Dernière mise à jour : juillet 2026

En bref : netcup bloque par défaut les connexions SMTP entrantes et sortantes à l’aide d’une règle de pare-feu intégrée (« netcup Mail block »). Contrairement aux fournisseurs qui exigent l’ouverture de tickets de support manuels ou des délais d’attente liés à l’ancienneté, netcup te permet de supprimer cette restriction immédiatement et en toute autonomie via le panneau de contrôle du serveur (SCP).

Lorsque tu déploies un serveur root ou un VPS chez netcup pour héberger un serveur de messagerie, tes connexions SMTP sortantes et entrantes sur le port 25 vont initialement échouer. Cette restriction est causée par une politique de pare-feu préconfigurée, appliquée automatiquement par le fournisseur.

Pourquoi netcup applique un blocage par défaut du courrier

Pour protéger ses plages d’adresses IP contre les abus et éviter que des serveurs compromis n’envoient du spam massivement sur Internet, netcup applique une règle de pare-feu par défaut aux nouvelles instances.

Selon la documentation officielle des serveurs de netcup : Additionally, rules are set by default to prevent email spamming. However, you can view these rules and remove them if necessary.

Cette restriction s’applique globalement au trafic de messagerie. netcup explique : To enable emails via SMTP, the default firewall policy must be removed, as it blocks incoming and outgoing SMTP connections by default.

Comment supprimer le blocage de messagerie dans le SCP

Contrairement à de nombreux hébergeurs qui exigent des démarches complexes auprès du support ou des critères d’ancienneté de facturation, netcup permet aux administrateurs de supprimer la restriction directement depuis le Server Control Panel (SCP).

Les instructions officielles de suppression fournies par netcup sont claires et directes : Select your server in the Server Control Panel (SCP). Go to the menu item Firewall. In the netcup Mail block policy, click the Delete button on the right.

Une fois la politique supprimée, les modifications réseau se propagent en quelques secondes, ouvrant ainsi le trafic de messagerie à la fois en sortie (ports 25, 465, 587) et en entrée (port 25).

Réputation IP : la réalité

Même si le déblocage du SMTP chez netcup ne nécessite que quelques clics, l’auto-hébergement de l’envoi direct d’e-mails implique de gérer rigoureusement la réputation de ton adresse IP. Étant donné que les plages d’adresses IP des serveurs virtuels sont recyclées entre les clients, les sous-réseaux d’hébergement sont fréquemment surveillés ou inscrits sur des listes de blocage majeures (DNSBL) telles que Spamhaus ou UCEPROTECT.

Si tu envoies des e-mails directement en utilisant l’adresse IP de ton serveur netcup, tu dois configurer un DNS inverse propre (enregistrement PTR) dans le SCP et surveiller activement la réputation de ton IP, car les récepteurs stricts comme Gmail et Microsoft 365 pénalisent les sous-réseaux d’hébergement mal réputés ou non alignés.

Relais smarthost via le port 587

Pour contourner les goulots d’étranglement de réputation associés aux sous-réseaux des hébergeurs, tu peux acheminer tes messages sortants via un relais smarthost externe. Le service de relais accepte tes messages authentifiés sur le port 587 et les délivre via des pools d’adresses IP dédiés et bénéficiant d’une excellente réputation.

Une configuration Postfix standard (/etc/postfix/main.cf) pour relayer le courrier via un smarthost externe s’écrit ainsi :

relayhost = [smtp.provider.com]:587
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_tls_security_level = encrypt

Ou envoyez vos e-mails en toute fiabilité via Dispatch. Si tu souhaites éviter la gestion des règles de pare-feu, la surveillance des listes de blocage et la maintenance continue d’un smarthost, tu peux acheminer ton courrier sortant de manière rapide et sécurisée via Dispatch.

Vérification de la configuration

Une fois ta politique de pare-feu supprimée ou ton relais smarthost actif, vérifie tes en-têtes d’authentification e-mail (SPF, DKIM, DMARC) ainsi que la santé globale de ton domaine à l’aide du scanner gratuit MXAudit.

Pour aller plus loin