Exchange のクライアントとメール フローのネットワーク ポート
このトピックでは、Exchange Server 2016 および Exchange Server 2019 で、メール クライアント、インターネット メール サーバー、およびローカル Exchange 組織の外部にあるその他のサービスとの通信に使用されるネットワーク ポートについて説明します。 その内容に進む前に、以下の基本ルールを理解している必要があります。
すべての種類のトポロジで、内部 Exchange サーバーの間や、内部 Exchange サーバーと内部 Lync または Skype for Business サーバーとの間、または内部 Exchange サーバーと内部 Active Directory ドメイン コントローラーとの間のネットワーク トラフィックを制限したり変更したりすることはサポートされていません。 この種の内部ネットワーク トラフィックを制限または変更する可能性があるファイアウォールまたはネットワーク デバイスがある場合は、これらのサーバー間で自由かつ無制限の通信を許可する規則 (任意のポート (ランダム RPC ポートを含む) とネットワーク上のビットを変更しないプロトコルを許可する規則) を構成する必要があります。
エッジ トランスポート サーバーは、ほぼ常に境界ネットワークに配置されるため、エッジ トランスポート サーバーとインターネット間、およびエッジ トランスポート サーバーと内部 Exchange 組織の間のネットワーク トラフィックを制限することが期待されます。 これらのネットワーク ポートについては、このトピックで説明されています。
外部のクライアントやサービスと内部の Exchange 組織との間で、ネットワーク トラフィックを制限することが期待されています。 内部のクライアントと内部の Exchange サーバーとの間で、ネットワーク トラフィックを制限するように決定することも可能です。 これらのネットワーク ポートについては、このトピックで説明されています。
クライアントとサービスに必要なネットワーク ポート
電子メール クライアントがメールボックスや Exchange 組織内の他のサービスにアクセスするために必要なネットワーク ポートについては、次の図と表で説明します。
注:
これらのクライアントとサービスの宛先は、メールボックス サーバー上のクライアント アクセス サービスです。 Exchange 2016 と Exchange 2019 では、クライアント アクセス (フロントエンド) サービスとバックエンド サービスが同じメールボックス サーバーにまとめてインストールされます。 詳細については、「 クライアント アクセス プロトコル アーキテクチャ」を参照してください。
この図はインターネットからのクライアントとサービスを示していますが、内部クライアント (たとえば、リソース フォレスト内の Exchange サーバーにアクセスするアカウント フォレスト内のクライアント) の概念は同じです。 同様に、ソースは Exchange 組織 (インターネットやアカウント フォレストなど) の外部にある任意の場所である可能性があるため、テーブルにはソース列がありません。
エッジ トランスポート サーバーは、これらのクライアントやサービスに関連付けられたネットワーク トラフィックと関係していません。
| 用途 | ポート | Comments |
|---|---|---|
暗号化された Web 接続は、以下のクライアントやサービスによって使用されます。
|
443/TCP (HTTPS) | これらのクライアントやサービスについて詳しくは、以下のトピックを参照してください。 |
暗号化されていない Web 接続は、以下のクライアントやサービスによって使用されます。
|
80/TCP (HTTP) | できる限り、データと資格情報を保護するために、443/TCP での暗号化された Web 接続を使用することをお勧めします。 ただし、メールボックス サーバー上のクライアント アクセス サービスに対して、80/TCP で暗号化されていない Web 接続を使用するように一部のサービスを構成する必要がある場合があります。 これらのクライアントやサービスについて詳しくは、以下のトピックを参照してください。 |
| IMAP4 クライアント | 143/TCP (IMAP)、993/TCP (セキュア IMAP) | IMAP4 は既定では無効になっています。 詳細については、Exchange Serverの POP3 と IMAP4 に関するページを参照してください。 メールボックス サーバー上のクライアント アクセス サービスの IMAP4 サービスは、メールボックス サーバー上の IMAP4 バックエンド サービスへの接続をプロキシします。 |
| POP3 クライアント | 110/TCP (POP3)、995/TCP (セキュア POP3) | POP3 は既定では無効になっています。 詳細については、Exchange Serverの POP3 と IMAP4 に関するページを参照してください。 メールボックス サーバー上のクライアント アクセス サービスの POP3 サービスは、メールボックス サーバー上の POP3 バックエンド サービスへの接続をプロキシします。 |
| SMTP クライアント (認証済み) | 587/TCP (認証された SMTP) | フロントエンド トランスポート サービスの "クライアント フロントエンド <サーバー名>" という名前の既定の受信コネクタは、ポート 587 で認証された SMTP クライアントの送信をリッスンします。 注: ポート 25 でのみ認証済み SMTP メールを送信できる電子メール クライアントがある場合は、クライアント受信コネクタのネットワーク アダプター バインドを変更して、ポート 25 で認証された SMTP 電子メールの送信をリッスンすることもできます。 |
