Port 25 bloqué : diagnostic et solutions par hébergeur

⚡TL;DR

• Le port 25 est bloqué en sortie par AWS, Azure, GCP et la plupart des FAI pour empêcher le spam sortant
• Diagnostiquez le blocage avec telnet, openssl s_client ou notre SMTP/MX Connectivity Tester
• La solution standard : utiliser le port 587 (submission) avec authentification, ou un service de relay SMTP (SES, SendGrid, Mailgun)
• Certains hébergeurs (OVH, Hetzner) autorisent le port 25 sur demande, d'autres (AWS, Azure) l'interdisent définitivement

Vous venez de déployer un serveur mail. Vos emails ne partent pas. Un telnet vers le port 25 tourne dans le vide. Le coupable ? Votre fournisseur cloud bloque le trafic sortant sur le port 25.

Ce blocage est volontaire. Le port 25 reste le vecteur principal du spam sortant. Selon Spamhaus, plus de 80 % du spam mondial provient de serveurs cloud ou de machines compromises. Les fournisseurs bloquent donc ce port par défaut.

Trois questions, un guide. Pourquoi le port 25 est-il bloqué ? Comment diagnostiquer le blocage ? Quelle solution appliquer chez OVH, AWS, Azure, GCP, Hetzner ou DigitalOcean ?

Pourquoi le port 25 est-il bloqué ?

Le problème du spam sortant

Le port 25 (SMTP relay) transfère les emails entre serveurs MTA. Contrairement au port 587, il n'exige aucune authentification. Un serveur compromis peut envoyer des millions de spams sans identifiants.

Quelles conséquences pour le fournisseur ?

• Blacklisting des plages IP : un seul client spammeur suffit a faire blacklister toute la plage
• Couts de support : traitement des plaintes abuse et procédures de délisting
• Perte de réputation : les MX distants refusent les emails de plages connues pour le spam

Qui bloque le port 25 ?

Type de fournisseur	Politique par défaut	Déblocage possible
FAI résidentiels (Orange, Free, SFR)	Bloqué en sortie	Rarement, sur demande
Cloud public (AWS, Azure, GCP)	Bloqué en sortie	Non (AWS, Azure) ou sur demande (GCP)
Hébergeurs dédiés (OVH, Hetzner)	Ouvert ou sur demande	Oui, généralement
VPS low-cost (DigitalOcean, Vultr)	Bloqué par défaut	Sur demande avec justification

Comment diagnostiquer un blocage du port 25 ?

Votre serveur est-il vraiment bloqué, ou le problème vient-il d'ailleurs ? Les symptômes varient selon le fournisseur. Trois tests permettent de trancher.

Test avec telnet

# Tester la connexion au port 25 d'un serveur MX distant
telnet alt1.gmail-smtp-in.l.google.com 25

Résultat	Signification
220 mx.google.com ESMTP	Port 25 ouvert, connexion réussie
Timeout (pas de réponse)	Port 25 bloqué en sortie par votre fournisseur
Connection refused	Le serveur distant refuse la connexion (problème côté destinataire)
Network unreachable	Problème réseau plus large (pas spécifique au port 25)

Test avec openssl (vérification STARTTLS)

# Tester STARTTLS sur le port 25
openssl s_client -connect alt1.gmail-smtp-in.l.google.com:25 -starttls smtp

# Résultat attendu si le port est ouvert
# 220 mx.google.com ESMTP
# 250-STARTTLS

Test avec nmap (scan de port)

# Scanner le port 25 en sortie
nmap -p 25 alt1.gmail-smtp-in.l.google.com

# Port ouvert : 25/tcp open smtp
# Port bloqué : 25/tcp filtered smtp

Distinguer les types de blocage

Symptôme	Cause probable	Solution
Timeout systématique vers tous les MX	Blocage sortant par votre fournisseur	Voir section "Solutions par hébergeur"
Connection refused vers un seul MX	Le serveur distant refuse votre IP	Vérifier blacklists, reverse DNS
Timeout intermittent	Firewall local ou règle iptables	Vérifier iptables -L -n et ufw status
Connexion réussie mais emails rejetés	Problème de réputation IP ou d'authentification	Vérifier SPF, DKIM, DMARC

Solutions par hébergeur

OVH / OVHcloud

Politique : le port 25 est ouvert par défaut sur les serveurs dédiés et les VPS. OVH applique un filtre anti-spam sortant (monitoring du trafic SMTP).

