Portas de rede para clientes e fluxo de emails Exchange

Este tópico fornece informações sobre as portas de rede usadas pelo Exchange Server 2016 e Exchange Server 2019 para comunicação com clientes de email, servidores de email da Internet e outros serviços externos à sua organização local Exchange. Antes de falarmos sobre isso, entenda as seguintes regras básicas:

  • Não há suporte para restringir ou alterando o tráfego de rede entre servidores internos do Exchange, entre servidores internos do Exchange e servidores internos do Lync ou do Skype for Business, ou entre servidores internos do Exchange e controladores de domínio do Active Directory em todos os tipos de topologias. Se você tiver firewalls ou dispositivos de rede que podem restringir ou alterar esse tipo de tráfego de rede interno, você precisará configurar regras que permitam a comunicação livre e irrestrita entre esses servidores: regras que permitem o tráfego de rede de entrada e saída em qualquer porta (incluindo portas RPC aleatórias) e qualquer protocolo que nunca altere bits no fio.

  • Os servidores de Transporte de Borda estão quase sempre localizados em uma rede de perímetro, portanto, é esperado que você restrinja o tráfego de rede entre o servidor de Transporte de Borda e a Internet e entre o servidor de Transporte de Borda e sua organização Exchange interna. Estas portas de rede são descritas neste tópico.

  • É esperado que você restrinja o tráfego de rede entre clientes e serviços externos e sua organização interna do Exchange. Também não há problema se você decidir restringir o tráfego de rede entre clientes internos e servidores internos do Exchange. Estas portas de rede são descritas neste tópico.

Portas de rede necessárias para clientes e serviços

As portas de rede necessárias para que os clientes de email acessem caixas de correio e outros serviços na organização do Exchange são descritos na tabela e diagrama a seguir.

Observações:

  • O destino para esses clientes e serviços é os serviços de Acesso para Cliente em um servidor de Caixa de Correio. No Exchange 2016 e Exchange 2019, os serviços de Acesso para Cliente (front-end) e back-end são instalados juntos no mesmo servidor de Caixa de Correio. Para obter mais informações, consulte Client Access protocol architecture.

  • Embora o diagrama mostre clientes e serviços da Internet, os conceitos são os mesmos para clientes internos (por exemplo, clientes em uma floresta de contas acessando Exchange servidores em uma floresta de recursos). Da mesma forma, a tabela não tem uma coluna de origem porque a origem pode ser qualquer local externo à organização Exchange (por exemplo, a internet ou uma floresta de contas).

  • Os servidores de transporte de borda não têm nenhum envolvimento no tráfego de rede associado a esses clientes e serviços.

Portas de rede necessárias para clientes e serviços.

Objetivo Portas Comments
As conexões Web criptografadas são usadas pelos seguintes clientes e serviços:
  • Serviço de descoberta automática
  • Exchange ActiveSync
  • Serviços Web do Exchange (EWS)
  • Distribuição do catálogo de endereços offline (OAB)
  • Outlook em Qualquer Lugar (RPC sobre HTTP)
  • MAPI sobre HTTP no Outlook
  • Outlook na Web (anteriormente conhecido como Outlook Web App)
443/TCP (HTTPS) Para saber mais sobre esses clientes e serviços, consulte os seguintes tópicos:
As conexões Web sem criptografia são usadas pelos seguintes clientes e serviços:
  • Publicação de calendários na Internet
  • Outlook na Web (redirecionar para 443/TCP)
  • Descoberta automática (fallback quando 443/TCP não estiver disponível)
80/TCP (HTTP) Sempre que possível, recomendamos usar conexões Web criptografadas em 443/TCP para ajudar a proteger os dados e credenciais. No entanto, você pode descobrir que alguns serviços devem ser configurados para usar conexões Web não criptografadas em 80/TCP para os serviços de Acesso para Cliente em servidores de Caixa de Correio.

Para saber mais sobre esses clientes e serviços, consulte os seguintes tópicos:

Clientes IMAP4 143/TCP (IMAP), 993/TCP (IMAP seguro) O IMAP4 está desabilitado por padrão. Para obter mais informações, consulte POP3 e IMAP4 no Exchange Server.

O serviço IMAP4 nos serviços de Acesso para Cliente no servidor de Caixa de Correio proxies conexões com o serviço back-end IMAP4 em um servidor de Caixa de Correio.

Clientes POP3 110/TCP (POP3), 995/TCP (POP3 seguro) POP3 está desabilitado por padrão. Para obter mais informações, consulte POP3 e IMAP4 no Exchange Server.

O serviço POP3 nos serviços de Acesso para Cliente no servidor de Caixa de Correio proxies conexões com o serviço back-end POP3 em um servidor de Caixa de Correio.

