Última actualización: julio de 2026

En resumen: Amazon Web Services (AWS) bloquea por defecto el tráfico saliente del puerto 25 desde las instancias Amazon EC2 hacia todas las direcciones IPv4 e IPv6 públicas. Eliminar esta restricción requiere enviar una solicitud manual de desbloqueo específica para cada Región. Como alternativa principal, AWS recomienda utilizar Amazon SES.

Cuando despliegas una infraestructura de correo electrónico autoalojada en una instancia de Amazon Elastic Compute Cloud (Amazon EC2), las conexiones SMTP salientes directas hacia servidores remotos caducarán por tiempo de espera (timeout). Esta restricción de recursos a nivel de red se aplica en toda la nube de AWS para prevenir el spam y proteger la reputación mundial de IP.

Alcance y reglas de restricción por defecto

La restricción del puerto 25 distingue estrictamente entre la comunicación interna en la nube privada virtual (VPC) y el enrutamiento público en Internet. Según el guía de usuario oficial de EC2: By default, Amazon EC2 allows outbound traffic over port 25 only to private IPv4 addresses. Traffic over port 25 is blocked to public IPv4 addresses and IPv6 addresses. You can request that this restriction be removed.

Esto significa que el reenvío de correo interno entre instancias IPv4 privadas dentro de tu VPC funciona sin intervención, mientras que las conexiones SMTP directas por el puerto 25 hacia pasarelas MX externas en Internet son bloqueadas en el límite de la red de AWS.

Envío de solicitudes de desbloqueo por Región

Si la arquitectura de tu aplicación requiere la entrega directa saliente por el puerto 25, debes enviar una solicitud formal de desbloqueo. Según el centro de conocimiento de AWS: To remove the restriction on port 25, you must submit a request to AWS.

Un detalle operativo crítico para implementaciones en múltiples regiones es que la eliminación de restricciones no se propaga globalmente en tu cuenta de AWS. Según documenta AWS: If you have instances in more than one AWS Region, then you must submit a separate request for each Region.

Durante el proceso de revisión, el soporte de AWS evalúa tu caso de uso de envío, el volumen diario esperado, las direcciones Elastic IP asignadas y la configuración del DNS inverso (PTR) antes de decidir si elimina la restricción regional.

Realidad sobre la reputación de IP

Incluso si AWS aprueba tu solicitud de límite y desbloquea el puerto 25 en tu Región operativa, autoalojar la entrega directa de correo desde instancias EC2 conlleva enormes obstáculos de entregabilidad. Debido a que el grupo mundial de direcciones IP de Amazon EC2 se recicla dinámicamente entre millones de clientes en la nube, bloques enteros de IP de AWS heredan malas reputaciones previas.

Con frecuencia, las direcciones Elastic IP figuran en las principales listas de bloqueo (DNSBL) como Spamhaus o UCEPROTECT. Los proveedores de correo receptores (como Gmail, Yahoo y Microsoft 365) examinan minuciosamente o rechazan directamente el tráfico de correo electrónico procedente de los rangos de IP de EC2, incluso cuando tu dominio publica registros SPF y DKIM perfectos.

La alternativa oficial: Amazon SES y el puerto 587

Para evitar demoras en las solicitudes de desbloqueo por Región y sortear la mala reputación de los grupos de IP de EC2, AWS orienta oficialmente a los usuarios hacia su servicio de correo gestionado: use Amazon Simple Email Service (Amazon SES) to send email from your instances or Lambda functions.

Además, puedes enrutar el correo saliente a través de cualquier relé smarthost externo por el puerto 587 (Submission), ya que el puerto 587 no se ve afectado por la restricción de puertos de EC2.

Una configuración estándar de Postfix (/etc/postfix/main.cf) utilizando un smarthost externo en el puerto 587 se redacta así:

relayhost = [smtp.provider.com]:587
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_tls_security_level = encrypt

O envía tus correos de forma fiable a través de Dispatch. Si deseas evitar solicitudes de desbloqueo regionales, problemas de reputación de Elastic IP, resolución de listas de bloqueo y la configuración de Amazon SES o smarthosts, puedes enrutar tu correo saliente de forma rápida y segura a través de Dispatch.

Verificación de tu configuración

Una vez que se haya levantado tu restricción o que tu relé smarthost esté activo, audita los encabezados de autenticación de tu correo (SPF, DKIM, DMARC) y la salud de tu dominio utilizando el escáner gratuito MXAudit.

Más información