Сетевые порты для клиентов и потока обработки почты в Exchange 2013Network ports for clients and mail flow in Exchange 2013

Применимо к: Exchange Server 2013Applies to: Exchange Server 2013

В этом разделе представлены сведения о сетевых портах, которые используются Microsoft Exchange Server 2013 для связи с почтовыми клиентами, почтовыми серверами Интернета и другими службами, которые являются внешними по отношению к вашей локальной организации Exchange.This topic provides information about the network ports that are used by Microsoft Exchange Server 2013 for communication with email clients, Internet mail servers, and other services that are external to your local Exchange organization. Прежде чем начать, обдумайте следующие основные правила.Before we get into that, understand the following ground rules:

  • Мы не поддерживаем ограничение или изменение сетевого трафика между внутренними серверами Exchange, между внутренними серверами Exchange и внешними серверами Lync либо Skype для бизнеса или между внутренними серверами Exchange и внутренними контроллерами домена Active Directory в любых типах топологии.We do not support restricting or altering network traffic between internal Exchange servers, between internal Exchange servers and internal Lync or Skype for Business servers, or between internal Exchange servers and internal Active Directory domain controllers in any and all types of topologies. При наличии брандмауэров или сетевых устройств, которые могут ограничивать или изменять этот тип сетевого трафика, необходимо настроить правила, разрешающие бесплатные и неограниченное взаимодействие между этими серверами (правила, которые разрешают входящий и исходящий сетевой трафик. на любом порте (в том числе случайных RPC-портах) и любом протоколе, который никогда не изменяет биты на линии связи.If you have firewalls or network devices that could potentially restrict or alter this kind of network traffic, you need to configure rules that allow free and unrestricted communication between these servers (rules that allow incoming and outgoing network traffic on any port (including random RPC ports) and any protocol that never alter bits on the wire).

  • Пограничные транспортные серверы почти всегда находятся в сети периметра, поэтому ожидается, что сетевой трафик между пограничным транспортным сервером и Интернетом, а также между пограничным транспортным сервером и внутренней организацией Exchange будет ограничен. Эти сетевые порты описаны в данном разделе.Edge Transport servers are almost always located in a perimeter network, so it's expected that you'll restrict network traffic between the Edge Transport server and the Internet, and between the Edge Transport server and your internal Exchange organization. These network ports are described in this topic.

  • Ожидается, что вы ограничите сетевой трафик между внешними клиентами и службами и внутренней организацией Exchange. Также можно ограничить трафик между внутренними клиентами и внутренними серверами Exchange. Эти сетевые порты описаны в данном разделе.It's expected that you'll restrict network traffic between external clients and services and your internal Exchange organization. It's also OK if you decide to restrict network traffic between internal clients and internal Exchange servers. These network ports are described in this topic.

Сетевые порты, необходимые для клиентов и службNetwork ports required for clients and services

Сетевые порты, которые необходимы почтовым клиентам для доступа к почтовым ящикам и другим службам в организации Exchange, описаны на следующей диаграмме и в таблице.The network ports that are required for email clients to access mailboxes and other services in the Exchange organization are described in the following diagram and table.

Примечания.Notes:

  • Конечный компьютер этих клиентов и служб — сервер клиентского доступа. Это может быть автономный сервер клиентского доступа или компьютер, на котором установлен и сервер клиентского доступа, и сервер почтовых ящиков.The destination for these clients and services is a Client Access server. This could be a standalone Client Access server or a Client Access server and Mailbox server installed on the same computer.

  • Хотя на диаграмме показаны клиенты и службы из Интернета, концепции одинаковы и для внутренних клиентов (например, клиентов в лесу учетных записей, обращающихся к серверам Exchange в лесу ресурсов). Аналогично в таблице нет столбца "Источник", поскольку источником может быть любое внешнее по отношению к организации Exchange местоположение (например, Интернет или лес учетных записей).Although the diagram shows clients and services from the Internet, the concepts are the same for internal clients (for example, clients in an accounts forest accessing Exchange servers in a resource forest). Similarly, the table doesn't have a source column because the source could be any location that's external to the Exchange organization (for example, the Internet or an accounts forest).

  • Пограничные транспортные серверы не участвуют в сетевом трафике, связанном с этими клиентами и службами.Edge Transport servers have no involvement in the network traffic that's associated with these clients and services.

