Сетевые порты для клиентов и потока обработки почты в Exchange
В этом разделе содержатся сведения о сетевых портах, используемых Exchange Server 2016 и Exchange Server 2019 для связи с почтовыми клиентами, почтовыми серверами Интернета и другими службами, внешними для вашей локальной организации Exchange. Прежде чем начать, обдумайте следующие основные правила.
Мы не поддерживаем ограничение или изменение сетевого трафика между внутренними серверами Exchange, между внутренними серверами Exchange и внешними серверами Lync либо Skype для бизнеса или между внутренними серверами Exchange и внутренними контроллерами домена Active Directory в любых типах топологии. Если у вас есть брандмауэры или сетевые устройства, которые могут потенциально ограничить или изменить этот тип внутреннего сетевого трафика, необходимо настроить правила, разрешающие бесплатный и неограниченный обмен данными между этими серверами: правила, разрешающие входящий и исходящий сетевой трафик на любом порту (включая случайные порты RPC), и любой протокол, который никогда не изменяет биты в проводе.
Пограничные транспортные серверы почти всегда расположены в сети периметра, поэтому ожидается, что вы ограничите сетевой трафик между пограничным транспортным сервером и Интернетом, а также между пограничным транспортным сервером и внутренней организацией Exchange. Эти сетевые порты описаны в данном разделе.
Ожидается, что вы ограничите сетевой трафик между внешними клиентами и службами и внутренней организацией Exchange. Также можно ограничить трафик между внутренними клиентами и внутренними серверами Exchange. Эти сетевые порты описаны в данном разделе.
Сетевые порты, необходимые для клиентов и служб
Сетевые порты, которые необходимы почтовым клиентам для доступа к почтовым ящикам и другим службам в организации Exchange, описаны на следующей диаграмме и в таблице.
Примечания:
Назначением для этих клиентов и служб являются службы клиентского доступа на сервере почтовых ящиков. В Exchange 2016 и Exchange 2019 клиентский доступ (интерфейсная) и серверная службы устанавливаются вместе на одном сервере почтовых ящиков. Дополнительные сведения см. в статье Архитектура протокола клиентского доступа.
Хотя на схеме показаны клиенты и службы из Интернета, понятия одинаковы для внутренних клиентов (например, клиенты в лесу учетных записей обращаются к серверам Exchange в лесу ресурсов). Аналогичным образом в таблице нет исходного столбца, так как источником может быть любое расположение, которое находится вне организации Exchange (например, Интернет или лес учетных записей).
Пограничные транспортные серверы не участвуют в сетевом трафике, связанном с этими клиентами и службами.
| Назначение | Порты | Comments |
|---|---|---|
Зашифрованные веб-подключения используются следующими клиентами и службами.
|
443/TCP (HTTPS) | Дополнительные сведения об этих клиентах и службах см. в следующих статьях. |
Незашифрованные веб-подключения используются следующими клиентами и службами.
|
80/TCP (HTTP) | По возможности рекомендуется использовать зашифрованное веб-подключения на TCP-порте 443 для защиты учетных и других данных. Однако вы можете обнаружить, что некоторые службы должны быть настроены для использования незашифрованных веб-подключений по протоколу 80/TCP к службам клиентского доступа на серверах почтовых ящиков. Дополнительные сведения об этих клиентах и службах см. в следующих статьях. |
| Клиенты IMAP4 | 143/TCP (IMAP), 993/TCP (безопасный IMAP) | По умолчанию IMAP4 отключен. Дополнительные сведения см. в разделе POP3 и IMAP4 в Exchange Server. Служба IMAP4 в службах клиентского доступа на сервере почтовых ящиков прокси-сервер выполняет подключения к серверной службе IMAP4 на сервере почтовых ящиков. |
| Клиенты POP3 | 110/TCP (POP3), 995/TCP (безопасный POP3) | По умолчанию протокол POP3 отключен. Дополнительные сведения см. в разделе POP3 и IMAP4 в Exchange Server. Служба POP3 в службах клиентского доступа на сервере почтовых ящиков выполняет подключения к серверной службе POP3 на сервере почтовых ящиков. |
| Клиенты SMTP (с проверкой подлинности) | 587/TCP (SMTP с проверкой подлинности) | По умолчанию соединитель Received с именем "Имя> внешнего< сервера клиента" в транспортной службе переднего плана прослушивает отправку клиента SMTP с проверкой подлинности через порт 587. Примечание. Если у вас есть почтовые клиенты, которые могут отправлять только почту SMTP с проверкой подлинности через порт 25, вы можете изменить привязки сетевого адаптера соединителя получения клиента, чтобы также прослушивать отправку почты SMTP с проверкой подлинности через порт 25. |
Сетевые порты, необходимые для потока обработки почты
Способ доставки почты в организацию Exchange и из нее зависит от топологии Exchange. Наиболее важный фактор наличие подписанного пограничного транспортного сервера, развернутого в сети периметра.
Сетевые порты, необходимые для потока обработки почты (без пограничных транспортных серверов)
Сетевые порты, необходимые для потока обработки почты в организации Exchange, которая имеет только серверы почтовых ящиков, описаны на следующей схеме и в таблице.
| Назначение | Порты | Source | Назначение | Comments |
|---|---|---|---|---|
| Входящая почта | 25/TCP (SMTP) | Интернет (все) | Сервер почтовых ящиков | Соединитель получения по умолчанию с именем "Имя> сервера внешних< почтовых ящиков по умолчанию" в транспортной службе переднего плана прослушивает анонимную входящую smtp-почту через порт 25. Почта передается из транспортной службы переднего плана в транспортную службу на сервере почтовых ящиков с помощью неявного и невидимого соединителя отправки внутри организации, который автоматически маршрутизирует почту между серверами Exchange в той же организации. Дополнительные сведения см. в разделе Соединители неявной отправки. |
| Исходящая почта | 25/TCP (SMTP) | Сервер почтовых ящиков | Интернет (все) | По умолчанию Exchange не создает соединители отправки, которые позволяют отправлять почту в Интернет. Необходимо создать соединители отправки вручную. Дополнительные сведения см. в статье Создание соединителя отправки для отправки почты в Интернет. |
| Исходящая почта (при наличии прокси-сервера через транспортную службу переднего плана) | 25/TCP (SMTP) | Сервер почтовых ящиков | Интернет (все) | Исходящая почта передается через транспортную службу переднего плана только в том случае, если для соединителя отправки настроен прокси-сервер через сервер клиентского доступа в Центре администрирования Exchange или -FrontEndProxyEnabled $true в командной консоли Exchange. В этом случае соединитель получения по умолчанию с именем "Имя> сервера внешнего< почтового ящика исходящего прокси-сервера" в транспортной службе переднего плана прослушивает исходящую почту от транспортной службы на сервере почтовых ящиков. Дополнительные сведения см. в статье Configure Send connectors to proxy outbound mail. |
| DNS-сервер для разрешения имен следующего перехода почты (не показан на рисунке) | 53/UDP, 53/TCP (DNS) | Сервер почтовых ящиков | DNS-сервер | См. раздел Разрешение имен в этой статье. |
Сетевые порты, необходимые для потока обработки почты с пограничными транспортными серверами
Подписанный пограничный транспортный сервер, установленный в сети периметра, влияет на поток обработки почты следующими способами:
Исходящая почта из организации Exchange никогда не проходит через интерфейсную транспортную службу на серверах почтовых ящиков. Почта всегда передается из транспортной службы на сервере почтовых ящиков на сайте Active Directory с подпиской на пограничный транспортный сервер (независимо от версии Exchange на пограничном транспортном сервере).
Входящая почта передается с пограничного транспортного сервера на сервер почтовых ящиков на сайте Active Directory с подпиской. Это означает следующее:
Почта с пограничного транспортного сервера Exchange 2013 или более поздней версии сначала поступает в транспортную службу переднего плана, прежде чем она будет отправлена в транспортную службу на сервере почтовых ящиков Exchange 2016 или Exchange 2019.
В Exchange 2016 почта с пограничного транспортного сервера Exchange 2010 всегда доставляет почту непосредственно в транспортную службу на сервере почтовых ящиков Exchange 2016. Обратите внимание, что сосуществование с Exchange 2010 не поддерживается в Exchange 2019.
Дополнительные сведения см. в разделе Поток обработки почты и конвейер транспорта.
Сетевые порты, необходимые для потока обработки почты в организациях Exchange с пограничными транспортными серверами, описаны на следующей диаграмме и в таблице.
