Stand: Juli 2026

Zusammenfassung: Vultr sperrt den ausgehenden TCP-Port 25 auf allen Cloud-Instanzen standardmäßig zum Schutz vor Netzwerkmissbrauch. Die Entsperrung kann im Gegensatz zu permanent blockierten DDoS-Ports manuell über ein Support-Ticket beantragt werden. Alternativ steht der Versand an externe Smarthosts über Port 587 offen.

Wenn du eine neue Cloud-Compute- oder Bare-Metal-Instanz bei Vultr einrichtest, um einen E-Mail-Server zu hosten, werden ausgehende SMTP-Verbindungen auf Port 25 abgewiesen. Diese Netzwerkblockade ist eine standardmäßige Sicherheitsvorkehrung von Vultr.

Allgemeine Netzwerk-Sperre und Port 25 im Fokus

Vultr schützt seine globale Infrastruktur und die Reputation seiner Rechenzentren durch das selektive Filtern von ausgehendem Datenverkehr. In der offiziellen Dokumentation erklärt der Anbieter grundsätzlich: We block several outbound ports for network security.

In der zugehörigen Liste der standardmäßig blockierten Ports führt Vultr den klassischen E-Mail-Port explizit auf: TCP port 25 (SMTP)

Da diese Filterregeln direkt in der Netzwerkinfrastruktur von Vultr implementiert sind, bringt es nichts, die lokale Betriebssystem-Firewall oder die Cloud-Firewall in der Vultr-Konsole zu öffnen.

Entsperrung per Support-Ticket beantragen

Im Gegensatz zu bestimmten Netzwerk-Ports, die wegen ständiger DDoS-Gefahr dauerhaft gesperrt bleiben, gehört Port 25 bei Vultr zur Kategorie der auf Antrag freischaltbaren Ports.

Zur Unterscheidung der dauerhaften Blockaden stellt Vultr zunächst für andere Ports (wie Port 17 oder 19) klar: These ports are commonly abused for DDOS attacks. These blocks are permanent and cannot be removed.

Für die Liste der standardmäßig gesperrten Ports, in der sich auch TCP port 25 (SMTP) befindet, gilt hingegen der offizielle Lösungsweg: You may request these blocks be removed by opening a support ticket

Bevor du ein Support-Ticket eröffnest, um Port 25 freischalten zu lassen, solltest du sicherstellen, dass deine Server-Instanz über einen konfigurierten Reverse-DNS-Eintrag (PTR-Record) im Vultr-Kundenportal und über gültige SPF- und DKIM-Einträge verfügt. Support-Teams prüfen vor der Freischaltung, ob ein legitimer Anwendungsfall vorliegt.

Ehrlicher Realitätscheck zur IP-Reputation

Auch nach einer erfolgreichen Freischaltung durch den Vultr-Support stehst du vor den typischen Reputationsherausforderungen des Selbsthostings auf VPS-Infrastrukturen. Da die IP-Adresspools von Vultr dynamisch vergeben und von Tausenden von Kunden genutzt werden, haben viele Subnetze eine vorbelastete Historie.

Sehr häufig sind Vultr-IP-Subnetze auf strengen Blocklisten (DNSBLs) wie UCEPROTECT (Level 2 oder 3) oder Spamhaus zu finden. Wenn du E-Mails direkt von einer Vultr-IP an Empfänger bei Gmail, Outlook oder Yahoo sendest, werden Nachrichten trotz korrekter Authentifizierung oft in den Spam-Ordner verschoben oder abgelehnt.

Die Alternative: Smarthost-Relay über Port 587

Um langwierige Support-Prüfungen zu umgehen und von einer sauberen Zustellreputation zu profitieren, kannst du deine E-Mails über Port 587 (Submission) an ein externes Smarthost-Relay senden. Port 587 ist für authentifizierte Einlieferungen vorgesehen und wird von Vultr nicht gesperrt.

Ein typischer Auszug aus einer Postfix-Konfigurationsdatei /etc/postfix/main.cf für ein externes Relay über Port 587 sieht so aus:

relayhost = [smtp.provider.com]:587
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_tls_security_level = encrypt

Oder zuverlässig über Dispatch versenden. Wenn du dir das Eröffnen von Support-Tickets, die Überwachung von IP-Blocklisten und die Einrichtung eines externen Smarthost-Relays sparen möchtest, kannst du deine E-Mails auch schnell und abgesichert über Dispatch versenden.

Konfiguration prüfen

Sobald dein E-Mail-Versand konfiguriert ist, kannst du deine E-Mail-Authentifizierung (SPF, DKIM, DMARC) und die Zustellbarkeit mit dem kostenlosen MXAudit-Scanner überprüfen.