Dernière mise à jour : juillet 2026

En bref : Microsoft Azure bloque par défaut le trafic SMTP sortant sur le port TCP 25 pour les machines virtuelles déployées. Alors que les clients sous contrat Enterprise Agreement n’ont aucune restriction, les abonnements Enterprise Dev/Test nécessitent un déblocage manuel via le portail. Pour tous les autres types d’abonnements, Azure recommande d’acheminer les e-mails via un relais sur le port 587.

Lorsque tu déploies un serveur de messagerie auto-hébergé sur une machine virtuelle (VM) Microsoft Azure, l’envoi d’e-mails en direct échoue souvent. La capacité de ta VM à établir des connexions SMTP sortantes sur le port TCP 25 dépend strictement du type d’abonnement Azure lié à ton déploiement.

Raisons de sécurité de la plateforme et blocage par défaut

Microsoft protège son infrastructure cloud et la réputation de ses adresses IP mondiales en filtrant le trafic de messagerie sortant au niveau du réseau. Selon la documentation officielle de dépannage d’Azure : The Azure platform blocks outbound SMTP connections on TCP port 25 for deployed VMs. This block is to ensure better security for Microsoft partners and customers, protect Microsoft's Azure platform, and conform to industry standards.

Comme ce filtre est appliqué directement dans l’infrastructure réseau d’Azure, modifier le pare-feu local de ton système d’exploitation ou les groupes de sécurité réseau (NSG) ne suffira pas à ouvrir le port 25 sortant.

Différences de règles selon le type d’abonnement

Microsoft applique des règles d’accès distinctes pour trois principales catégories d’abonnements :

1. Enterprise Agreement et MCA-E (sans restriction)

Pour les déploiements organisationnels majeurs fonctionnant sous accord d’entreprise, le port 25 sortant est accessible par défaut : For VMs and Azure Firewall that are deployed in standard Enterprise Agreement or Microsoft Customer Agreement for enterprise (MCA-E) subscriptions, the outbound SMTP connections on TCP port 25 aren't blocked.

2. Enterprise Dev/Test (déblocable via le portail)

Pour les environnements de développement et de test d’entreprise, la restriction est activée initialement, mais elle peut être levée en autonomie via les diagnostics du portail : For Enterprise Dev/Test subscriptions, port 25 is blocked by default. It's possible to have this block removed.

3. Pay-As-You-Go et abonnements standards (blocage permanent)

Pour les abonnements à l’utilisation (Pay-As-You-Go), les offres MSDN, les comptes Cloud Solution Provider (CSP) et les essais gratuits, le port TCP 25 sortant est bloqué en permanence. Les demandes au support pour lever ce blocage sur ces abonnements grand public ou commerciaux standards ne sont pas prises en charge.

Réalité de la réputation IP

Même avec un abonnement Enterprise Agreement où le port 25 est totalement ouvert, envoyer des e-mails directement depuis les adresses IP d’une VM Azure comporte d’importants obstacles de délivrabilité. Les plages d’adresses IP publiques d’Azure étant réallouées dynamiquement entre des milliers d’utilisateurs dans le monde, les sous-réseaux des centres de données traînent souvent un lourd passif de mauvaise réputation.

Fréquemment, les blocs d’adresses IP de VM Azure sont inscrits sur les principales listes de blocage (DNSBL) comme Spamhaus et UCEPROTECT. Les fournisseurs de messagerie récepteurs (notamment Gmail, Yahoo et Outlook.com) filtrent ou rejettent agressivement le courrier direct provenant des sous-réseaux Azure, même si ton domaine publie des enregistrements SPF et DKIM valides.

L’alternative officielle : relais smarthost sur le port 587

Pour contourner les restrictions d’abonnement et éviter les pièges de délivrabilité des sous-réseaux cloud, Microsoft recommande explicitement de relayer le trafic sortant par un service de livraison externe : We recommend you use authenticated SMTP relay services to send email from Azure VMs or from Azure App Service. Connections to authenticated SMTP relay services are typically on TCP port 587 and isn't blocked.

Cette voie de soumission fonctionne sans aucune restriction sur l’ensemble des offres tarifaires d’Azure : Using these email delivery services on authenticated SMTP port 587 isn't restricted in Azure, regardless of the subscription type.

Voici une configuration Postfix standard (/etc/postfix/main.cf) pour relayer tes messages via un smarthost externe sur le port 587 :

relayhost = [smtp.provider.com]:587
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_tls_security_level = encrypt

Ou envoyer en toute fiabilité via Dispatch. Si tu souhaites éviter les mises à niveau d’abonnement, les démarches de diagnostic sur le portail, la surveillance de la réputation IP et la maintenance d’un relais smarthost, tu peux acheminer ton courrier sortant rapidement et en toute sécurité via Dispatch.

Vérifier ta configuration

Une fois ton infrastructure d’envoi opérationnelle, vérifie ta configuration d’authentification e-mail (SPF, DKIM, DMARC) et la santé générale de ton domaine avec le scanner gratuit MXAudit.

Pour aller plus loin