Acho que está tudo bem e basta ter apenas a porta 25 aberta no servidor de e-mail de encaminhamento / encaminhamento. Uma conexão segura com o TLS também é possível se configurada corretamente para funcionar com a porta 25. Portanto, você não precisa ter outra porta para isso. Veja o rfc3207 .
Se você quer ter uma porta de submissão segura separada, então você precisa que a porta tcp 587 esteja aberta para isso, mas não é o seu caso.
Você pode ver se um servidor suporta TLS fazendo um simples telnet e ver se ele contém a linha STARTTLS: O seguinte diálogo do rfc3207 ilustra como um cliente e um servidor podem iniciar uma sessão TLS:
S: <waits for connection on TCP port 25>
C: <opens connection>
S: 220 mail.imc.org SMTP service ready
C: EHLO mail.example.com
S: 250-mail.imc.org offers a warm hug of welcome
S: 250-8BITMIME
S: 250-STARTTLS
S: 250 DSN
C: STARTTLS
S: 220 Go ahead
C: <starts TLS negotiation>
C & S: <negotiate a TLS session>
C & S: <check result of negotiation>
C: EHLO mail.example.com
S: 250-mail.imc.org touches your hand gently for a moment
S: 250-8BITMIME
S: 250 DSN
Este é um artigo muito bom sobre o mystry porta smtp: 25, 465, 587 ... Qual porta devo usar?