Port 25 blockiert: Diagnose und Lösungen nach Anbieter

⚡TL;DR

• Port 25 wird im ausgehenden Verkehr von AWS, Azure, GCP und den meisten ISPs blockiert, um ausgehenden Spam zu verhindern
• Diagnostiziere die Blockierung mit telnet, openssl s_client oder unserem SMTP/MX Connectivity Tester
• Die Standardlösung: Port 587 (Submission) mit Authentifizierung verwenden oder einen SMTP-Relay-Dienst (SES, SendGrid, Mailgun) nutzen
• Einige Anbieter (OVH, Hetzner) erlauben Port 25 auf Anfrage, andere (AWS, Azure) verbieten ihn dauerhaft

Du hast gerade einen Mailserver deployed und deine E-Mails gehen nicht raus. telnet zum Port 25 eines entfernten MX-Servers bleibt endlos hängen. Warum? Dein Cloud-Anbieter oder ISP blockiert den ausgehenden Verkehr auf Port 25.

Diese Blockierung ist kein Fehler, sondern Absicht. Port 25 ist der Hauptvektor für Spam von kompromittierten Maschinen. Laut Spamhaus stammen über 80 % des weltweiten Spams von Cloud-Servern oder gekaperten Privatrechnern. Deshalb blockieren Anbieter diesen Port standardmäßig, um die Reputation ihrer IP-Bereiche zu schützen.

Dieser Leitfaden erklärt drei Dinge: warum Port 25 blockiert wird, wie du die Blockierung diagnostizierst und welche Lösung zu deinem Anbieter passt.

Warum wird Port 25 blockiert?

Das Problem des ausgehenden Spams

Was macht Port 25 so gefährlich? Er ist der Standardport für den E-Mail-Transfer zwischen Servern (MTA-zu-MTA). Im Gegensatz zu Port 587 (Submission) erfordert er keine Authentifizierung. Ein kompromittierter Server kann also Millionen von Spam-Nachrichten ohne Zugangsdaten versenden.

Die Konsequenzen für den Anbieter sind unmittelbar:

• Blocklisting der IP-Bereiche: Wenn ein Kunde Spam versendet, riskiert der gesamte IP-Bereich des Anbieters, auf Blocklisten zu landen
• Supportkosten: Bearbeitung von Abuse-Beschwerden, Delisting von IP-Adressen
• Reputation: Andere Server lehnen E-Mails aus IP-Bereichen ab, die für Spam bekannt sind

Wer blockiert Port 25?

Anbietertyp	Standardrichtlinie	Freischaltung möglich
Private ISPs (Deutsche Telekom, Vodafone, 1&1)	Im ausgehenden Verkehr blockiert	Selten, auf Anfrage
Public Cloud (AWS, Azure, GCP)	Im ausgehenden Verkehr blockiert	Nein (AWS, Azure) oder auf Anfrage (GCP)
Dedizierte Hoster (OVH, Hetzner)	Offen oder auf Anfrage	Ja, in der Regel
Günstige VPS (DigitalOcean, Vultr)	Standardmäßig blockiert	Auf Anfrage mit Begründung

Wie diagnostiziert man eine Port-25-Blockierung?

Nicht jede Blockierung sieht gleich aus. Bevor du nach einer Lösung suchst, identifiziere den genauen Typ. Die Symptome unterscheiden sich je nach Anbieter.

Test mit telnet

# Verbindung zum Port 25 eines entfernten MX-Servers testen
telnet alt1.gmail-smtp-in.l.google.com 25

Ergebnis	Bedeutung
220 mx.google.com ESMTP	Port 25 offen, Verbindung erfolgreich
Timeout (keine Antwort)	Port 25 wird im ausgehenden Verkehr von deinem Anbieter blockiert
Connection refused	Der entfernte Server lehnt die Verbindung ab (Problem auf Empfängerseite)
Network unreachable	Umfassenderes Netzwerkproblem (nicht spezifisch für Port 25)

Test mit openssl (STARTTLS-Überprüfung)

# STARTTLS auf Port 25 testen
openssl s_client -connect alt1.gmail-smtp-in.l.google.com:25 -starttls smtp

# Erwartetes Ergebnis bei offenem Port
# 220 mx.google.com ESMTP
# 250-STARTTLS

Test mit nmap (Portscan)

