Сетевые порты для клиентов и потока обработки почты в Exchange 2013

Область действия: Exchange Server 2013

В этом разделе содержатся сведения о сетевых портах, используемых Microsoft Exchange Server 2013 для связи с почтовыми клиентами, почтовыми серверами Интернета и другими службами, внешними для локальной организации Exchange. Прежде чем начать, обдумайте следующие основные правила.

  • Мы не поддерживаем ограничение или изменение сетевого трафика между внутренними серверами Exchange, между внутренними серверами Exchange и внешними серверами Lync либо Skype для бизнеса или между внутренними серверами Exchange и внутренними контроллерами домена Active Directory в любых типах топологии. Если у вас есть брандмауэры или сетевые устройства, которые потенциально могут ограничивать или изменять такой сетевой трафик, необходимо настроить правила, разрешающее бесплатный и неограниченный обмен данными между этими серверами (правила, разрешающее входящий и исходящий сетевой трафик на любом порту (включая случайные порты RPC) и любой протокол, который никогда не изменяет биты по сети).

  • Пограничные транспортные серверы почти всегда находятся в сети периметра, поэтому ожидается, что сетевой трафик между пограничным транспортным сервером и Интернетом, а также между пограничным транспортным сервером и внутренней организацией Exchange будет ограничен. Эти сетевые порты описаны в данном разделе.

  • Ожидается, что вы ограничите сетевой трафик между внешними клиентами и службами и внутренней организацией Exchange. Также можно ограничить трафик между внутренними клиентами и внутренними серверами Exchange. Эти сетевые порты описаны в данном разделе.

Сетевые порты, необходимые для клиентов и служб

Сетевые порты, которые необходимы почтовым клиентам для доступа к почтовым ящикам и другим службам в организации Exchange, описаны на следующей диаграмме и в таблице.

Примечания.

  • Конечный компьютер этих клиентов и служб — сервер клиентского доступа. Это может быть автономный сервер клиентского доступа или компьютер, на котором установлен и сервер клиентского доступа, и сервер почтовых ящиков.

  • Хотя на диаграмме показаны клиенты и службы из Интернета, концепции одинаковы и для внутренних клиентов (например, клиентов в лесу учетных записей, обращающихся к серверам Exchange в лесу ресурсов). Аналогично в таблице нет столбца "Источник", поскольку источником может быть любое внешнее по отношению к организации Exchange местоположение (например, Интернет или лес учетных записей).

  • Пограничные транспортные серверы не участвуют в сетевом трафике, связанном с этими клиентами и службами.

Сетевые порты, необходимые для клиентов и служб.

Назначение Порты Примечания
Зашифрованные веб-подключения используются следующими клиентами и службами.
  • Служба автообнаружения
  • Exchange ActiveSync
  • Веб-службы Exchange (EWS)
  • Распространение автономной адресной книги
  • Мобильный Outlook (RPC через HTTP)
  • MAPI Outlook через HTTP
  • Outlook Web App
443/TCP (HTTPS) Дополнительные сведения об этих клиентах и службах см. в следующих статьях.
Незашифрованные веб-подключения используются следующими клиентами и службами.
  • Публикация календаря в Интернете
  • Outlook Web App (перенаправление на 443/TCP)
  • Автообнаружение (откат, когда порт 443/TCP недоступен)
80/TCP (HTTP) По возможности рекомендуется использовать зашифрованное веб-подключения на TCP-порте 443 для защиты учетных и других данных. Тем не менее, некоторые службы может потребоваться настроить для использования незашифрованных веб-подключений на TCP-порте 80 сервера клиентского доступа.

Дополнительные сведения об этих клиентах и службах см. в следующих статьях.
Клиенты IMAP4 143/TCP (IMAP), 993/TCP (безопасный IMAP) По умолчанию IMAP4 отключен. Дополнительные сведения см .>POP3 и IMAP4 в Exchange Server 2013.

Службе IMAP4 на подключениях прокси-сервера клиентского доступа к фоновой службе IMAP4 на сервере почтовых ящиков.
Клиенты POP3 110/TCP (POP3), 995/TCP (безопасный POP3) По умолчанию протокол POP3 отключен. Дополнительные сведения см .>POP3 и IMAP4 в Exchange Server 2013.

Службе POP3 на подключениях прокси-сервера клиентского доступа к фоновой службе POP3 на сервере почтовых ящиков.
Клиенты SMTP (с проверкой подлинности) 587/TCP (SMTP с проверкой подлинности) Соединитель received по умолчанию с именем Client Frontend <Server name> прослушивает отправки клиента SMTP с проверкой подлинности через порт 587 на сервере клиентского доступа.

Примечание. Если у вас есть почтовые клиенты, которые могут отправлять почту SMTP с проверкой подлинности только через порт 25, можно изменить значение привязок сетевых адаптеров этого соединителя Receive, чтобы также прослушивать отправленные сообщения SMTP с проверкой подлинности через порт 25.