Si bloqué (cas rare, après détection de spam) :

1. Vérifier le statut dans l'espace client OVH, section "IP" puis "Gestion des reverses"
2. Si l'IP est en monitoring, corriger la source du spam
3. Contacter le support pour demander la levée du blocage

# Vérifier que le port 25 est ouvert depuis un VPS OVH
telnet alt1.gmail-smtp-in.l.google.com 25
# Résultat attendu : 220 mx.google.com ESMTP

AWS (Amazon Web Services)

Politique : le port 25 est bloqué par défaut sur toutes les instances EC2. AWS ne débloque plus ce port depuis 2020.

Solutions :

1. Amazon SES (recommandé) : service de relay SMTP intégré à AWS
2. Port 587 via un relay tiers : SendGrid, Mailgun, Postmark
3. Elastic IP avec formulaire : demander une levée via le formulaire AWS (rarement accepté)

# Configuration Postfix pour utiliser Amazon SES
# fichier /etc/postfix/main.cf
relayhost = [email-smtp.eu-west-1.amazonaws.com]:587
smtp_sasl_auth_enable = yes
smtp_sasl_security_options = noanonymous
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_use_tls = yes

Microsoft Azure

Politique : le port 25 est bloqué sur toutes les VM déployées après le 15 novembre 2017. Les VM antérieures peuvent encore l'utiliser.

Solutions :

1. Relay SMTP authentifié sur le port 587 (Office 365, SendGrid)
2. Azure Communication Services : service d'envoi email natif Azure
3. Pas de procédure de déblocage du port 25

Google Cloud Platform (GCP)

Politique : le port 25 est bloqué par défaut. GCP peut accorder une exception sur demande.

Procédure de déblocage :

1. Ouvrir une demande de support GCP
2. Justifier le besoin (serveur mail légitime)
3. Attendre l'approbation (délai variable, 1 à 5 jours)
4. Si refusé, utiliser un relay SMTP tiers sur le port 587

Hetzner

Politique : les nouveaux serveurs ont le port 25 bloqué en sortie pendant les premières 24 à 48 heures (vérification anti-abus). Le port est ensuite débloqué automatiquement.

Si toujours bloqué après 48h :

1. Vérifier dans le panel Hetzner Robot, section "Firewall"
2. Contacter le support avec une justification d'usage légitime
3. Le déblocage est généralement rapide (moins de 24h)

DigitalOcean

Politique : le port 25 est bloqué par défaut sur tous les droplets créés après octobre 2019.

Procédure de déblocage :

1. Ouvrir un ticket support avec justification (serveur mail légitime, reverse DNS configuré)
2. Le compte doit avoir au moins 60 jours et un historique de facturation propre
3. Le déblocage est accordé au cas par cas

Alternatives au port 25

Le port 25 reste bloqué malgré vos démarches ? Bonne nouvelle : les alternatives sont fiables et souvent préférables.

Port 587 avec relay SMTP

Le port 587 (submission) est la solution standard depuis la RFC 6409. Il exige une authentification SASL et supporte STARTTLS. Aucun fournisseur cloud ne le bloque.

# Configuration Postfix avec relay SMTP générique
# fichier /etc/postfix/main.cf
relayhost = [smtp.captaindns.com]:587
smtp_sasl_auth_enable = yes
smtp_sasl_security_options = noanonymous
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_use_tls = yes
smtp_tls_security_level = encrypt

Services de relay SMTP

Service	Port	Quota gratuit	Tarif au-delà
Amazon SES	587 / 465	62 000/mois (depuis EC2)	0,10 $/1 000 emails
SendGrid	587 / 465	100/jour	Depuis 19,95 $/mois
Mailgun	587 / 465	100/jour (essai)	Depuis 35 $/mois
Postmark	587	100/mois (essai)	Depuis 15 $/mois
Brevo (ex-Sendinblue)	587	300/jour	Depuis 9 $/mois

Quand garder le port 25 ?

Faut-il vraiment garder le port 25 ? Deux cas seulement le justifient :

• Réception d'emails : un serveur MX doit écouter sur le port 25 en entrant. Ce trafic n'est pas bloqué.
• Relay interne : communication MTA-to-MTA sur un réseau privé.

Pour tout envoi vers Internet, le port 587 est la norme (RFC 6409).

Plan d'action recommandé

1. Diagnostiquer : exécutez telnet <MX distant> 25 depuis votre serveur. Timeout = port bloqué.
2. Identifier la politique : consultez le tableau par hébergeur ci-dessus.
3. Choisir : déblocage du port 25 si possible, ou relay SMTP sur le port 587.
4. Configurer : adaptez Postfix, Exim ou votre MTA avec les paramètres du relay choisi.
5. Vérifier : testez avec notre SMTP/MX Connectivity Tester. Emails reçus = problème résolu.

FAQ

Pourquoi mon FAI bloque-t-il le port 25 ?