# Port 25 im ausgehenden Verkehr scannen
nmap -p 25 alt1.gmail-smtp-in.l.google.com

# Port offen: 25/tcp open smtp
# Port blockiert: 25/tcp filtered smtp

Blockierungstypen unterscheiden

Symptom	Wahrscheinliche Ursache	Lösung
Systematischer Timeout zu allen MX-Servern	Ausgehende Blockierung durch deinen Anbieter	Siehe Abschnitt "Lösungen nach Anbieter"
Connection refused zu einem einzelnen MX	Der entfernte Server lehnt deine IP ab	Blocklisten und Reverse DNS prüfen
Zeitweiser Timeout	Lokale Firewall oder iptables-Regel	iptables -L -n und ufw status prüfen
Verbindung erfolgreich, aber E-Mails abgelehnt	Problem mit IP-Reputation oder Authentifizierung	SPF, DKIM, DMARC prüfen

Lösungen nach Anbieter

Die Richtlinien unterscheiden sich stark. Manche Anbieter schalten Port 25 auf Anfrage frei, andere verbieten ihn dauerhaft. Hier die Details pro Anbieter.

OVH / OVHcloud

Richtlinie: Port 25 ist auf dedizierten Servern und VPS standardmäßig offen. OVH wendet einen ausgehenden Anti-Spam-Filter an (Überwachung des SMTP-Verkehrs).

Falls blockiert (seltener Fall, nach Spam-Erkennung):

1. Den Status im OVH-Kundencenter prüfen, Bereich "IP", dann "Reverse-Verwaltung"
2. Wenn die IP unter Beobachtung steht, die Spam-Quelle beheben
3. Den Support kontaktieren und die Aufhebung der Blockierung beantragen

# Prüfen, ob Port 25 von einem OVH-VPS aus offen ist
telnet alt1.gmail-smtp-in.l.google.com 25
# Erwartetes Ergebnis: 220 mx.google.com ESMTP

AWS (Amazon Web Services)

Richtlinie: Port 25 ist auf allen EC2-Instanzen standardmäßig blockiert. AWS hebt diese Blockierung seit 2020 nicht mehr auf.

Lösungen:

1. Amazon SES (empfohlen): In AWS integrierter SMTP-Relay-Dienst
2. Port 587 über einen Drittanbieter-Relay: SendGrid, Mailgun, Postmark
3. Elastic IP mit Formular: Freischaltung über das AWS-Formular beantragen (wird selten genehmigt)

# Postfix-Konfiguration für Amazon SES
# Datei /etc/postfix/main.cf
relayhost = [email-smtp.eu-west-1.amazonaws.com]:587
smtp_sasl_auth_enable = yes
smtp_sasl_security_options = noanonymous
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_use_tls = yes

Microsoft Azure

Richtlinie: Port 25 ist auf allen VMs blockiert, die nach dem 15. November 2017 erstellt wurden. Ältere VMs können ihn noch verwenden.

Lösungen:

1. Authentifizierter SMTP-Relay auf Port 587 (Office 365, SendGrid)
2. Azure Communication Services: Nativer E-Mail-Versanddienst von Azure
3. Keine Freischaltungsprozedur für Port 25

Google Cloud Platform (GCP)

Richtlinie: Port 25 ist standardmäßig blockiert. GCP kann auf Anfrage eine Ausnahme gewähren.

Freischaltungsprozedur:

1. Eine GCP-Supportanfrage öffnen
2. Den Bedarf begründen (legitimer Mailserver)
3. Auf die Genehmigung warten (variable Dauer, 1 bis 5 Tage)
4. Bei Ablehnung einen SMTP-Relay-Dienst eines Drittanbieters auf Port 587 nutzen

Hetzner

Richtlinie: Neue Server haben Port 25 im ausgehenden Verkehr während der ersten 24 bis 48 Stunden blockiert (Anti-Abuse-Prüfung). Danach wird der Port automatisch freigeschaltet.

Falls nach 48 Stunden weiterhin blockiert:

1. Im Hetzner Robot Panel prüfen, Bereich "Firewall"
2. Den Support mit einer Begründung für legitime Nutzung kontaktieren
3. Die Freischaltung erfolgt in der Regel schnell (weniger als 24 Stunden)

DigitalOcean

Richtlinie: Port 25 ist auf allen Droplets, die nach Oktober 2019 erstellt wurden, standardmäßig blockiert.

