Última actualización: julio de 2026
En resumen: Scaleway bloquea por defecto el tráfico SMTP saliente remoto en los puertos 25, 465 y 587 para todas sus instancias en la nube con el fin de prevenir el spam. El desbloqueo de estos puertos se realiza de forma autónoma a través de la configuración de los Grupos de Seguridad, pero exige haber completado previamente la verificación de identidad (KYC).
Al desplegar una aplicación web o una infraestructura de correo autohospedada en una instancia de Scaleway, el envío estándar de correos salientes falla por defecto. A diferencia de muchos proveedores en la nube que solo restringen la entrega directa entre servidores por el puerto 25, Scaleway aplica un filtrado de red integral que abarca todos los puertos habituales de transmisión de correo.
Restricción predeterminada en todos los puertos SMTP remotos
El filtro de red opera en el canal ascendente de tu máquina virtual e intercepta todas las conexiones salientes dirigidas a sistemas de correo remotos bajo protocolos estándar. Según la documentación oficial de Scaleway:
By default, remote SMTP ports (25, 465, and 587) are blocked and cannot be accessed from our infrastructure to prevent spam. To send emails from your Instance, you need to open these ports in the security group configuration.
Esto implica que intentar conectarse a un smarthost externo a través del puerto 587 o 465 caducará por tiempo de espera inicialmente, hasta que dichos puertos sean habilitados expresamente dentro del Grupo de Seguridad asignado a tu instancia.
Requisito previo para el desbloqueo: verificación KYC
Antes de que la consola de Scaleway te permita abrir los puertos SMTP salientes en las reglas de tu Grupo de Seguridad, debes acreditar tu identidad. Scaleway impone este requisito preliminar obligatorio:
Completed the identity verification process (KYC)
Hasta que no hayas enviado y validado tus documentos oficiales de identidad (Know Your Customer) a través del portal de Scaleway, la opción para habilitar los puertos SMTP en el Grupo de Seguridad permanecerá inactiva.
Desbloqueo autónomo en los Grupos de Seguridad
Una vez aprobada tu verificación de identidad, podrás desbloquear el tráfico de correo saliente directamente desde tu panel de control, sin tener que esperar a la revisión de un ticket por parte del soporte técnico. Para hacerlo, sigue el procedimiento descrito en la documentación oficial:
Select the security group for which you want to enable SMTP ports.
Al marcar la casilla para activar esta opción en el Grupo de Seguridad correspondiente y aplicar las nuevas reglas a tus instancias activas, el tráfico saliente en los puertos remotos 25, 465 y 587 quedará permitido inmediatamente en el perímetro de la red.
Realidad de la reputación IP
Incluso tras completar la verificación KYC y abrir los puertos SMTP en tu Grupo de Seguridad, enviar correo directamente desde una instancia de Scaleway (por el puerto 25) presenta continuos desafíos de entregabilidad. Dado que los fondos de direcciones IP públicas de Scaleway se reciclan de forma dinámica entre miles de desarrolladores, las subredes del centro de datos arrastran con frecuencia problemas previos de reputación.
A menudo, los rangos de direcciones IP de Scaleway figuran en listas negras (DNSBL) estrictas como UCEPROTECT (nivel 2 o 3) y Spamhaus. Los principales proveedores de buzones (incluidos Gmail, Outlook y Yahoo) supervisan y filtran de forma agresiva los correos directos procedentes de subredes en la nube, enviando habitualmente los mensajes a la carpeta de spam o rechazándolos a pesar de contar con registros SPF y DKIM válidos.
Configuración recomendada: retransmisión smarthost por el puerto 587
Una vez que desbloquees los puertos SMTP en tu Grupo de Seguridad tras superar la verificación KYC, es muy recomendable evitar el envío directo de correo por el puerto 25. En su lugar, canaliza tus correos salientes a través de un smarthost autenticado mediante el puerto 587 (envío) para garantizar una alta entregabilidad y preservar una reputación IP limpia.
A continuación se muestra una configuración estándar de Postfix (/etc/postfix/main.cf) para retransmitir a través de un smarthost externo mediante el puerto 587:
relayhost = [smtp.provider.com]:587
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_tls_security_level = encrypt
O envía de forma fiable a través de Dispatch. Si deseas evitar demoras en la verificación de identidad KYC, ajustes en los Grupos de Seguridad, la resolución de incidencias en listas negras y el mantenimiento de un smarthost externo, puedes enrutar tu correo saliente de forma rápida y segura a través de Dispatch.
Verificar tu configuración
Una vez que los puertos estén abiertos en tu Grupo de Seguridad y tu flujo de envío esté configurado, verifica tus registros de autenticación de correo (SPF, DKIM, DMARC) y la salud general del dominio utilizando el escáner gratuito MXAudit.
Más información
- Scaleway Documentation — How to send emails from your Instance (consultado el 17 de julio de 2026)