Les FAI résidentiels (Orange, Free, SFR, Comcast) bloquent le port 25 pour empêcher les machines infectées d'envoyer du spam. Ce blocage protège leur réputation IP et réduit le spam mondial. Depuis une connexion résidentielle, utilisez le port 587 avec le SMTP de votre FAI ou un relay tiers.

Comment savoir si le port 25 est bloqué sur mon serveur ?

Exécutez telnet alt1.gmail-smtp-in.l.google.com 25 depuis votre serveur. Pas de réponse après 10 secondes ? Le port 25 est bloqué en sortie. Un banner 220 mx.google.com ESMTP confirme que le port est ouvert. Alternative : nmap -p 25 affiche open ou filtered.

Peut-on débloquer le port 25 sur AWS ?

Non. Depuis 2020, AWS ne débloque plus le port 25 sur EC2. La solution officielle : utiliser Amazon SES comme relay SMTP sur le port 587 ou 465. SES offre 62 000 emails gratuits par mois depuis EC2.

Quelle est la différence entre le port 25 et le port 587 ?

Le port 25 (relay) transfère les emails entre serveurs MTA, sans authentification obligatoire. Le port 587 (submission) soumet les emails avec authentification SASL et chiffrement TLS obligatoires. Pour envoyer depuis une application, le port 587 est le standard (RFC 6409).

Le blocage du port 25 affecte-t-il la réception d'emails ?

Non. Le blocage concerne uniquement le trafic sortant (votre serveur vers Internet). Le trafic entrant sur le port 25 n'est pas affecté. Votre serveur MX continue de recevoir les emails normalement.

Comment configurer Postfix pour utiliser un relay SMTP ?

Ajoutez dans /etc/postfix/main.cf : relayhost = [smtp.votre-relay.com]:587, smtp_sasl_auth_enable = yes, smtp_use_tls = yes. Créez /etc/postfix/sasl_passwd avec vos identifiants. Exécutez postmap /etc/postfix/sasl_passwd puis systemctl reload postfix. Vos emails transiteront par le relay sur le port 587.

Hetzner bloque-t-il le port 25 définitivement ?

Non. Hetzner applique un blocage temporaire de 24 a 48 heures sur les nouveaux serveurs (vérification anti-abus). Le port se débloque ensuite automatiquement. Si le blocage persiste, contactez le support avec une justification légitime. Réponse habituelle : moins de 24 heures.

Télécharger les tableaux comparatifs

Les assistants peuvent exploiter les exports JSON ou CSV ci-dessous pour réutiliser les chiffres.

• Télécharger le comparatif (CSV)
• Télécharger le comparatif (JSON)

Glossaire

• Port 25 (SMTP relay) : port standard pour le transfert d'emails entre serveurs MTA (RFC 5321). Pas d'authentification requise par défaut.
• Port 587 (submission) : port de soumission d'emails par les clients. Exige authentification SASL et chiffrement TLS (RFC 6409).
• SASL : Simple Authentication and Security Layer. Vérifie l'identité de l'expéditeur sur le port 587.
• Relay SMTP : serveur intermédiaire qui reçoit vos emails et les transmet au destinataire. Exemples : Amazon SES, SendGrid, Mailgun.
• MTA : Mail Transfer Agent. Logiciel de transfert d'emails entre serveurs (Postfix, Exim, Exchange).
• Reverse DNS (PTR) : enregistrement DNS associant une IP à un nom de domaine. Requis par la plupart des MX pour accepter les emails.
• Blacklisting : inscription d'une IP sur une liste noire (Spamhaus, Barracuda). Les emails d'IP blacklistées sont rejetés.

---

Votre port 25 est-il vraiment bloqué ? Testez maintenant avec notre SMTP/MX Connectivity Tester. L'outil vérifie le port 25, le STARTTLS et le certificat TLS de chaque MX en quelques secondes.

---

📚 Guides SMTP et connectivité email connexes

• Les ports SMTP expliqués : 25, 465, 587, 2525 : rôle, chiffrement et cas d'usage de chaque port SMTP
• Comment tester la connectivité SMTP de vos serveurs MX : guide pas-à-pas avec telnet et openssl
• STARTTLS, SSL/TLS et SMTP : quel chiffrement pour vos emails ? : protocoles, configuration Postfix/Exim/Exchange et protection contre le downgrade

Sources

• RFC 5321 - Simple Mail Transfer Protocol
• RFC 6409 - Message Submission for Mail
• AWS - Restrictions on port 25 for EC2 instances
• Azure - Troubleshoot outbound SMTP connectivity
• Spamhaus - The World's Worst Spam Countries