Dernière mise à jour : juillet 2026
En bref : Scaleway bloque par défaut le trafic SMTP sortant distant sur les ports 25, 465 et 587 pour toutes ses Instances cloud afin de prévenir le spam. Le déblocage de ces ports s’effectue en toute autonomie via les paramètres du Groupe de Sécurité, mais nécessite d’avoir préalablement validé la procédure de vérification d’identité (KYC).
Lorsque tu déploies une application web ou une infrastructure d’e-mails auto-hébergée sur une Instance Scaleway, la transmission standard du courrier sortant échoue dès l’initialisation. Contrairement à de nombreux fournisseurs cloud qui ne restreignent que l’envoi direct entre serveurs sur le port 25, Scaleway applique un filtrage réseau global couvrant l’ensemble des ports habituels de transmission de messagerie.
Restriction par défaut sur tous les ports SMTP distants
Le filtre réseau intervient en amont de ta machine virtuelle et intercepte toutes les connexions sortantes à destination de systèmes de messagerie distants sur les protocoles standards. Selon la documentation officielle de Scaleway :
By default, remote SMTP ports (25, 465, and 587) are blocked and cannot be accessed from our infrastructure to prevent spam. To send emails from your Instance, you need to open these ports in the security group configuration.
Cela signifie que tenter d’établir une connexion vers un relais smarthost externe sur le port 587 ou 465 expirera dans un premier temps, jusqu’à ce que ces ports soient expressément activés au sein du Groupe de Sécurité rattaché à ton Instance.
Prérequis au déblocage : la vérification d’identité (KYC)
Avant que la console Scaleway ne t’autorise à ouvrir les ports SMTP sortants dans les règles de ton Groupe de Sécurité, tu dois justifier de ton identité. Scaleway impose cette condition préalable obligatoire :
Completed the identity verification process (KYC)
Tant que tu n’as pas soumis et fait valider tes documents officiels d’identité (Know Your Customer) via le portail Scaleway, l’option permettant d’activer les ports SMTP dans le Groupe de Sécurité reste grisée.
Déblocage autonome dans les Groupes de Sécurité
Dès que ta vérification d’identité est approuvée, tu peux débloquer le trafic e-mail sortant directement depuis ton espace client, sans attendre la validation d’un ticket par le support. Pour procéder, suis les instructions de la documentation officielle :
Select the security group for which you want to enable SMTP ports.
En cochant l’option d’activation au sein du Groupe de Sécurité concerné et en appliquant les nouvelles règles à tes Instances en cours d’exécution, le trafic sortant sur les ports distants 25, 465 et 587 est autorisé immédiatement aux frontières du réseau.
Réalité de la réputation IP
Même après avoir validé ta procédure KYC et ouvert les ports SMTP dans ton Groupe de Sécurité, envoyer des e-mails directement depuis une Instance Scaleway (via le port 25) soulève d’importants défis de délivrabilité. Les pools d’adresses IP publiques de Scaleway étant réalloués dynamiquement entre des milliers de développeurs, les sous-réseaux des centres de données conservent souvent un passif de mauvaise réputation.
Fréquemment, les plages d’adresses IP Scaleway sont inscrites sur des listes de blocage (DNSBL) strictes telles qu’UCEPROTECT (niveau 2 ou 3) et Spamhaus. Les principaux fournisseurs de messagerie (notamment Gmail, Outlook et Yahoo) surveillent agressivement le courrier direct provenant de sous-réseaux cloud, envoyant régulièrement les messages dans le dossier spam ou les rejetant malgré des enregistrements SPF et DKIM valides.
Configuration recommandée : relais smarthost sur le port 587
Une fois que tu as déverrouillé les ports SMTP dans ton Groupe de Sécurité après la vérification KYC, il est vivement conseillé d’éviter d’envoyer du courrier en direct par le port 25. Route plutôt tes e-mails sortants via un relais smarthost authentifié sur le port 587 (soumission) afin de garantir une excellente délivrabilité et de préserver la réputation de ton domaine.
Voici une configuration Postfix standard (/etc/postfix/main.cf) pour relayer tes messages via un smarthost externe sur le port 587 :
relayhost = [smtp.provider.com]:587
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_tls_security_level = encrypt
Ou envoyer en toute fiabilité via Dispatch. Si tu souhaites éviter les délais de vérification d’identité KYC, les manipulations de Groupes de Sécurité, la gestion des listes de blocage d’adresses IP et la maintenance d’un relais smarthost, tu peux acheminer ton courrier sortant rapidement et en toute sécurité via Dispatch.
Vérifier ta configuration
Une fois tes ports ouverts dans le Groupe de Sécurité et ton flux d’envoi configuré, vérifie tes enregistrements d’authentification e-mail (SPF, DKIM, DMARC) et la santé de ton domaine avec le scanner gratuit MXAudit.
Pour aller plus loin
- Scaleway Documentation — How to send emails from your Instance (consulté le 17 juillet 2026)