Stand: Juli 2026

Zusammenfassung: Hetzner blockiert die ausgehenden Ports 25 und 465 auf allen Cloud-Servern standardmäßig, um Spam und Missbrauch zu verhindern. Eine Freischaltung ist erst nach einem Monat Vertragslaufzeit und bezahlter erster Rechnung möglich. Alternativ steht Port 587 sofort und ohne Antrag für externe Smarthost-Relays zur Verfügung.

Wenn du auf einem Hetzner Cloud-Server einen eigenen E-Mail-Server wie Postfix, Mailcow oder Exim betreibst, wirst du beim ersten Versuch, E-Mails an externe Empfänger zu senden, auf Verbindungs-Timeouts stoßen. Der Grund dafür ist eine strikte Netzwerk-Sicherheitsrichtlinie des Anbieters.

Warum Hetzner Port 25 und 465 blockiert

Um zu verhindern, dass neu angemietete Cloud-Instanzen für den Versand von Spam missbraucht werden, sperrt Hetzner die klassischen Ports für den direkten E-Mail-Versand.

Laut den offiziellen Richtlinien des Anbieters gilt: That's why we block ports 25 and 465 by default on all cloud servers. This is a very common practice in the cloud hosting industry because it prevents abuse.

Dabei greift die Sperre nicht auf Server-, sondern auf Kontoebene. Hetzner stellt hierzu klar: Port blocking is enforced per account. If a server is transferred to a project that is owned by another account, the port-blocking rules of the new owner will apply.

Der Freischaltungsprozess per Limit-Request

Wenn du E-Mails direkt über deinen eigenen Cloud-Server (also von deiner eigenen IP-Adresse direkt an den MX-Record des Empfängers via Port 25) ausliefern möchtest, musst du beim Support eine Freischaltung beantragen. Hierfür gelten jedoch strikte Voraussetzungen:

Laut Hetzner lautet die offizielle Vorgabe: Once you have been with us for a month and paid your first invoice, you can create a limit request to unblock these ports for a valid use case. In your request, you can tell us details about your use case. We make decisions on a case-by-case basis.

Das bedeutet in der Praxis:

  1. Wartezeit und Zahlung: Du musst seit mindestens einem Monat Kunde bei Hetzner sein und deine erste reguläre Rechnung vollständig bezahlt haben.
  2. Begründeter Antrag: Im Hetzner Cloud-Konsolen-Bereich unter „Limits“ stellst du eine Anfrage auf Freischaltung. Dabei musst du deinen Einsatzzweck (valid use case) präzise darlegen, etwa den Betrieb eines Unternehmens-Mailservers für deine verifizierten Domains.
  3. Einzelfallprüfung: Hetzner prüft jeden Antrag individuell und entscheidet nach Ermessen (case-by-case basis).

Ehrlicher Realitätscheck zur IP-Reputation

Selbst wenn dein Limit-Request erfolgreich genehmigt wird und Port 25 offen ist, stehst du vor einer weiteren Hürde: der Reputation deiner IP-Adresse. Da Cloud-Server-IPs dynamisch vergeben und in der Vergangenheit oft von anderen Mietern genutzt wurden, landen ganze IP-Netzbereiche (Subnetze) großer Cloud-Anbieter häufig auf restriktiven Blocklisten (DNSBLs) wie Spamhaus oder UCEPROTECT.

Wenn du direkt über eine Hetzner-Cloud-IP versendest, musst du sicherstellen, dass ein sauberer PTR-Record vergeben ist, und du musst deine Zustellraten dauerhaft überwachen, um nicht abgewiesen zu werden.

Die Alternative: Smarthost-Relay über Port 587

Wenn du die Wartezeit von einem Monat umgehen oder nicht unter der IP-Reputation von Cloud-Netzen leiden möchtest, bietet Hetzner selbst die Lösung an: Der Versand über Port 587 an einen externen Relay-Dienst ist uneingeschränkt möglich.

Laut Hetzner gilt: As an alternative, you can also use port 587 to send emails via external mail delivery services. Port 587 is not blocked and can be used without sending a limit request.

Ein typischer Ausschnitt in deiner Postfix-Konfigurationsdatei /etc/postfix/main.cf für die Nutzung eines Smarthosts über Port 587 sieht so aus:

relayhost = [smtp.provider.com]:587
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_tls_security_level = encrypt

Oder zuverlässig über Dispatch versenden. Wenn du dich nicht mit Wartezeiten, IP-Reputation und manueller Relay-Wartung herumschlagen möchtest, kannst du deine ausgehenden E-Mails auch schnell und abgesichert über Dispatch versenden.

Konfiguration prüfen

Sobald du deine ausgehenden E-Mails eingerichtet hast, solltest du deine E-Mail-Authentifizierung (SPF, DKIM, DMARC) und die Zustellbarkeit mit dem kostenlosen MXAudit-Scanner überprüfen.