Сетевые порты, необходимые для клиентов и служб

НазначениеPurpose ПортыPorts CommentsComments

Зашифрованные веб-подключения используются следующими клиентами и службами.Encrypted web connections are used by the following clients and services:

  • Служба автообнаруженияAutodiscover service

  • Exchange ActiveSyncExchange ActiveSync

  • Веб-службы Exchange (EWS)Exchange Web Services (EWS)

  • Распространение автономной адресной книгиOffline address book distribution

  • Мобильный Outlook (RPC через HTTP)Outlook Anywhere (RPC over HTTP)

  • MAPI Outlook через HTTPOutlook MAPI over HTTP

  • Outlook Web AppOutlook Web App

443/TCP (HTTPS)443/TCP (HTTPS)

Дополнительные сведения об этих клиентах и службах см. в следующих статьях. For more information about these clients and services, see the following topics:

Незашифрованные веб-подключения используются следующими клиентами и службами.Unencrypted web connections are used by the following clients and services:

  • Публикация календаря в ИнтернетеInternet calendar publishing

  • Outlook Web App (перенаправление на 443/TCP)Outlook Web App (redirect to 443/TCP)

  • Автообнаружение (откат, когда порт 443/TCP недоступен)Autodiscover (fallback when 443/TCP isn't available)

80/TCP (HTTP)80/TCP (HTTP)

По возможности рекомендуется использовать зашифрованное веб-подключения на TCP-порте 443 для защиты учетных и других данных. Тем не менее, некоторые службы может потребоваться настроить для использования незашифрованных веб-подключений на TCP-порте 80 сервера клиентского доступа. Whenever possible, we recommend using encrypted web connections on 443/TCP to help protect data and credentials. However, you may find that some services must be configured to use unencrypted web connections on 80/TCP to the Client Access server.

Дополнительные сведения об этих клиентах и службах см. в следующих статьях. For more information about these clients and services, see the following topics:

Клиенты IMAP4IMAP4 clients

143/TCP (IMAP), 993/TCP (безопасный IMAP)143/TCP (IMAP), 993/TCP (secure IMAP)

По умолчанию IMAP4 отключен.IMAP4 is disabled by default. Дополнительные сведения см. в статье POP3 и IMAP4 в Exchange Server 2013.For more information, see POP3 and IMAP4 in Exchange Server 2013.

Службе IMAP4 на подключениях прокси-сервера клиентского доступа к фоновой службе IMAP4 на сервере почтовых ящиков.The IMAP4 service on the Client Access server proxies connections to the IMAP4 Backend service on a Mailbox server.

Клиенты POP3POP3 clients

110/TCP (POP3), 995/TCP (безопасный POP3)110/TCP (POP3), 995/TCP (secure POP3)

По умолчанию протокол POP3 отключен.POP3 is disabled by default. Дополнительные сведения см. в статье POP3 и IMAP4 в Exchange Server 2013.For more information, see POP3 and IMAP4 in Exchange Server 2013.

Службе POP3 на подключениях прокси-сервера клиентского доступа к фоновой службе POP3 на сервере почтовых ящиков.The POP3 service on the Client Access server proxies connections to the POP3 Backend service on a Mailbox server.

Клиенты SMTP (с проверкой подлинности)SMTP clients (authenticated)

587/TCP (SMTP с проверкой подлинности)587/TCP (authenticated SMTP)

Соединитель "получения по умолчанию <имя> " серверного переднего плана прослушивает отправку клиента SMTP с проверкой подлинности на порте 587 на сервере клиентского доступа.The default Received connector named "Client Frontend <Server name>" listens for authenticated SMTP client submissions on port 587 on the Client Access server.

Примечание.Note:

Если у вас есть почтовые клиенты, которые могут отправлять сообщения по протоколу SMTP с проверкой подлинности только через порт 25, то вы можете изменить значение привязки этого соединителя получения, чтобы он также отслеживал отправку сообщений по протоколу SMTP с проверкой подлинности через порт 25.If you have mail clients that can submit authenticated SMTP mail only on port 25, you can modify the network adapter bindings value of this Receive connector to also listen for authenticated SMTP mail submissions on port 25.

Сетевые порты, необходимые для потока обработки почтыNetwork ports required for mail flow

Способ доставки почты в организацию Exchange и из нее зависит от топологии Exchange. Наиболее важный фактор — наличие подписанного пограничного транспортного сервера, развернутого в сети периметра.How mail is delivered to and from your Exchange organization depends on your Exchange topology. The most important factor is whether you have a subscribed Edge Transport server deployed in your perimeter network.

Сетевые порты, необходимые для потока обработки почты (без пограничных транспортных серверов)Network ports required for mail flow (no Edge Transport servers)

Сетевые порты, необходимые для потока обработки почты в организации Exchange, в которой есть только серверы клиентского доступа и серверы почтовых ящиков, описаны на следующей диаграмме и в таблице. Хотя на диаграмме показаны отдельные серверы почтовых ящиков и серверы клиентского доступа, применяются одинаковые концепции независимо от того, установлены ли сервер клиентского доступа и сервер почтовых ящиков на одном или разных компьютерах.The network ports that are required for mail flow in an Exchange organization that has only Client Access servers and Mailbox servers are described in the following diagram and table. Although the diagram shows separate Mailbox and Client Access servers, the concepts are the same whether the Client Access server and the Mailbox server are installed on the same computer or on separate computers.

![Сетевые порты, необходимые для поток обработки почты (без пограничных транспортных серверов)] (images/Bb331973.af54dfd3-fe6b-4b6e-bb8e-b00df94a0be0(EXCHG.150).png "Сетевые порты, необходимые для поток обработки почты (без пограничных транспортных серверов)")Network ports required for mail flow (no Edge Transport servers)

НазначениеPurpose ПортыPorts SourceSource ЦельDestination CommentsComments

Входящая почтаInbound mail

25/TCP (SMTP)25/TCP (SMTP)

Интернет (все)Internet (any)

Сервер клиентского доступаClient Access server

Соединитель приема по умолчанию "с именем "интерфейсный <сервер> клиентского доступа по умолчанию"" на сервере клиентского доступа прослушивает анонимную входящую почту SMTP на порту 25.The default Receive connector named "Default Frontend <Client Access server name>" on the Client Access server listens for anonymous inbound SMTP mail on port 25.

Почта ретранслируется с сервера клиентского доступа на сервер почтовых ящиков с помощью неявного и невидимого внутриорганизационного соединителя отправки, который автоматически выполняет маршрутизацию сообщений между серверам Exchange в одной организации.Mail is relayed from the Client Access server to a Mailbox server using the implicit and invisible intra-organization Send connector that automatically routes mail between Exchange servers in the same organization.

Исходящая почтаOutbound mail

25/TCP (SMTP)25/TCP (SMTP)

Сервер почтовых ящиковMailbox server

Интернет (все)Internet (any)

По умолчанию Exchange не создает соединители отправки, которые позволяют отправлять почту в Интернет. Необходимо создать соединители отправки вручную. Дополнительные сведения см. в разделе Соединители отправки. By default, Exchange doesn't create any Send connectors that allow you to send mail to the Internet. You have to create Send connectors manually. For more information, see Send connectors.

Исходящая почта (при маршрутизации через сервер клиентского доступа)Outbound mail (if routed through the Client Access server)

25/TCP (SMTP)25/TCP (SMTP)

Сервер клиентского доступаClient Access server

Интернет (все)Internet (any)

Исходящая почта направляется через сервер клиентского доступа только в том случае, если соединитель отправки настроен с использованием прокси-сервера через сервер клиентского доступа в -FrontEndProxyEnabled $true центре администрирования Exchange или в командной консоли Exchange.Outbound mail is routed through a Client Access server only when a Send connector is configured with Proxy through Client Access server in the Exchange admin center or -FrontEndProxyEnabled $true in the Exchange Management Shell.

В этом случае соединитель приема по умолчанию с "именем "интерфейсный <> сервер клиентского доступа " для исходящего прокси-сервера" на сервере клиентского доступа прослушивает исходящую почту с сервера почтовых ящиков.In this case, the default Receive connector named "Outbound Proxy Frontend <Client Access server name>" on the Client Access server listens for outbound mail from the Mailbox server. Дополнительные сведения см. в статье Создание соединителя отправки для электронной почты, отправляемой в Интернет.For more information, see Create a Send connector for email sent to the Internet.

DNS-сервер для разрешения имен следующего перехода почты (не показан на рисунке)DNS for name resolution of the next mail hop (not pictured)

53/UDP, 53/TCP (DNS)53/UDP,53/TCP (DNS)

Интернет-сервер Exchange (сервер клиентского доступа или почтовый сервер)Internet-facing Exchange server (Client Access server or Mailbox server)

DNS-серверDNS server

См. раздел Разрешение имен. See the Name resolution section.

Сетевые порты, необходимые для потока обработки почты с пограничными транспортными серверамиNetwork ports required for mail flow with Edge Transport servers

Подписанный пограничный транспортный сервер, установленный в сети периметра, по сути прерывает поток почты SMTP через сервер клиентского доступа. Это означает следующее:A subscribed Edge Transport server that's installed in your perimeter network basically eliminates SMTP mail flow through the Client Access server. Specifically:

  • Исходящая почта от организации Exchange никогда не проходит через сервер клиентского доступа. Почта всегда идет с сервера почтовых ящиков на подписанном сайте Active Directory на пограничный транспортный сервер (независимо от версии Exchange на пограничном транспортном сервере).Outbound mail from the Exchange organization never flows through a Client Access server. Mail always flows from a Mailbox server in the subscribed Active Directory site to the Edge Transport server (regardless of the version of Exchange on the Edge Transport server).

  • Входящая почта никогда не передается через автономный сервер клиентского доступа. Почта идет с т пограничного транспортного сервера на сервер почтовых ящиков на подписанном сайте Active Directory. Если сервер почтовых ящиков и сервер клиентского доступа установлены на одном компьютере, почта от пограничного транспортного сервера Exchange 2013 сначала поступает на компьютер в интерфейсной службе транспорта (роль сервера клиентского доступа) перед попаданием в службу транспорта (роль сервера почтовых ящиков). Пограничные транспортные серверы Exchange 2007 и Exchange 2010 всегда доставляют почту напрямую в службу транспорта, даже если сервер почтовых ящиков и сервер клиентского доступа установлены на одном компьютере.Inbound mail never flows through a standalone Client Access server. Mail flows from the Edge Transport server to a Mailbox server in the subscribed Active Directory site. If the Mailbox server and the Client Access server are installed on the same computer, mail from an Exchange 2013 Edge Transport server first arrives on the computer at the Front End Transport service (the Client Access server role) before it flows to the Transport service (the Mailbox server role). Exchange 2007 or Exchange 2010 Edge Transport servers always deliver mail directly to the Transport service even when the Mailbox server and the Client Access server are installed on the same computer.

Дополнительные сведения см. в разделе Поток обработки почты.For more information, see Mail flow.

Сетевые порты, необходимые для потока обработки почты в организациях Exchange с пограничными транспортными серверами, описаны на следующей диаграмме и в таблице. Если не указано иное, применяемые концепции совпадают независимо от того, установлены ли сервер клиентского доступа и сервер почтовых ящиков установлены на одном или разных компьютерах.The network ports that are required for mail flow in Exchange organizations that have Edge Transport servers are described in the following diagram and table. Unless otherwise noted, the concepts are the same whether the Client Access server and the Mailbox server are installed on the same computer or on separate computers.

![Сетевые порты, необходимые для поток обработки почты с] пограничными транспортными серверами (images/Bb331973.110c79b3-dbd9-4cb5-bba1-02048363ee1c(EXCHG.150).png "Сетевые порты, необходимые для поток обработки почты с") пограничными транспортными серверамиNetwork ports required for mail flow with Edge Transport servers

НазначениеPurpose ПортыPorts SourceSource ЦельDestination CommentsComments

Входящая почта — из Интернета на пограничный транспортный серверInbound mail - Internet to Edge Transport server

25/TCP (SMTP)25/TCP (SMTP)

Интернет (все)Internet (any)

Пограничный транспортный серверEdge Transport server

Соединитель приема по умолчанию "с именем внутреннего транспортного <сервера> по умолчанию (внутренний соединитель получения)" на пограничном транспортном сервере прослушивает анонимную почту SMTP на порту 25.The default Receive connector named "Default internal Receive connector <Edge Transport server name>" on the Edge Transport server listens for anonymous SMTP mail on port 25.

