Dernière mise à jour : juillet 2026

En bref : Oracle Cloud Infrastructure (OCI) bloque par défaut le port TCP 25 sortant vers internet pour tous les comptes (tenancies) créés après le 23 juin 2021. Demander une exemption nécessite d’ouvrir une requête officielle d’augmentation des limites de service. En alternative, le relais par smarthost authentifié sur le port 587 reste entièrement accessible.

Lorsque tu déploies une infrastructure de messagerie auto-hébergée sur une instance de calcul Oracle Cloud Infrastructure (OCI), l’envoi d’e-mails en direct vers des serveurs de messagerie distants se heurte souvent à des délais d’expiration de connexion. La capacité de ton instance à acheminer du trafic sur le port TCP 25 dépend entièrement de la date de création de ton compte OCI.

La date butoir : 23 juin 2021

Oracle a instauré une date butoir stricte pour lutter contre le spam sortant et protéger la réputation des adresses IP de ses centres de données mondiaux. Dans sa documentation officielle sur les réseaux virtuels cloud (VCN), le fournisseur précise : Tenancies made after June 23, 2021 are by default not allowed to send e-mail through outbound TCP port 25 to the internet. Tenancies made before June 23, 2021 are unaffected. If you require the ability to send email from your tenancy, open a service limits request to obtain an exemption.

Selon cette règle, les comptes plus anciens enregistrés avant cette date butoir continuent de fonctionner sans restriction réseau sur le port 25, tandis que les nouveaux comptes voient le port TCP 25 sortant bloqué par défaut par la passerelle réseau OCI.

Demander une exemption via les limites de service

Si l’architecture de ton application exige impérativement la livraison directe sortante via le port 25, tu dois soumettre une demande officielle d’exemption. Dans OCI, cette démarche s’effectue spécifiquement par le système d’escalade des limites de service plutôt que par le support technique général (open a service limits request).

Durant l’examen, le support Oracle évalue la légitimité de tes besoins opérationnels. Avant d’ouvrir cette demande, assure-toi que ton instance de calcul dispose d’un enregistrement DNS inverse (PTR) valide publié dans la console OCI, ainsi que d’enregistrements d’authentification SPF et DKIM configurés pour prouver ta bonne foi.

Réalité de la réputation IP

Même si Oracle approuve ta demande de limites de service et débloque le port 25 sur ton compte, envoyer des e-mails directement depuis les adresses IP d’une instance OCI comporte de sérieux obstacles de délivrabilité. Comme OCI attribue dynamiquement ses pools d’adresses IP publiques entre des milliers de locataires — phénomène accentué par la rotation importante due à son offre Free Tier — les sous-réseaux des centres de données héritent d’un passif de réputation négatif.

Souvent, les plages d’adresses IP OCI figurent sur des listes de blocage (DNSBL) strictes telles qu’UCEPROTECT (niveau 2 ou 3) et Spamhaus. Les principaux fournisseurs de messagerie (notamment Gmail, Outlook et Yahoo) surveillent rigoureusement le trafic direct provenant des sous-réseaux d’hébergement, dirigeant fréquemment les messages vers le dossier spam ou les rejetant malgré des en-têtes d’authentification valides.

Relais smarthost via le port 587

Pour éviter la file d’attente des demandes de limites de service et contourner les risques de délivrabilité des sous-réseaux d’hébergement, tu peux acheminer ton courrier sortant via le port 587 (soumission) en utilisant un relais smarthost authentifié. Le port 587 est conçu pour la soumission des clients et n’est pas concerné par la restriction de la date butoir de juin 2021.

Voici une configuration Postfix standard (/etc/postfix/main.cf) pour relayer tes messages via un smarthost externe sur le port 587 :

relayhost = [smtp.provider.com]:587
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_tls_security_level = encrypt

Ou envoyer en toute fiabilité via Dispatch. Si tu souhaites éviter les demandes de limites de service, la surveillance des listes de blocage, l’audit des configurations DNS inverses et la gestion d’un relais smarthost externe, tu peux acheminer ton courrier sortant rapidement et en toute sécurité via Dispatch.

Vérifier ta configuration

Une fois ton relais smarthost externe ou ton flux de livraison actif, vérifie tes en-têtes d’authentification e-mail (SPF, DKIM, DMARC) et la santé de ton domaine avec le scanner gratuit MXAudit.

Pour aller plus loin