Porta 25 bloccata: diagnosi e soluzioni per provider

Di CaptainDNS
Pubblicato il 18 febbraio 2026

Schema che mostra un server bloccato sulla porta 25 con frecce verso le soluzioni alternative per provider

TL;DR

La porta 25 è bloccata in uscita da AWS, Azure, GCP e dalla maggior parte degli ISP per impedire lo spam in uscita
Diagnostica il blocco con telnet, openssl s_client o il nostro SMTP/MX Connectivity Tester
La soluzione standard: usare la porta 587 (submission) con autenticazione, oppure un servizio di relay SMTP (SES, SendGrid, Mailgun)
Alcuni provider (OVH, Hetzner) autorizzano la porta 25 su richiesta, altri (AWS, Azure) la bloccano definitivamente

Hai appena installato un mail server e le email non partono. Un telnet verso la porta 25 di un MX remoto resta sospeso. La diagnosi? Quasi sempre la stessa: il provider blocca il traffico SMTP in uscita sulla porta 25.

Il blocco è intenzionale. La porta 25 è il vettore principale dello spam da macchine compromesse. Secondo Spamhaus, oltre l'80% dello spam mondiale proviene da server cloud o macchine residenziali infette. I provider bloccano questa porta di default per proteggere la reputazione dei propri range IP.

Cosa troverai in questa guida:

Perché la porta 25 viene bloccata
Come diagnosticare il tipo di blocco sul tuo server
La soluzione adatta al tuo provider (OVH, AWS, Azure, GCP, Hetzner, DigitalOcean)

Perché la porta 25 viene bloccata?

Il problema dello spam in uscita

La porta 25 (SMTP relay) è la porta standard per il trasferimento email tra server MTA. A differenza della porta 587 (submission), non richiede autenticazione. Un server compromesso può inviare milioni di messaggi spam senza credenziali.

Quali sono le conseguenze per il provider?

Blocklist dei range IP: un solo cliente spammer basta a bloccare l'intero range IP del provider
Costi di supporto: segnalazioni abuse, rimozione IP dalle blocklist, ticket continui
Reputazione compromessa: i server remoti rifiutano le email da range noti per spam

Chi blocca la porta 25?

Tipo di provider	Policy di default	Sblocco possibile
ISP residenziali (TIM, Vodafone, WINDTRE)	Bloccata in uscita	Raramente, su richiesta
Cloud pubblico (AWS, Azure, GCP)	Bloccata in uscita	No (AWS, Azure) o su richiesta (GCP)
Hosting dedicato (OVH, Hetzner)	Aperta o su richiesta	Si, generalmente
VPS low-cost (DigitalOcean, Vultr)	Bloccata di default	Su richiesta con giustificazione

Albero decisionale: la porta 25 è bloccata?

Come diagnosticare un blocco della porta 25?

Il tuo server non invia email, ma il problema è davvero la porta 25? Prima di cercare una soluzione, identifica il tipo di blocco. I sintomi variano in base al meccanismo usato dal provider.

Test con telnet

# Testare la connessione alla porta 25 di un server MX remoto
telnet alt1.gmail-smtp-in.l.google.com 25

Risultato	Significato
`220 mx.google.com ESMTP`	Porta 25 aperta, connessione riuscita
Timeout (nessuna risposta)	Porta 25 bloccata in uscita dal tuo provider
`Connection refused`	Il server remoto rifiuta la connessione (problema lato destinatario)
`Network unreachable`	Problema di rete più ampio (non specifico della porta 25)

Test con openssl (verifica STARTTLS)

# Testare STARTTLS sulla porta 25
openssl s_client -connect alt1.gmail-smtp-in.l.google.com:25 -starttls smtp

# Risultato atteso se la porta è aperta
# 220 mx.google.com ESMTP
# 250-STARTTLS

Test con nmap (scansione porte)

