Dernière mise à jour : juillet 2026

En bref : Presque tous les hébergeurs cloud et serveurs modernes bloquent par défaut l’envoi d’e-mails sortants sur le port TCP 25 afin de lutter contre le spam et de protéger la réputation de leurs adresses IP. Ce guide compare les règles de 13 fournisseurs majeurs, explique les procédures de déblocage spécifiques et montre pourquoi l’utilisation d’un relais smarthost via le port 587 est souvent la meilleure solution technique.

Lorsque tu installes un serveur de messagerie (comme Postfix, Mailcow ou Microsoft Exchange) sur un serveur virtuel (VPS, instance cloud) ou un serveur dédié, les tentatives d’envoi vers des destinataires externes se soldent presque toujours par une expiration de connexion (timeout). Dans la plupart des cas, ce problème n’est pas lié à une mauvaise configuration de ton serveur, mais à un filtrage réseau imposé en amont par ton hébergeur qui bloque le trafic sortant sur le port TCP 25.

Pourquoi les hébergeurs bloquent le port 25

Les plages d’adresses IP des centres de données sont attribuées de manière dynamique et fréquemment recyclées. Des acteurs malveillants exploitent souvent ces serveurs pour lancer des campagnes massives de spam et de phishing automatisées. Sans un blocage réseau sur le port 25, des sous-réseaux entiers finiraient rapidement sur des listes noires globales (DNSBL) comme Spamhaus ou UCEPROTECT, dégradant ainsi la délivrabilité des e-mails pour tous les clients partageant cette infrastructure.

Les règles des 13 hébergeurs en détail

Chaque fournisseur applique des critères distincts pour lever le blocage du port 25 — allant de la désactivation en libre-service dans l’espace client à des vérifications strictes d’identité et d’historique de facturation. Choisis ton hébergeur dans la liste ci-dessous pour accéder aux instructions détaillées, aux conditions requises et aux citations officielles :

Hébergeurs européens et allemands

  • Hetzner Cloud & Dedicated : Le port 25 est bloqué par défaut sur tous les nouveaux serveurs cloud. Après un mois d’historique de compte actif et de factures payées, tu peux demander un déblocage manuel via la section des limites dans la Cloud Console.
  • Netcup : Les ports d’envoi d’e-mails sont restreints par défaut. Dès que toutes les factures sont réglées et que tes coordonnées sont vérifiées, le blocage peut être désactivé instantanément en libre-service dans le Server Control Panel (SCP).
  • Contabo : Le trafic sortant n’est pas totalement bloqué au niveau du réseau, mais est soumis à des limites strictes d’envoi quotidien pour éviter les abus. Une augmentation nécessite de contacter le support technique.
  • IONOS : Bloqué de manière centrale sur les serveurs Cloud et Dédiés. La levée de la restriction exige la configuration de trois prérequis techniques (FQDN, rDNS, SPF) et un entretien téléphonique de vérification avec le service client.
  • STRATO : Restreint par défaut sur les produits serveurs (en particulier les serveurs Root Windows) par mesure de sécurité. Le déblocage nécessite l’ouverture d’un ticket de support après la configuration d’un enregistrement DNS inverse (rDNS) valide.
  • OVHcloud : Bloqué par défaut sur toutes les instances VPS, Dédiés et Public Cloud. Le support examine manuellement chaque demande de déblocage au cas par cas.
  • Scaleway : Restreint par défaut les ports SMTP distants 25, 465 et 587. Après avoir validé ta vérification d’identité (KYC), tu peux activer l’envoi SMTP directement en cochant la case correspondante dans ton groupe de sécurité (Security Group).

Plateformes cloud mondiales et hébergeurs américains

  • Amazon Web Services (AWS EC2) : Le port 25 sortant est bloqué pour toutes les destinations publiques IPv4 et IPv6. La levée de la restriction nécessite la soumission d’un formulaire officiel de demande de suppression pour chaque région AWS spécifique.
  • Microsoft Azure : Ouvert pour les abonnements Enterprise Agreement, mais bloqué en permanence pour les offres Pay-As-You-Go. Les abonnements Dev/Test peuvent demander un déblocage via l’outil de diagnostic du portail.
  • Google Cloud (GCP Compute Engine) : Le port 25 sortant vers Internet est strictement bloqué (même pour les relais Google Workspace). Google exige d’acheminer le trafic sortant via des relais authentifiés sur le port 587 ou 465.
  • DigitalOcean : Bloque par défaut les ports sortants 25, 465 et 587 sur tous les Droplets et adresses IP réservées sans aucune exception possible, recommandant vivement de passer par des services d’e-mail tiers.
  • Vultr : Le port TCP 25 fait partie de la liste des ports bloqués par défaut, mais peut être débloqué sur demande en ouvrant un ticket auprès du support technique.
  • Oracle Cloud Infrastructure (OCI) : Bloqué par défaut pour tous les comptes (tenancies) créés après le 23 juin 2021. L’envoi d’e-mails exige une demande formelle d’augmentation des limites de service pour obtenir une dispense.

Le problème sous-jacent : la réputation des IP de centre de données

Même si ton hébergeur accepte ta demande et débloque le port 25 sortant, envoyer des e-mails directement depuis une instance cloud présente des défis majeurs de délivrabilité. Les grandes plateformes de réception — y compris Gmail, Yahoo, Apple iCloud et Microsoft Outlook — appliquent des algorithmes de filtrage très agressifs au trafic provenant de sous-réseaux de centres de données.

Comme les plages d’adresses IP cloud ont un taux de rotation élevé, les messages envoyés directement depuis un VPS finissent souvent dans le dossier spam ou sont purement et simplement rejetés sur la base de listes noires DNS (comme Spamhaus ou UCEPROTECT), quelle que soit la conformité de ta configuration SPF, DKIM et DMARC.

La solution recommandée : le relais smarthost via le port 587

Pour contourner les blocages du port 25 et éviter la mauvaise réputation associée aux adresses IP de centre de données, tu dois acheminer tes e-mails sortants via le port 587 (Submission) en utilisant un relais smarthost authentifié. Le port 587 est conçu spécifiquement pour la soumission chiffrée par un client et reste ouvert chez presque tous les fournisseurs (à l’exception de DigitalOcean et initialement de Scaleway).

Un extrait de configuration typique dans ton fichier /etc/postfix/main.cf pour l’envoi via un relais smarthost se présente ainsi :

relayhost = [smtp.provider.com]:587
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_tls_security_level = encrypt

Ou expédier en toute fiabilité via Dispatch. Si tu souhaites t’épargner les tickets de support, les vérifications d’identité KYC, la surveillance des listes noires et la maintenance d’un relais, tu peux acheminer l’ensemble de tes flux d’e-mails rapidement et en toute sécurité via Dispatch.

Vérifier ta configuration

Une fois ton flux smarthost ou ton relais externe actif, vérifie l’authentification de tes e-mails (SPF, DKIM, DMARC) ainsi que la délivrabilité globale de ton domaine à l’aide du scanner gratuit MXAudit.