Входящая почта — от пограничного транспортного сервера во внутреннюю организацию ExchangeInbound mail - Edge Transport server to internal Exchange organization

25/TCP (SMTP)25/TCP (SMTP)

Пограничный транспортный серверEdge Transport server

Серверы почтовых ящиков на подписанном сайте Active DirectoryMailbox servers in the subscribed Active Directory site

Соединитель отправки по умолчанию "с именем EdgeSync — входящий в <имя> " сайта Active Directory ретранслирует входящую почту с порта 25 на любой сервер почтовых ящиков на подписанном сайте Active Directory.The default Send connector named "EdgeSync - Inbound to <Active Directory site name>" relays inbound mail on port 25 to any Mailbox server in the subscribed Active Directory site. Для получения дополнительных сведений просмотрите соединители "отправки, созданные в разделе процесс" пограничной подписки, в разделе пограничные подписки.For more information, see the "Send connectors created during the Edge Subscription process" section in the topic, Edge Subscriptions.

Служба, которая фактически получает электронную почту, зависит от того, установлены ли сервер почтовых ящиков и сервер клиентского доступа на одном компьютере или на разных компьютерах.The service that actually receives mail depends on whether the Mailbox server and Client Access server are installed on the same computer or on separate computers.

  • Изолированный сервер   почтовых ящиков "используемый по умолчанию соединитель получения с именем Default <Server> Mailbox " прослушивает входящую почту (включая почту с пограничных транспортных серверов) через порт 25.Standalone Mailbox server   The default Receive connector named "Default <Mailbox server name>" listens for inbound mail (including mail from Edge Transport servers) on port 25.

  • Сервер почтовых ящиков и сервер клиентского доступа, установленные на том же компьютере   . соединитель приема по умолчанию с "именем "интерфейсный <сервер> по умолчанию"" в службе транспорта переднего плана (клиентский доступ роль сервера) прослушивает входящую почту (включая почту с пограничных транспортных серверов Exchange 2013) на порте 25.Mailbox server and Client Access server installed on the same computer   The default Receive connector named "Default Frontend <Server name>" in the Front End Transport service (the Client Access server role) listens for inbound mail (including mail from Exchange 2013 Edge Transport servers) on port 25.

Исходящая почта — от внутренней организации Exchange на пограничный транспортный сервераOutbound mail - Internal Exchange organization to Edge Transport server

25/TCP (SMTP)25/TCP (SMTP)

Серверы почтовых ящиков на подписанном сайте Active DirectoryMailbox servers in the subscribed Active Directory site

Пограничные транспортные серверыEdge Transport servers

Исходящая почта всегда обходит сервер клиентского доступа.Outbound mail always bypasses the Client Access server.

Почта ретранслируется с любого сервера почтовых ящиков на подписанном сайте Active Directory на пограничный транспортный сервер с помощью неявного и невидимого внутриорганизационного соединителя отправки, который автоматически выполняет маршрутизацию почты между серверами Exchange в одной организации.Mail is relayed from any Mailbox server in the subscribed Active Directory site to an Edge Transport server using the implicit and invisible intra-organization Send connector that automatically routes mail between Exchange servers in the same organization.

Соединитель приема по умолчанию "с именем внутреннего <транспортного сервера> " по умолчанию с пограничным транспортным сервером прослушивает почту SMTP на порте 25 с любого сервера почтовых ящиков в действующей активной Сайт каталога.The default Receive connector named "Default internal Receive connector <Edge Transport server name>" on the Edge Transport server listens for SMTP mail on port 25 from any Mailbox server in the subscribed Active Directory site.

Исходящая почта — с пограничного транспортного сервера в ИнтернетOutbound mail - Edge Transport server to Internet

25/TCP (SMTP)25/TCP (SMTP)

Пограничный транспортный серверEdge Transport server

Интернет (все)Internet (any)

Соединитель отправки по умолчанию "с именем EdgeSync- <Active Directory> в Интернет" ретранслирует исходящую почту через порт 25 с пограничного транспортного сервера в Интернет.The default Send connector named "EdgeSync - <Active Directory site name> to Internet" relays outbound mail on port 25 from the Edge Transport server to the Internet.

