He encontrado la necesidad de abrir el puerto 443 en ufw; de lo contrario, obtengo API Request Preparation Failed en los logs. Creo que esto es mejor mencionarlo porque las instrucciones de instalación estándar mencionan la habilitación de ufw.
El puerto 25 se menciona en mail-receiver.yml y parece eludir ufw.