Última actualización: julio de 2026

En resumen: Vultr bloquea por defecto el puerto TCP 25 saliente en todas sus instancias en la nube para proteger la seguridad de la red. A diferencia de los puertos asociados a ataques DDoS que permanecen bloqueados permanentemente, la restricción del puerto 25 se puede eliminar solicitándolo mediante un ticket de soporte. Alternativamente, la retransmisión autenticada a través de un smarthost por el puerto 587 permanece totalmente abierta.

Al desplegar un servidor de correo electrónico autohospedado en una instancia de computación en la nube o un servidor dedicado de Vultr, el tráfico SMTP saliente en el puerto 25 fallará por defecto. Esta política de filtrado de red es aplicada por Vultr para prevenir el spam y proteger la reputación global de las direcciones IP en sus centros de datos.

Justificación de seguridad de red y lista de puertos bloqueados

Vultr implementa un filtrado de red en el canal ascendente para resguardar su infraestructura de alojamiento. En su documentación técnica oficial, el proveedor indica: We block several outbound ports for network security.

En el desglose de las restricciones de red predeterminadas, Vultr menciona explícitamente el puerto de transmisión habitual de correo electrónico: TCP port 25 (SMTP)

Debido a que este bloqueo opera a nivel de red del centro de datos, ajustar la configuración del cortafuegos local del sistema operativo (ufw o iptables) o modificar los grupos en el Cloud Firewall de Vultr no abrirá el puerto 25 saliente.

Solicitar la eliminación de la restricción mediante un ticket de soporte

A diferencia de ciertos protocolos de red de alto riesgo que permanecen permanentemente bloqueados en todas las cuentas, el puerto TCP 25 se clasifica en la categoría de bloqueos que Vultr permite eliminar.

Para resaltar esta distinción, Vultr señala con respecto a los puertos restringidos de forma permanente (como los puertos 17 o 19): These ports are commonly abused for DDOS attacks. These blocks are permanent and cannot be removed.

Por el contrario, para la lista de bloqueo estándar que incluye TCP port 25 (SMTP), Vultr establece una vía de resolución explícita: You may request these blocks be removed by opening a support ticket

Antes de abrir un ticket de soporte para desbloquear el puerto 25, asegúrate de que tu instancia esté configurada de manera profesional para el envío de correos. Los técnicos de soporte suelen comprobar que tu servidor disponga de un registro DNS inverso (PTR) válido configurado dentro del portal de clientes de Vultr, junto con registros de autenticación SPF y DKIM publicados, antes de aprobar tu solicitud.

Realidad de la reputación IP

Incluso después de que el soporte de Vultr elimine con éxito la restricción del puerto 25, el envío directo de correos desde subredes de alojamiento en la nube presenta importantes obstáculos de entregabilidad. Como los grupos de direcciones IP de Vultr se reciclan dinámicamente entre miles de desarrolladores en todo el mundo, muchas subredes arrastran un historial negativo de reputación previa.

Con frecuencia, los rangos de direcciones IP de Vultr figuran en listas negras (DNSBL) estrictas como UCEPROTECT (nivel 2 o 3) y Spamhaus. Los principales proveedores de correo (incluidos Gmail, Outlook y Yahoo) filtran rigurosamente el tráfico directo procedente de subredes VPS, enviando a menudo los mensajes directamente a las carpetas de spam a pesar de contar con encabezados de autenticación válidos.

Retransmisión smarthost por el puerto 587

Para evitar esperas en la gestión de tickets y eludir los riesgos de entregabilidad de las subredes VPS, puedes canalizar tu correo saliente a través de un smarthost externo utilizando el puerto 587 (envío). El puerto 587 está diseñado para el envío autenticado de clientes y no está sujeto a las restricciones de puertos salientes de Vultr.

A continuación se muestra una configuración estándar de Postfix (/etc/postfix/main.cf) para retransmitir a través de un smarthost externo mediante el puerto 587:

relayhost = [smtp.provider.com]:587
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_tls_security_level = encrypt

O envía de forma fiable a través de Dispatch. Si deseas evitar abrir tickets de soporte, supervisar listas negras de direcciones IP y gestionar un smarthost externo, puedes enrutar tu correo saliente de forma rápida y segura a través de Dispatch.

Verificar tu configuración

Una vez que tu flujo de envío o relé externo esté activo, audita los encabezados de autenticación de tu correo (SPF, DKIM, DMARC) y la salud del dominio utilizando el escáner gratuito MXAudit.

Más información