Dernière mise à jour : juillet 2026
En bref : Vultr bloque par défaut le port TCP 25 sortant sur toutes ses instances cloud afin de préserver la sécurité de son réseau. Contrairement aux ports liés aux attaques DDoS qui restent bloqués de manière définitive, la restriction du port 25 peut être levée sur demande en ouvrant un ticket de support. En alternative, le relais par smarthost authentifié sur le port 587 reste entièrement accessible.
Lorsque tu déploies un serveur de messagerie auto-hébergé sur une instance de calcul cloud ou un serveur dédié Vultr, le trafic SMTP sortant sur le port 25 échoue par défaut. Cette politique de filtrage réseau est mise en place par Vultr pour lutter contre le spam et protéger la réputation globale des adresses IP au sein de ses centres de données.
Raisons de sécurité réseau et liste des ports bloqués
Vultr applique un filtrage réseau en amont afin de protéger son infrastructure d’hébergement. Dans sa documentation technique officielle, le fournisseur indique :
We block several outbound ports for network security.
Au sein du détail de ces restrictions réseau par défaut, Vultr mentionne explicitement le port standard de transmission de courrier électronique :
TCP port 25 (SMTP)
Comme ce blocage est appliqué au niveau du réseau du centre de données, ajuster les paramètres du pare-feu local de ton système d’exploitation (ufw ou iptables) ou modifier les règles du Cloud Firewall Vultr ne suffira pas à ouvrir le port 25 sortant.
Demander la levée de la restriction via un ticket de support
Contrairement à certains ports réseau à haut risque qui restent interdits en permanence pour tous les comptes, le port TCP 25 fait partie des restrictions que Vultr accepte de retirer.
Pour souligner cette différence, Vultr précise à propos des ports de protocole restreints en permanence (tels que les ports 17 ou 19) :
These ports are commonly abused for DDOS attacks. These blocks are permanent and cannot be removed.
À l’inverse, pour la liste de blocage standard qui comprend TCP port 25 (SMTP), Vultr indique une procédure de résolution claire :
You may request these blocks be removed by opening a support ticket
Avant d’ouvrir un ticket de support pour débloquer le port 25, assure-toi que ton instance est configurée de manière professionnelle pour l’envoi d’e-mails. Les agents du support vérifient généralement que ton serveur dispose d’un enregistrement DNS inverse (PTR) valide attribué dans le portail client Vultr, ainsi que d’enregistrements d’authentification SPF et DKIM publiés, avant d’approuver ta demande.
Réalité de la réputation IP
Même après la suppression réussie du blocage du port 25 par le support Vultr, envoyer des e-mails directement depuis des sous-réseaux d’hébergement cloud pose d’importants défis de délivrabilité. Les pools d’adresses IP de Vultr étant réalloués dynamiquement entre des milliers de développeurs dans le monde, de nombreux sous-réseaux conservent un historique de mauvaise réputation.
Fréquemment, les plages d’adresses IP Vultr apparaissent sur des listes de blocage (DNSBL) strictes comme UCEPROTECT (niveau 2 ou 3) et Spamhaus. Les principaux fournisseurs de messagerie (notamment Gmail, Outlook et Yahoo) filtrent sévèrement le trafic direct provenant des sous-réseaux VPS, envoyant souvent les messages directement dans les dossiers de spam malgré des en-têtes d’authentification valides.
Relais smarthost via le port 587
Pour éviter les délais d’attente du support et contourner les risques de délivrabilité des sous-réseaux VPS, tu peux acheminer ton courrier sortant par un relais smarthost externe sur le port 587 (soumission). Le port 587 est conçu pour la soumission authentifiée des clients et n’est pas soumis aux restrictions de port sortant de Vultr.
Voici une configuration Postfix standard (/etc/postfix/main.cf) pour relayer tes messages via un smarthost externe sur le port 587 :
relayhost = [smtp.provider.com]:587
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_tls_security_level = encrypt
Ou envoyer en toute fiabilité via Dispatch. Si tu souhaites éviter d’ouvrir des tickets de support, de surveiller les listes de blocage d’adresses IP et de gérer un relais smarthost externe, tu peux acheminer ton courrier sortant rapidement et en toute sécurité via Dispatch.
Vérifier ta configuration
Une fois ton flux d’envoi ou ton relais externe actif, audite tes en-têtes d’authentification e-mail (SPF, DKIM, DMARC) et la santé de ton domaine avec le scanner gratuit MXAudit.
Pour aller plus loin
- Vultr Documentation — What ports are blocked? (consulté le 17 juillet 2026)