# Scansionare la porta 25 in uscita
nmap -p 25 alt1.gmail-smtp-in.l.google.com

# Porta aperta: 25/tcp open smtp
# Porta bloccata: 25/tcp filtered smtp

Distinguere i tipi di blocco

Sintomo	Causa probabile	Soluzione
Timeout sistematico verso tutti gli MX	Blocco in uscita da parte del provider	Vedi sezione "Soluzioni per provider"
`Connection refused` verso un solo MX	Il server remoto rifiuta il tuo IP	Verificare blocklist, reverse DNS
Timeout intermittente	Firewall locale o regola iptables	Verificare `iptables -L -n` e `ufw status`
Connessione riuscita ma email rifiutate	Problema di reputazione IP o di autenticazione	Verificare SPF, DKIM, DMARC

Soluzioni per provider

Hai confermato il blocco. E ora? La risposta dipende dal tuo provider. Ogni fornitore ha una policy diversa.

Confronto delle policy porta 25 per provider

OVH / OVHcloud

Policy: la porta 25 è aperta di default sui server dedicati e sui VPS. OVH applica un filtro anti-spam in uscita (monitoraggio del traffico SMTP).

Se bloccata (caso raro, dopo rilevamento di spam):

Verificare lo stato nell'area cliente OVH, sezione "IP" poi "Gestione dei reverse"
Se l'IP è sotto monitoraggio, correggere la fonte dello spam
Contattare il supporto per richiedere la rimozione del blocco

# Verificare che la porta 25 sia aperta da un VPS OVH
telnet alt1.gmail-smtp-in.l.google.com 25
# Risultato atteso: 220 mx.google.com ESMTP

AWS (Amazon Web Services)

Policy: la porta 25 è bloccata di default su tutte le istanze EC2. AWS non sblocca più questa porta dal 2020.

Soluzioni:

Amazon SES (consigliato): servizio di relay SMTP integrato in AWS
Porta 587 tramite relay di terze parti: SendGrid, Mailgun, Postmark
Elastic IP con modulo: richiedere lo sblocco tramite il modulo AWS (raramente accettato)

# Configurazione Postfix per usare Amazon SES
# file /etc/postfix/main.cf
relayhost = [email-smtp.eu-west-1.amazonaws.com]:587
smtp_sasl_auth_enable = yes
smtp_sasl_security_options = noanonymous
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_use_tls = yes

Microsoft Azure

Policy: la porta 25 è bloccata su tutte le VM create dopo il 15 novembre 2017. Le VM precedenti possono ancora utilizzarla.

Soluzioni:

Relay SMTP autenticato sulla porta 587 (Office 365, SendGrid)
Azure Communication Services: servizio di invio email nativo Azure
Non esiste una procedura di sblocco della porta 25

Google Cloud Platform (GCP)

Policy: la porta 25 è bloccata di default. GCP può concedere un'eccezione su richiesta.

Procedura di sblocco:

Aprire una richiesta di supporto GCP
Giustificare la necessità (mail server legittimo)
Attendere l'approvazione (tempi variabili, da 1 a 5 giorni)
Se rifiutato, usare un relay SMTP di terze parti sulla porta 587

Hetzner

Policy: i nuovi server hanno la porta 25 bloccata in uscita per le prime 24-48 ore (verifica anti-abuso). La porta viene poi sbloccata automaticamente.

Se ancora bloccata dopo 48 ore:

Verificare nel pannello Hetzner Robot, sezione "Firewall"
Contattare il supporto con una giustificazione di utilizzo legittimo
Lo sblocco è generalmente rapido (meno di 24 ore)

DigitalOcean

Policy: la porta 25 è bloccata di default su tutti i droplet creati dopo ottobre 2019.

Procedura di sblocco:

Aprire un ticket di supporto con giustificazione (mail server legittimo, reverse DNS configurato)
L'account deve avere almeno 60 giorni e uno storico di fatturazione regolare
Lo sblocco viene concesso caso per caso

Alternative alla porta 25

Lo sblocco è impossibile o troppo restrittivo? Le alternative sono affidabili e spesso preferibili alla porta 25 stessa.