Clientes SMTP (autenticados) 587/TCP (SMTP autenticado) O conector de Recebido padrão chamado "Client Frontend <Server name>" no serviço de Transporte de Front-End escuta envios de cliente SMTP autenticados na porta 587.

Observação: se você tem clientes de email que só podem enviar emails SMTP autenticados na porta 25, você pode modificar as vinculações de adaptador de rede do conector de Recebimento do cliente para também ouvir envios de email SMTP autenticados na porta 25.

Portas de rede necessárias para fluxo de emails

O modo como o email é entregue de e para suas organizações do Exchange depende da sua topologia do Exchange. O fator mais importante é ter um servidor de Transporte de Borda inscrito implantado na sua rede de perímetro.

Portas de rede necessárias para o fluxo de mensagens (sem servidores de Transporte de Borda)

As portas de rede necessárias para o fluxo de emails em uma organização Exchange que tenha apenas servidores de Caixa de Correio são descritas no diagrama e tabela a seguir.

Portas de rede necessárias para o fluxo de emails (sem servidores de Transporte de Borda).

Objetivo Portas Origem Destino Comments
Email de entrada 25/TCP (SMTP) Internet (qualquer) Servidor de Caixa de Correio O conector de Recebimento padrão chamado "Frontend <Mailbox server name> Padrão" no serviço de Transporte de Front-End escuta emails SMTP de entrada anônimos na porta 25.

O email é reajustado do serviço de Transporte de Front-End para o serviço de Transporte em um servidor de Caixa de Correio usando o conector de Envio implícito e invisível dentro da organização que encaminha automaticamente emails entre servidores Exchange na mesma organização. Para obter mais informações, consulte Implicit Send connectors.

Email de saída 25/TCP (SMTP) Servidor de Caixa de Correio Internet (qualquer) Por padrão, Exchange não cria conectores de Envio que permitem que você envie emails para a Internet. Você precisa criar conectores de Envio manualmente. Para obter mais informações, consulte Create a Send connector to send mail to the internet.
Email de saída (se for protegido pelo serviço de transporte front-end) 25/TCP (SMTP) Servidor de Caixa de Correio Internet (qualquer) O email de saída é protegido pelo serviço de Transporte de Front-End somente quando um conector de Envio é configurado com Proxy por meio do servidor de Acesso para Cliente no centro de administração do Exchange -FrontEndProxyEnabled $true ou no Shell de Gerenciamento do Exchange.

Nesse caso, o conector de Recebimento padrão chamado "Frontend <Mailbox server name> do Proxy de Saída" no serviço de Transporte de Front-End escuta emails de saída do serviço de Transporte em um servidor de Caixa de Correio. Para saber mais, confira Configure Send connectors to proxy outbound mail.

DNS para resolução de nomes do próximo salto de emails (não representado) 53/UDP,53/TCP (DNS) Servidor de Caixa de Correio Servidor DNS Consulte a seção Resolução de nome neste tópico.

Portas de rede são necessárias para o fluxo de mensagens com servidores de Transporte Edge

Um servidor de Transporte de Borda inscrito instalado em sua rede de perímetro afeta o fluxo de emails das seguintes maneiras:

  • O email de saída da organização Exchange nunca flui através do serviço de Transporte de Front-End em servidores de Caixa de Correio. O email sempre flui do serviço de Transporte em um servidor de Caixa de Correio no site do Active Directory inscrito para o servidor de Transporte de Borda (independentemente da versão do Exchange no servidor de Transporte de Borda).

  • O email de entrada flui do servidor de Transporte de Borda para um servidor de Caixa de Correio no site do Active Directory inscrito. Especificamente:

    • O email de um servidor de Transporte de Borda do Exchange 2013 ou posterior chega primeiro ao serviço de Transporte de Front-End antes de fluir para o serviço de Transporte em um servidor de Caixa de Correio do Exchange 2016 ou Exchange 2019.

    • No Exchange 2016, o email de um servidor de Transporte de Borda do Exchange 2010 sempre entrega emails diretamente para o serviço de Transporte em um servidor de Caixa de Correio Exchange 2016. Observe que a coexistência com o Exchange 2010 não é suportada no Exchange 2019.

Para obter mais informações, consulte Fluxo de emails e o pipeline de transporte.

As portas de rede necessárias para fluxo de emails em organizações do Exchange que têm servidores de Transporte de Borda são descritas na tabela e diagrama a seguir.

Portas de rede necessárias para o fluxo de emails com servidores de Transporte de Borda.

Objetivo Portas Source Destino Comments
Email de entrada - da Internet para o servidor de Transporte de Borda 25/TCP (SMTP) Internet (qualquer) Servidor de Transporte de Borda O conector de Recebimento padrão chamado "Conector <Edge Transport server name> de Recebimento interno padrão" no servidor de Transporte de Borda escuta emails SMTP anônimos na porta 25.
Email de entrada - do Servidor de Transporte de Borda para a organização interna do Exchange 25/TCP (SMTP) Servidor de Transporte de Borda Servidores de caixa de correio no site Active Directory inscrito O conector de Envio padrão chamado "EdgeSync - <Active Directory site name> Entrada para" retransmite emails de entrada na porta 25 para qualquer servidor de Caixa de Correio no site do Active Directory inscrito. Para obter mais informações, consulte Send connectors created automatically by the Edge Subscription.