Сетевые порты, необходимые для потока обработки почты

Способ доставки почты в организацию Exchange и из нее зависит от топологии Exchange. Наиболее важный фактор — наличие подписанного пограничного транспортного сервера, развернутого в сети периметра.

Сетевые порты, необходимые для потока обработки почты (без пограничных транспортных серверов)

Сетевые порты, необходимые для потока обработки почты в организации Exchange, в которой есть только серверы клиентского доступа и серверы почтовых ящиков, описаны на следующей диаграмме и в таблице. Хотя на диаграмме показаны отдельные серверы почтовых ящиков и серверы клиентского доступа, применяются одинаковые концепции независимо от того, установлены ли сервер клиентского доступа и сервер почтовых ящиков на одном или разных компьютерах.

Сетевые порты, необходимые для потока обработки почты (без пограничных транспортных серверов).

Назначение Порты Source Назначение Примечания
Входящая почта 25/TCP (SMTP) Интернет (все) Сервер клиентского доступа Соединитель получения по умолчанию с именем "Интерфейс <Client Access server name> по умолчанию" на сервере клиентского доступа прослушивает анонимную входящую почту SMTP через порт 25.

Почта ретранслируется с сервера клиентского доступа на сервер почтовых ящиков с помощью неявного и невидимого внутриорганизационного соединителя отправки, который автоматически выполняет маршрутизацию сообщений между серверам Exchange в одной организации.
Исходящая почта 25/TCP (SMTP) Сервер почтовых ящиков Интернет (все) По умолчанию Exchange не создает соединители отправки, которые позволяют отправлять почту в Интернет. Необходимо создать соединители отправки вручную. Дополнительные сведения см. в разделе Соединители отправки.
Исходящая почта (при маршрутизации через сервер клиентского доступа) 25/TCP (SMTP) Сервер клиентского доступа Интернет (все) Исходящая почта направляется через сервер клиентского доступа только в том случае, если соединитель отправки настроен с прокси-сервером через сервер клиентского доступа в Центре администрирования Exchange -FrontEndProxyEnabled $true или в командной консоли Exchange.

В этом случае соединитель получения по умолчанию с именем Outbound Proxy Frontend <Client Access server name> на сервере клиентского доступа ожидает передачи исходящей почты с сервера почтовых ящиков. Дополнительные сведения см. в статье "Создание соединителя отправки для электронной почты, отправляемой в Интернет".
DNS-сервер для разрешения имен следующего перехода почты (не показан на рисунке) 53/UDP, 53/TCP (DNS) Интернет-сервер Exchange (сервер клиентского доступа или почтовый сервер) DNS-сервер См. раздел Разрешение имен.

Сетевые порты, необходимые для потока обработки почты с пограничными транспортными серверами

Подписанный пограничный транспортный сервер, установленный в сети периметра, по сути прерывает поток почты SMTP через сервер клиентского доступа. Это означает следующее:

  • Исходящая почта от организации Exchange никогда не проходит через сервер клиентского доступа. Почта всегда идет с сервера почтовых ящиков на подписанном сайте Active Directory на пограничный транспортный сервер (независимо от версии Exchange на пограничном транспортном сервере).

  • Входящая почта никогда не передается через автономный сервер клиентского доступа. Почта идет с т пограничного транспортного сервера на сервер почтовых ящиков на подписанном сайте Active Directory. Если сервер почтовых ящиков и сервер клиентского доступа установлены на одном компьютере, почта от пограничного транспортного сервера Exchange 2013 сначала поступает на компьютер в интерфейсной службе транспорта (роль сервера клиентского доступа) перед попаданием в службу транспорта (роль сервера почтовых ящиков). Пограничные транспортные серверы Exchange 2007 и Exchange 2010 всегда доставляют почту напрямую в службу транспорта, даже если сервер почтовых ящиков и сервер клиентского доступа установлены на одном компьютере.

Дополнительные сведения см. в разделе Поток обработки почты.

Сетевые порты, необходимые для потока обработки почты в организациях Exchange с пограничными транспортными серверами, описаны на следующей диаграмме и в таблице. Если не указано иное, применяемые концепции совпадают независимо от того, установлены ли сервер клиентского доступа и сервер почтовых ящиков установлены на одном или разных компьютерах.

Сетевые порты, необходимые для потока обработки почты с пограничными транспортными серверами.

