Сетевые порты для клиентов и потока обработки почты в Exchange 2013
Область применения: Exchange Server 2013 г.
В этом разделе содержатся сведения о сетевых портах, используемых Microsoft Exchange Server 2013 для связи с почтовыми клиентами, почтовыми серверами Интернета и другими службами, которые являются внешними для вашей локальной организации Exchange. Прежде чем начать, обдумайте следующие основные правила.
Мы не поддерживаем ограничение или изменение сетевого трафика между внутренними серверами Exchange, между внутренними серверами Exchange и внешними серверами Lync либо Skype для бизнеса или между внутренними серверами Exchange и внутренними контроллерами домена Active Directory в любых типах топологии. Если у вас есть брандмауэры или сетевые устройства, которые могут потенциально ограничить или изменить этот тип сетевого трафика, необходимо настроить правила, разрешающие бесплатный и неограниченный обмен данными между этими серверами (правила, разрешающие входящий и исходящий сетевой трафик на любом порту (включая случайные порты RPC) и любой протокол, который никогда не изменяет биты по проводу).
Пограничные транспортные серверы почти всегда находятся в сети периметра, поэтому ожидается, что сетевой трафик между пограничным транспортным сервером и Интернетом, а также между пограничным транспортным сервером и внутренней организацией Exchange будет ограничен. Эти сетевые порты описаны в данном разделе.
Ожидается, что вы ограничите сетевой трафик между внешними клиентами и службами и внутренней организацией Exchange. Также можно ограничить трафик между внутренними клиентами и внутренними серверами Exchange. Эти сетевые порты описаны в данном разделе.
Сетевые порты, необходимые для клиентов и служб
Сетевые порты, которые необходимы почтовым клиентам для доступа к почтовым ящикам и другим службам в организации Exchange, описаны на следующей диаграмме и в таблице.
Примечания.
Конечный компьютер этих клиентов и служб сервер клиентского доступа. Это может быть автономный сервер клиентского доступа или компьютер, на котором установлен и сервер клиентского доступа, и сервер почтовых ящиков.
Хотя на диаграмме показаны клиенты и службы из Интернета, концепции одинаковы и для внутренних клиентов (например, клиентов в лесу учетных записей, обращающихся к серверам Exchange в лесу ресурсов). Аналогично в таблице нет столбца "Источник", поскольку источником может быть любое внешнее по отношению к организации Exchange местоположение (например, Интернет или лес учетных записей).
Пограничные транспортные серверы не участвуют в сетевом трафике, связанном с этими клиентами и службами.
.png)
| Назначение | Порты | Comments |
|---|---|---|
Зашифрованные веб-подключения используются следующими клиентами и службами.
|
443/TCP (HTTPS) | Дополнительные сведения об этих клиентах и службах см. в следующих статьях. |
Незашифрованные веб-подключения используются следующими клиентами и службами.
|
80/TCP (HTTP) | По возможности рекомендуется использовать зашифрованное веб-подключения на TCP-порте 443 для защиты учетных и других данных. Тем не менее, некоторые службы может потребоваться настроить для использования незашифрованных веб-подключений на TCP-порте 80 сервера клиентского доступа. Дополнительные сведения об этих клиентах и службах см. в следующих статьях. |
| Клиенты IMAP4 | 143/TCP (IMAP), 993/TCP (безопасный IMAP) | По умолчанию IMAP4 отключен. Дополнительные сведения см. в разделе >POP3 и IMAP4 в Exchange Server 2013 г. Службе IMAP4 на подключениях прокси-сервера клиентского доступа к фоновой службе IMAP4 на сервере почтовых ящиков. |
| Клиенты POP3 | 110/TCP (POP3), 995/TCP (безопасный POP3) | По умолчанию протокол POP3 отключен. Дополнительные сведения см. в разделе >POP3 и IMAP4 в Exchange Server 2013 г. Службе POP3 на подключениях прокси-сервера клиентского доступа к фоновой службе POP3 на сервере почтовых ящиков. |
| Клиенты SMTP (с проверкой подлинности) | 587/TCP (SMTP с проверкой подлинности) | Соединитель Received по умолчанию с именем "Имя> внешнего< сервера клиента" прослушивает отправку клиента SMTP с проверкой подлинности через порт 587 на сервере клиентского доступа. Примечание. Если у вас есть почтовые клиенты, которые могут отправлять почту SMTP с проверкой подлинности только через порт 25, можно изменить значение привязок сетевого адаптера этого соединителя получения, чтобы также прослушивать отправку почты SMTP с проверкой подлинности через порт 25. |
Сетевые порты, необходимые для потока обработки почты
Способ доставки почты в организацию Exchange и из нее зависит от топологии Exchange. Наиболее важный фактор наличие подписанного пограничного транспортного сервера, развернутого в сети периметра.
