Última actualización: julio de 2026

En resumen: Oracle Cloud Infrastructure (OCI) bloquea por defecto el puerto TCP 25 saliente hacia internet para todas las cuentas (tenancies) creadas después del 23 de junio de 2021. Solicitar una exención requiere abrir una petición formal de aumento de límites de servicio. Como alternativa, la retransmisión por smarthost autenticado mediante el puerto 587 permanece totalmente accesible.

Al desplegar una infraestructura de correo electrónico autohospedada en una instancia de computación de Oracle Cloud Infrastructure (OCI), el envío directo de correo hacia servidores remotos suele encontrar tiempos de espera de conexión agotados. Que tu instancia pueda enrutar tráfico a través del puerto TCP 25 depende por completo de la fecha de creación de tu cuenta de OCI.

La fecha de corte: 23 de junio de 2021

Oracle estableció una fecha límite estricta para combatir el spam saliente y proteger la reputación global de las direcciones IP de sus centros de datos. En su documentación oficial sobre redes virtuales en la nube (VCN), el proveedor indica: Tenancies made after June 23, 2021 are by default not allowed to send e-mail through outbound TCP port 25 to the internet. Tenancies made before June 23, 2021 are unaffected. If you require the ability to send email from your tenancy, open a service limits request to obtain an exemption.

Bajo esta norma, las cuentas antiguas registradas antes de dicha fecha siguen funcionando sin restricciones de red en el puerto 25, mientras que las cuentas nuevas tienen el puerto TCP 25 saliente bloqueado de forma predeterminada por la puerta de enlace de red de OCI.

Solicitar una exención mediante límites de servicio

Si la arquitectura de tu aplicación exige el envío directo saliente a través del puerto 25, debes presentar una solicitud formal de exención. En OCI, este flujo de trabajo se gestiona explícitamente a través del sistema de escalado de límites de servicio (open a service limits request) en lugar de hacerlo a través del soporte técnico general.

Durante la revisión, el soporte de Oracle evaluará la legitimidad de tu requisito operativo. Antes de abrir la solicitud de aumento de límite, asegúrate de que tu instancia de computación cuente con un registro DNS inverso (PTR) válido configurado dentro de la consola de OCI, junto con registros de autenticación SPF y DKIM para acreditar tus buenas prácticas de envío.

Realidad de la reputación IP

Incluso si Oracle aprueba tu solicitud de límites de servicio y desbloquea el puerto 25 en tu cuenta, enviar correo directamente desde las direcciones IP de una instancia de OCI presenta importantes obstáculos de entregabilidad. Dado que OCI asigna dinámicamente sus grupos de direcciones IP públicas entre miles de inquilinos —algo acentuado por la alta rotación generada por su popular plan gratuito (Free Tier)— las subredes del centro de datos heredan un historial negativo de reputación previa.

Con frecuencia, los rangos de direcciones IP de OCI aparecen en listas negras (DNSBL) estrictas como UCEPROTECT (nivel 2 o 3) y Spamhaus. Los principales proveedores de buzones (incluidos Gmail, Outlook y Yahoo) supervisan rigurosamente el tráfico directo procedente de subredes de alojamiento en la nube, enviando a menudo los mensajes directamente a la carpeta de spam o rechazándolos a pesar de contar con encabezados de autenticación válidos.

Retransmisión smarthost por el puerto 587

Para evitar esperas en la cola de solicitudes de límites de servicio y eludir los riesgos de entregabilidad de las subredes de alojamiento, puedes enrutar tu correo saliente a través del puerto 587 (envío) mediante un smarthost autenticado. El puerto 587 está diseñado para el envío por parte del cliente y no se ve afectado por la restricción de fecha de corte de junio de 2021.

A continuación se muestra una configuración estándar de Postfix (/etc/postfix/main.cf) para retransmitir a través de un smarthost externo mediante el puerto 587:

relayhost = [smtp.provider.com]:587
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_tls_security_level = encrypt

O envía de forma fiable a través de Dispatch. Si deseas evitar solicitudes de límites de servicio, la supervisión de listas negras, auditorías de configuración DNS inversa y la gestión de un smarthost externo, puedes enrutar tu correo saliente de forma rápida y segura a través de Dispatch.

Verificar tu configuración

Una vez que tu smarthost externo o ruta de relé esté activa, verifica los encabezados de autenticación de tu correo (SPF, DKIM, DMARC) y la salud del dominio utilizando el escáner gratuito MXAudit.

Más información