O conector de Recebimento padrão chamado "Frontend <Mailbox server name> Padrão" no serviço de Transporte de Front-End no servidor de Caixa de Correio escuta todos os emails de entrada (incluindo emails do Exchange 2013 ou posteriores servidores de Transporte de Borda) na porta 25.

Email de saída - da organização interna do Exchange para o Servidor de Transporte de Borda 25/TCP (SMTP) Servidores de caixa de correio no site Active Directory inscrito Servidores de Transporte de Borda Os emails de saída sempre ignoram o serviço de Transporte de Front-End em servidores de Caixa de Correio.

O email é repassado do serviço de Transporte em qualquer servidor de Caixa de Correio no site inscrito do Active Directory para um servidor de Transporte de Borda usando o conector de Envio implícito e invisível dentro da organização que encaminha automaticamente emails entre servidores Exchange na mesma organização.

O conector de Recebimento padrão chamado " <Edge Transport server name> Conector de Recebimento interno padrão" no servidor de Transporte de Borda escuta emails SMTP na porta 25 do serviço de Transporte em qualquer servidor de Caixa de Correio no site do Active Directory inscrito.

Email de saída - Servidor de Transporte de Borda para Internet 25/TCP (SMTP) Servidor de Transporte de Borda Internet (qualquer) O conector de Envio padrão chamado "EdgeSync - <Active Directory site name> para a Internet" retransmite emails de saída na porta 25 do servidor de Transporte de Borda para a Internet.
Sincronização EdgeSync 50636/TCP (LDAP seguro) Servidores de caixa de correio no site do Active Directory inscrito para participar da sincronização EdgeSync Servidores de Transporte de Borda Quando o servidor de Transporte de Borda é inscrito no site do Active Directory, todos os servidores de Caixa de Correio existentes no site no momento participam de EdgeSync sincronização. No entanto, todos os servidores de Caixa de Correio que você adicionar mais tarde não participam automaticamente EdgeSync sincronização.
DNS para resolução de nomes do próximo salto de emails (não representado) 53/UDP,53/TCP (DNS) Servidor de Transporte de Borda Servidor DNS Consulte a seção Resolução de nome mais adiante neste tópico.
Abra a detecção de servidor proxy na reputação do remetente (não figurada) consulte comentários Servidor de Transporte de Borda Internet Por padrão, a reputação do remetente (o agente de Análise de Protocolo) usa a detecção de servidor proxy aberto como um dos critérios para calcular o nível de reputação do remetente (SRL) do servidor de mensagens de origem. Para mais informações, consulte Reputação do remetente e o agente de análise de protocolo.

A detecção de servidor proxy aberto usa os seguintes protocolos e portas TCP para testar servidores de mensagens de origem para proxy aberto:

  • SOCKS4, SOCKS5: 1081, 1080
  • Wingate, Telnet, Cisco: 23
  • HTTP CONNECT, HTTP POST: 6588, 3128, 80

Além disso, se a sua organização usa um servidor proxy para controlar o tráfego de saída da Internet, você precisa definir o nome do servidor proxy, o tipo e a porta TCP que a reputação do remetente requer para acessar a Internet para detecção de servidor proxy aberto.

Como alternativa, você pode desabilitar a detecção de servidor proxy aberto na reputação do remetente.

Para saber mais, consulte Procedimentos de reputação do remetente.

Resolução do nome

A resolução de DNS do próximo salto de email é uma parte fundamental do fluxo de emails em qualquer organização do Exchange. Os servidores Exchange responsáveis por receber emails de entrada ou entregar emails de saída devem ser capazes de resolver os nomes de host internos e externos para um roteamento de emails adequado. E todos os servidores internos do Exchange devem ser capazes de resolver nomes de host internos para rotear emails corretamente. Há muitas maneiras diferentes de criar uma infraestrutura DNS, mas o resultado importante é garantir que a resolução de nomes para o próximo salto está funcionando corretamente para todos os seus servidores Exchange.

Portas de rede necessárias para implantações híbridas

As portas de rede necessárias para uma organização que usa o Exchange local e Microsoft 365 ou Office 365 são abordadas em protocolos de implantação híbrida, portas e pontos de extremidade.

Portas de rede necessárias para a Unificação de Mensagens Exchange 2016

As portas de rede necessárias para a Unificação de Mensagens no Exchange 2013 e Exchange 2016 são abordadas no tópico protocolos, portas e serviços da UM.