Dernière mise à jour : juillet 2026
En bref : DigitalOcean bloque par défaut le trafic SMTP sortant sur les ports 25, 465 et 587 pour l’ensemble des Droplets et adresses IP réservées. En raison de la mauvaise réputation des adresses IP et de la charge de maintenance, DigitalOcean déconseille de gérer un serveur de messagerie auto-hébergé et recommande de passer par des fournisseurs de messagerie tiers.
Lorsque tu lances un serveur virtuel sur DigitalOcean pour héberger des applications web ou un serveur de messagerie dédié, l’envoi standard de courrier électronique échoue immédiatement. Contrairement à la plupart des fournisseurs cloud qui ne restreignent que la livraison directe entre serveurs via le port 25, DigitalOcean applique un blocage réseau complet sur tous les ports standards de transmission de messagerie.
Blocage SMTP total sur tous les Droplets et IP réservées
DigitalOcean bloque non seulement les connexions SMTP sortantes directes sur le port 25, mais également les ports de soumission standards utilisés pour le relais authentifié (465 et 587).
Selon la documentation de support officielle de DigitalOcean :
SMTP ports 25, 465, and 587 are blocked on Droplets to prevent spam and other abuses on our platform. This block applies to all Droplets by default and includes traffic passing through a Reserved IP address.
Comme cette restriction est imposée à l’entrée du réseau des centres de données, attribuer une adresse IP réservée (Reserved IP) statique ou modifier les règles du pare-feu local du système d’exploitation (iptables ou ufw) ne permettra pas d’ouvrir ces trois ports SMTP.
Pourquoi DigitalOcean déconseille l’auto-hébergement
Cette interdiction stricte découle du défi constant que représente la sécurisation des sous-réseaux cloud face aux abus automatisés. DigitalOcean met formellement en garde les développeurs contre l’auto-hébergement d’infrastructures de messagerie :
Even if SMTP were available, we strongly recommend against running your own mail server , as self-hosted mail servers are difficult to secure and maintain, frequently get flagged as spam, and require constant monitoring to protect your IP address.
(Remarque : L’espace précédant la virgule dans la citation ci-dessus figure tel quel dans la documentation officielle de DigitalOcean.)
Réalité de la réputation IP
L’avertissement de DigitalOcean concernant la surveillance des adresses IP reflète la réalité du terrain sur les plages d’adresses cloud. Les pools d’adresses IP des Droplets étant réalloués dynamiquement entre des milliers de développeurs et fréquemment visés par des acteurs malveillants, les sous-réseaux des centres de données souffrent de problèmes récurrents de réputation.
Souvent, les plages d’adresses IP des Droplets sont inscrites sur des listes de blocage (DNSBL) très strictes telles qu’UCEPROTECT (niveau 2 ou 3) et Spamhaus. Même si tu essaies d’envoyer un e-mail directement depuis une instance cloud, les grandes plateformes de réception (comme Gmail, Yahoo et Outlook) rejettent ou placent systématiquement en quarantaine les messages issus des sous-réseaux d’hébergement, malgré la présence de signatures SPF et DKIM valides.
Alternative recommandée : fournisseurs de messagerie tiers
Puisque les ports SMTP standards sont bloqués sur les Droplets, DigitalOcean oriente ses utilisateurs vers des intégrations externes :
To send mail from services hosted on DigitalOcean, we recommend using a third-party email as a service provider.
Pour envoyer des notifications transactionnelles ou des messages applicatifs depuis un Droplet DigitalOcean, les développeurs s’intègrent généralement à des services de messagerie tiers via des API HTTP (en utilisant le port HTTPS standard 443, qui n’est pas bloqué) ou par des ports de relais personnalisés non bloqués proposés par le fournisseur.
Si ton fournisseur externe de messagerie prend en charge le relais SMTP authentifié sur un port alternatif non bloqué, voici à quoi ressemble une configuration Postfix typique (/etc/postfix/main.cf) :
relayhost = [smtp.provider.com]:2525
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_tls_security_level = encrypt
Ou envoyer en toute fiabilité via Dispatch. Si tu souhaites éviter les ports SMTP bloqués, les intégrations d’API complexes, la surveillance de la réputation IP et la maintenance d’un serveur de messagerie auto-hébergé, tu peux acheminer tes e-mails applicatifs rapidement et en toute sécurité via Dispatch.
Vérifier ta configuration
Une fois ton fournisseur tiers ou ton relais alternatif configuré, vérifie tes enregistrements d’authentification e-mail (SPF, DKIM, DMARC) et la santé de ton domaine avec le scanner gratuit MXAudit.
Pour aller plus loin
- DigitalOcean Support — Why is SMTP blocked? (consulté le 17 juillet 2026)