Porta 587 con relay SMTP

La porta 587 (submission) è la soluzione standard raccomandata dalla RFC 6409. Richiede autenticazione SASL, supporta STARTTLS e tutti i provider cloud la autorizzano.

# Configurazione Postfix con relay SMTP generico
# file /etc/postfix/main.cf
relayhost = [smtp.captaindns.com]:587
smtp_sasl_auth_enable = yes
smtp_sasl_security_options = noanonymous
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_use_tls = yes
smtp_tls_security_level = encrypt

Servizi di relay SMTP

Servizio	Porta	Quota gratuita	Prezzo successivo
Amazon SES	587 / 465	62.000/mese (da EC2)	0,10 $/1.000 email
SendGrid	587 / 465	100/giorno	Da 19,95 $/mese
Mailgun	587 / 465	100/giorno (prova)	Da 35 $/mese
Postmark	587	100/mese (prova)	Da 15 $/mese
Brevo (ex Sendinblue)	587	300/giorno	Da 9 $/mese

Quando mantenere la porta 25?

Ti chiedi se puoi eliminare completamente la porta 25? No, resta necessaria in due casi precisi:

Ricezione email: un server MX deve ascoltare sulla porta 25 per il traffico in entrata (non bloccato)
Relay interno: comunicazione tra server MTA su rete privata

Per l'invio verso Internet, la porta 587 con autenticazione è lo standard (RFC 6409).

Piano d'azione consigliato

Cinque passi per risolvere il blocco della porta 25:

Diagnosticare: esegui telnet <MX remoto> 25 dal tuo server. Timeout = blocco confermato.
Identificare il provider: consulta la tabella sopra per la policy e le opzioni di sblocco.
Scegliere la soluzione: sblocco porta 25 se possibile, oppure relay SMTP sulla porta 587.
Configurare il relay: adatta Postfix, Exim o il tuo MTA con i parametri del servizio scelto.
Verificare l'invio: testa con il nostro SMTP/MX Connectivity Tester per confermare la consegna.

FAQ

Perché il mio ISP blocca la porta 25?

Gli ISP residenziali (TIM, Vodafone, WINDTRE, Comcast, AT&T) bloccano la porta 25 per impedire alle macchine infette di inviare spam. Il blocco protegge la reputazione IP dell'ISP e riduce lo spam globale. Per inviare email da connessione residenziale, usa la porta 587 con il server SMTP del tuo ISP o un servizio di terze parti.

Come faccio a sapere se la porta 25 è bloccata sul mio server?

Esegui telnet alt1.gmail-smtp-in.l.google.com 25 dal tuo server. Nessuna risposta dopo 10 secondi? La porta 25 è bloccata in uscita. Se ricevi 220 mx.google.com ESMTP, la porta è aperta. Alternativa: nmap -p 25 restituisce open o filtered.

È possibile sbloccare la porta 25 su AWS?

No. Dal 2020, AWS non sblocca la porta 25 sulle istanze EC2. La soluzione raccomandata: Amazon SES come relay SMTP sulla porta 587 o 465. SES offre 62.000 email gratuite al mese per le istanze EC2.

Qual è la differenza tra la porta 25 e la porta 587?

La porta 25 (relay) serve al trasferimento tra server MTA senza autenticazione obbligatoria. La porta 587 (submission) è per l'invio da client, con autenticazione SASL e TLS obbligatori. Per inviare email da applicazione o server, la porta 587 è lo standard (RFC 6409).

Il blocco della porta 25 influisce sulla ricezione delle email?

No. Il blocco riguarda solo il traffico in uscita (dal tuo server verso Internet). La ricezione sulla porta 25 (traffico in entrata) non è interessata. Il tuo server MX continua ad ascoltare sulla porta 25 per ricevere le email del tuo dominio.

Come configurare Postfix per usare un relay SMTP?