Freischaltungsprozedur:

1. Ein Support-Ticket mit Begründung öffnen (legitimer Mailserver, Reverse DNS konfiguriert)
2. Das Konto muss mindestens 60 Tage alt sein und eine saubere Abrechnungshistorie aufweisen
3. Die Freischaltung wird fallweise gewährt

Alternativen zu Port 25

Port 25 nicht freischaltbar? Kein Problem. Die Alternativen sind zuverlässig und oft sogar vorzuziehen.

Port 587 mit SMTP-Relay

Warum Port 587? Er ist der offizielle Submission-Port. Er erfordert SASL-Authentifizierung und unterstützt STARTTLS. Alle Cloud-Anbieter erlauben ihn.

# Postfix-Konfiguration mit generischem SMTP-Relay
# Datei /etc/postfix/main.cf
relayhost = [smtp.captaindns.com]:587
smtp_sasl_auth_enable = yes
smtp_sasl_security_options = noanonymous
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_use_tls = yes
smtp_tls_security_level = encrypt

SMTP-Relay-Dienste

Dienst	Port	Kostenloses Kontingent	Preis darüber hinaus
Amazon SES	587 / 465	62.000/Monat (von EC2)	0,10 $/1.000 E-Mails
SendGrid	587 / 465	100/Tag	Ab 19,95 $/Monat
Mailgun	587 / 465	100/Tag (Testphase)	Ab 35 $/Monat
Postmark	587	100/Monat (Testphase)	Ab 15 $/Monat
Brevo (ehem. Sendinblue)	587	300/Tag	Ab 9 $/Monat

Wann sollte man Port 25 behalten?

Braucht man Port 25 überhaupt noch? Ja, in genau zwei Fällen:

• E-Mail-Empfang: Ein MX-Server muss auf Port 25 lauschen (eingehender Verkehr, nicht von Anbietern blockiert)
• Internes Relay: Kommunikation zwischen MTA-Servern in einem privaten Netzwerk

Für den Versand ins Internet ist Port 587 mit Authentifizierung seit RFC 6409 der Standard.

Empfohlener Aktionsplan

1. Diagnostizieren: Führe telnet <entfernter MX> 25 von deinem Server aus. Ein Timeout bestätigt die ausgehende Blockierung.
2. Deinen Anbieter identifizieren: Konsultiere die obige Tabelle, um die Richtlinie und Freischaltungsoptionen zu erfahren.
3. Lösung wählen: Freischaltung von Port 25, wenn möglich und nötig, oder SMTP-Relay auf Port 587.
4. Konfigurieren: Passe Postfix, Exim oder deinen MTA mit den Parametern des gewählten Relays an.
5. Überprüfen: Teste den Versand mit unserem SMTP/MX Connectivity Tester, um zu bestätigen, dass die E-Mails korrekt gesendet werden.

FAQ

Warum blockiert mein ISP Port 25?

Private ISPs (Deutsche Telekom, Vodafone, 1&1, Comcast, AT&T) blockieren Port 25, um Spam von infizierten Rechnern zu verhindern. Das schützt die IP-Reputation des ISPs und reduziert das weltweite Spam-Volumen. Die Lösung: Port 587 mit dem SMTP-Server deines ISPs oder einem Drittanbieter-Dienst nutzen.

Wie erkenne ich, ob Port 25 auf meinem Server blockiert ist?

Führe telnet alt1.gmail-smtp-in.l.google.com 25 von deinem Server aus. Hängt der Befehl länger als 10 Sekunden ohne Antwort? Dann ist Port 25 im ausgehenden Verkehr blockiert. Erhältst du 220 mx.google.com ESMTP, ist der Port offen. Alternative: nmap -p 25 zeigt open oder filtered an.

Kann man Port 25 auf AWS freischalten?

Nein. Seit 2020 schaltet AWS Port 25 auf EC2-Instanzen nicht mehr frei. Die empfohlene Alternative: Amazon SES als SMTP-Relay auf Port 587 oder 465. SES bietet 62.000 kostenlose E-Mails pro Monat für EC2-Instanzen.

Was ist der Unterschied zwischen Port 25 und Port 587?