Сетевые порты, необходимые для потока обработки почты (без пограничных транспортных серверов)
Сетевые порты, необходимые для потока обработки почты в организации Exchange, в которой есть только серверы клиентского доступа и серверы почтовых ящиков, описаны на следующей диаграмме и в таблице. Хотя на диаграмме показаны отдельные серверы почтовых ящиков и серверы клиентского доступа, применяются одинаковые концепции независимо от того, установлены ли сервер клиентского доступа и сервер почтовых ящиков на одном или разных компьютерах.
.png "Сетевые порты, необходимые для потока обработки почты (без пограничных транспортных серверов)")
| Назначение | Порты | Source | Назначение | Comments |
|---|---|---|---|---|
| Входящая почта | 25/TCP (SMTP) | Интернет (все) | Сервер клиентского доступа | Соединитель получения по умолчанию с именем "Имя> сервера внешнего< клиентского доступа по умолчанию" на сервере клиентского доступа прослушивает анонимную входящую smtp-почту через порт 25. Почта ретранслируется с сервера клиентского доступа на сервер почтовых ящиков с помощью неявного и невидимого внутриорганизационного соединителя отправки, который автоматически выполняет маршрутизацию сообщений между серверам Exchange в одной организации. |
| Исходящая почта | 25/TCP (SMTP) | Сервер почтовых ящиков | Интернет (все) | По умолчанию Exchange не создает соединители отправки, которые позволяют отправлять почту в Интернет. Необходимо создать соединители отправки вручную. Дополнительные сведения см. в разделе Отправка соединителей. |
| Исходящая почта (при маршрутизации через сервер клиентского доступа) | 25/TCP (SMTP) | Сервер клиентского доступа | Интернет (все) | Исходящая почта маршрутизируется через сервер клиентского доступа только в том случае, если соединитель отправки настроен с использованием прокси-сервера через сервер клиентского доступа в Центре администрирования Exchange или -FrontEndProxyEnabled $true в командной консоли Exchange. В этом случае соединитель получения по умолчанию с именем "Имя> сервера внешнего< клиентского доступа для исходящего прокси-сервера" на сервере клиентского доступа прослушивает исходящую почту с сервера почтовых ящиков. Дополнительные сведения см. в статье Создание соединителя отправки для электронной почты, отправляемой в Интернет. |
| DNS-сервер для разрешения имен следующего перехода почты (не показан на рисунке) | 53/UDP, 53/TCP (DNS) | Интернет-сервер Exchange (сервер клиентского доступа или почтовый сервер) | DNS-сервер | См. раздел Разрешение имен. |
Сетевые порты, необходимые для потока обработки почты с пограничными транспортными серверами
Подписанный пограничный транспортный сервер, установленный в сети периметра, по сути прерывает поток почты SMTP через сервер клиентского доступа. Это означает следующее:
Исходящая почта от организации Exchange никогда не проходит через сервер клиентского доступа. Почта всегда идет с сервера почтовых ящиков на подписанном сайте Active Directory на пограничный транспортный сервер (независимо от версии Exchange на пограничном транспортном сервере).
Входящая почта никогда не передается через автономный сервер клиентского доступа. Почта идет с т пограничного транспортного сервера на сервер почтовых ящиков на подписанном сайте Active Directory. Если сервер почтовых ящиков и сервер клиентского доступа установлены на одном компьютере, почта от пограничного транспортного сервера Exchange 2013 сначала поступает на компьютер в интерфейсной службе транспорта (роль сервера клиентского доступа) перед попаданием в службу транспорта (роль сервера почтовых ящиков). Пограничные транспортные серверы Exchange 2007 и Exchange 2010 всегда доставляют почту напрямую в службу транспорта, даже если сервер почтовых ящиков и сервер клиентского доступа установлены на одном компьютере.
Дополнительные сведения см. в разделе Поток обработки почты.
Сетевые порты, необходимые для потока обработки почты в организациях Exchange с пограничными транспортными серверами, описаны на следующей диаграмме и в таблице. Если не указано иное, применяемые концепции совпадают независимо от того, установлены ли сервер клиентского доступа и сервер почтовых ящиков установлены на одном или разных компьютерах.
