La instancia ec2 no permitirá conexiones al puerto desde dentro de la instancia después de abrir el puerto en el grupo de seguridad

Tengo una instancia EC2 en un grupo de seguridad que permite los puertos 80, 443 y 22 (tcp, entrante desde 0.0.0.0/0 y ::/0); y cada conexión saliente (a 0.0.0.0/0 y ::/0, todas tcp y udp).

Recientemente configuré un servidor de correo, por lo que también agregué el puerto 25/tcp desde 0.0.0.0/0 y ::/0.

Ahora puedo conectarme a mi servidor de correo desde cualquier host externo usando la IP pública como se esperaba, sin problemas.

También puedo conectarme desde la instancia usando localhostcomo nombre de host o 127.0.0.1 como ip.

Pero no puedo conectarme a la instancia en el puerto 25 desde la instancia usando su IP pública o nombre de host. No recibo una conexión rechazada ni nada, solo un tiempo de espera.

No tengo este problema con ninguno de los otros puertos abiertos en la instancia, puedo perfectamente hacer telnet al puerto 80, 443 o 22 usando la IP pública dentro del shell de la instancia.

Intenté reiniciar, detener/iniciar e incluso crear un nuevo grupo de seguridad desde cero y cambiarle la instancia. Sigue siendo el mismo resultado: las conexiones externas están bien, la conexión interna que usa una IP pública falla solo en ese puerto.

iptables se ve bien, no veo restricciones ni permisos que afecten a este puerto y no a los demás.

no hay ningún firewall habilitado en esta instancia (destructor de Debian)

El servidor de correo es Postfix (no sé si eso hace alguna diferencia. Si de hecho se trata de un problema de configuración de Postfix, estoy desconcertado porque no puedo ver nada en los registros del servidor y está permitiendo cualquier otra fuente de conexión...)