Porta 25 bloqueada: diagnóstico e soluções por provedor

⚡TL;DR

• A porta 25 é bloqueada na saída por AWS, Azure, GCP e pela maioria dos ISPs para impedir spam de saída
• Diagnostique o bloqueio com telnet, openssl s_client ou nosso SMTP/MX Connectivity Tester
• A solução padrão: usar a porta 587 (submission) com autenticação, ou um serviço de relay SMTP (SES, SendGrid, Mailgun)
• Alguns provedores (OVH, Hetzner) autorizam a porta 25 mediante solicitação, outros (AWS, Azure) a bloqueiam definitivamente

Você acabou de implantar um servidor de email e seus emails não saem. Um telnet na porta 25 de um MX remoto fica pendurado sem resposta. O diagnóstico é quase certo: seu provedor bloqueia a porta 25 na saída.

Por que esse bloqueio existe? A porta 25 é o principal vetor de spam enviado por máquinas comprometidas. Segundo a Spamhaus, mais de 80% do spam mundial vem de servidores em nuvem ou máquinas residenciais infectadas. Os provedores bloqueiam essa porta por padrão para proteger a reputação de suas faixas de IP.

Este guia responde a três perguntas: por que a porta 25 é bloqueada, como diagnosticar o bloqueio no seu servidor e qual solução aplicar no seu provedor (OVH, AWS, Azure, GCP, Hetzner, DigitalOcean).

Por que a porta 25 é bloqueada?

O problema do spam de saída

A porta 25 (SMTP relay) serve para a transferência de emails entre servidores (MTA-to-MTA). Diferente da porta 587 (submission), ela não exige autenticação. Um servidor comprometido pode enviar milhões de spams sem credenciais.

Quais são as consequências para o provedor?

• Inclusão em listas de bloqueio das faixas de IP: se um cliente envia spam, toda a faixa de IP do provedor corre o risco de ser bloqueada
• Custos de suporte: tratamento de reclamações de abuso, remoção de IPs das listas de bloqueio
• Reputação: outros servidores recusam emails provenientes de faixas conhecidas por spam

Quem bloqueia a porta 25?

Tipo de provedor	Política padrão	Desbloqueio possível
ISPs residenciais (Vivo, Claro, TIM)	Bloqueada na saída	Raramente, mediante solicitação
Nuvem pública (AWS, Azure, GCP)	Bloqueada na saída	Não (AWS, Azure) ou mediante solicitação (GCP)
Hospedagem dedicada (OVH, Hetzner)	Aberta ou mediante solicitação	Sim, geralmente
VPS de baixo custo (DigitalOcean, Vultr)	Bloqueada por padrão	Mediante solicitação com justificativa

Como diagnosticar um bloqueio da porta 25?

Antes de buscar uma solução, identifique o tipo de bloqueio. Os sintomas variam conforme o mecanismo do provedor. Veja os testes abaixo, do mais simples ao mais completo.

Teste com telnet

# Testar a conexão na porta 25 de um servidor MX remoto
telnet alt1.gmail-smtp-in.l.google.com 25

Resultado	Significado
220 mx.google.com ESMTP	Porta 25 aberta, conexão bem-sucedida
Timeout (sem resposta)	Porta 25 bloqueada na saída pelo seu provedor
Connection refused	O servidor remoto recusa a conexão (problema do lado do destinatário)
Network unreachable	Problema de rede mais amplo (não específico da porta 25)

Teste com openssl (verificação STARTTLS)

# Testar STARTTLS na porta 25
openssl s_client -connect alt1.gmail-smtp-in.l.google.com:25 -starttls smtp

# Resultado esperado se a porta estiver aberta
# 220 mx.google.com ESMTP
# 250-STARTTLS

Teste com nmap (varredura de porta)

# Varrer a porta 25 na saída
nmap -p 25 alt1.gmail-smtp-in.l.google.com

# Porta aberta: 25/tcp open smtp
# Porta bloqueada: 25/tcp filtered smtp

Distinguir os tipos de bloqueio

Sintoma	Causa provável	Solução
Timeout sistemático para todos os MX	Bloqueio de saída pelo seu provedor	Ver seção "Soluções por provedor"
Connection refused para um único MX	O servidor remoto recusa seu IP	Verificar listas de bloqueio, DNS reverso
Timeout intermitente	Firewall local ou regra iptables	Verificar iptables -L -n e ufw status
Conexão bem-sucedida mas emails rejeitados	Problema de reputação de IP ou autenticação	Verificar SPF, DKIM, DMARC

Soluções por provedor

OVH / OVHcloud

Política: a porta 25 é aberta por padrão em servidores dedicados e VPS. A OVH aplica um filtro anti-spam de saída (monitoramento do tráfego SMTP).

