Stand: Juli 2026

Zusammenfassung: Oracle Cloud Infrastructure (OCI) sperrt den ausgehenden TCP-Port 25 ins Internet standardmäßig für alle Mandantenkonten (Tenancies), die nach dem 23. Juni 2021 erstellt wurden. Eine Ausnahmegenehmigung erfordert einen formellen Antrag auf Erhöhung der Service-Limits. Alternativ steht der Versand an externe Relays über Port 587 bereit.

Wer auf einer virtuellen Maschine in Oracle Cloud Infrastructure einen eigenen E-Mail-Server einrichtet, erlebt bei der direkten Auslieferung an externe MX-Server häufig Zeitüberschreitungen. Ob ausgehender SMTP-Verkehr über Port 25 möglich ist, richtet sich bei Oracle strikt nach dem Erstellungsdatum deines Mandantenkontos (Tenancy).

Der Stichtag: 23. Juni 2021

Oracle hat zur Eindämmung von Spam und zur Sicherung der globalen Netzwerk-Reputation eine harte Stichtags-Regelung eingeführt. In der offiziellen OCI-Netzwerkdokumentation erklärt der Anbieter: Tenancies made after June 23, 2021 are by default not allowed to send e-mail through outbound TCP port 25 to the internet. Tenancies made before June 23, 2021 are unaffected. If you require the ability to send email from your tenancy, open a service limits request to obtain an exemption.

Das bedeutet: Während ältere Konten, die vor diesem Stichtag registriert wurden, weiterhin unbeschränkt über Port 25 kommunizieren dürfen, blockiert die OCI-Netzwerk-Fabric diesen Port für alle neueren Konten am Gateway.

Ausnahmegenehmigung per Service-Limits beantragen

Um für eine betroffene Tenancy direkt über Port 25 ins Internet zu versenden, musst du eine offizielle Ausnahmegenehmigung (Exemption) beantragen. Dieser Vorgang läuft bei Oracle Cloud nicht über eine normale Support-Anfrage, sondern explizit über einen Antrag auf Anpassung der Service-Limits (service limits request).

Im Rahmen der Prüfung bewertet das Oracle-Supportteam deinen Anwendungsfall. Dabei solltest du vorab sicherstellen, dass deine E-Mail-Infrastruktur über einen konfigurierten Reverse-DNS-Eintrag (PTR-Record) sowie über gültige SPF- und DKIM-Signaturwerte verfügt, um deine Legitimität zu belegen.

Ehrlicher Realitätscheck zur IP-Reputation

Auch nach erfolgreicher Genehmigung durch das OCI-Supportteam bringt das direkte Versenden von E-Mails über OCI-Compute-IPs enorme Herausforderungen mit sich. Da Oracle Cloud (insbesondere durch das weit verbreitete Free-Tier-Angebot) dynamische IP-Pools im großen Stil vergibt und recycelt, haben viele Subnetze eine vorbelastete Historie.

Sehr häufig landen OCI-Subnetze auf bekannten Blocklisten (DNSBLs) wie UCEPROTECT (Level 2 oder 3) oder Spamhaus. Große Mailbox-Provider wie Gmail, Yahoo oder Microsoft 365 filtern E-Mails aus Rechenzentrums-Subnetzen besonders kritisch und weisen direkte Nachrichten oft ab oder verschieben sie in den Spam-Ordner.

Die Alternative: Smarthost-Relay über Port 587

Um den Service-Limit-Antrag zu vermeiden und von sauberen, hochreputierten IP-Pools zu profitieren, kannst du deinen ausgehenden E-Mail-Verkehr über Port 587 (Submission) an ein externes Smarthost-Relay leiten. Port 587 ist für authentifizierte Einlieferungen konzipiert und wird von der Stichtags-Sperre auf Port 25 nicht blockiert.

Ein Auszug aus der Postfix-Konfigurationsdatei /etc/postfix/main.cf für ein externes Smarthost-Relay sieht wie folgt aus:

relayhost = [smtp.provider.com]:587
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_tls_security_level = encrypt

Oder zuverlässig über Dispatch versenden. Wenn du keine Zeit mit Service-Limit-Anträgen, Blacklist-Monitoring, Reverse-DNS-Konfigurationen und der Wartung eines Smarthost-Relays verschwenden möchtest, kannst du deine ausgehenden E-Mails auch einfach und abgesichert über Dispatch versenden.

Konfiguration prüfen

Sobald dein Smarthost-Relay oder dein Versandweg konfiguriert ist, kannst du deine E-Mail-Authentifizierung (SPF, DKIM, DMARC) sowie deine Zustellbarkeit mit dem kostenlosen MXAudit-Scanner testen.