Dernière mise à jour : juillet 2026
En bref : Hetzner bloque par défaut les ports sortants 25 et 465 sur tous ses serveurs cloud afin d’éviter le spam. Le déblocage nécessite au moins un mois d’ancienneté et une première facture payée. En alternative, le port 587 est ouvert immédiatement sans nécessiter la moindre demande.
Lorsque tu configures un serveur de messagerie auto-hébergé sur Hetzner Cloud, tes premières tentatives de livraison directe d’e-mails sortants vers les destinataires distants vont expirer par un délai d’attente (timeout). Cela se produit parce que Hetzner applique un blocage strict des ports au niveau du réseau sur les instances cloud pour protéger la réputation IP de son infrastructure.
Pourquoi Hetzner bloque les ports 25 et 465
Pour empêcher les acteurs malveillants de lancer des instances cloud destinées à des campagnes de spam massives, Hetzner bloque les ports principaux utilisés pour la livraison directe par SMTP.
Selon la documentation officielle d’Hetzner :
That's why we block ports 25 and 465 by default on all cloud servers. This is a very common practice in the cloud hosting industry because it prevents abuse.
Il est important de noter que cette restriction est liée à la hiérarchie de ton compte plutôt qu’aux instances virtuelles individuelles. Hetzner précise :
Port blocking is enforced per account. If a server is transferred to a project that is owned by another account, the port-blocking rules of the new owner will apply.
Le processus de demande de déblocage (limit request)
Si ton architecture exige une livraison SMTP sortante directe (en te connectant directement depuis l’adresse IP de ton serveur cloud aux enregistrements MX du destinataire sur le port 25), tu dois soumettre une demande de déblocage formelle. Cependant, Hetzner impose des critères d’éligibilité stricts :
Selon la FAQ officielle du fournisseur :
Once you have been with us for a month and paid your first invoice, you can create a limit request to unblock these ports for a valid use case. In your request, you can tell us details about your use case. We make decisions on a case-by-case basis.
En pratique, cela exige :
- Ancienneté et paiement : Tu dois attendre que ton compte soit actif depuis au moins un mois complet et que ta première facture de facturation soit payée.
- Justification détaillée : Tu dois soumettre une demande via la console Hetzner Cloud en détaillant un cas d’usage opérationnel valide, comme l’hébergement d’un système de messagerie d’entreprise authentifié.
- Examen manuel : Le support évalue les demandes individuellement sur une base
case-by-case basis.
Réputation IP : la réalité
Même après avoir débloqué avec succès le port 25, l’envoi direct d’e-mails depuis des serveurs cloud comporte des défis inhérents de délivrabilité. Parce que les adresses IP des serveurs cloud sont assignées dynamiquement et recyclées entre des milliers de clients, des sous-réseaux IP entiers hébergés par les principaux fournisseurs cloud souffrent fréquemment d’inscriptions sur des listes de blocage strictes (DNSBL) comme Spamhaus ou UCEPROTECT.
Si tu envoies des e-mails directement depuis une IP Hetzner Cloud, tu dois veiller à ce que ton DNS inverse (enregistrement PTR) soit correctement configuré et surveiller en permanence la délivrabilité de ton IP auprès des principaux fournisseurs de messagerie.
Relais smarthost via le port 587
Si tu ne peux pas attendre un mois complet ou si tu souhaites éviter les risques de réputation associés aux plages d’adresses IP cloud, Hetzner recommande explicitement de relayer le courrier sortant via un service de livraison externe sur le port 587.
Selon Hetzner :
As an alternative, you can also use port 587 to send emails via external mail delivery services. Port 587 is not blocked and can be used without sending a limit request.
Une configuration Postfix standard (/etc/postfix/main.cf) utilisant un smarthost externe authentifié sur le port 587 s’écrit ainsi :
relayhost = [smtp.provider.com]:587
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_tls_security_level = encrypt
Ou envoyez vos e-mails en toute fiabilité via Dispatch. Si tu souhaites éviter les délais d’attente d’ancienneté, les demandes de déblocage et la surveillance constante de la réputation IP, tu peux acheminer ton courrier sortant de manière rapide et fiable via Dispatch.
Vérification de la configuration
Une fois ton pipeline d’envoi sortant actif, vérifie les en-têtes d’authentification de tes e-mails (SPF, DKIM, DMARC) et la santé globale de ton domaine à l’aide du scanner gratuit MXAudit.
Pour aller plus loin
- Hetzner Cloud — FAQ (Port 25 & 465) (consulté le 17 juillet 2026)