Ports réseau pour les clients et flux de messagerie dans Exchange
Cette rubrique fournit des informations sur les ports réseau utilisés par Exchange Server 2016 et Exchange Server 2019 pour la communication avec les clients de messagerie, les serveurs de messagerie Internet et d’autres services externes à votre organisation Exchange locale. Avant d'aborder ce sujet en détail, saisissons d'abord les règles de base suivantes :
Nous ne prenons pas en charge la restriction ou l'altération du trafic réseau entre les serveurs Exchange internes, entre les serveurs Exchange internes et les serveurs Lync ou Skype Entreprise internes, ou entre les serveurs Exchange internes et les contrôleurs de domaine Active Directory internes dans toutes les topologies, quel qu'en soit le type. Si vous avez des pare-feu ou des périphériques réseau qui peuvent potentiellement restreindre ou modifier ce type de trafic réseau interne, vous devez configurer des règles qui autorisent la communication libre et illimitée entre ces serveurs : règles qui autorisent le trafic réseau entrant et sortant sur n’importe quel port (y compris les ports RPC aléatoires) et tout protocole qui n’altère jamais les bits sur le câble.
Les serveurs de transport Edge étant presque toujours situés dans un réseau de périmètre, il est prévu que vous restreignez le trafic réseau entre le serveur de transport Edge et Internet, et entre le serveur de transport Edge et votre organisation Exchange interne. Ces ports réseau sont décrits dans cette rubrique.
Il est prévu de restreindre le trafic réseau entre les clients et services externes et votre organisation Exchange interne. Il convient également de décider de limiter ou non le trafic réseau entre les clients internes et les serveurs Exchange internes. Ces ports réseau sont décrits dans cette rubrique.
Ports réseau requis pour les clients et services
Les ports réseau nécessaires pour que les clients de messagerie accèdent aux boîtes aux lettres et aux autres services de l'organisation Exchange sont décrits dans le schéma et le tableau ci-après.
Remarques :
La destination de ces clients et services est les services d’accès au client sur un serveur de boîtes aux lettres. Dans Exchange 2016 et Exchange 2019, les services d’accès au client (frontend) et de back-end sont installés ensemble sur le même serveur de boîtes aux lettres. Pour plus d’informations, consultez Architecture du protocole d’accès au client.
Bien que le diagramme montre les clients et les services à partir d’Internet, les concepts sont les mêmes pour les clients internes (par exemple, les clients d’une forêt de comptes accédant aux serveurs Exchange dans une forêt de ressources). De même, la table n’a pas de colonne source, car la source peut être n’importe quel emplacement externe à l’organisation Exchange (par exemple, Internet ou une forêt de comptes).
Les serveurs de transport Edge ne sont pas impliqués dans le trafic réseau associé à ces clients et services.
| Objectif | Ports | Comments |
|---|---|---|
Des connexions web chiffrées sont utilisées par les services et clients suivants :
|
443/TCP (HTTPS) | Pour plus d'informations sur ces clients et services, consultez les rubriques suivantes : |
Des connexions web non chiffrées sont utilisées par les services et clients suivants :
|
80/TCP (HTTPS) | Si possible, nous recommandons d'utiliser des connexions web chiffrées 443/TCP afin de protéger les données et les informations d'identification. Toutefois, vous pouvez constater que certains services doivent être configurés pour utiliser des connexions web non chiffrées sur 80/TCP aux services d’accès au client sur les serveurs de boîtes aux lettres. Pour plus d'informations sur ces clients et services, consultez les rubriques suivantes : |
| Clients IMAP4 | 143/TCP (IMAP), 993/TCP (IMAP sécurisé) | IMAP4 est désactivé par défaut. Pour plus d’informations, consultez POP3 et IMAP4 dans Exchange Server. Le service IMAP4 dans les services d’accès au client sur le serveur de boîtes aux lettres proxy se connecte au service principal IMAP4 sur un serveur de boîtes aux lettres. |
| Clients POP3 | 110/TCP (POP3), 995/TCP (POP3 sécurisé) | POP3 est désactivé par défaut. Pour plus d’informations, consultez POP3 et IMAP4 dans Exchange Server. Le service POP3 dans les services d’accès au client sur le serveur de boîtes aux lettres proxy les connexions au service principal POP3 sur un serveur de boîtes aux lettres. |
| Clients SMTP (authentifiés) | 587/TCP (SMTP authentifié) | Le connecteur Reçu par défaut nommé « Nom> du serveur frontal< client » dans le service de transport frontal écoute les soumissions de client SMTP authentifiées sur le port 587. Remarque : Si vous avez des clients de messagerie qui ne peuvent envoyer que des e-mails SMTP authentifiés sur le port 25, vous pouvez modifier les liaisons de carte réseau du connecteur de réception client pour écouter également les envois d’e-mails SMTP authentifiés sur le port 25. |
Ports réseau requis pour le flux de messagerie
La remise des messages vers et depuis votre organisation Exchange dépend de votre topologie Exchange. Le facteur le plus important repose sur le fait que vous disposiez ou non d'un serveur de transport Edge abonné déployé sur votre réseau de périmètre.
