Stand: Juli 2026

Zusammenfassung: Scaleway blockiert auf seinen Instanzen nicht nur Port 25, sondern standardmäßig auch die Relaying-Ports 465 und 587 zur Spamabwehr. Die Freischaltung erfolgt im Self-Service über die Konfiguration der Sicherheitsgruppen, setzt jedoch zwingend eine abgeschlossene Identitätsverifizierung (KYC) voraus.

Wer auf einer Scaleway-Instanz einen E-Mail-Server oder eine Applikation mit Mailversand betreibt, stößt initial auf Verbindungsabbrüche. Im Gegensatz zu vielen Hostern, die ausschließlich den direkten Server-Versand über Port 25 blockieren, greift Scaleway zu einer umfassenden Netzwerk-Sperre über alle gängigen SMTP-Ports.

Standard-Sperre über alle SMTP-Ports

Die Einschränkung greift auf Netzwerkebene des Rechenzentrums und betrifft sämtliche ausgehenden Verbindungen zu externen Mailservern. In der offiziellen Dokumentation erklärt Scaleway: By default, remote SMTP ports (25, 465, and 587) are blocked and cannot be accessed from our infrastructure to prevent spam. To send emails from your Instance, you need to open these ports in the security group configuration.

Das bedeutet, dass auch der Versuch, E-Mails authentifiziert über Port 587 an ein externes Smarthost-Relay einzuliefern, zunächst von der Infrastruktur blockiert wird, solange die Ports in der zugehörigen Sicherheitsgruppe (Security Group) nicht explizit freigegeben wurden.

Voraussetzung für die Freischaltung: KYC-Verifizierung

Bevor du die SMTP-Ports in den Sicherheitsgruppen öffnen kannst, verlangt Scaleway den Nachweis deiner Identität. Als zwingende Voraussetzung nennt der Anbieter: Completed the identity verification process (KYC)

Ohne den erfolgreichen Abschluss dieses Identitätsprüfungsverfahrens (Know Your Customer) im Scaleway-Kundenportal bleibt die Option zur Freischaltung der SMTP-Ports in den Sicherheitsgruppen gesperrt.

Self-Service über die Sicherheitsgruppen

Sobald deine KYC-Verifizierung abgeschlossen ist, kannst du die Sperre ohne Support-Ticket direkt selbst im Kunden-Dashboard aufheben. Dazu wählst du den offiziellen Weg: Select the security group for which you want to enable SMTP ports.

Nach dem Aktivieren der SMTP-Option in der entsprechenden Sicherheitsgruppe und dem Übernehmen der Regeln für deine Instanzen sind ausgehende Verbindungen auf den Ports 25, 465 und 587 geöffnet.

Ehrlicher Realitätscheck zur IP-Reputation

Auch nach erfolgreicher KYC-Verifizierung und der Öffnung der Ports in der Security Group bringt der direkte Versand über eine Scaleway-Instanz (Port 25) erhebliche Zustellherausforderungen mit sich. Da Scaleway-IP-Adresspools dynamisch vergeben und von vielen Cloud-Entwicklern geteilt werden, haben ganze Subnetze eine vorbelastete Historie.

Sehr häufig sind IP-Bereiche von Scaleway auf bekannten Blocklisten (DNSBLs) wie UCEPROTECT (Level 2 oder 3) oder Spamhaus gelistet. Große Mailbox-Provider wie Gmail, Yahoo oder Microsoft 365 filtern Nachrichten aus Cloud-Subnetzen extrem kritisch und stufen direkte E-Mails oft trotz fehlerfreier SPF- und DKIM-Records als Spam ein.

Die Empfehlung: Smarthost-Relay über Port 587 nach Entsperrung

Um Reputationsproblemen beim direkten Versand zu entgehen, solltest du nach der Öffnung der SMTP-Ports in der Security Group nicht direkt über Port 25 versenden, sondern deinen ausgehenden Mailverzehr über Port 587 (Submission) an ein hochreputiertes externes Smarthost-Relay weiterleiten.

Ein typischer Auszug aus einer Postfix-Konfigurationsdatei /etc/postfix/main.cf für ein externes Relay über Port 587 sieht so aus:

relayhost = [smtp.provider.com]:587
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_tls_security_level = encrypt

Oder zuverlässig über Dispatch versenden. Wenn du keine Zeit in KYC-Identitätsprüfungen, Security-Group-Konfigurationen, Blacklist-Monitoring und Relay-Wartung stecken möchtest, kannst du deine E-Mails auch einfach und abgesichert über Dispatch versenden.

Konfiguration prüfen

Sobald deine Ports geöffnet und dein Versandweg konfiguriert ist, kannst du deine E-Mail-Authentifizierung (SPF, DKIM, DMARC) sowie deine Zustellbarkeit mit dem kostenlosen MXAudit-Scanner testen.