Configurație ubuntu iptables pentru conectarea la releul SMTP

O aplicație pe un server (Ubuntu instalat și cu postfix) poate trimite e-mailuri prin SMTP.
O aplicație separată de pe server ar putea trimite e-mailuri prin SMTP, dar cu un alt utilizator@FQDN.
Niciun e-mail primit nu este menit să fie gestionat pe server.
Serviciul SMTP ar primi e-mailuri pentru a le transmite prin portul 465 într-o instanță și portul 587 în alta (gmail).

Care ar trebui să fie configurația iptables a serverului?

• ieșire numai pentru porturile 465, 587 și 25?
• ieșire numai pentru portul 25?
• intrare și ieșire pentru toate 465, 587 și 25?

Înțeleg că este necesară numai ieșirea pentru portul 25 (aplicația va specifica domeniul și portul HELO)

sudo iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT

Totuși, mi s-a oferit o sugestie după cum urmează sport nu apare în opțiunile de bază enumerate aici, prin urmare nu sunt sigur cum să analizez aceste două opțiuni.

sudo iptables -A OUTPUT -p tcp --sport 25 -m conntrack --ctstate ESTABLISHED -j ACCEPT

Care este cel mai bun curs de acțiune? și cum pot testa dacă portul este deschis pentru traficul de ieșire față de traficul de intrare?