Синхронизация EdgeSyncEdgeSync synchronization

50636/TCP (безопасный LDAP)50636/TCP (secure LDAP)

Серверы почтовых ящиков на подписанном сайте Active Directory, которые участвуют в синхронизации EdgeSyncMailbox servers in the subscribed Active Directory site that participate in EdgeSync synchronization

Пограничные транспортные серверыEdge Transport servers

Если пограничный транспортный сервер подписан на сайт Active Directory, все серверы почтовых ящиков, которые существуют на сайте в текущий момент, участвуют в синхронизации EdgeSync. Но если добавить другие серверы почтовых ящиков позднее, они не будут автоматически участвовать в синхронизации EdgeSync.When the Edge Transport server is subscribed to the Active Directory site, all Mailbox servers that exist in the site at the time participate in EdgeSync synchronization. However, any Mailbox servers that you add later don't automatically participate in EdgeSync synchronization.

DNS-сервер для разрешения имен следующего перехода почты (не показан на рисунке)DNS for name resolution of the next mail hop (not pictured)

53/UDP, 53/TCP (DNS)53/UDP,53/TCP (DNS)

Пограничный транспортный серверEdge Transport server

DNS-серверDNS server

См. раздел Разрешение имен. See the Name resolution section.

Определение прокси-сервера для репутации отправителя (не показано)Proxy server definition for sender reputation (not pictured)

определяется пользователемuser defined

Пограничные транспортные серверыEdge Transport servers

ИнтернетInternet

Репутация отправителя (агент анализа протокола) позволяет анализировать пути входящих сообщений для борьбы с нежелательной почтой.Sender reputation (the Protocol Analysis agent) analyzes inbound message paths in an effort to reduce spam. Если ваша организация использует прокси-сервер для управления доступом в Интернет, необходимо указать данные этого прокси-сервера, чтобы агент репутации отправителя правильно работал (в частности, обнаруживал прокси-сервер и блокировал отправителей).If your organization uses a proxy server to control access to the Internet, you need to define details about the proxy server so that sender reputation can work properly (in particular, open proxy detection and sender blocking). Используйте параметры ProxyServerName, ProxyServerPort и ProxyServerType в командлете Set-SenderReputationConfig для определения прокси-сервера вашей организации, чтобы агент репутации отправителя мог успешно подключиться к Интернету.You use the ProxyServerName, ProxyServerPort and ProxyServerType parameters on the Set-SenderReputationConfig cmdlet to define your organization's proxy server so sender reputation can successfully connect to the Internet. Более подробную информацию можно узнать в статье Управление репутацией отправителя.For more information, see Manage sender reputation.

Разрешение именName resolution

Разрешение DNS следующего перехода почты является фундаментальной составляющей потока обработки почты в любой организации Exchange. Серверы Exchange, ответственные за получение входящей почты или доставку исходящей, должны иметь возможность разрешать как внутренние, так и внешние имена узлов для правильной маршрутизации почты. Все внутренние серверы Exchange должны иметь возможность разрешать внутренние имена узлов для правильной маршрутизации почты. Существует множество различных способов разработки инфраструктуры DNS, но важный результат — обеспечение правильного разрешения имен для следующего перехода на всех серверах Exchange.DNS resolution of the next mail hop is a fundamental part of mail flow in any Exchange organization. Exchange servers that are responsible for receiving inbound mail or delivering outbound mail must be able to resolve both internal and external host names for proper mail routing. And all internal Exchange servers must be able to resolve internal host names for proper mail routing. There are many different ways to design a DNS infrastructure, but the important result is to ensure name resolution for the next hop is working properly for all of your Exchange servers.

Сетевые порты, необходимые для гибридных развертыванийNetwork ports required for hybrid deployments

Сетевые порты, необходимые для Организации, использующей как Exchange 2013, так и Microsoft Office 365, рассматриваются в разделе "протоколы гибридного развертывания, порты и конечные точки" в обязательных компонентах гибридного развертывания.The network ports that are required for an organization that uses both Exchange 2013 and Microsoft Office 365 are covered in the "Hybrid deployment protocols, port and endpoints" section in Hybrid deployment prerequisites.

Сетевые порты, необходимые для единой системы обмена сообщениямиNetwork ports required for Unified Messaging

В следующих разделах описаны сетевые порты, которые необходимы для единой системы обмена сообщениями.The network ports that are required for Unified Messaging are covered in the following topics: