Puertos de red para los clientes y flujo de correo en Exchange 2013
Se aplica a: Exchange Server 2013
En este tema se proporciona información sobre los puertos de red que usa Microsoft Exchange Server 2013 para la comunicación con clientes de correo electrónico, servidores de correo de Internet y otros servicios externos a la organización local de Exchange. Antes de entrar en el tema, debe comprender las siguientes reglas básicas:
No se admite la restricción o modificación del tráfico de red entre los servidores internos de Exchange, los servidores internos de Exchange o los servidores internos de Lync o Skype Empresarial ni los servidores internos de Exchange y los controladores de dominio internos de Active Directory en ningún tipo de topología. Si tiene firewalls o dispositivos de red que podrían restringir o modificar este tipo de tráfico de red, debe configurar reglas que permitan la comunicación libre y sin restricciones entre estos servidores (reglas que permiten el tráfico de red entrante y saliente en cualquier puerto (incluidos los puertos RPC aleatorios) y cualquier protocolo que nunca altere bits en la conexión.
Los servidores de transporte perimetral casi siempre se encuentran en una red perimetral, por lo que se espera que usted restrinja el tráfico de red entre el servidor de transporte perimetral e Internet, y entre el servidor de transporte perimetral y su organización de Exchange interna. En este tema se describen estos puertos de red.
Se espera que restrinja el tráfico de red entre los clientes externos y servicios y la organización interna de Exchange. También está bien si decide restringir el tráfico de red entre clientes internos y servidores internos de Exchange. En este tema se describen estos puertos de red.
Puertos de red necesarios para clientes y servicios
En el diagrama y la tabla siguientes se describen los puertos de red necesarios para que los clientes de correo electrónico tengan acceso a buzones y otros servicios en la organización de Exchange.
Notas:
El destino de estos clientes y servicios es un servidor de acceso de cliente. Podría tratarse de un servidor de acceso de cliente independiente o un servidor de acceso de cliente y un servidor de buzones de correo instalados en el mismo equipo.
Aunque el diagrama muestra los clientes y servicios de Internet, los conceptos son los mismos para los clientes internos (por ejemplo, los clientes de un bosque de cuentas que tienen acceso a los servidores de Exchange en un bosque de recursos). De forma similar, esta tabla no tiene una columna de origen porque el origen podría ser cualquier ubicación externa a la organización de Exchange (por ejemplo, Internet o un bosque de cuentas).
Los servidores de transporte perimetral no tienen nada que ver con el tráfico de red que está asociado con estos clientes y servicios.
.png)
| Objetivo | Puertos | Comentarios |
|---|---|---|
Los siguientes clientes y servicios usan las conexiones web cifradas:
|
443/TCP (HTTPS) | Para obtener más información acerca de estos clientes y servicios, vea los siguientes temas: |
Los siguientes clientes y servicios usan conexiones web no cifradas:
|
80/TCP (HTTP) | Siempre que sea posible, se recomienda usar conexiones web cifradas en 443/TCP para ayudar a proteger los datos y las credenciales. Sin embargo, tal vez descubra que algunos servicios deben configurarse para usar conexiones web sin cifrar en 80/TCP con el servidor de acceso de cliente. Para obtener más información acerca de estos clientes y servicios, vea los siguientes temas: |
| IMAP4, clientes | 143/TCP (IMAP), 993/TCP (IMAP seguro) | IMAP4 está deshabilitado de forma predeterminada. Para obtener más información, vea >POP3 e IMAP4 en Exchange Server 2013. El servicio IMAP4 en las conexiones de proxy de servidor de acceso de cliente con el servicio backend IMAP4 en un servidor de buzones de correo. |
| POP3, clientes | 110/TCP (POP3), 995/TCP (POP3 seguro) | POP3 está deshabilitado de forma predeterminada. Para obtener más información, vea >POP3 e IMAP4 en Exchange Server 2013. El servicio POP3 en las conexiones de proxy de servidor de acceso de cliente con el servicio backend POP3 en un servidor de buzones de correo. |
| Clientes SMTP (autenticados) | 587/TCP (SMTP autenticado) | El conector recibido predeterminado denominado "Nombre> del servidor front-end< de cliente" escucha los envíos de cliente SMTP autenticados en el puerto 587 en el servidor de acceso de cliente. Nota: Si tiene clientes de correo que pueden enviar correo SMTP autenticado solo en el puerto 25, puede modificar el valor de enlaces del adaptador de red de este conector de recepción para que también escuche envíos de correo SMTP autenticados en el puerto 25. |
Puertos de red necesarios para el flujo de correo
La forma en que el correo se entrega hacia y desde la organización de Exchange depende de la topología de Exchange. El factor más importante es si cuenta con un servidor de transporte perimetral implementado en la red perimetral.