Se bloqueada (caso raro, após detecção de spam):

1. Verificar o status no painel do cliente OVH, seção "IP" e depois "Gestão de reversos"
2. Se o IP está em monitoramento, corrigir a origem do spam
3. Contatar o suporte para solicitar a remoção do bloqueio

# Verificar se a porta 25 está aberta a partir de um VPS OVH
telnet alt1.gmail-smtp-in.l.google.com 25
# Resultado esperado: 220 mx.google.com ESMTP

AWS (Amazon Web Services)

Política: a porta 25 é bloqueada por padrão em todas as instâncias EC2. A AWS não desbloqueia mais essa porta desde 2020.

Soluções:

1. Amazon SES (recomendado): serviço de relay SMTP integrado à AWS
2. Porta 587 via relay de terceiros: SendGrid, Mailgun, Postmark
3. Elastic IP com formulário: solicitar desbloqueio pelo formulário da AWS (raramente aceito)

# Configuração do Postfix para usar Amazon SES
# arquivo /etc/postfix/main.cf
relayhost = [email-smtp.eu-west-1.amazonaws.com]:587
smtp_sasl_auth_enable = yes
smtp_sasl_security_options = noanonymous
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_use_tls = yes

Microsoft Azure

Política: a porta 25 é bloqueada em todas as VMs implantadas após 15 de novembro de 2017. VMs anteriores a essa data ainda podem utilizá-la.

Soluções:

1. Relay SMTP autenticado na porta 587 (Office 365, SendGrid)
2. Azure Communication Services: serviço de envio de email nativo do Azure
3. Não há procedimento de desbloqueio da porta 25

Google Cloud Platform (GCP)

Política: a porta 25 é bloqueada por padrão. O GCP pode conceder uma exceção mediante solicitação.

Procedimento de desbloqueio:

1. Abrir uma solicitação ao suporte do GCP
2. Justificar a necessidade (servidor de email legítimo)
3. Aguardar a aprovação (prazo variável, 1 a 5 dias)
4. Se recusado, usar um relay SMTP de terceiros na porta 587

Hetzner

Política: novos servidores têm a porta 25 bloqueada na saída durante as primeiras 24 a 48 horas (verificação anti-abuso). A porta é desbloqueada automaticamente em seguida.

Se ainda bloqueada após 48h:

1. Verificar no painel Hetzner Robot, seção "Firewall"
2. Contatar o suporte com uma justificativa de uso legítimo
3. O desbloqueio geralmente é rápido (menos de 24h)

DigitalOcean

Política: a porta 25 é bloqueada por padrão em todos os droplets criados após outubro de 2019.

Procedimento de desbloqueio:

1. Abrir um ticket de suporte com justificativa (servidor de email legítimo, DNS reverso configurado)
2. A conta deve ter pelo menos 60 dias e um histórico de faturamento limpo
3. O desbloqueio é concedido caso a caso

Alternativas à porta 25

Seu provedor não desbloqueia a porta 25? Sem problema. As alternativas abaixo são confiáveis e, na prática, frequentemente preferíveis.

Porta 587 com relay SMTP

A porta 587 (submission) é a solução padrão. Ela exige autenticação SASL e suporta STARTTLS. Todos os provedores de nuvem autorizam essa porta. É a alternativa mais simples e rápida de configurar.

# Configuração do Postfix com relay SMTP genérico
# arquivo /etc/postfix/main.cf
relayhost = [smtp.captaindns.com]:587
smtp_sasl_auth_enable = yes
smtp_sasl_security_options = noanonymous
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_use_tls = yes
smtp_tls_security_level = encrypt

Serviços de relay SMTP

Serviço	Porta	Cota gratuita	Preço além da cota
Amazon SES	587 / 465	62.000/mês (a partir do EC2)	0,10 $/1.000 emails
SendGrid	587 / 465	100/dia	A partir de 19,95 $/mês
Mailgun	587 / 465	100/dia (teste)	A partir de 35 $/mês
Postmark	587	100/mês (teste)	A partir de 15 $/mês
Brevo (ex-Sendinblue)	587	300/dia	A partir de 9 $/mês

Quando manter a porta 25?

A porta 25 ainda é necessária em dois cenários específicos:

• Recebimento de emails: um servidor MX deve escutar na porta 25 para receber emails (tráfego de entrada, nunca bloqueado)
• Relay interno: comunicação entre MTAs em uma rede privada

Para envio de emails pela Internet, a porta 587 com autenticação é o padrão desde a RFC 6409.

Plano de ação recomendado

Porta 25 bloqueada? Siga estes cinco passos para resolver o problema em menos de 30 minutos:

1. Diagnosticar: execute telnet <MX remoto> 25 a partir do seu servidor. Um timeout confirma o bloqueio de saída.
2. Identificar seu provedor: consulte a tabela acima para conhecer a política e as opções de desbloqueio.
3. Escolher a solução: desbloqueio da porta 25 se possível e necessário, ou relay SMTP na porta 587.
4. Configurar: adapte Postfix, Exim ou seu MTA com os parâmetros do relay escolhido.
5. Verificar: teste o envio com nosso SMTP/MX Connectivity Tester para confirmar que os emails estão saindo corretamente.

FAQ

Por que meu ISP bloqueia a porta 25?

Os ISPs residenciais (Vivo, Claro, TIM) bloqueiam a porta 25 para impedir que máquinas infectadas enviem spam. Esse bloqueio protege a reputação de IP do ISP e reduz o spam global. Para enviar emails de uma conexão residencial, use a porta 587 com o SMTP do seu ISP ou um relay de terceiros.

Como saber se a porta 25 está bloqueada no meu servidor?

Execute telnet alt1.gmail-smtp-in.l.google.com 25 a partir do seu servidor. Se o comando travar por mais de 10 segundos sem resposta, a porta 25 está bloqueada na saída. Se aparecer o banner 220 mx.google.com ESMTP, a porta está aberta. Outra opção: nmap -p 25 retorna open ou filtered.

É possível desbloquear a porta 25 na AWS?

Não. Desde 2020, a AWS não desbloqueia a porta 25 nas instâncias EC2. A solução recomendada é usar o Amazon SES como relay na porta 587 ou 465. O SES inclui 62.000 emails gratuitos por mês para instâncias EC2.

Qual é a diferença entre a porta 25 e a porta 587?

A porta 25 (relay) transfere emails entre servidores MTA sem autenticação obrigatória. A porta 587 (submission) é para a submissão de emails por clientes, com autenticação SASL e TLS obrigatórios. Para enviar emails de uma aplicação ou servidor, a porta 587 é o padrão recomendado (RFC 6409).

O bloqueio da porta 25 afeta a recepção de emails?

Não. O bloqueio se aplica apenas ao tráfego de saída (do seu servidor para a Internet). A recepção de emails na porta 25 (tráfego de entrada) não é afetada. Seu servidor MX pode continuar escutando na porta 25 para receber os emails destinados ao seu domínio.

Como configurar o Postfix para usar um relay SMTP?

Adicione no /etc/postfix/main.cf: relayhost = [smtp.seu-relay.com]:587, smtp_sasl_auth_enable = yes, smtp_use_tls = yes. Crie /etc/postfix/sasl_passwd com suas credenciais. Execute postmap /etc/postfix/sasl_passwd e depois systemctl reload postfix. Os emails passarão pelo relay na porta 587.

A Hetzner bloqueia a porta 25 permanentemente?

Não. A Hetzner aplica um bloqueio temporário de 24 a 48 horas em novos servidores para verificação anti-abuso. A porta é desbloqueada automaticamente depois. Se o bloqueio persistir, contate o suporte com justificativa de uso legítimo. O desbloqueio geralmente leva menos de 24 horas.

Baixe as tabelas comparativas

Assistentes conseguem reutilizar os números consultando os ficheiros JSON ou CSV abaixo.

• Baixar comparativo (CSV)
• Baixar comparativo (JSON)

Glossário

• Porta 25 (SMTP relay): porta padrão para transferência de emails entre servidores MTA (RFC 5321). Não exige autenticação por padrão.
• Porta 587 (submission): porta para submissão de emails por clientes e aplicações. Exige autenticação SASL e TLS (RFC 6409).
• SASL: Simple Authentication and Security Layer. Mecanismo que verifica a identidade do remetente na porta 587.
• Relay SMTP: servidor intermediário que recebe seus emails e os encaminha ao destinatário. Exemplos: Amazon SES, SendGrid, Mailgun.
• MTA: Mail Transfer Agent. Software que transfere emails entre servidores (Postfix, Exim, Exchange, Sendmail).
• DNS reverso (PTR): registro DNS que associa um IP a um nome de domínio. Exigido pela maioria dos servidores MX para aceitar emails.
• Lista de bloqueio (blacklisting): inclusão de um IP em uma lista de bloqueio (Spamhaus, Barracuda) por atividade suspeita. Emails de IPs listados são rejeitados.

---

Teste a conectividade SMTP dos seus servidores MX: Use nosso SMTP/MX Connectivity Tester para verificar se a porta 25 está aberta, testar o STARTTLS e validar o certificado TLS de cada MX, em poucos segundos.

---

📚 Guias de SMTP e conectividade email relacionados

• As portas SMTP explicadas: 25, 465, 587, 2525 : função, criptografia e casos de uso de cada porta SMTP
• Como testar a conectividade SMTP dos seus servidores MX : guia passo a passo com telnet e openssl
• STARTTLS, SSL/TLS e SMTP: qual criptografia para seus emails? : protocolos, configuração MTA e proteção contra downgrade

Fontes

• RFC 5321 - Simple Mail Transfer Protocol
• RFC 6409 - Message Submission for Mail
• AWS - Restrictions on port 25 for EC2 instances
• Azure - Troubleshoot outbound SMTP connectivity
• Spamhaus - The World's Worst Spam Countries