Ports réseau requis pour le flux de messagerie (aucun serveur de transport Edge)
Les ports réseau requis pour le flux de messagerie dans une organisation Exchange qui n’a que des serveurs de boîtes aux lettres sont décrits dans le diagramme et le tableau suivants.
| Objectif | Ports | Source | Destination | Comments |
|---|---|---|---|---|
| Courrier entrant | 25/TCP (SMTP) | Internet (tout) | Serveur de boîtes aux lettres | Le connecteur de réception par défaut nommé « Nom> du serveur de boîtes aux lettres frontend< par défaut » dans le service de transport frontal écoute les messages SMTP entrants anonymes sur le port 25. Le courrier est relayé du service de transport frontal vers le service de transport sur un serveur de boîtes aux lettres à l’aide du connecteur d’envoi intra-organisation implicite et invisible qui achemine automatiquement le courrier entre les serveurs Exchange de la même organisation. Pour plus d’informations, consultez Connecteurs d’envoi implicite. |
| Courrier sortant | 25/TCP (SMTP) | Serveur de boîtes aux lettres | Internet (tout) | Par défaut, Exchange ne crée aucun connecteur d’envoi qui vous permet d’envoyer des messages à Internet. Vous devez créer des connecteurs d'envoi manuellement. Pour plus d’informations, consultez Créer un connecteur d’envoi pour envoyer des messages à Internet. |
| Courrier sortant (s’il est proxié via le service de transport frontal) | 25/TCP (SMTP) | Serveur de boîtes aux lettres | Internet (tout) | Le courrier sortant est transmis par proxy via le service de transport frontal uniquement lorsqu’un connecteur d’envoi est configuré avec le proxy via le serveur d’accès au client dans le Centre d’administration Exchange ou -FrontEndProxyEnabled $true dans Exchange Management Shell. Dans ce cas, le connecteur de réception par défaut nommé « Nom> du serveur de boîte aux lettres frontale< du proxy sortant » dans le service de transport frontal écoute le courrier sortant du service de transport sur un serveur de boîtes aux lettres. Pour plus d'informations, consultez la rubrique Configurer des connecteurs d'envoi pour rediriger le courrier sortant via proxy. |
| DNS pour la résolution du nom de tronçon de courrier suivant (non illustré) | 53/UDP, 53/TCP (DNS) | Serveur de boîtes aux lettres | Serveur DNS | Consultez la section Résolution de noms dans cette rubrique. |
Ports réseau requis pour le flux de messagerie avec des serveurs de transport Edge
Un serveur de transport Edge abonné installé dans votre réseau de périmètre affecte le flux de messagerie des manières suivantes :
Le courrier sortant de l’organisation Exchange ne transite jamais par le service de transport frontal sur les serveurs de boîtes aux lettres. Le courrier est toujours acheminé du service de transport sur un serveur de boîtes aux lettres dans le site Active Directory abonné vers le serveur de transport Edge (quelle que soit la version d’Exchange sur le serveur de transport Edge).
Les messages entrants circulent du serveur de transport Edge vers un serveur de boîtes aux lettres dans le site Active Directory abonné. Notamment :
Le courrier provenant d’un serveur de transport Edge Exchange 2013 ou version ultérieure arrive d’abord au service de transport frontal avant d’être acheminé vers le service de transport sur un serveur de boîtes aux lettres Exchange 2016 ou Exchange 2019.
Dans Exchange 2016, le courrier provenant d’un serveur de transport Edge Exchange 2010 remet toujours le courrier directement au service de transport sur un serveur de boîtes aux lettres Exchange 2016. Notez que la coexistence avec Exchange 2010 n’est pas prise en charge dans Exchange 2019.
Pour plus d’informations, voir Mail flow and the transport pipeline.
Les ports réseau nécessaires pour les flux de messagerie dans les organisations Exchange disposant de serveurs de transport Edge sont décrits dans le schéma et le tableau ci-après.