Puertos de red necesarios para el flujo de correo (sin servidores de transporte perimetral)
En el diagrama y la tabla siguientes se describen los puertos de red necesarios para el flujo de correo en una organización de Exchange que solo tiene servidores Acceso de clientes y Buzón de correo. Aunque el diagrama muestra servidores Acceso de clientes y Buzón de correo por separado, los conceptos son los mismos, independientemente de si ambos servidores, Acceso de clientes y Buzón de correo, están instalados en el mismo equipo o en equipos distintos.
.png "Puertos de red necesarios para el flujo de correo (sin servidores de transporte perimetral)")
| Objetivo | Puertos | Origen | Destino | Comentarios |
|---|---|---|---|---|
| Correo entrante | 25/TCP (SMTP) | Internet (cualquiera) | Servidor de acceso de cliente | El conector de recepción predeterminado denominado "Nombre> predeterminado del servidor de acceso de cliente de front-end<" en el servidor de acceso de cliente escucha el correo SMTP entrante anónimo en el puerto 25. El correo se retransmite desde el servidor de acceso de cliente a un servidor de buzones de correo mediante el conector de envío interno de la organización implícito e invisible que enruta automáticamente el correo entre los servidores de Exchange de la misma organización. |
| Correo saliente | 25/TCP (SMTP) | Servidor de buzones de correo | Internet (cualquiera) | De forma predeterminada, Exchange no crea ningún conector de envío que permita enviar correo a Internet. Debe crear manualmente los conectores de envío. Para obtener más información, vea Conectores de envío. |
| Correo saliente (si se enruta a través del servidor de acceso de cliente) | 25/TCP (SMTP) | Servidor de acceso de cliente | Internet (cualquiera) | El correo saliente se enruta a través de un servidor de acceso de cliente solo cuando se configura un conector de envío con proxy a través del servidor de acceso de cliente en el Centro de administración de Exchange o -FrontEndProxyEnabled $true en el Shell de administración de Exchange. En este caso, el conector de recepción predeterminado denominado "Nombre> del servidor de acceso de cliente de front-end< de proxy saliente" en el servidor de acceso de cliente escucha el correo saliente desde el servidor de buzones. Para obtener más información, vea Crear un conector de envío para correo electrónico enviado a Internet. |
| DNS para la resolución de nombres del siguiente salto del correo (no mostrado) | 53/UDP,53/TCP (DNS) | Servidor de Exchange accesible desde Internet (servidores Acceso de clientes o Buzón de correo) | Servidor DNS | Consulte la sección Resolución de nombres. |
Puertos de red necesarios para el flujo de correo con servidores de transporte perimetral
Un servidor de transporte perimetral suscrito que está instalado en la red perimetral básicamente elimina el flujo de correo SMTP a través del servidor de acceso de cliente. En particular:
El correo saliente desde la organización de Exchange nunca fluye a través de un servidor de acceso de cliente. El correo siempre fluye desde un servidor de buzones de correo en el sitio suscrito de Active Directory hacia el servidor de transporte perimetral (independientemente de la versión de Exchange en el servidor de transporte perimetral).
El correo entrante nunca fluye a través de un servidor de acceso de cliente independiente. El correo siempre fluye desde el servidor de transporte perimetral hacia un servidor de buzones de correo en el sitio suscrito de Active Directory. Si el servidor de buzones de correo y el servidor de acceso de cliente están instalados en el mismo equipo, el correo de un servidor de transporte perimetral de Exchange 2013 llega primero al equipo en el servicio de transporte de front-end (el rol del servidor de acceso de cliente) antes de fluir al servicio de transporte (el rol del servidor buzones). Los servidores de transporte perimetral de Exchange 2007 o Exchange 2010 siempre entregan correo directamente al servicio de transporte incluso cuando el servidor de buzones de correo y el servidor de acceso de cliente estén instalados en el mismo equipo.
Para más información, vea Flujo de correo.
En la tabla y el diagrama siguientes se describen los puertos de red necesarios para el flujo de correo en las organizaciones de Exchange que tienen servidores de transporte perimetral. A menos que se indique lo contrario, los conceptos son los mismos si el servidor de acceso de cliente y el servidor de buzones de correo se instalan en el mismo equipo o en equipos distintos.
.png "Puertos de red necesarios para el flujo de correo con servidores de transporte perimetral")
| Objetivo | Puertos | Origen | Destino | Comentarios |
|---|---|---|---|---|
| Correo entrante: Internet a servidor de transporte perimetral | 25/TCP (SMTP) | Internet (cualquiera) | Servidor de transporte perimetral | El conector de recepción predeterminado denominado "Nombre> de servidor de transporte perimetral del conector< de recepción interno predeterminado" en el servidor de transporte perimetral escucha correo SMTP anónimo en el puerto 25. |
| Correo entrante: servidor de transporte perimetral en organización de Exchange interna | 25/TCP (SMTP) | Servidor de transporte perimetral | Servidores de buzones de correo en el sitio suscrito de Active Directory | El conector de envío predeterminado denominado "EdgeSync - Inbound to <Active Directory site name>" retransmite el correo entrante en el puerto 25 a cualquier servidor de buzón del sitio de Active Directory suscrito. Para obtener más información, vea la sección "Conectores de envío creados durante el proceso de suscripción perimetral" en el tema Suscripciones perimetrales. El servicio que recibe el correo depende de si el servidor de buzones de correo y el servidor de acceso de cliente están instalados en el mismo equipo o en equipos distintos.
|
| Correo saliente: organización de Exchange interna a servidor de transporte perimetral | 25/TCP (SMTP) | Servidores de buzones de correo en el sitio suscrito de Active Directory | Servidores de transporte perimetral | El correo saliente siempre pasa por alto el servidor de acceso de cliente. El correo se retransmite desde cualquier servidor de buzones de correo en el sitio suscrito de Active Directory hacia un servidor de transporte perimetral mediante el conector de envío interno de la organización implícito e invisible que enruta automáticamente el correo entre los servidores de Exchange de la misma organización. El conector de recepción predeterminado denominado "Nombre> predeterminado del servidor de transporte perimetral del conector< de recepción" en el servidor de transporte perimetral escucha el correo SMTP en el puerto 25 desde cualquier servidor de buzón del sitio de Active Directory suscrito. |
| Correo saliente: servidor de transporte perimetral a Internet | 25/TCP (SMTP) | Servidor de transporte perimetral | Internet (cualquiera) | El conector de envío predeterminado denominado "EdgeSync: <nombre> de sitio de Active Directory a Internet" retransmite el correo saliente en el puerto 25 desde el servidor de transporte perimetral a Internet. |
| sincronización de EdgeSync | 50636/TCP (LDAP seguro) | Servidores de buzones de correo en el sitio suscrito de Active Directory que participan en la sincronización de EdgeSync | Servidores de transporte perimetral | Cuando el servidor de transporte perimetral está suscrito al sitio de Active Directory, todos los servidores de buzones de correo que existen en ese momento en el sitio participan en la sincronización de EdgeSync. Sin embargo, los servidores de buzones de correo que agregue más adelante no participarán automáticamente en la sincronización de EdgeSync. |
| DNS para la resolución de nombres del siguiente salto del correo (no mostrado) | 53/UDP,53/TCP (DNS) | Servidor de transporte perimetral | Servidor DNS | Consulte la sección Resolución de nombres. |
| Definición del servidor proxy para la reputación del remitente (sin imagen) | definido por el usuario | Servidores de transporte perimetral | Internet | La reputación del remitente (el agente de análisis de protocolo) analiza las rutas de los mensajes entrantes con el fin de reducir el correo no deseado. Si su organización usa un servidor proxy para controlar el acceso a Internet, deberá definir los detalles sobre el servidor proxy para que la reputación del remitente pueda funcionar correctamente (en concreto, abrir la detección de servidores proxy y el bloqueo de remitentes). Los parámetros ProxyServerName, ProxyServerPort y ProxyServerType se usan en el cmdlet Set-SenderReputationConfig para definir el servidor proxy de la organización para que la reputación del remitente pueda conectarse correctamente a Internet. Para obtener más información, vea Administrar la reputación del remitente. |
Resolución de nombres
La resolución DNS del próximo salto de correo es una parte fundamental del flujo de correo en cualquier organización de Exchange. Los servidores de Exchange encargados de recibir el correo entrante o de entregar el correo saliente deben poder resolver ambos nombres de host, internos y externos, para enrutar el correo correctamente. Además, todos los servidores internos de Exchange deben poder resolver los nombres de host para enrutar el correo correctamente. Hay muchas formas de diseñar una infraestructura DNS, pero lo más importante es garantizar que la resolución de nombres para el salto siguiente funciona correctamente para todos los servidores de Exchange.
Puertos de red necesarios para las implementaciones híbridas
Los puertos de red necesarios para una organización que usa Exchange 2013 y Microsoft 365 o Office 365 se tratan en la sección "Protocolos de implementación híbrida, puerto y puntos de conexión" de Requisitos previos de implementación híbrida.
Puertos de red necesarios para la mensajería unificada
Los puertos de red necesarios para la mensajería unificada se tratan en los temas siguientes: