (SPF, DKIM, DMARC) mit dem kostenlosen MXAudit-Scanner überprüfen.