A instância ec2 não permitirá conexões com a porta de dentro da instância após abrir a porta no grupo de segurança

Eu tenho uma instância EC2 em um grupo de segurança que permite as portas 80, 443 e 22 (tcp, entrada de 0.0.0.0/0 e ::/0); e todas as conexões de saída (para 0.0.0.0/0 e ::/0, todas tcp e udp).

Recentemente configurei um servidor de e-mail, então adicionei a porta 25/tcp de 0.0.0.0/0 e ::/0 também.

Agora posso me conectar ao meu servidor de e-mail a partir de qualquer host externo usando o IP público conforme esperado, sem problemas.

Também posso me conectar de dentro da instância usando localhostcomo nome de host ou 127.0.0.1 como ip.

Mas não consigo me conectar à instância na porta 25 de dentro da instância usando seu IP público ou nome de host. Não recebo uma conexão recusada nem nada, apenas um tempo limite.

Não tenho esse problema com nenhuma das outras portas abertas na instância, posso telnetar perfeitamente para a porta 80, 443 ou 22 usando o ip público dentro do shell da instância.

Tentei reiniciar, parar/iniciar e até criar um novo grupo de segurança do zero e mudar a instância para ele. Ainda o mesmo resultado: Conexões externas OK, a conexão interna usando ip público falha apenas nessa porta.

iptables parece bom, não vejo restrições ou permissões que possam afetar esta porta e não as outras.

nenhum firewall está habilitado nesta instância (Debian buster)

o servidor de e-mail é postfix (não sei se isso faz alguma diferença. Se for de fato um problema de configuração do postfix, estou perplexo porque não consigo ver nada nos logs do servidor e está permitindo todas as outras fontes de conexão ...)