Назначение Порты Source Назначение Примечания
Входящая почта — из Интернета на пограничный транспортный сервер 25/TCP (SMTP) Интернет (все) Пограничный транспортный сервер Соединитель получения по умолчанию с именем "Внутренний <Edge Transport server name> соединитель получения по умолчанию" на пограничном транспортном сервере прослушивает анонимную почту SMTP через порт 25.
Входящая почта — от пограничного транспортного сервера во внутреннюю организацию Exchange 25/TCP (SMTP) Пограничный транспортный сервер Серверы почтовых ящиков на подписанном сайте Active Directory Соединитель отправки по умолчанию с именем EdgeSync — Inbound to <Active Directory site name> передает входящую почту через порт 25 на любой сервер почтовых ящиков на подписанном сайте Active Directory. Дополнительные сведения см. в разделе "Соединители отправки созданные пограничной подпиской" в статье Edge Subscriptions.

Служба, которая фактически получает электронную почту, зависит от того, установлены ли сервер почтовых ящиков и сервер клиентского доступа на одном компьютере или на разных компьютерах.
  • Автономный сервер почтовых ящиков: соединитель получения по умолчанию с именем Default <Mailbox server name> прослушивает входящую почту (включая почту с пограничных транспортных серверов) через порт 25.
  • Сервер почтовых ящиков и сервер клиентского доступа, установленные на одном компьютере: соединитель получения по умолчанию с именем "<Server name> Интерфейс по умолчанию" в службе транспорта переднего плана (роль сервера клиентского доступа) прослушивает входящую почту (включая почту с пограничных транспортных серверов Exchange 2013) через порт 25.
Исходящая почта — от внутренней организации Exchange на пограничный транспортный сервера 25/TCP (SMTP) Серверы почтовых ящиков на подписанном сайте Active Directory Пограничные транспортные серверы Исходящая почта всегда обходит сервер клиентского доступа.

Почта ретранслируется с любого сервера почтовых ящиков на подписанном сайте Active Directory на пограничный транспортный сервер с помощью неявного и невидимого внутриорганизационного соединителя отправки, который автоматически выполняет маршрутизацию почты между серверами Exchange в одной организации.

Соединитель получения по умолчанию с именем " <Edge Transport server name> Внутренний соединитель получения по умолчанию" на пограничном транспортном сервере прослушивает почту SMTP через порт 25 с любого сервера почтовых ящиков на подписанном сайте Active Directory.
Исходящая почта — с пограничного транспортного сервера в Интернет 25/TCP (SMTP) Пограничный транспортный сервер Интернет (все) Соединитель отправки по умолчанию с именем EdgeSync — <Active Directory site name> в Интернет ретранслирует исходящие сообщения через порт 25 с пограничного транспортного сервера в Интернет.
Синхронизация EdgeSync 50636/TCP (безопасный LDAP) Серверы почтовых ящиков на подписанном сайте Active Directory, которые участвуют в синхронизации EdgeSync Пограничные транспортные серверы Если пограничный транспортный сервер подписан на сайт Active Directory, все серверы почтовых ящиков, которые существуют на сайте в текущий момент, участвуют в синхронизации EdgeSync. Но если добавить другие серверы почтовых ящиков позднее, они не будут автоматически участвовать в синхронизации EdgeSync.
DNS-сервер для разрешения имен следующего перехода почты (не показан на рисунке) 53/UDP, 53/TCP (DNS) Пограничный транспортный сервер DNS-сервер См. раздел Разрешение имен.
Определение прокси-сервера для репутации отправителя (не показано) определяется пользователем Пограничные транспортные серверы Интернет Репутация отправителя (агент анализа протокола) позволяет анализировать пути входящих сообщений для борьбы с нежелательной почтой. Если ваша организация использует прокси-сервер для управления доступом в Интернет, необходимо указать данные этого прокси-сервера, чтобы агент репутации отправителя правильно работал (в частности, обнаруживал прокси-сервер и блокировал отправителей). Используйте параметры ProxyServerName, ProxyServerPort и ProxyServerType в командлете Set-SenderReputationConfig для определения прокси-сервера вашей организации, чтобы агент репутации отправителя мог успешно подключиться к Интернету. Дополнительные сведения см. в разделе "Управление репутацией отправителей".

Разрешение имен

Разрешение DNS следующего перехода почты является фундаментальной составляющей потока обработки почты в любой организации Exchange. Серверы Exchange, ответственные за получение входящей почты или доставку исходящей, должны иметь возможность разрешать как внутренние, так и внешние имена узлов для правильной маршрутизации почты. Все внутренние серверы Exchange должны иметь возможность разрешать внутренние имена узлов для правильной маршрутизации почты. Существует множество различных способов разработки инфраструктуры DNS, но важный результат — обеспечение правильного разрешения имен для следующего перехода на всех серверах Exchange.

Сетевые порты, необходимые для гибридных развертываний

Сетевые порты, необходимые для организации, использующей Exchange 2013 и Microsoft 365 или Office 365, рассматриваются в разделе "Протоколы гибридного развертывания, порты и конечные точки" в предварительных требованиях гибридного развертывания.

Сетевые порты, необходимые для единой системы обмена сообщениями

В следующих разделах описаны сетевые порты, которые необходимы для единой системы обмена сообщениями.