Última actualización: julio de 2026

En resumen: DigitalOcean bloquea por defecto el tráfico SMTP saliente en los puertos 25, 465 y 587 para todos los Droplets y direcciones IP reservadas. Debido a la mala reputación de las direcciones IP y a la alta carga de mantenimiento, DigitalOcean desaconseja ejecutar un servidor de correo autohospedado y recomienda canalizar los envíos a través de proveedores de correo de terceros.

Al poner en marcha un servidor virtual en DigitalOcean para alojar aplicaciones web o un servidor de correo electrónico dedicado, el envío estándar de correos fallará de inmediato. A diferencia de la mayoría de los proveedores en la nube que solo restringen la entrega directa entre servidores a través del puerto 25, DigitalOcean aplica una restricción de red integral en todos los puertos habituales de transmisión de correo.

Bloqueo SMTP total en todos los Droplets e IP reservadas

DigitalOcean bloquea no solo las conexiones SMTP salientes directas por el puerto 25, sino también los puertos habituales de envío utilizados para retransmisión autenticada (465 y 587).

Según la documentación oficial de soporte de DigitalOcean: SMTP ports 25, 465, and 587 are blocked on Droplets to prevent spam and other abuses on our platform. This block applies to all Droplets by default and includes traffic passing through a Reserved IP address.

Debido a que esta restricción se ejecuta en el perímetro de red del centro de datos, asignar una dirección IP reservada (Reserved IP) estática o modificar los cortafuegos locales del sistema operativo (iptables o ufw) no habilitará el tráfico en estos tres puertos SMTP.

Por qué DigitalOcean desaconseja el autohospedaje

La estricta restricción de red surge del desafío constante que supone proteger las subredes de la nube frente al abuso automatizado. DigitalOcean advierte expresamente a los desarrolladores contra el autohospedaje de infraestructura de correo: Even if SMTP were available, we strongly recommend against running your own mail server , as self-hosted mail servers are difficult to secure and maintain, frequently get flagged as spam, and require constant monitoring to protect your IP address.

(Nota: El espacio anterior a la coma en la cita superior aparece de forma literal en la documentación oficial de DigitalOcean).

Realidad de la reputación IP

La advertencia de DigitalOcean respecto a la supervisión de IP refleja las condiciones reales de entregabilidad en los rangos de alojamiento en la nube. Dado que los grupos de direcciones IP de los Droplets se reciclan dinámicamente entre miles de desarrolladores y con frecuencia son objetivo de actores maliciosos, las subredes de los centros de datos acarrean problemas previos de reputación.

A menudo, los rangos de direcciones IP de Droplets figuran en listas negras (DNSBL) estrictas como UCEPROTECT (nivel 2 o 3) y Spamhaus. Incluso si un administrador de servidores intenta entregar correo directamente desde una instancia en la nube, las principales plataformas receptoras (como Gmail, Yahoo y Outlook) rechazan o ponen en cuarentena de manera rutinaria los mensajes originados en subredes de alojamiento, a pesar de contar con firmas SPF y DKIM válidas.

Alternativa recomendada: proveedores de correo de terceros

Dado que los puertos SMTP estándar están bloqueados en los Droplets, DigitalOcean orienta a los usuarios hacia integraciones con servicios externos: To send mail from services hosted on DigitalOcean, we recommend using a third-party email as a service provider.

Para enviar notificaciones transaccionales o correos de aplicaciones desde Droplets de DigitalOcean, los desarrolladores suelen integrarse con proveedores externos de correo mediante API HTTP (utilizando el puerto estándar HTTPS 443, que no está bloqueado) o a través de puertos de relé personalizados no bloqueados soportados por el proveedor.

Si tu proveedor externo de correo admite la retransmisión SMTP autenticada a través de un puerto personalizado alternativo y no bloqueado, una configuración típica de Postfix (/etc/postfix/main.cf) se vería así:

relayhost = [smtp.provider.com]:2525
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_tls_security_level = encrypt

O envía de forma fiable a través de Dispatch. Si deseas evitar los puertos SMTP bloqueados, las integraciones complejas con API, la supervisión de reputación IP y el mantenimiento de un servidor de correo autohospedado, puedes enrutar el correo de tu aplicación de forma rápida y segura a través de Dispatch.

Verificar tu configuración

Una vez que tu proveedor de terceros o ruta de relé alternativo esté configurada, verifica tus registros de autenticación de correo (SPF, DKIM, DMARC) y la salud del dominio utilizando el escáner gratuito MXAudit.

Más información