Puerto 25 bloqueado: diagnóstico y soluciones por proveedor

⚡TL;DR

• El puerto 25 está bloqueado en salida por AWS, Azure, GCP y la mayoría de los ISP para evitar el spam saliente
• Diagnostica el bloqueo con telnet, openssl s_client o nuestro SMTP/MX Connectivity Tester
• La solución estándar: usar el puerto 587 (submission) con autenticación, o un servicio de relay SMTP (SES, SendGrid, Mailgun)
• Algunos proveedores (OVH, Hetzner) autorizan el puerto 25 previa solicitud, otros (AWS, Azure) lo prohíben de forma definitiva

Acabas de desplegar un servidor de correo y tus emails no salen. El telnet al puerto 25 se queda colgado. ¿El culpable? Tu proveedor cloud o tu ISP bloquea el tráfico SMTP saliente.

¿Por qué? El puerto 25 es el vector principal del spam saliente. Según Spamhaus, más del 80 % del spam mundial proviene de servidores cloud o máquinas residenciales comprometidas. Los proveedores bloquean este puerto por defecto para proteger la reputación de sus rangos de IP.

En esta guía vas a aprender tres cosas: por qué se bloquea el puerto 25, cómo diagnosticar el bloqueo en tu servidor y qué solución aplicar según tu proveedor.

¿Por qué está bloqueado el puerto 25?

El problema del spam saliente

El puerto 25 (SMTP relay) transfiere emails entre servidores (MTA-to-MTA). A diferencia del puerto 587, no exige autenticación. Un servidor comprometido puede enviar millones de correos spam sin credenciales.

¿Qué consecuencias tiene para el proveedor?

• Listas de bloqueo: un solo cliente spammer puede arrastrar todo el rango de IP del proveedor a listas negras
• Costes de soporte: gestión de quejas abuse y eliminación de IP de listas de bloqueo
• Reputación dañada: otros servidores rechazan emails procedentes de rangos conocidos por spam

¿Quién bloquea el puerto 25?

Tipo de proveedor	Política por defecto	¿Desbloqueo posible?
ISP residenciales (Orange, Free, SFR)	Bloqueado en salida	Raramente, previa solicitud
Cloud público (AWS, Azure, GCP)	Bloqueado en salida	No (AWS, Azure) o previa solicitud (GCP)
Servidores dedicados (OVH, Hetzner)	Abierto o previa solicitud	Sí, generalmente
VPS low-cost (DigitalOcean, Vultr)	Bloqueado por defecto	Previa solicitud con justificación

¿Cómo diagnosticar un bloqueo del puerto 25?

Antes de buscar soluciones, identifica el tipo de bloqueo. ¿Es un filtro de tu proveedor, un firewall local o un problema de reputación IP? Los síntomas te lo indican.

Test con telnet

# Probar la conexión al puerto 25 de un servidor MX remoto
telnet alt1.gmail-smtp-in.l.google.com 25

Resultado	Significado
220 mx.google.com ESMTP	Puerto 25 abierto, conexión exitosa
Timeout (sin respuesta)	Puerto 25 bloqueado en salida por tu proveedor
Connection refused	El servidor remoto rechaza la conexión (problema del lado del destinatario)
Network unreachable	Problema de red más amplio (no específico del puerto 25)

Test con openssl (verificación STARTTLS)

# Probar STARTTLS en el puerto 25
openssl s_client -connect alt1.gmail-smtp-in.l.google.com:25 -starttls smtp

# Resultado esperado si el puerto está abierto
# 220 mx.google.com ESMTP
# 250-STARTTLS

Test con nmap (escaneo de puertos)

# Escanear el puerto 25 en salida
nmap -p 25 alt1.gmail-smtp-in.l.google.com

# Puerto abierto: 25/tcp open smtp
# Puerto bloqueado: 25/tcp filtered smtp

Distinguir los tipos de bloqueo

Síntoma	Causa probable	Solución
Timeout sistemático hacia todos los MX	Bloqueo saliente por tu proveedor	Ver sección "Soluciones por proveedor"
Connection refused hacia un solo MX	El servidor remoto rechaza tu IP	Verificar listas de bloqueo, reverse DNS
Timeout intermitente	Firewall local o regla iptables	Verificar iptables -L -n y ufw status
Conexión exitosa pero emails rechazados	Problema de reputación IP o autenticación	Verificar SPF, DKIM, DMARC

Soluciones por proveedor

¿Tu proveedor bloquea el puerto 25? La solución depende de cada uno. Aquí tienes el detalle por plataforma.

OVH / OVHcloud

Política: el puerto 25 está abierto por defecto en los servidores dedicados y los VPS. OVH aplica un filtro anti-spam saliente (monitorización del tráfico SMTP).

