Compartilhar via


Portas de rede para clientes e fluxo de correio no Exchange

APLICA-SE A:yes-img-162016 yes-img-192019 yes-img-seSubscription Edition

Este tópico fornece informações sobre as portas de rede utilizadas pelo Exchange Server 2016 e Exchange Server 2019 para comunicação com clientes de e-mail, servidores de e-mail e outros serviços externos à sua organização local do Exchange. Antes de falarmos sobre isso, entenda as seguintes regras básicas:

  • Não suportamos a restrição ou alteração do tráfego de rede entre servidores internos do Exchange, entre servidores internos do Exchange e servidores internos do Lync ou Skype for Business ou entre servidores internos do Exchange e controladores de domínio internos do Active Directory em qualquer e em todos os tipos de topologias. Se tiver firewalls ou dispositivos de rede que possam potencialmente restringir ou alterar este tipo de tráfego de rede interno, terá de configurar regras que permitam uma comunicação livre e sem restrições entre estes servidores: regras que permitem o tráfego de rede de entrada e saída em qualquer porta (incluindo portas RPC aleatórias) e qualquer protocolo que nunca altere bits no fio.

  • Os servidores de Transporte Edge estão quase sempre localizados numa rede de perímetro, pelo que é esperado que restrinja o tráfego de rede entre o servidor de Transporte Edge e a Internet e entre o servidor de Transporte edge e a sua organização interna do Exchange. Estas portas de rede são descritas neste tópico.

  • É esperado que você restrinja o tráfego de rede entre clientes e serviços externos e sua organização interna do Exchange. Também não há problema se você decidir restringir o tráfego de rede entre clientes internos e servidores internos do Exchange. Estas portas de rede são descritas neste tópico.

Portas de rede necessárias para clientes e serviços

As portas de rede necessárias para que os clientes de email acessem caixas de correio e outros serviços na organização do Exchange são descritos na tabela e diagrama a seguir.

Observações:

  • O destino destes clientes e serviços são os serviços de Acesso de Cliente num servidor de Caixa de Correio. No Exchange 2016 e Exchange 2019, o Acesso de Cliente (front-end) e os serviços de back-end são instalados em conjunto no mesmo servidor de Caixa de Correio. Para obter mais informações, veja Arquitetura do protocolo de Acesso de Cliente.

  • Embora o diagrama mostre clientes e serviços da Internet, os conceitos são os mesmos para clientes internos (por exemplo, clientes numa floresta de contas que acedem a servidores Exchange numa floresta de recursos). Da mesma forma, a tabela não tem uma coluna de origem porque a origem pode ser qualquer localização externa à organização do Exchange (por exemplo, a Internet ou uma floresta de contas).

  • Os servidores de transporte de borda não têm nenhum envolvimento no tráfego de rede associado a esses clientes e serviços.

Portas de rede necessárias para clientes e serviços.

Objetivo Portas Comments
As conexões Web criptografadas são usadas pelos seguintes clientes e serviços:
  • Serviço de descoberta automática
  • Exchange ActiveSync
  • Serviços Web do Exchange (EWS)
  • Distribuição do catálogo de endereços offline (OAB)
  • Outlook em Qualquer Lugar (RPC sobre HTTP)
  • MAPI sobre HTTP no Outlook
  • Outlook na Web (anteriormente conhecido como Outlook Web App)
443/TCP (HTTPS) Para saber mais sobre esses clientes e serviços, consulte os seguintes tópicos:
As conexões Web sem criptografia são usadas pelos seguintes clientes e serviços:
  • Publicação de calendários na Internet
  • Outlook na Web (redirecionar para 443/TCP)
  • Descoberta automática (fallback quando 443/TCP não estiver disponível)
80/TCP (HTTP) Sempre que possível, recomendamos usar conexões Web criptografadas em 443/TCP para ajudar a proteger os dados e credenciais. No entanto, poderá constatar que alguns serviços têm de ser configurados para utilizar ligações Web não encriptadas em 80/TCP para os serviços de Acesso de Cliente nos servidores da Caixa de Correio.

Para saber mais sobre esses clientes e serviços, consulte os seguintes tópicos:

Clientes IMAP4 143/TCP (IMAP), 993/TCP (IMAP seguro) O IMAP4 está desabilitado por padrão. Para obter mais informações, consulte POP3 e IMAP4 no Exchange Server.

O serviço IMAP4 nos serviços de Acesso de Cliente no servidor da Caixa de Correio liga ao serviço de Back-end IMAP4 num servidor de Caixa de Correio.

Clientes POP3 110/TCP (POP3), 995/TCP (POP3 seguro) POP3 está desabilitado por padrão. Para obter mais informações, consulte POP3 e IMAP4 no Exchange Server.

O serviço POP3 nos serviços de Acesso de Cliente no servidor da Caixa de Correio liga ao serviço de Back-end POP3 num servidor de Caixa de Correio.

