Dernière mise à jour : juillet 2026
En bref : Google Cloud (GCP) bloque par défaut les connexions sortantes sur le port TCP 25 vers des adresses de destination externes à ton réseau VPC afin de prévenir le spam. Ce blocage s’applique même lorsque tu essaies d’utiliser le port 25 pour le relais SMTP de Google Workspace. En alternative, les ports TCP de destination 587 et 465 restent totalement ouverts pour la soumission via des relais externes.
Lorsque tu déploies une infrastructure d’e-mails auto-hébergée sur une instance de machine virtuelle dans Google Compute Engine, la livraison SMTP directe vers des systèmes de messagerie distants échoue dès l’installation. Cette restriction réseau est appliquée par Google Cloud aux frontières de ton Virtual Private Cloud (VPC) afin de protéger la réputation globale de ses adresses IP et de limiter le spam sortant.
Objectif et portée de la restriction sur le port 25
La politique de filtrage réseau fait une distinction nette entre le routage interne au VPC et les destinations sur le réseau internet public. Dans la documentation officielle de Compute Engine, Google précise :
Due to the risk of abuse, connections to destination TCP Port 25 are blocked when the destination is external to your VPC network. This includes using SMTP relay with Google Workspace. However, some projects do not have this restriction and do allow external SMTP egress on port 25.
Bien qu’un petit nombre de projets anciens ou spécifiquement exemptés autorisent la sortie SMTP externe, la grande majorité des instances de travail sur Compute Engine est soumise à une interdiction permanente d’envoyer du trafic direct par le port 25 vers des passerelles MX externes. Comme ce contrôle s’effectue directement dans l’infrastructure de ton réseau VPC, modifier le pare-feu local du système d’exploitation ou les règles de pare-feu sortant de ton VPC ne permettra pas de débloquer le port 25.
Règles du relais SMTP Google Workspace
Les organisations hébergées sur Google Cloud tentent fréquemment d’acheminer les e-mails sortants de leurs VM via leur service existant de relais SMTP Google Workspace en utilisant le port 25. Google interdit formellement cette configuration en clarifiant :
SMTP relaying through Google Workspace is only allowed through ports 465 or 587. Port 25 is not supported through Google Workspace.
Réalité de la réputation IP
Même si ton projet fait partie des rares cas qui autorisent le trafic sortant sur le port 25, envoyer des e-mails directement depuis les adresses IP externes de Compute Engine présente des risques extrêmes de délivrabilité. Les adresses IP publiques de Compute Engine sont attribuées dynamiquement à partir d’un pool partagé entre des millions d’instances cloud dans le monde entier.
Par conséquent, ces plages d’adresses IP se retrouvent régulièrement inscrites sur des listes de blocage (DNSBL) très strictes telles qu’UCEPROTECT ou Spamhaus. Les principaux fournisseurs de messagerie (comme Gmail, Outlook et Yahoo) filtrent ou rejettent systématiquement les messages directs provenant des sous-réseaux cloud, et ce même si ton domaine de livraison publie des enregistrements d’authentification SPF et DKIM parfaitement valides.
Relais smarthost via les ports 587 et 465
Pour contourner le blocage réseau du port 25 et éliminer les risques de mauvaise réputation liés aux adresses IP mutualisées, Google Cloud laisse une voie ouverte pour la soumission via un relais authentifié :
Google Cloud does not place any restrictions on traffic sent to external destination IP addresses using destination TCP ports 587 or 465.
Tu peux donc acheminer en toute fiabilité tes e-mails sortants via un relais smarthost externe en utilisant le port 587 (STARTTLS) ou le port 465 (SSL/TLS).
Voici une configuration Postfix standard (/etc/postfix/main.cf) pour relayer via un smarthost externe sur le port 587 :
relayhost = [smtp.provider.com]:587
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_tls_security_level = encrypt
Ou envoyer en toute fiabilité via Dispatch. Si tu souhaites éviter les demandes d’exemption de projet, les restrictions du relais Workspace, la résolution de listes de blocage et la maintenance d’un relais smarthost, tu peux acheminer ton courrier sortant rapidement et en toute sécurité via Dispatch.
Vérifier ta configuration
Une fois ta configuration de relais externe opérationnelle, vérifie tes en-têtes d’authentification e-mail (SPF, DKIM, DMARC) et la santé globale de ton domaine grâce au scanner gratuit MXAudit.
Pour aller plus loin
- Google Cloud Compute Engine Tutorials — Sending email from an instance (consulté le 17 juillet 2026)
- Google Cloud Documentation — VPC Firewall rules overview (consulté le 17 juillet 2026)