Última actualización: julio de 2026

En resumen: Microsoft Azure bloquea por defecto el tráfico SMTP saliente en el puerto TCP 25 para las máquinas virtuales desplegadas. Mientras que los clientes bajo Enterprise Agreement no tienen restricciones, las suscripciones Enterprise Dev/Test requieren un desbloqueo manual a través del portal. Para el resto de los tipos de suscripción, Azure recomienda retransmitir el correo mediante el puerto 587.

Al desplegar un servidor de correo autohospedado en una máquina virtual (VM) de Microsoft Azure, el envío directo de correos salientes suele fallar. La capacidad de tu VM para establecer conexiones SMTP salientes a través del puerto TCP 25 depende estrictamente del tipo de suscripción de Azure que rija tu despliegue.

Justificación de seguridad de la plataforma y bloqueo por defecto

Microsoft protege su infraestructura en la nube y la reputación global de sus direcciones IP filtrando el tráfico de correo saliente en el perímetro de la red. Según la documentación oficial de solución de problemas de Azure: The Azure platform blocks outbound SMTP connections on TCP port 25 for deployed VMs. This block is to ensure better security for Microsoft partners and customers, protect Microsoft's Azure platform, and conform to industry standards.

Debido a que este filtro opera dentro de la propia infraestructura de red de Azure, modificar los cortafuegos locales del sistema operativo o los grupos de seguridad de red (NSG) no abrirá el puerto 25 saliente.

Diferencias de política por nivel de suscripción

Microsoft aplica reglas de acceso distintas según tres categorías principales de suscripción:

1. Enterprise Agreement y MCA-E (sin restricción)

Para implementaciones organizacionales a gran escala que operan bajo acuerdos empresariales, el puerto 25 saliente es accesible por defecto: For VMs and Azure Firewall that are deployed in standard Enterprise Agreement or Microsoft Customer Agreement for enterprise (MCA-E) subscriptions, the outbound SMTP connections on TCP port 25 aren't blocked.

2. Enterprise Dev/Test (desbloqueable vía portal)

Para los entornos de desarrollo y pruebas empresariales, la restricción está activada inicialmente, pero es posible eliminarla de forma autónoma a través del diagnóstico del portal: For Enterprise Dev/Test subscriptions, port 25 is blocked by default. It's possible to have this block removed.

3. Pay-As-You-Go y niveles estándar (bloqueo permanente)

Para las suscripciones de pago por uso (Pay-As-You-Go), los niveles MSDN, las cuentas del programa Cloud Solution Provider (CSP) y las pruebas gratuitas, el puerto TCP 25 saliente está bloqueado de forma permanente. Las solicitudes de soporte técnico para levantar este bloqueo en estos planes de consumo y comerciales estándar no son compatibles ni se admiten.

Realidad de la reputación IP

Incluso si operas bajo un Enterprise Agreement donde el puerto 25 está totalmente desbloqueado, enviar correo directamente desde las direcciones IP de una VM de Azure presenta importantes obstáculos de entregabilidad. Dado que los rangos de direcciones IP públicas de Azure se reciclan dinámicamente entre miles de cargas de trabajo en todo el mundo, las subredes del centro de datos heredan un historial negativo de reputación.

Con frecuencia, los bloques de IP de máquinas virtuales de Azure figuran en importantes listas negras (DNSBL) como Spamhaus y UCEPROTECT. Los principales proveedores de correo entrante (incluidos Gmail, Yahoo y Outlook.com) filtran o rechazan de forma agresiva los correos directos procedentes de subredes de Azure, incluso si tu dominio publica registros SPF y DKIM válidos.

La alternativa oficial: retransmisión smarthost por el puerto 587

Para eludir las restricciones de las suscripciones y evitar las trampas de entregabilidad de las subredes en la nube, Microsoft recomienda explícitamente retransmitir el tráfico saliente a través de un servicio de entrega externo: We recommend you use authenticated SMTP relay services to send email from Azure VMs or from Azure App Service. Connections to authenticated SMTP relay services are typically on TCP port 587 and isn't blocked.

Esta vía de envío funciona sin restricciones en cualquier plan de precios de Azure: Using these email delivery services on authenticated SMTP port 587 isn't restricted in Azure, regardless of the subscription type.

A continuación se muestra una configuración estándar de Postfix (/etc/postfix/main.cf) para retransmitir a través de un smarthost externo mediante el puerto 587:

relayhost = [smtp.provider.com]:587
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_tls_security_level = encrypt

O envía de forma fiable a través de Dispatch. Si deseas evitar ampliaciones de suscripción, diagnósticos del portal, supervisión de reputación IP y el mantenimiento de un smarthost, puedes enrutar tu correo saliente de forma rápida y segura a través de Dispatch.

Verificar tu configuración

Una vez que tu infraestructura de envío esté operativa, verifica tu configuración de autenticación de correo (SPF, DKIM, DMARC) y la salud general de tu dominio utilizando el escáner gratuito MXAudit.

Más información