Clientes SMTP (autenticados) 587/TCP (SMTP autenticado) O conector Recebido predefinido com o nome "Nome> do Servidor front-end< do cliente" no serviço de Transporte front-end escuta submissões autenticadas de cliente SMTP na porta 587.

Nota: se tiver clientes de e-mail que só podem submeter e-mail SMTP autenticado na porta 25, pode modificar os enlaces de placa de rede do conector de Receção do cliente para escutar também submissões de e-mail SMTP autenticadas na porta 25.

Portas de rede necessárias para fluxo de emails

O modo como o email é entregue de e para suas organizações do Exchange depende da sua topologia do Exchange. O fator mais importante é ter um servidor de Transporte de Borda inscrito implantado na sua rede de perímetro.

Portas de rede necessárias para o fluxo de mensagens (sem servidores de Transporte de Borda)

As portas de rede necessárias para o fluxo de correio numa organização do Exchange que tenha apenas servidores de Caixa de Correio são descritas no seguinte diagrama e tabela.

Portas de rede necessárias para o fluxo de correio (sem servidores de Transporte Edge).

Objetivo Portas Origem Destino Comments
Email de entrada 25/TCP (SMTP) Internet (qualquer) Servidor de Caixa de Correio O conector de Receção predefinido com o nome "Nome> predefinido do servidor da Caixa de Correio de Front-end<" no serviço de Transporte front-end escuta e-mails SMTP de entrada anónimos na porta 25.

O correio é reencaminhado do serviço transporte front-end para o serviço Transporte num servidor de Caixa de Correio através do conector de Envio implícito e invisível da intra-organização que encaminha automaticamente o correio entre servidores do Exchange na mesma organização. Para obter mais informações, veja Implicit Send connectors (Conectores de Envio Implícito).

Email de saída 25/TCP (SMTP) Servidor de Caixa de Correio Internet (qualquer) Por predefinição, o Exchange não cria conectores de Envio que lhe permitam enviar correio para a Internet. Você precisa criar conectores de Envio manualmente. Para obter mais informações, consulte Criar um conector Enviar para enviar correio para a Internet.
Correio de saída (se for fornecido através do serviço de transporte front-end) 25/TCP (SMTP) Servidor de Caixa de Correio Internet (qualquer) O e-mail de saída é fornecido através do serviço transporte front-end apenas quando um conector Enviar é configurado com o Proxy através do servidor de Acesso de Cliente no centro de administração do Exchange ou -FrontEndProxyEnabled $true na Shell de Gestão do Exchange.

Neste caso, o conector De receção predefinido com o nome "Nome> do servidor da Caixa de Correio de Front-end< do Proxy de Saída" no serviço de Transporte de Front-end escuta o correio de saída do serviço Transporte num servidor de Caixa de Correio. Para saber mais, confira Configure Send connectors to proxy outbound mail.

DNS para resolução de nomes do próximo salto de emails (não representado) 53/UDP,53/TCP (DNS) Servidor de Caixa de Correio Servidor DNS Veja a secção Resolução de nomes neste tópico.

Portas de rede são necessárias para o fluxo de mensagens com servidores de Transporte Edge

Um servidor de Transporte Edge subscrito instalado na sua rede de perímetro afeta o fluxo de correio das seguintes formas:

  • O e-mail de saída da organização do Exchange nunca flui através do serviço transporte front-end em servidores de Caixa de Correio. O correio flui sempre do serviço Transporte num servidor de Caixa de Correio no site do Active Directory subscrito para o servidor de Transporte edge (independentemente da versão do Exchange no servidor de Transporte edge).

  • O correio de entrada flui do servidor de Transporte edge para um servidor de Caixa de Correio no site do Active Directory subscrito. Especificamente:

    • O correio de um servidor de Transporte Edge do Exchange 2013 ou posterior chega pela primeira vez ao serviço de Transporte front-end antes de fluir para o serviço transporte num servidor de Caixa de Correio do Exchange 2016 ou Exchange 2019.

    • No Exchange 2016, o correio de um servidor de Transporte do Exchange 2010 Edge envia sempre correio diretamente para o serviço transporte num servidor de Caixa de Correio do Exchange 2016. Tenha em atenção que a coexistência com o Exchange 2010 não é suportada no Exchange 2019.

Para obter mais informações, veja Fluxo de correio e o pipeline de transporte.

As portas de rede necessárias para fluxo de emails em organizações do Exchange que têm servidores de Transporte de Borda são descritas na tabela e diagrama a seguir.

Portas de rede necessárias para o fluxo de correio com servidores de Transporte Edge.