.png "Сетевые порты, необходимые для потока обработки почты с пограничными транспортными серверами")
| Назначение | Порты | Source | Назначение | Comments |
|---|---|---|---|---|
| Входящая почта — из Интернета на пограничный транспортный сервер | 25/TCP (SMTP) | Интернет (все) | Пограничный транспортный сервер | Соединитель получения по умолчанию с именем "Имя> пограничного транспортного сервера внутреннего соединителя< получения по умолчанию" на пограничном транспортном сервере прослушивает анонимную почту SMTP через порт 25. |
| Входящая почта от пограничного транспортного сервера во внутреннюю организацию Exchange | 25/TCP (SMTP) | Пограничный транспортный сервер | Серверы почтовых ящиков на подписанном сайте Active Directory | Соединитель отправки по умолчанию с именем "EdgeSync — inbound to <Active Directory site name>" ретранслирует входящую почту через порт 25 на любой сервер почтовых ящиков на сайте Active Directory с подпиской. Дополнительные сведения см. в разделе "Соединители отправки созданные пограничной подпиской" в статье Edge Subscriptions. Служба, которая фактически получает электронную почту, зависит от того, установлены ли сервер почтовых ящиков и сервер клиентского доступа на одном компьютере или на разных компьютерах.
|
| Исходящая почта от внутренней организации Exchange на пограничный транспортный сервера | 25/TCP (SMTP) | Серверы почтовых ящиков на подписанном сайте Active Directory | Пограничные транспортные серверы | Исходящая почта всегда обходит сервер клиентского доступа. Почта ретранслируется с любого сервера почтовых ящиков на подписанном сайте Active Directory на пограничный транспортный сервер с помощью неявного и невидимого внутриорганизационного соединителя отправки, который автоматически выполняет маршрутизацию почты между серверами Exchange в одной организации. Соединитель получения по умолчанию с именем "Имя> пограничного транспортного сервера внутреннего соединителя< получения по умолчанию" на пограничном транспортном сервере прослушивает почту SMTP через порт 25 с любого сервера почтовых ящиков на сайте Active Directory, на который подписана подписка. |
| Исходящая почта с пограничного транспортного сервера в Интернет | 25/TCP (SMTP) | Пограничный транспортный сервер | Интернет (все) | Соединитель отправки по умолчанию с именем "EdgeSync — <имя> сайта Active Directory в Интернет" ретранслирует исходящую почту через порт 25 с пограничного транспортного сервера в Интернет. |
| Синхронизация EdgeSync | 50636/TCP (безопасный LDAP) | Серверы почтовых ящиков на подписанном сайте Active Directory, которые участвуют в синхронизации EdgeSync | Пограничные транспортные серверы | Если пограничный транспортный сервер подписан на сайт Active Directory, все серверы почтовых ящиков, которые существуют на сайте в текущий момент, участвуют в синхронизации EdgeSync. Но если добавить другие серверы почтовых ящиков позднее, они не будут автоматически участвовать в синхронизации EdgeSync. |
| DNS-сервер для разрешения имен следующего перехода почты (не показан на рисунке) | 53/UDP, 53/TCP (DNS) | Пограничный транспортный сервер | DNS-сервер | См. раздел Разрешение имен. |
| Определение прокси-сервера для репутации отправителя (не показано) | определяется пользователем | Пограничные транспортные серверы | Интернет | Репутация отправителя (агент анализа протокола) позволяет анализировать пути входящих сообщений для борьбы с нежелательной почтой. Если ваша организация использует прокси-сервер для управления доступом в Интернет, необходимо указать данные этого прокси-сервера, чтобы агент репутации отправителя правильно работал (в частности, обнаруживал прокси-сервер и блокировал отправителей). Используйте параметры ProxyServerName, ProxyServerPort и ProxyServerType в командлете Set-SenderReputationConfig для определения прокси-сервера вашей организации, чтобы агент репутации отправителя мог успешно подключиться к Интернету. Дополнительные сведения см. в разделе Управление репутацией отправителя. |
Разрешение имен
Разрешение DNS следующего перехода почты является фундаментальной составляющей потока обработки почты в любой организации Exchange. Серверы Exchange, ответственные за получение входящей почты или доставку исходящей, должны иметь возможность разрешать как внутренние, так и внешние имена узлов для правильной маршрутизации почты. Все внутренние серверы Exchange должны иметь возможность разрешать внутренние имена узлов для правильной маршрутизации почты. Существует множество различных способов разработки инфраструктуры DNS, но важный результат обеспечение правильного разрешения имен для следующего перехода на всех серверах Exchange.
Сетевые порты, необходимые для гибридных развертываний
Сетевые порты, необходимые для организации, которая использует Exchange 2013 и Microsoft 365 или Office 365, описаны в разделе "Протоколы гибридного развертывания, порты и конечные точки" раздела Предварительные требования к гибридному развертыванию.
Сетевые порты, необходимые для единой системы обмена сообщениями
В следующих разделах описаны сетевые порты, которые необходимы для единой системы обмена сообщениями.