| Objectif | Ports | Source | Destination | Comments |
|---|---|---|---|---|
| Courrier entrant - Internet vers serveur de transport Edge | 25/TCP (SMTP) | Internet (tout) | Serveur de transport Edge | Le connecteur de réception par défaut nommé « Nom du serveur> de transport Edge du connecteur< de réception interne par défaut » sur le serveur de transport Edge écoute le courrier SMTP anonyme sur le port 25. |
| Courrier entrant - serveur de transport Edge vers organisation Exchange interne | 25/TCP (SMTP) | Serveur de transport Edge | Serveurs de boîtes aux lettres dans le site Active Directory abonné | Le connecteur d’envoi par défaut nommé « EdgeSync - Inbound to <Active Directory site name> » relaye le courrier entrant sur le port 25 vers n’importe quel serveur de boîtes aux lettres dans le site Active Directory abonné. Pour plus d’informations, consultez Envoyer des connecteurs créés automatiquement par l’abonnement Edge. Le connecteur de réception par défaut nommé « Nom> du serveur de boîtes aux lettres frontend< par défaut » dans le service de transport frontal sur le serveur de boîtes aux lettres écoute tous les messages entrants (y compris les messages provenant des serveurs de transport Exchange 2013 ou version ultérieure) sur le port 25. |
| Courrier sortant - organisation Exchange interne vers serveur de transport Edge | 25/TCP (SMTP) | Serveurs de boîtes aux lettres dans le site Active Directory abonné | Serveurs de transport Edge | Le courrier sortant contourne toujours le service de transport frontal sur les serveurs de boîtes aux lettres. Le courrier est relayé à partir du service de transport sur n’importe quel serveur de boîtes aux lettres du site Active Directory abonné à un serveur de transport Edge à l’aide du connecteur d’envoi intra-organisation implicite et invisible qui achemine automatiquement le courrier entre les serveurs Exchange de la même organisation. Le connecteur de réception par défaut nommé « Nom du serveur> de transport Edge du connecteur< de réception interne par défaut » sur le serveur de transport Edge écoute le courrier SMTP sur le port 25 à partir du service de transport sur n’importe quel serveur de boîtes aux lettres dans le site Active Directory abonné. |
| Courrier sortant - Serveur de transport Edge vers Internet | 25/TCP (SMTP) | Serveur de transport Edge | Internet (tout) | Le connecteur d’envoi par défaut nommé « EdgeSync - <Nom> de site Active Directory vers Internet » relaie le courrier sortant sur le port 25 du serveur de transport Edge vers Internet. |
| Synchronisation EdgeSync | 50636/TCP (LDAP sécurisé) | Serveurs de boîtes aux lettres du site Active Directory abonné dans la synchronisation EdgeSync | Serveurs de transport Edge | Lorsque le serveur de transport Edge est abonné au site Active Directory, tous les serveurs de boîtes aux lettres qui existent sur le site à ce moment-là participent à la synchronisation EdgeSync. Toutefois, les serveurs de boîtes aux lettres que vous ajoutez ultérieurement ne participent pas automatiquement à la synchronisation EdgeSync. |
| DNS pour la résolution du nom de tronçon de courrier suivant (non illustré) | 53/UDP, 53/TCP (DNS) | Serveur de transport Edge | Serveur DNS | Consultez la section Résolution de noms plus loin dans cette rubrique. |
| Ouvrir la détection du serveur proxy dans la réputation de l’expéditeur (non illustré) | voir les commentaires | Serveur de transport Edge | Internet | Par défaut, la réputation de l’expéditeur (agent d’analyse du protocole) utilise la détection du serveur proxy ouvert comme l’un des critères pour calculer le niveau de réputation de l’expéditeur (SRL) du serveur de messagerie source. Pour plus d'informations, voir Réputation de l'expéditeur et agent d'analyse de protocole. La détection d’un serveur proxy ouvert utilise les protocoles et ports TCP suivants pour tester les serveurs de messagerie source pour le proxy ouvert :
En outre, si votre organisation utilise un serveur proxy pour contrôler le trafic Internet sortant, vous devez définir le nom du serveur proxy, le type et le port TCP requis par la réputation de l’expéditeur pour accéder à Internet pour la détection du serveur proxy ouvert. Vous pouvez également désactiver la détection des serveurs proxy ouverts dans la réputation de l’expéditeur. Pour plus d’informations, consultez Procédures de réputation de l’expéditeur. |
Résolution de noms
La résolution DNS du prochain tronçon de courrier est une partie essentielle du flux de messagerie dans les organisations Exchange. Les serveurs Exchange chargés de recevoir les courriers entrants ou de remettre les courriers sortants doivent être en mesure de résoudre les noms d'hôtes internes et externes pour un routage de messagerie correct. Tous les serveurs Exchange internes doivent également pouvoir résoudre les noms d'hôtes internes pour un routage de messagerie correct. Il existe différentes façons de concevoir une infrastructure DNS, mais le principal objectif consiste à garantir que la résolution de nom pour le tronçon suivant fonctionne correctement sur l'ensemble de vos serveurs Exchange.
Ports réseau requis pour les déploiements hybrides
Les ports réseau requis pour une organisation qui utilise à la fois Exchange local et Microsoft 365 ou Office 365 sont couverts par les protocoles de déploiement hybride, les ports et les points de terminaison.
Ports réseau requis pour la messagerie unifiée dans Exchange 2016
Les ports réseau requis pour la messagerie unifiée dans Exchange 2013 et Exchange 2016 sont abordés dans la rubrique Protocoles, ports et services de messagerie unifiée.