メール フローに必要なネットワーク ポート
Exchange 組織との間でメールが送受信される方法は、Exchange トポロジによって異なります。 最も重要な要素は、境界ネットワークに展開された購読済みエッジ トランスポート サーバーがあるかどうかです。
メール フローに必要なネットワーク ポート (エッジ トランスポート サーバーがない場合)
メールボックス サーバーのみを持つ Exchange 組織のメール フローに必要なネットワーク ポートについては、次の図と表を参照してください。
| 用途 | ポート | ソース | Destination (転送先) | Comments |
|---|---|---|---|---|
| 受信メール | 25/TCP (SMTP) | インターネット (任意) | メールボックス サーバー | フロントエンド トランスポート サービスの "既定のフロントエンド <メールボックス サーバー名>" という名前の既定の受信コネクタは、ポート 25 で匿名受信 SMTP メールをリッスンします。 メールは、同じ組織内の Exchange サーバー間でメールを自動的にルーティングする暗黙的で非表示の組織内送信コネクタを使用して、フロントエンド トランスポート サービスからメールボックス サーバー上のトランスポート サービスに中継されます。 詳細については、「 暗黙的な送信コネクタ」を参照してください。 |
| 送信メール | 25/TCP (SMTP) | メールボックス サーバー | インターネット (任意) | 既定では、Exchange では、インターネットにメールを送信できる送信コネクタは作成されません。 送信コネクタは手動で作成する必要があります。 詳細については、「 送信コネクタを作成してインターネットにメールを送信する」を参照してください。 |
| 送信メール (フロントエンド トランスポート サービスを介してプロキシされた場合) | 25/TCP (SMTP) | メールボックス サーバー | インターネット (任意) | 送信メールは、送信コネクタが Exchange 管理センターまたは -FrontEndProxyEnabled $true Exchange 管理シェルのクライアント アクセス サーバーを介してプロキシで構成されている場合にのみ、フロントエンド トランスポート サービスを介してプロキシされます。 この場合、フロントエンド トランスポート サービスの "送信プロキシ フロントエンド <メールボックス サーバー名>" という名前の既定の受信コネクタは、メールボックス サーバー上のトランスポート サービスからの送信メールをリッスンします。 詳細については、「 メールをプロキシ送信するよう送信コネクタを構成する」を参照してください。 |
| 次のメール ホップ (ここでは示されていません) の名前解決の DNS | 53/UDP、53/TCP (DNS) | メールボックス サーバー | DNS サーバー | このトピックの 「名前解決 」セクションを参照してください。 |
エッジ トランスポート サーバーによるメール フローに必要なネットワーク ポート
境界ネットワークにインストールされているサブスクライブされたエッジ トランスポート サーバーは、次の方法でメール フローに影響します。
Exchange 組織からの送信メールは、メールボックス サーバー上のフロントエンド トランスポート サービスを経由することはありません。 メールは、サブスクライブした Active Directory サイトのメールボックス サーバー上のトランスポート サービスからエッジ トランスポート サーバーに常に送信されます (エッジ トランスポート サーバー上の Exchange のバージョンに関係なく)。
受信メールは、エッジ トランスポート サーバーから、サブスクライブされた Active Directory サイト内のメールボックス サーバーに送信されます。 特に次のような場合です。
Exchange 2013 以降のエッジ トランスポート サーバーからのメールは、最初にフロントエンド トランスポート サービスに到着してから、Exchange 2016 または Exchange 2019 メールボックス サーバー上のトランスポート サービスに送信されます。
Exchange 2016 では、Exchange 2010 Edge トランスポート サーバーからのメールは、常に Exchange 2016 メールボックス サーバー上のトランスポート サービスに直接メールを配信します。 Exchange 2010 との共存は、Exchange 2019 ではサポートされていないことに注意してください。
詳細については、「Mail flow and the transport pipeline」を参照してください。
エッジ トランスポート サーバーのある Exchange 組織でのメール フローに必要なネットワーク ポートについて、次の図と表で説明します。
| 用途 | ポート | ソース | Destination (転送先) | Comments |
|---|---|---|---|---|
| 受信メール - インターネットからエッジ トランスポート サーバーへ | 25/TCP (SMTP) | インターネット (任意) | エッジ トランスポート サーバー | エッジ トランスポート サーバーの "既定の内部受信コネクタエッジ トランスポート サーバー名>" という名前の既定の受信コネクタ<は、ポート 25 で匿名 SMTP メールをリッスンします。 |