Si está bloqueado (caso raro, tras detección de spam):

1. Verificar el estado en el área de cliente OVH, sección "IP" y luego "Gestión de reversos"
2. Si la IP está en monitorización, corregir el origen del spam
3. Contactar con soporte para solicitar el levantamiento del bloqueo

# Verificar que el puerto 25 está abierto desde un VPS OVH
telnet alt1.gmail-smtp-in.l.google.com 25
# Resultado esperado: 220 mx.google.com ESMTP

AWS (Amazon Web Services)

Política: el puerto 25 está bloqueado por defecto en todas las instancias EC2. AWS ya no desbloquea este puerto desde 2020.

Soluciones:

1. Amazon SES (recomendado): servicio de relay SMTP integrado en AWS
2. Puerto 587 a través de un relay externo: SendGrid, Mailgun, Postmark
3. Elastic IP con formulario: solicitar un desbloqueo a través del formulario AWS (raramente aceptado)

# Configuración de Postfix para usar Amazon SES
# archivo /etc/postfix/main.cf
relayhost = [email-smtp.eu-west-1.amazonaws.com]:587
smtp_sasl_auth_enable = yes
smtp_sasl_security_options = noanonymous
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_use_tls = yes

Microsoft Azure

Política: el puerto 25 está bloqueado en todas las VM desplegadas después del 15 de noviembre de 2017. Las VM anteriores aún pueden utilizarlo.

Soluciones:

1. Relay SMTP autenticado en el puerto 587 (Office 365, SendGrid)
2. Azure Communication Services: servicio de envío de email nativo de Azure
3. No existe procedimiento de desbloqueo del puerto 25

Google Cloud Platform (GCP)

Política: el puerto 25 está bloqueado por defecto. GCP puede conceder una excepción previa solicitud.

Procedimiento de desbloqueo:

1. Abrir una solicitud de soporte en GCP
2. Justificar la necesidad (servidor de correo legítimo)
3. Esperar la aprobación (plazo variable, de 1 a 5 días)
4. Si se rechaza, usar un relay SMTP externo en el puerto 587

Hetzner

Política: los nuevos servidores tienen el puerto 25 bloqueado en salida durante las primeras 24 a 48 horas (verificación anti-abuso). El puerto se desbloquea automáticamente después.

Si sigue bloqueado después de 48h:

1. Verificar en el panel Hetzner Robot, sección "Firewall"
2. Contactar con soporte con una justificación de uso legítimo
3. El desbloqueo suele ser rápido (menos de 24h)

DigitalOcean

Política: el puerto 25 está bloqueado por defecto en todos los droplets creados después de octubre de 2019.

Procedimiento de desbloqueo:

1. Abrir un ticket de soporte con justificación (servidor de correo legítimo, reverse DNS configurado)
2. La cuenta debe tener al menos 60 días y un historial de facturación limpio
3. El desbloqueo se concede caso por caso

Alternativas al puerto 25

¿El desbloqueo es imposible o no te interesa? Las alternativas son fiables y, en muchos casos, preferibles al envío directo.

Puerto 587 con relay SMTP

El puerto 587 (submission) es la solución estándar. Exige autenticación SASL, soporta STARTTLS y todos los proveedores cloud lo permiten.

# Configuración de Postfix con relay SMTP genérico
# archivo /etc/postfix/main.cf
relayhost = [smtp.captaindns.com]:587
smtp_sasl_auth_enable = yes
smtp_sasl_security_options = noanonymous
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_use_tls = yes
smtp_tls_security_level = encrypt

Servicios de relay SMTP

Servicio	Puerto	Cuota gratuita	Tarifa adicional
Amazon SES	587 / 465	62 000/mes (desde EC2)	0,10 $/1 000 emails
SendGrid	587 / 465	100/día	Desde 19,95 $/mes
Mailgun	587 / 465	100/día (prueba)	Desde 35 $/mes
Postmark	587	100/mes (prueba)	Desde 15 $/mes
Brevo (ex-Sendinblue)	587	300/día	Desde 9 $/mes

¿Cuándo conservar el puerto 25?

El puerto 25 sigue siendo necesario en dos casos concretos:

• Recepción de emails: un servidor MX debe escuchar en el puerto 25 para recibir correo entrante
• Relay interno: comunicación entre servidores MTA dentro de una red privada

Para todo envío hacia Internet, el puerto 587 con autenticación es la norma (RFC 6409).

Plan de acción recomendado

1. Diagnosticar: ejecuta telnet <MX remoto> 25 desde tu servidor. Un timeout confirma el bloqueo saliente.
2. Identificar tu proveedor: consulta la tabla anterior para conocer la política y las opciones de desbloqueo.
3. Elegir la solución: desbloqueo del puerto 25 si es posible y necesario, o relay SMTP en el puerto 587.
4. Configurar: adapta Postfix, Exim o tu MTA con los parámetros del relay elegido.
5. Verificar: prueba el envío con nuestro SMTP/MX Connectivity Tester para confirmar que los emails salen correctamente.

