Dernière mise à jour : juillet 2026
En bref : Amazon Web Services (AWS) bloque par défaut le trafic sortant sur le port 25 depuis les instances Amazon EC2 vers toutes les adresses IPv4 et IPv6 publiques. Supprimer cette restriction nécessite de soumettre une demande de déblocage manuelle, spécifique à chaque région. En alternative principale, AWS recommande d’utiliser Amazon SES.
Lorsque tu déploies une infrastructure de messagerie auto-hébergée sur une instance Amazon Elastic Compute Cloud (Amazon EC2), les connexions SMTP sortantes directes vers des serveurs distants expirent par un délai d’attente (timeout). Cette restriction de ressources au niveau du réseau est appliquée sur l’ l’ensemble du cloud AWS afin d’éviter le spam et de protéger la réputation IP globale.
Portée et règles de restriction par défaut
La restriction du port 25 distingue strictement la communication interne dans le cloud privé virtuel (VPC) du routage sur Internet public. Selon le guide de l’utilisateur EC2 officiel :
By default, Amazon EC2 allows outbound traffic over port 25 only to private IPv4 addresses. Traffic over port 25 is blocked to public IPv4 addresses and IPv6 addresses. You can request that this restriction be removed.
Cela signifie que le transfert d’e-mails interne entre des instances IPv4 privées au sein de ton VPC fonctionne sans intervention, alors que les connexions SMTP directes sur le port 25 vers des passerelles MX externes sur Internet sont bloquées à la frontière du réseau AWS.
Soumettre des demandes de déblocage par région
Si l’architecture de ton application exige une livraison sortante directe sur le port 25, tu dois soumettre une demande formelle de déblocage. Selon le centre de connaissances AWS :
To remove the restriction on port 25, you must submit a request to AWS.
Un détail opérationnel critique pour les déploiements multi-régions est que les suppressions de restrictions ne se propagent pas globalement sur ton compte AWS. Comme le documente AWS :
If you have instances in more than one AWS Region, then you must submit a separate request for each Region.
Pendant le processus d’examen, le support AWS évalue ton cas d’usage d’envoi, le volume quotidien attendu, les adresses Elastic IP assignées et la configuration du DNS inverse (PTR) avant de décider de lever ou non la restriction régionale.
Réputation IP : la réalité
Même si AWS approuve ta demande et débloque le port 25 dans ta région d’exploitation, l’auto-hébergement de l’envoi direct d’e-mails depuis des instances EC2 s’accompagne de défis majeurs de délivrabilité. Parce que le pool mondial d’adresses IP Amazon EC2 est recyclé dynamiquement entre des millions de clients cloud, des blocs d’adresses IP AWS entiers héritent de mauvaises réputations antérieures.
Fréquemment, les adresses Elastic IP sont inscritas sur des listes de blocage majeures (DNSBL) telles que Spamhaus ou UCEPROTECT. Les fournisseurs de messagerie récepteurs (comme Gmail, Yahoo et Microsoft 365) surveillent étroitement ou rejettent purement et simplement le trafic e-mail direct provenant des plages d’adresses IP EC2, même lorsque ton domaine publie des enregistrements SPF et DKIM parfaits.
L’alternative officielle : Amazon SES et le port 587
Pour éviter les délais de demande de déblocage par région et contourner la mauvaise réputation des pools d’adresses IP EC2, AWS oriente officiellement les utilisateurs vers son service de messagerie géré :
use Amazon Simple Email Service (Amazon SES) to send email from your instances or Lambda functions.
De plus, tu peux acheminer le courrier sortant via n’importe quel relais smarthost externe sur le port 587 (Submission), car le port 587 n’est pas affecté par la restriction de port EC2.
Une configuration Postfix standard (/etc/postfix/main.cf) utilisant un smarthost externe sur le port 587 s’écrit ainsi :
relayhost = [smtp.provider.com]:587
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_tls_security_level = encrypt
Ou envoyez vos e-mails en toute fiabilité via Dispatch. Si tu souhaites éviter les demandes de déblocage régionales, les problèmes de réputation des Elastic IP, le dépannage des listes de blocage et la configuration d’Amazon SES ou de smarthosts, tu peux acheminer ton courrier sortant de manière rapide et sécurisée via Dispatch.
Vérification de la configuration
Une fois ta restriction levée ou ton relais smarthost actif, vérifie tes en-têtes d’authentification e-mail (SPF, DKIM, DMARC) et la santé de ton domaine à l’aide du scanner gratuit MXAudit.
Pour aller plus loin
- Amazon EC2 User Guide — Resource limits (Port 25) (consulté le 17 juillet 2026)
- AWS Knowledge Center — How do I remove the restriction on port 25 from my EC2 instance? (consulté le 17 juillet 2026)