| 受信メール - エッジ トランスポート サーバーから内部 Exchange 組織へ | 25/TCP (SMTP) | エッジ トランスポート サーバー | サブスクライブ先の Active Directory サイトのメールボックス サーバー | "EdgeSync - Active Directory サイト名>への<受信" という名前の既定の送信コネクタは、ポート 25 の受信メールを、サブスクライブしている Active Directory サイト内のすべてのメールボックス サーバーに中継します。 詳細については、「エッジ サブスクリプションによって自動的に作成される送信コネクタ」を参照してください。 メールボックス サーバーのフロント エンド トランスポート サービスの "既定のフロントエンド <メールボックス サーバー名>" という名前の既定の受信コネクタは、ポート 25 上のすべての受信メール (Exchange 2013 以降のエッジ トランスポート サーバーからのメールを含む) をリッスンします。 |
| 送信メール - 内部 Exchange 組織からエッジ トランスポート サーバーへ | 25/TCP (SMTP) | サブスクライブ先の Active Directory サイトのメールボックス サーバー | エッジ トランスポート サーバー | 送信メールは、常にメールボックス サーバー上のフロント エンド トランスポート サービスをバイパスします。 メールは、サブスクライブした Active Directory サイト内の任意のメールボックス サーバー上のトランスポート サービスから、同じ組織内の Exchange サーバー間でメールを自動的にルーティングする暗黙的で非表示の組織内送信コネクタを使用して、エッジ トランスポート サーバーに中継されます。 エッジ トランスポート サーバーの "既定の内部受信コネクタ エッジ トランスポート サーバー名>" という名前の既定の受信コネクタ<は、サブスクライブされている Active Directory サイト内の任意のメールボックス サーバー上のトランスポート サービスから、ポート 25 で SMTP メールをリッスンします。 |
| 送信メール - インターネットへのエッジ トランスポート サーバー | 25/TCP (SMTP) | エッジ トランスポート サーバー | インターネット (任意) | "EdgeSync - <Active Directory サイト名> をインターネットに送信する" という名前の既定の送信コネクタは、エッジ トランスポート サーバーからインターネットへのポート 25 の送信メールを中継します。 |
| EdgeSync 同期 | 50636/TCP (セキュア LDAP) | EdgeSync 同期に参加している購読済み Active Directory サイトのメールボックス サーバー | エッジ トランスポート サーバー | エッジ トランスポート サーバーが Active Directory サイトにサブスクライブされると、 その時点 でサイトに存在するすべてのメールボックス サーバーが EdgeSync 同期に参加します。 ただし、後で追加するすべてのメールボックス サーバーは、EdgeSync 同期 に自動的に 参加しません。 |
| 次のメール ホップ (ここでは示されていません) の名前解決の DNS | 53/UDP、53/TCP (DNS) | エッジ トランスポート サーバー | DNS サーバー | このトピックの後半の 「名前解決 」セクションを参照してください。 |
| 送信者の評判でプロキシ サーバーの検出を開く (画像なし) | コメントを表示する | エッジ トランスポート サーバー | インターネット | 既定では、送信者評判 (プロトコル分析エージェント) は、ソース メッセージング サーバーの送信者評判レベル (SRL) を計算するための条件の 1 つとして、オープン プロキシ サーバー検出を使用します。 詳細については、「送信者評価とプロトコル分析エージェント」をご覧ください。 オープン プロキシ サーバー検出では、次のプロトコルと TCP ポートを使用して、オープン プロキシのソース メッセージング サーバーをテストします。
また、組織がプロキシ サーバーを使用して送信インターネット トラフィックを制御する場合は、オープン プロキシ サーバーの検出のために送信者の評判がインターネットにアクセスするために必要なプロキシ サーバーの名前、種類、TCP ポートを定義する必要があります。 または、送信者の評判でオープン プロキシ サーバーの検出を無効にすることもできます。 詳細については、「 送信者の評判手順」を参照してください。 |
名前の解決
次のメール ホップの DNS 解決は、すべての Exchange 組織においてメール フローの基本的な部分です。 受信メールを受信または送信メールの配信を担当する Exchange サーバーは、適切なメール ルーティングを行うために内部および外部のホスト名を両方解決できなければなりません。 また、すべての内部 Exchange サーバーは、適切なメール ルーティングを行うために内部ホスト名を解決できなければなりません。 DNS インフラストラクチャを設計するにはさまざまな方法がありますが、重要なのは、次のホップの名前解決がすべての Exchange サーバーに対して適切に実行されるようにすることです。
ハイブリッド展開に必要なネットワーク ポート
オンプレミスの Exchange と Microsoft 365 または Office 365の両方を使用する組織に必要なネットワーク ポートについては、ハイブリッド展開プロトコル、ポート、エンドポイントで説明します。
Exchange 2016 のユニファイド メッセージングに必要なネットワーク ポート
Exchange 2013 および Exchange 2016 のユニファイド メッセージングに必要なネットワーク ポートについては、UM プロトコル、ポート、およびサービスに関するトピックを参照してください。