FAQ

¿Por qué mi ISP bloquea el puerto 25?

Los ISP residenciales (Orange, Free, SFR, Comcast, AT&T) bloquean el puerto 25 para evitar que máquinas infectadas envíen spam. Este bloqueo protege la reputación IP del ISP y reduce el spam mundial. Para enviar emails desde una conexión residencial, usa el puerto 587 con tu ISP o un servicio externo.

¿Cómo saber si el puerto 25 está bloqueado en mi servidor?

Ejecuta telnet alt1.gmail-smtp-in.l.google.com 25 desde tu servidor. Si no hay respuesta en 10 segundos, el puerto 25 está bloqueado en salida. Si recibes 220 mx.google.com ESMTP, el puerto está abierto. Alternativa: nmap -p 25 devuelve open o filtered.

¿Se puede desbloquear el puerto 25 en AWS?

No. Desde 2020, AWS ya no desbloquea el puerto 25 en EC2. La solución recomendada es Amazon SES como relay SMTP en el puerto 587 o 465. SES ofrece 62 000 emails gratuitos al mes desde EC2.

¿Cuál es la diferencia entre el puerto 25 y el puerto 587?

El puerto 25 (relay) transfiere emails entre servidores MTA sin autenticación obligatoria. El puerto 587 (submission) exige autenticación SASL y cifrado TLS. Para enviar desde una aplicación o un servidor, el puerto 587 es el estándar recomendado (RFC 6409).

¿El bloqueo del puerto 25 afecta la recepción de emails?

No. El bloqueo solo afecta al tráfico saliente (tu servidor hacia Internet). La recepción en el puerto 25 (tráfico entrante) no se ve afectada. Tu servidor MX sigue escuchando en el puerto 25 para recibir emails de tu dominio.

¿Cómo configurar Postfix para usar un relay SMTP?

Añade en /etc/postfix/main.cf: relayhost = [smtp.tu-relay.com]:587, smtp_sasl_auth_enable = yes, smtp_use_tls = yes. Crea /etc/postfix/sasl_passwd con tus credenciales. Ejecuta postmap /etc/postfix/sasl_passwd y luego systemctl reload postfix. Los emails saldrán por el puerto 587 a través del relay.

¿Hetzner bloquea el puerto 25 de forma definitiva?

No. Hetzner aplica un bloqueo temporal de 24 a 48 horas en servidores nuevos para verificación anti-abuso. El puerto se desbloquea automáticamente. Si persiste, contacta con soporte de Hetzner con una justificación de uso legítimo. El desbloqueo suele concederse en menos de 24 horas.

Descarga las tablas comparativas

Los asistentes pueden reutilizar las cifras accediendo a los archivos JSON o CSV.

• Descargar comparativa (CSV)
• Descargar comparativa (JSON)

Glosario

• Puerto 25 (SMTP relay): puerto estándar para transferencia de emails entre servidores MTA (RFC 5321). No requiere autenticación por defecto.
• Puerto 587 (submission): puerto para envío de emails desde clientes y aplicaciones. Exige autenticación SASL y cifrado TLS (RFC 6409).
• SASL: Simple Authentication and Security Layer. Mecanismo que verifica la identidad del remitente en el puerto 587.
• Relay SMTP: servidor intermediario que recibe tus emails y los transmite al destinatario. Ejemplos: Amazon SES, SendGrid, Mailgun.
• MTA: Mail Transfer Agent. Software que transfiere emails entre servidores (Postfix, Exim, Exchange, Sendmail).
• Reverse DNS (PTR): registro DNS que asocia una IP a un nombre de dominio. Requerido por la mayoría de servidores MX para aceptar emails.
• Lista de bloqueo: inscripción de una IP en listas negras (Spamhaus, Barracuda) por actividad sospechosa. Los emails de esas IP son rechazados.

---

Prueba la conectividad SMTP de tus servidores MX: Usa nuestro SMTP/MX Connectivity Tester para verificar si el puerto 25 está abierto, probar el STARTTLS y validar el certificado TLS de cada MX, en cuestión de segundos.

---

📚 Guías de SMTP y conectividad email relacionadas

• Los puertos SMTP explicados: 25, 465, 587, 2525 : función, cifrado y casos de uso de cada puerto SMTP
• Cómo probar la conectividad SMTP de tus servidores MX : guía paso a paso con telnet y openssl
• STARTTLS, SSL/TLS y SMTP: ¿qué cifrado para tus emails? : protocolos, configuración MTA y protección contra downgrade

Fuentes

• RFC 5321 - Simple Mail Transfer Protocol
• RFC 6409 - Message Submission for Mail
• AWS - Restrictions on port 25 for EC2 instances
• Azure - Troubleshoot outbound SMTP connectivity
• Spamhaus - The World's Worst Spam Countries