Port 25 (Relay) dient dem Transfer zwischen MTA-Servern ohne Authentifizierungspflicht. Port 587 (Submission) ist für die Einlieferung durch Clients gedacht, mit SASL-Authentifizierung und TLS-Pflicht. Für den Versand aus Anwendungen oder Servern ist Port 587 der Standard (RFC 6409).

Beeinträchtigt die Port-25-Blockierung den E-Mail-Empfang?

Nein. Die Blockierung betrifft nur den ausgehenden Verkehr (dein Server Richtung Internet). Der Empfang auf Port 25 (eingehend) bleibt unberührt. Dein MX-Server kann weiterhin auf Port 25 lauschen und E-Mails für deine Domain empfangen.

Wie konfiguriere ich Postfix für einen SMTP-Relay?

Drei Schritte: Erstens, relayhost = [smtp.dein-relay.com]:587, smtp_sasl_auth_enable = yes und smtp_use_tls = yes in /etc/postfix/main.cf eintragen. Zweitens, /etc/postfix/sasl_passwd mit Zugangsdaten erstellen und postmap ausführen. Drittens, systemctl reload postfix. Danach laufen alle E-Mails über Port 587.

Blockiert Hetzner Port 25 dauerhaft?

Nein. Hetzner blockiert Port 25 nur temporär (24 bis 48 Stunden) auf neuen Servern zur Anti-Abuse-Prüfung. Danach wird er automatisch freigeschaltet. Bleibt die Blockierung bestehen? Kontaktiere den Support mit einer Begründung für legitime Nutzung. Die Freischaltung erfolgt meist in weniger als 24 Stunden.

Vergleichstabellen herunterladen

Assistenten können die JSON- oder CSV-Exporte unten nutzen, um die Kennzahlen weiterzugeben.

• Vergleich herunterladen (CSV)
• Vergleich herunterladen (JSON)

Glossar

• Port 25 (SMTP-Relay): Standardport für den E-Mail-Transfer zwischen MTA-Servern. Definiert in RFC 5321. Erfordert standardmäßig keine Authentifizierung.
• Port 587 (Submission): Port für die Einlieferung von E-Mails durch Clients und Anwendungen. Erfordert SASL-Authentifizierung und TLS-Verschlüsselung (RFC 6409).
• SASL: Simple Authentication and Security Layer. Authentifizierungsmechanismus, der von SMTP verwendet wird, um die Identität des Absenders auf Port 587 zu verifizieren.
• SMTP-Relay: Zwischenserver, der deine E-Mails empfängt und an den endgültigen Empfänger weiterleitet. Beispiele: Amazon SES, SendGrid, Mailgun.
• MTA: Mail Transfer Agent. Software, die E-Mails zwischen Servern überträgt (Postfix, Exim, Exchange, Sendmail).
• Reverse DNS (PTR): DNS-Eintrag, der eine IP-Adresse einem Domainnamen zuordnet. Wird von den meisten MX-Servern verlangt, um E-Mails zu akzeptieren.
• Blocklisting: Eintragung einer IP-Adresse auf eine Blockliste (Spamhaus, Barracuda) aufgrund verdächtiger Aktivitäten. E-Mails von gelisteten IP-Adressen werden abgelehnt.

---

Teste die SMTP-Konnektivität deiner MX-Server: Verwende unseren SMTP/MX Connectivity Tester, um zu prüfen, ob Port 25 offen ist, STARTTLS zu testen und das TLS-Zertifikat jedes MX-Servers in wenigen Sekunden zu validieren.

---

📚 Verwandte SMTP- und E-Mail-Konnektivitäts-Leitfäden

• SMTP-Ports erklärt: 25, 465, 587, 2525 : Rolle, Verschlüsselung und Anwendungsfälle jedes SMTP-Ports
• So testen Sie die SMTP-Konnektivität Ihrer MX-Server : Schritt-für-Schritt-Anleitung mit telnet und openssl
• STARTTLS, SSL/TLS und SMTP: welche Verschlüsselung für deine E-Mails? : Protokolle, MTA-Konfiguration und Downgrade-Schutz

Quellen

• RFC 5321 - Simple Mail Transfer Protocol
• RFC 6409 - Message Submission for Mail
• AWS - Restrictions on port 25 for EC2 instances
• Azure - Troubleshoot outbound SMTP connectivity
• Spamhaus - The World's Worst Spam Countries