Última actualización: julio de 2026
En resumen: Google Cloud (GCP) bloquea por defecto las conexiones salientes en el puerto TCP 25 hacia direcciones de destino externas a tu red VPC para prevenir el spam. Este bloqueo se aplica incluso si intentas utilizar el puerto 25 para el servicio de retransmisión SMTP de Google Workspace. Como alternativa, los puertos TCP de destino 587 y 465 permanecen completamente abiertos para el envío mediante relés externos.
Al desplegar una infraestructura de correo electrónico autohospedada en una instancia de máquina virtual de Google Compute Engine, la entrega directa por SMTP hacia sistemas de correo remotos falla desde el primer momento. Esta restricción de red es aplicada por Google Cloud en el perímetro de tu Virtual Private Cloud (VPC) para proteger la reputación global de las direcciones IP y mitigar el spam saliente.
Justificación y alcance de la restricción del puerto 25
La política de filtrado de red distingue claramente entre el enrutamiento interno dentro de la VPC y los destinos externos en internet. En la documentación oficial de Compute Engine, Google señala:
Due to the risk of abuse, connections to destination TCP Port 25 are blocked when the destination is external to your VPC network. This includes using SMTP relay with Google Workspace. However, some projects do not have this restriction and do allow external SMTP egress on port 25.
Aunque un subconjunto de proyectos antiguos o expresamente exentos permite la salida de tráfico SMTP externo, la gran mayoría de las cargas de trabajo de Compute Engine tienen restringido de forma permanente el envío directo de tráfico a través del puerto 25 hacia servidores MX externos. Debido a que este control se ejecuta directamente en el tejido de la red VPC, modificar el cortafuegos local del sistema operativo o las reglas de cortafuegos de salida de la VPC no desbloqueará el puerto 25.
Reglas de retransmisión SMTP de Google Workspace
Las organizaciones que operan dentro de Google Cloud intentan con frecuencia canalizar el correo saliente de sus VM a través del servicio de retransmisión SMTP de Google Workspace utilizando el puerto 25. Google prohíbe explícitamente esta configuración y aclara:
SMTP relaying through Google Workspace is only allowed through ports 465 or 587. Port 25 is not supported through Google Workspace.
Realidad de la reputación IP
Incluso si tu proyecto se encuentra entre los pocos que permiten el tráfico saliente por el puerto 25, entregar correo directamente desde las direcciones IP externas de Compute Engine presenta enormes problemas de entregabilidad. Las direcciones IP públicas de Compute Engine se asignan de forma dinámica desde fondos compartidos por millones de instancias en la nube a nivel mundial.
En consecuencia, estos rangos de IP suelen figurar en listas negras (DNSBL) estrictas como UCEPROTECT o Spamhaus. Los principales proveedores de buzones de correo (como Gmail, Outlook y Yahoo) filtran o rechazan rigurosamente los mensajes directos procedentes de subredes de proveedores en la nube, incluso cuando tu dominio de envío publica registros de autenticación SPF y DKIM válidos.
Retransmisión smarthost por los puertos 587 y 465
Para superar tanto el bloqueo de red del puerto 25 como los riesgos de reputación asociados a los grupos de direcciones IP de alojamiento, Google Cloud ofrece una vía abierta para el envío autenticado mediante relés:
Google Cloud does not place any restrictions on traffic sent to external destination IP addresses using destination TCP ports 587 or 465.
Por tanto, puedes canalizar de forma fiable tu correo saliente a través de un smarthost externo utilizando el puerto 587 (STARTTLS) o el puerto 465 (SSL/TLS).
A continuación se muestra una configuración estándar de Postfix (/etc/postfix/main.cf) para retransmitir a través de un smarthost externo mediante el puerto 587:
relayhost = [smtp.provider.com]:587
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_tls_security_level = encrypt
O envía de forma fiable a través de Dispatch. Si deseas evitar las solicitudes de exención del proyecto, las restricciones del relé de Workspace, la resolución de incidencias en listas negras y el mantenimiento de un smarthost, puedes enrutar tu correo saliente de forma rápida y segura a través de Dispatch.
Verificar tu configuración
Una vez que tu ruta de relé o smarthost externo esté operativa, verifica los encabezados de autenticación de tu correo (SPF, DKIM, DMARC) y la salud general de tu dominio utilizando el escáner gratuito MXAudit.
Más información
- Google Cloud Compute Engine Tutorials — Sending email from an instance (consultado el 17 de julio de 2026)
- Google Cloud Documentation — VPC Firewall rules overview (consultado el 17 de julio de 2026)