Aggiungi in /etc/postfix/main.cf: relayhost = [smtp.tuo-relay.com]:587, smtp_sasl_auth_enable = yes, smtp_use_tls = yes. Crea /etc/postfix/sasl_passwd con le credenziali, esegui postmap /etc/postfix/sasl_passwd poi systemctl reload postfix. Le email transiteranno via relay sulla porta 587.

Hetzner blocca la porta 25 in modo definitivo?

No. Hetzner applica un blocco temporaneo di 24-48 ore sui nuovi server per verifica anti-abuso. La porta si sblocca automaticamente. Se il blocco persiste, contatta il supporto con giustificazione di utilizzo legittimo: sblocco generalmente concesso in meno di 24 ore.

Scarica le tabelle comparative

Gli assistenti possono riutilizzare i dati scaricando gli export JSON o CSV qui sotto.

Glossario

Porta 25 (SMTP relay): porta standard per il trasferimento email tra server MTA. Definita dalla RFC 5321. Nessuna autenticazione di default.
Porta 587 (submission): porta per l'invio email da client e applicazioni. Autenticazione SASL e TLS obbligatori (RFC 6409).
SASL: Simple Authentication and Security Layer. Meccanismo di autenticazione SMTP per verificare l'identità del mittente.
Relay SMTP: server intermediario che riceve le email e le inoltra al destinatario. Esempi: Amazon SES, SendGrid, Mailgun.
MTA: Mail Transfer Agent. Software di trasferimento email tra server (Postfix, Exim, Exchange, Sendmail).
Reverse DNS (PTR): record DNS che associa un IP a un nome di dominio. Richiesto dalla maggior parte dei server MX.
Blocklist: lista di blocco IP (Spamhaus, Barracuda) per attività sospetta. Le email da IP in blocklist vengono rifiutate.

Testa ora la connettività SMTP dei tuoi server MX: usa il nostro SMTP/MX Connectivity Tester per verificare porta 25, testare STARTTLS e validare il certificato TLS di ogni MX in pochi secondi.

📚 Guide SMTP e connettività email correlate

Le porte SMTP spiegate: 25, 465, 587, 2525 : ruolo, crittografia e casi d'uso di ogni porta SMTP
Come testare la connettività SMTP dei tuoi server MX : guida passo-passo con telnet e openssl
STARTTLS, SSL/TLS e SMTP: quale crittografia per le tue email? : protocolli, configurazione MTA e protezione contro il downgrade

Fonti

Articoli simili

CaptainDNS · 17 febbraio 2026

Crittografia SMTP: STARTTLS, TLS 1.2, TLS 1.3, DANE e MTA-STS

STARTTLS, SSL/TLS e SMTP: quale crittografia per le tue email?

SSL, TLS, STARTTLS, Implicit TLS, DANE, MTA-STS: la crittografia delle email in transito si basa su meccanismi spesso confusi tra loro. Questa guida chiarisce ogni protocollo, ne illustra le vulnerabilità e mostra come configurare una crittografia TLS robusta su Postfix, Exim ed Exchange.

CaptainDNS · 17 febbraio 2026

Le porte SMTP 25, 465, 587 e 2525: ruoli, crittografia e casi d'uso

Le porte SMTP spiegate: 25, 465, 587, 2525, quale usare?

Porta 25, 465, 587 o 2525? Ogni porta SMTP ha un ruolo preciso. Questa guida spiega il funzionamento di ogni porta, la crittografia, le RFC associate e ti aiuta a scegliere la porta giusta per il tuo caso d'uso.

CaptainDNS · 17 febbraio 2026

Test di connettività SMTP di un server MX: banner, STARTTLS, certificato TLS e open relay

Come testare la connettività SMTP dei tuoi server MX

I tuoi record DNS sono perfetti, ma le email non arrivano? Il problema potrebbe essere a livello di trasporto. Questa guida ti mostra come testare la connettività SMTP di ogni server MX, passo dopo passo.