Objetivo Portas Origem Destino Comments
Email de entrada - da Internet para o servidor de Transporte de Borda 25/TCP (SMTP) Internet (qualquer) Servidor de Transporte de Borda O conector de Receção predefinido denominado "Nome do servidor> edge do conector< de receção interno predefinido" no servidor de Transporte edge escuta o correio SMTP anónimo na porta 25.
Email de entrada - do Servidor de Transporte de Borda para a organização interna do Exchange 25/TCP (SMTP) Servidor de Transporte de Borda Servidores de caixa de correio no site Active Directory inscrito O conector De envio predefinido com o nome "EdgeSync – Entrada para <o nome> do site do Active Directory" reencaminha o correio de entrada na porta 25 para qualquer servidor de Caixa de Correio no site do Active Directory subscrito. Para obter mais informações, veja Enviar conectores criados automaticamente pela Subscrição do Edge.

O conector de Receção predefinido com o nome "Nome> predefinido do servidor da Caixa de Correio de Front-end<" no serviço de Transporte de Front-end no servidor da Caixa de Correio escuta todo o correio de entrada (incluindo correio do Exchange 2013 ou servidores de Transporte Edge posteriores) na porta 25.

Email de saída - da organização interna do Exchange para o Servidor de Transporte de Borda 25/TCP (SMTP) Servidores de caixa de correio no site Active Directory inscrito Servidores de Transporte de Borda O correio de saída ignora sempre o serviço transporte front-end nos servidores da Caixa de Correio.

O correio é reencaminhado a partir do serviço Transporte em qualquer servidor de Caixa de Correio no site do Active Directory subscrito para um servidor de Transporte Edge utilizando o conector de Envio implícito e invisível da intra-organização que encaminha automaticamente o correio entre servidores exchange na mesma organização.

O conector de Receção predefinido denominado "Nome do servidor> edge do conector< de receção interno predefinido" no servidor de Transporte edge escuta o correio SMTP na porta 25 do serviço transporte em qualquer servidor de Caixa de Correio no site do Active Directory subscrito.

Correio de saída – Servidor de transporte do Edge para a Internet 25/TCP (SMTP) Servidor de Transporte de Borda Internet (qualquer) O conector Enviar predefinido com o nome "EdgeSync – <nome> do site do Active Directory para a Internet" reencaminha o correio de saída na porta 25 do servidor de Transporte edge para a Internet.
Sincronização EdgeSync 50636/TCP (LDAP seguro) Servidores de caixa de correio no site do Active Directory inscrito para participar da sincronização EdgeSync Servidores de Transporte de Borda Quando o servidor de Transporte edge está subscrito ao site do Active Directory, todos os servidores de Caixa de Correio existentes no site no momento participam na sincronização do EdgeSync. No entanto, os servidores da Caixa de Correio que adicionar mais tarde não participam automaticamente na sincronização do EdgeSync.
DNS para resolução de nomes do próximo salto de emails (não representado) 53/UDP,53/TCP (DNS) Servidor de Transporte de Borda Servidor DNS Veja a secção Resolução de nomes mais adiante neste tópico.
Abrir a deteção do servidor proxy na reputação do remetente (não na imagem) ver comentários Servidor de Transporte de Borda Internet Por predefinição, a reputação do remetente (o agente de Análise de Protocolos) utiliza a deteção de servidor proxy aberto como um dos critérios para calcular o nível de reputação do remetente (SRL) do servidor de mensagens de origem. Para mais informações, consulte Reputação do remetente e o agente de análise de protocolo.

A deteção do servidor proxy aberto utiliza os seguintes protocolos e portas TCP para testar servidores de mensagens de origem para o proxy aberto:

  • SOCKS4, SOCKS5: 1081, 1080
  • Wingate, Telnet, Cisco: 23
  • HTTP CONNECT, HTTP POST: 6588, 3128, 80

Além disso, se a sua organização utilizar um servidor proxy para controlar o tráfego de internet de saída, terá de definir o nome do servidor proxy, o tipo e a porta TCP de que a reputação do remetente necessita para aceder à Internet para deteção de servidor proxy aberto.

Em alternativa, pode desativar a deteção do servidor proxy aberto na reputação do remetente.

Para saber mais, consulte Procedimentos de reputação do remetente.

Resolução do nome

A resolução de DNS do próximo salto de email é uma parte fundamental do fluxo de emails em qualquer organização do Exchange. Os servidores Exchange responsáveis por receber emails de entrada ou entregar emails de saída devem ser capazes de resolver os nomes de host internos e externos para um roteamento de emails adequado. E todos os servidores internos do Exchange devem ser capazes de resolver nomes de host internos para rotear emails corretamente. Há muitas maneiras diferentes de criar uma infraestrutura DNS, mas o resultado importante é garantir que a resolução de nomes para o próximo salto está funcionando corretamente para todos os seus servidores Exchange.

Portas de rede necessárias para implantações híbridas

As portas de rede necessárias para uma organização que utiliza o Exchange no local e o Microsoft 365 ou Office 365 são abrangidas por protocolos de implementação híbrida, portas e pontos finais.

Portas de rede necessárias para o Unified Messaging no Exchange 2016

As portas de rede necessárias para o Unified Messaging no Exchange 2013 e no Exchange 2016 são abordadas no tópico Protocolos, portas e serviços do UM.