Última actualización: julio de 2026
En resumen: Hetzner bloquea por defecto los puertos salientes 25 y 465 en todos sus servidores cloud para prevenir el spam. El desbloqueo requiere al menos un mes de antigüedad y una primera factura pagada. Como alternativa, el puerto 587 está completamente abierto de forma inmediata sin necesidad de ninguna solicitud.
Cuando configuras un servidor de correo autoalojado en Hetzner Cloud, tus intentos iniciales de entregar correo saliente directamente a servidores remotos caducarán por tiempo de espera (timeout). Esto sucede porque Hetzner aplica un estricto bloqueo de puertos a nivel de red en las instancias cloud para proteger la reputación IP en toda su infraestructura.
Por qué Hetzner bloquea los puertos 25 y 465
Para evitar que actores malintencionados desplieguen instancias cloud para campañas inmediatas de spam masivo, Hetzner bloquea los puertos principales utilizados para la entrega directa mediante SMTP.
Según la documentación oficial de Hetzner:
That's why we block ports 25 and 465 by default on all cloud servers. This is a very common practice in the cloud hosting industry because it prevents abuse.
Es importante señalar que esta restricción está vinculada a la jerarquía de tu cuenta en lugar de a instancias virtuales individuales. Hetzner explica:
Port blocking is enforced per account. If a server is transferred to a project that is owned by another account, the port-blocking rules of the new owner will apply.
El proceso de solicitud de límite (limit request) para desbloquear
Si tu arquitectura requiere la entrega directa de SMTP saliente (conectando directamente desde la dirección IP de tu servidor cloud a los registros MX del destinatario por el puerto 25), debes enviar una solicitud formal de desbloqueo. Sin embargo, Hetzner impone estrictos criterios de elegibilidad:
Según las preguntas frecuentes (FAQ) oficiales del proveedor:
Once you have been with us for a month and paid your first invoice, you can create a limit request to unblock these ports for a valid use case. In your request, you can tell us details about your use case. We make decisions on a case-by-case basis.
En la práctica, esto requiere:
- Antigüedad y pago: Debes esperar hasta que tu cuenta haya estado activa durante al menos un mes completo y se haya pagado tu primera factura.
- Justificación detallada: Debes enviar una solicitud a través de la consola de Hetzner Cloud detallando un caso de uso operativo válido, como el alojamiento de un sistema de correo corporativo autenticado.
- Revisión manual: El soporte evalúa las solicitudes individualmente según el criterio
case-by-case basis.
Realidad sobre la reputación de IP
Incluso después de desbloquear con éxito el puerto 25, el envío directo de correo desde servidores cloud conlleva desafíos inherentes de entregabilidad. Debido a que las direcciones IP de los servidores cloud se asignan dinámicamente y se reciclan entre miles de clientes, subredes IP enteras alojadas por grandes proveedores sufren con frecuencia de listados previos en listas de bloqueo estrictas (DNSBL) como Spamhaus o UCEPROTECT.
Si entregas correo electrónico directamente desde una IP de Hetzner Cloud, debes asegurarte de que tu DNS inverso (registro PTR) esté correctamente configurado y supervisar continuamente la entregabilidad de tu IP ante los principales proveedores de recepción.
Retransmisión smarthost mediante el puerto 587
Si no puedes esperar un mes completo o deseas evitar los riesgos de reputación asociados a los rangos de direcciones IP en la nube, Hetzner recomienda explícitamente retransmitir el correo saliente a través de un servicio externo por el puerto 587.
Según Hetzner:
As an alternative, you can also use port 587 to send emails via external mail delivery services. Port 587 is not blocked and can be used without sending a limit request.
Una configuración estándar de Postfix (/etc/postfix/main.cf) utilizando un smarthost externo autenticado en el puerto 587 se redacta así:
relayhost = [smtp.provider.com]:587
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_tls_security_level = encrypt
O envía tus correos de forma fiable a través de Dispatch. Si deseas evitar períodos de espera de antigüedad, solicitudes de límites y la supervisión continua de la reputación IP, puedes enrutar tu correo saliente de forma rápida y fiable a través de Dispatch.
Verificación de tu configuración
Una vez que tu canal de envío saliente esté activo, verifica los encabezados de autenticación de correo (SPF, DKIM, DMARC) y el estado general del dominio utilizando el escáner gratuito MXAudit.
Más información
- Hetzner Cloud — FAQ (Port 25 & 465) (consultado el 17 de julio de 2026)