| Назначение | Порты | Source | Назначение | Comments |
|---|---|---|---|---|
| Входящая почта — из Интернета на пограничный транспортный сервер | 25/TCP (SMTP) | Интернет (все) | Пограничный транспортный сервер | Соединитель получения по умолчанию с именем "Имя> пограничного транспортного сервера внутреннего соединителя< получения по умолчанию" на пограничном транспортном сервере прослушивает анонимную почту SMTP через порт 25. |
| Входящая почта от пограничного транспортного сервера во внутреннюю организацию Exchange | 25/TCP (SMTP) | Пограничный транспортный сервер | Серверы почтовых ящиков на подписанном сайте Active Directory | Соединитель отправки по умолчанию с именем "EdgeSync — inbound to <Active Directory site name>" ретранслирует входящую почту через порт 25 на любой сервер почтовых ящиков на сайте Active Directory с подпиской. Дополнительные сведения см. в статье Отправка соединителей, автоматически созданных подпиской Edge. Соединитель получения по умолчанию с именем "Имя> сервера внешнего< почтового ящика по умолчанию" в транспортной службе переднего плана на сервере почтовых ящиков прослушивает всю входящую почту (включая почту с пограничных транспортных серверов Exchange 2013 или более поздних версий) через порт 25. |
| Исходящая почта от внутренней организации Exchange на пограничный транспортный сервера | 25/TCP (SMTP) | Серверы почтовых ящиков на подписанном сайте Active Directory | Пограничные транспортные серверы | Исходящая почта всегда обходит службу транспорта переднего плана на серверах почтовых ящиков. Почта ретранслируется из транспортной службы на любом сервере почтовых ящиков на сайте Active Directory с подпиской на пограничный транспортный сервер с помощью неявного и невидимого соединителя отправки внутри организации, который автоматически направляет почту между серверами Exchange в той же организации. Соединитель получения по умолчанию с именем "Имя> пограничного транспортного сервера внутреннего соединителя< получения по умолчанию" на пограничном транспортном сервере прослушивает smtp-почту через порт 25 от транспортной службы на любом сервере почтовых ящиков на сайте Active Directory с подпиской. |
| Исходящая почта — пограничный транспортный сервер в Интернет | 25/TCP (SMTP) | Пограничный транспортный сервер | Интернет (все) | Соединитель отправки по умолчанию с именем "EdgeSync — <имя> сайта Active Directory в Интернет" ретранслирует исходящую почту через порт 25 с пограничного транспортного сервера в Интернет. |
| Синхронизация EdgeSync | 50636/TCP (безопасный LDAP) | Серверы почтовых ящиков на подписанном сайте Active Directory, которые участвуют в синхронизации EdgeSync | Пограничные транспортные серверы | Когда пограничный транспортный сервер подписан на сайт Active Directory, в синхронизации EdgeSync участвуют все серверы почтовых ящиков, существующие на этом сайте. Однако все серверы почтовых ящиков, которые вы добавите позже , автоматически не участвуют в синхронизации EdgeSync. |
| DNS-сервер для разрешения имен следующего перехода почты (не показан на рисунке) | 53/UDP, 53/TCP (DNS) | Пограничный транспортный сервер | DNS-сервер | См. раздел Разрешение имен далее в этом разделе. |
| Обнаружение открытого прокси-сервера в репутации отправителя (не на фото) | см. примечания | Пограничный транспортный сервер | Интернет | По умолчанию репутация отправителя (агент анализа протоколов) использует обнаружение открытого прокси-сервера в качестве одного из критериев для вычисления уровня репутации отправителя (SRL) исходного сервера обмена сообщениями. Дополнительные сведения см. в разделе Sender reputation and the Protocol Analysis agent. Обнаружение открытого прокси-сервера использует следующие протоколы и TCP-порты для тестирования исходных серверов обмена сообщениями для открытого прокси-сервера:
Кроме того, если ваша организация использует прокси-сервер для управления исходящим интернет-трафиком, необходимо определить имя прокси-сервера, тип и TCP-порт, который требуется репутации отправителя для доступа к Интернету для обнаружения открытого прокси-сервера. Кроме того, можно отключить обнаружение открытого прокси-сервера в репутации отправителя. Дополнительные сведения см. в разделе Процедуры репутации отправителя. |
Разрешение имен
Разрешение DNS следующего перехода почты является фундаментальной составляющей потока обработки почты в любой организации Exchange. Серверы Exchange, ответственные за получение входящей почты или доставку исходящей, должны иметь возможность разрешать как внутренние, так и внешние имена узлов для правильной маршрутизации почты. Все внутренние серверы Exchange должны иметь возможность разрешать внутренние имена узлов для правильной маршрутизации почты. Существует множество различных способов разработки инфраструктуры DNS, но важный результат обеспечение правильного разрешения имен для следующего перехода на всех серверах Exchange.
Сетевые порты, необходимые для гибридных развертываний
Сетевые порты, необходимые для организации, которая использует как локальный Exchange, так и Microsoft 365 или Office 365, рассматриваются в статье Протоколы гибридного развертывания, порты и конечные точки.
Сетевые порты, необходимые для единой системы обмена сообщениями в Exchange 2016
Сетевые порты, необходимые для единой системы обмена сообщениями в Exchange 2013 и Exchange 2016, рассматриваются в разделе Протоколы, порты и службы единой системы обмена сообщениями.