客户端的网络端口和邮件流Exchange

本主题提供有关 Exchange Server 2016 和 Exchange Server 2019 用于与电子邮件客户端、Internet 邮件服务器以及本地 Exchange 组织外部的其他服务通信的网络端口的信息。 在深入介绍之前,请了解以下基本规则:

  • 我们不支持限制或更改内部 Exchange 服务器之间或内部 Exchange 服务器与内部 Lync 或 Skype for Business 服务器之间或所有类型的拓扑中的内部 Exchange 服务器与内部 Active Directory 域控制器之间的网络通信。 如果您的防火墙或网络设备可能会限制或更改此类内部网络流量,则需要配置允许这些服务器之间自由且不受限制的通信的规则:允许任何端口 (包括随机 RPC 端口) 以及永远不会改变线路上的位的任何协议上的传入和传出网络流量的规则。

  • 边缘传输服务器几乎始终位于外围网络中,因此预期您将限制边缘传输服务器与 Internet 之间以及边缘传输服务器与内部 Exchange 组织之间的网络流量。 本主题介绍了这些网络端口。

  • 您可以限制外部客户端和服务与内部 Exchange 组织之间的网络流量。您也可以决定限制内部客户端和内部 Exchange 服务器之间的网络流量。本主题介绍了这些网络端口。

客户端和服务所需的网络端口

下列图表中介绍了电子邮件客户端访问邮箱和 Exchange 组织中其他服务所需的网络端口。

说明:

  • 这些客户端和服务的目标为邮箱服务器上客户端访问服务。 在 Exchange 2016 和 Exchange 2019 中,客户端访问 (前端) 和后端服务一起安装在同一邮箱服务器上。 有关详细信息,请参阅客户端 访问协议体系结构

  • 尽管图中显示了来自 Internet 的客户端和服务,但内部客户端的概念是相同的 (例如,帐户林中的客户端访问资源林中的 Exchange 服务器) 。 同样,该表没有源列,因为源可以是 Exchange 组织外部的任何位置 (例如,Internet 或帐户林) 。

  • 边缘传输服务器不涉及与这些客户端和服务相关的网络流量。

客户端和服务所需的网络端口。

用途 端口 注释
下列客户端和服务使用加密的 Web 连接:
• 自动发现服务
• Exchange ActiveSync
• Exchange EWS (Web 服务)
• 脱机通讯簿 (OAB) 分发
• Outlook HTTP (RPC 的任何)
• Outlook MAPI over HTTP
• Outlook 网页版 (以前称为Outlook Web App)
443/TCP (HTTPS) 有关这些客户端和服务的详细信息,请参阅下列主题:
自动发现服务在Exchange Server
Exchange ActiveSync
EWS reference for Exchange
脱机通讯簿Exchange Server
Outlook Anywhere
MAPI over HTTP in Exchange Server
下列客户端和服务使用未加密的 Web 连接:
• Internet 日历发布
• Outlook 网页版 (重定向到 443/TCP)
• 自动发现 (443/TCP 不可用时回退)
80/TCP (HTTP) 如果可能,建议对 443/TCP 使用加密的 Web 连接以帮助保护数据和凭据。 但是,您可能会发现某些服务必须配置为在 80/TCP 上使用未加密的 Web 连接连接到邮箱服务器上客户端访问服务。

有关这些客户端和服务的详细信息,请参阅下列主题:
启用 Internet 日历发布
自动发现服务在Exchange Server
IMAP4 客户端 143/TCP (IMAP)、993/TCP(安全 IMAP) 默认情况下 IMAP4 处于禁用状态。 有关详细信息,请参阅POP3 and IMAP4 in Exchange Server

邮箱服务器上客户端访问服务中的 IMAP4 服务代理与邮箱服务器上 IMAP4 后端服务的连接。
POP3 客户端 110/TCP (POP3)、995/TCP(安全 POP3) 默认情况下 POP3 处于禁用状态。 有关详细信息,请参阅POP3 and IMAP4 in Exchange Server

邮箱服务器上客户端访问服务中的 POP3 服务代理与邮箱服务器上 POP3 后端服务的连接。
SMTP 客户端(已经过身份验证) 587/TCP(通过身份验证的 SMTP) 前端传输服务中名为"客户端前端"的默认接收连接器侦听端口 587 上经过身份验证的 <Server name> SMTP 客户端提交。

注意:如果您的电子邮件客户端只能在端口 25 上提交已验证的 SMTP 电子邮件,您可以修改客户端接收连接器的网络适配器绑定,以同时侦听端口 25 上经过身份验证的 SMTP 电子邮件提交。

邮件流所需的网络端口

邮件传入和传出您的 Exchange 组织的方式取决于您的 Exchange 拓扑。最重要的因素是您是否已在外围网络中部署订阅的边缘传输服务器。

邮件流所需的网络端口(没有边缘传输服务器)

以下图表和表介绍了仅具有邮箱服务器的 Exchange 组织中邮件流所需的网络端口。

邮件流所需的网络端口 (边缘传输服务器) 。

用途 端口 目标 注释
入站邮件 25/TCP (SMTP) Internet(任何) 邮箱服务器 前端传输服务中名为"默认前端"的默认接收连接器侦听端口 <Mailbox server name> 25 上的匿名入站 SMTP 邮件。
邮件使用隐式和不可见的组织间发送连接器从前端传输服务中继到邮箱服务器上传输服务,该连接器可在同一组织的 Exchange 服务器之间自动路由邮件。 有关详细信息,请参阅 隐式发送连接器
出站邮件 25/TCP (SMTP) 邮箱服务器 Internet(任何) 默认情况下,Exchange不会创建任何允许您将邮件发送到 Internet 的发送连接器。 您必须手动创建发送连接器。 有关详细信息,请参阅创建发送连接器以将邮件发送到 Internet。
出站邮件 (通过前端传输服务进行代理时) 25/TCP (SMTP) 邮箱服务器 Internet(任何) 只有在 Exchange 管理中心或命令行管理程序中通过客户端访问服务器配置发送连接器时,出站邮件才通过前端传输Exchange -FrontEndProxyEnabled $true 代理。
在这种情况下,前端传输服务中名为"出站代理前端"的默认接收连接器侦听来自邮箱服务器上 <Mailbox server name> 传输服务的出站邮件。 有关详细信息,请参阅Configure Send connectors to proxy outbound mail
用于下一个邮件跃点的名称解析的 DNS(未显示在图中) 53/UDP、53/TCP (DNS) 邮箱服务器 DNS 服务器 请参阅 本主题中的名称 解析部分。

邮件流所需的网络端口(具有边缘传输服务器)

安装在外围网络中订阅的边缘传输服务器以下列方式影响邮件流:

  • 来自组织Exchange出站邮件永远不会流经邮箱服务器的前端传输服务。 邮件始终从订阅的 Active Directory 站点中邮箱服务器的传输服务流到边缘传输服务器 (无论边缘传输服务器上 Exchange 的版本如何) 。

  • 入站邮件从边缘传输服务器流向订阅的 Active Directory 站点中的邮箱服务器。 具体来说:

    • 来自 Exchange 2013 或更高版本的边缘传输服务器的邮件首先到达前端传输服务,然后再流向 Exchange 2016 或 Exchange 2019 邮箱服务器的传输服务。

    • 在 Exchange 2016 中,来自 Exchange 2010 边缘传输服务器的邮件始终将邮件直接发送到 Exchange 2016 邮箱服务器中的传输服务。 请注意,与 Exchange 2010 共存在 2019 年Exchange受支持。

有关详细信息,请参阅Mail flow and the transport pipeline

对于具有边缘传输服务器的 Exchange 组织,邮件流所需的网络端口如下列图表中所示。

使用边缘传输服务器的邮件流所需的网络端口。

用途 端口 目标 注释
入站邮件 - 从 Internet 到边缘传输服务器 25/TCP (SMTP) Internet(任何) 边缘传输服务器 边缘传输服务器上名为"默认内部接收连接器"的默认接收连接器侦听端口 25 上的匿名 <Edge Transport server name> SMTP 邮件。
入站邮件 - 从边缘传输服务器到内部 Exchange 组织 25/TCP (SMTP) 边缘传输服务器 订阅的 Active Directory 站点中的邮箱服务器 名为"EdgeSync - 入站到"的默认发送连接器将端口 25 上的入站邮件中继到订阅的 Active Directory 站点中的任意邮箱 <Active Directory site name> 服务器。 有关详细信息,请参阅边缘订阅 自动创建的发送连接器
邮箱服务器上前端传输服务中名为"默认前端"的默认接收连接器侦听所有入站邮件 (包括来自 Exchange 2013 或更高版本的边缘传输服务器) 端口 25 上的邮件。 <Mailbox server name>
出站邮件 - 从内部 Exchange 组织到边缘传输服务器 25/TCP (SMTP) 订阅的 Active Directory 站点中的邮箱服务器 边缘传输服务器 出站邮件始终绕过邮箱服务器的前端传输服务。
邮件使用隐式和不可见的组织间发送连接器从订阅的 Active Directory 站点中任何邮箱服务器的传输服务中继到边缘传输服务器,该连接器可在同一组织的 Exchange 服务器之间自动路由邮件。
边缘传输服务器上名为"默认内部接收连接器"的默认接收连接器侦听端口 25 上的 SMTP 邮件,该邮件来自订阅的 Active Directory 站点中任何邮箱服务器的传输 <Edge Transport server name> 服务。
出站邮件 - 边缘传输服务器到 Internet 25/TCP (SMTP) 边缘传输服务器 Internet(任何) 名为"EdgeSync - 到 Internet"的默认发送连接器将端口 25 上的出站邮件从边缘传输服务器 <Active Directory site name> 中继到 Internet。
EdgeSync 同步 50636/TCP(安全 LDAP) 订阅的 Active Directory 站点中参与 EdgeSync 同步的邮箱服务器 边缘传输服务器 在将边缘传输服务器订阅到 Active Directory 站点时,站点中当时存在的所有邮箱服务器都参与EdgeSync同步。 但是,您稍后添加的任何邮箱 服务器不会自动参与 EdgeSync同步。
用于下一个邮件跃点的名称解析的 DNS(未显示在图中) 53/UDP、53/TCP (DNS) 边缘传输服务器 DNS 服务器 请参阅 本主题稍后介绍 的名称解析部分。
发件人信誉中的开放代理服务器检测 (未) 查看注释 边缘传输服务器 Internet 默认情况下, (分析代理) 的发件人信誉使用开放代理服务器检测作为条件之一来计算源邮件服务器的发件人信誉级别 (SRL) 。 有关详细信息,请参阅 发件人信誉和协议分析代理
开放代理服务器检测使用下列协议和 TCP 端口来测试开放代理的源消息服务器:
• SOCKS4、SOCKS5:1081、1080
• Wingate、Telnet、Cisco:23
• HTTP CONNECT、HTTP POST:6588、3128、80
此外,如果组织使用代理服务器控制出站 Internet 流量,则需要定义代理服务器名称、类型和发件人信誉访问 Internet 进行开放代理服务器检测所需的 TCP 端口。
或者,可以在发件人信誉中禁用开放代理服务器检测。
有关详细信息,请参阅发件人 信誉过程

名称解析

在任何 Exchange 组织中,下一个邮件跃点的 DNS 解析都是邮件流的基本组成部分。负责接收入站邮件或传递出站邮件的 Exchange 服务器必须能够解析内部和外部主机名,以确保正确的邮件路由。所有内部 Exchange 服务器都必须能够解析内部主机名,以确保正确的邮件路由。有很多不同设计 DNS 基础结构的方法,但重要的结果是确保下一个跃点的名称解析对您的所有 Exchange 服务器均运行正常。

混合部署所需的网络端口

混合部署协议、端口和终结点 中涵盖使用本地 Exchange 和 Microsoft 365 或 Office 365 的组织所需的网络端口

Exchange 2016 中统一消息所需的网络端口

2013 和 Exchange Exchange 2016 中统一消息所需的网络端口涵盖在主题 UM 协议、端口和服务中