Puertos de red para clientes y flujo de correo en Exchange
En este tema se proporciona información sobre los puertos de red que usan Exchange Server 2016 y Exchange Server 2019 para la comunicación con clientes de correo electrónico, servidores de correo de Internet y otros servicios externos a la organización local de Exchange. Antes de entrar en el tema, debe comprender las siguientes reglas básicas:
No se admite la restricción o modificación del tráfico de red entre los servidores internos de Exchange, los servidores internos de Exchange o los servidores internos de Lync o Skype Empresarial ni los servidores internos de Exchange y los controladores de dominio internos de Active Directory en ningún tipo de topología. Si tiene firewalls o dispositivos de red que podrían restringir o modificar este tipo de tráfico de red interno, debe configurar reglas que permitan la comunicación libre y sin restricciones entre estos servidores: reglas que permiten el tráfico de red entrante y saliente en cualquier puerto (incluidos los puertos RPC aleatorios) y cualquier protocolo que nunca altere bits en la conexión.
Los servidores de transporte perimetral casi siempre se encuentran en una red perimetral, por lo que se espera que restrinja el tráfico de red entre el servidor de transporte perimetral e Internet, y entre el servidor de transporte perimetral y la organización interna de Exchange. En este tema se describen estos puertos de red.
Se espera que restrinja el tráfico de red entre los clientes externos y servicios y la organización interna de Exchange. También está bien si decide restringir el tráfico de red entre clientes internos y servidores internos de Exchange. En este tema se describen estos puertos de red.
Puertos de red necesarios para clientes y servicios
En el diagrama y la tabla siguientes se describen los puertos de red necesarios para que los clientes de correo electrónico tengan acceso a buzones y otros servicios en la organización de Exchange.
Notas:
El destino de estos clientes y servicios son los servicios de acceso de cliente en un servidor de buzones de correo. En Exchange 2016 y Exchange 2019, los servicios de acceso de cliente (front-end) y back-end se instalan juntos en el mismo servidor de buzón de correo. Para obtener más información, consulte Arquitectura del protocolo de acceso de cliente.
Aunque el diagrama muestra clientes y servicios de Internet, los conceptos son los mismos para los clientes internos (por ejemplo, los clientes de un bosque de cuentas que acceden a servidores de Exchange en un bosque de recursos). De forma similar, la tabla no tiene una columna de origen porque el origen podría ser cualquier ubicación externa a la organización de Exchange (por ejemplo, Internet o un bosque de cuentas).
Los servidores de transporte perimetral no tienen nada que ver con el tráfico de red que está asociado con estos clientes y servicios.
| Objetivo | Puertos | Comentarios |
|---|---|---|
Los siguientes clientes y servicios usan las conexiones web cifradas:
|
443/TCP (HTTPS) | Para obtener más información acerca de estos clientes y servicios, vea los siguientes temas: |
Los siguientes clientes y servicios usan conexiones web no cifradas:
|
80/TCP (HTTP) | Siempre que sea posible, se recomienda usar conexiones web cifradas en 443/TCP para ayudar a proteger los datos y las credenciales. Sin embargo, es posible que encuentre que algunos servicios deben configurarse para usar conexiones web no cifradas en 80/TCP a los servicios de acceso de cliente en servidores de buzones de correo. Para obtener más información acerca de estos clientes y servicios, vea los siguientes temas: |
| IMAP4, clientes | 143/TCP (IMAP), 993/TCP (IMAP seguro) | IMAP4 está deshabilitado de forma predeterminada. Para obtener más información, vea POP3 e IMAP4 en Exchange Server. El servicio IMAP4 de los servicios de acceso de cliente en el servidor de buzones de correo envía conexiones al servicio back-end IMAP4 en un servidor de buzones de correo. |
| POP3, clientes | 110/TCP (POP3), 995/TCP (POP3 seguro) | POP3 está deshabilitado de forma predeterminada. Para obtener más información, vea POP3 e IMAP4 en Exchange Server. El servicio POP3 de los servicios de acceso de cliente en el servidor de buzones de correo envía conexiones al servicio back-end POP3 en un servidor de buzones de correo. |
| Clientes SMTP (autenticados) | 587/TCP (SMTP autenticado) | El conector recibido predeterminado denominado "Nombre> del servidor front-end< de cliente" en el servicio de transporte front-end escucha los envíos de cliente SMTP autenticados en el puerto 587. Nota: Si tiene clientes de correo electrónico que solo pueden enviar correo electrónico SMTP autenticado en el puerto 25, puede modificar los enlaces de adaptador de red del conector de recepción del cliente para que también escuchen envíos de correo electrónico SMTP autenticados en el puerto 25. |
Puertos de red necesarios para el flujo de correo
La forma en que el correo se entrega hacia y desde la organización de Exchange depende de la topología de Exchange. El factor más importante es si cuenta con un servidor de transporte perimetral implementado en la red perimetral.
Puertos de red necesarios para el flujo de correo (sin servidores de transporte perimetral)
Los puertos de red necesarios para el flujo de correo en una organización de Exchange que solo tiene servidores de buzones se describen en el diagrama y la tabla siguientes.
| Objetivo | Puertos | Origen | Destino | Comentarios |
|---|---|---|---|---|
| Correo entrante | 25/TCP (SMTP) | Internet (cualquiera) | Servidor de buzones de correo | El conector de recepción predeterminado denominado "Nombre> predeterminado del servidor de buzón de correo front-end<" en el servicio de transporte front-end escucha el correo SMTP entrante anónimo en el puerto 25. El correo se retransmite desde el servicio de transporte front-end al servicio de transporte en un servidor de buzones mediante el conector de envío entre organizaciones implícito e invisible que enruta automáticamente el correo entre los servidores de Exchange de la misma organización. Para obtener más información, vea Conectores de envío implícito. |
| Correo saliente | 25/TCP (SMTP) | Servidor de buzones de correo | Internet (cualquiera) | De forma predeterminada, Exchange no crea ningún conector de envío que le permita enviar correo a Internet. Debe crear manualmente los conectores de envío. Para obtener más información, consulte Creación de un conector de envío para enviar correo a Internet. |
| Correo saliente (si se envía mediante proxy a través del servicio de transporte front-end) | 25/TCP (SMTP) | Servidor de buzones de correo | Internet (cualquiera) | El correo saliente se envía mediante proxy a través del servicio de transporte front-end solo cuando se configura un conector de envío con proxy a través del servidor de acceso de cliente en el Centro de administración de Exchange o -FrontEndProxyEnabled $true en el Shell de administración de Exchange. En este caso, el conector de recepción predeterminado denominado "Nombre> del servidor de buzón de correo de front-end< de proxy saliente" en el servicio de transporte front-end escucha el correo saliente desde el servicio de transporte en un servidor de buzones. Para obtener más información, vea Configure Send connectors to proxy outbound mail. |
| DNS para la resolución de nombres del siguiente salto del correo (no mostrado) | 53/UDP,53/TCP (DNS) | Servidor de buzones de correo | Servidor DNS | Consulte la sección Resolución de nombres de este tema. |
Puertos de red necesarios para el flujo de correo con servidores de transporte perimetral
Un servidor de transporte perimetral suscrito instalado en la red perimetral afecta al flujo de correo de las siguientes maneras:
El correo saliente de la organización de Exchange nunca fluye a través del servicio de transporte front-end en los servidores de buzones de correo. El correo siempre fluye desde el servicio de transporte en un servidor de buzones del sitio de Active Directory suscrito al servidor de transporte perimetral (independientemente de la versión de Exchange en el servidor de transporte perimetral).
El correo entrante fluye desde el servidor de transporte perimetral a un servidor de buzones en el sitio de Active Directory suscrito. En concreto:
El correo de un servidor de transporte perimetral de Exchange 2013 o posterior llega primero al servicio de transporte front-end antes de que fluya al servicio de transporte en un servidor de buzones de Exchange 2016 o Exchange 2019.
En Exchange 2016, el correo de un servidor de transporte perimetral de Exchange 2010 siempre entrega correo directamente al servicio de transporte en un servidor de buzones de Exchange 2016. Tenga en cuenta que la coexistencia con Exchange 2010 no se admite en Exchange 2019.
Para obtener más información, vea Mail flow and the transport pipeline.
En la tabla y el diagrama siguientes se describen los puertos de red necesarios para el flujo de correo en las organizaciones de Exchange que tienen servidores de transporte perimetral.
| Objetivo | Puertos | Origen | Destino | Comentarios |
|---|---|---|---|---|
| Correo entrante: Internet a servidor de transporte perimetral | 25/TCP (SMTP) | Internet (cualquiera) | Servidor de transporte perimetral | El conector de recepción predeterminado denominado "Nombre> de servidor de transporte perimetral del conector< de recepción interno predeterminado" en el servidor de transporte perimetral escucha correo SMTP anónimo en el puerto 25. |
| Correo entrante: servidor de transporte perimetral en organización de Exchange interna | 25/TCP (SMTP) | Servidor de transporte perimetral | Servidores de buzones de correo en el sitio suscrito de Active Directory | El conector de envío predeterminado denominado "EdgeSync - Inbound to <Active Directory site name>" retransmite el correo entrante en el puerto 25 a cualquier servidor de buzón del sitio de Active Directory suscrito. Para obtener más información, consulte Envío de conectores creados automáticamente por la suscripción de Edge. El conector de recepción predeterminado denominado "Nombre> predeterminado del servidor de buzón de correo de front-end<" en el servicio de transporte front-end del servidor de buzones escucha todo el correo entrante (incluido el correo de los servidores de transporte perimetral de Exchange 2013 o posteriores) en el puerto 25. |
| Correo saliente: organización de Exchange interna a servidor de transporte perimetral | 25/TCP (SMTP) | Servidores de buzones de correo en el sitio suscrito de Active Directory | Servidores de transporte perimetral | El correo saliente siempre omite el servicio de transporte front-end en los servidores de buzones de correo. El correo se retransmite desde el servicio de transporte en cualquier servidor de buzón del sitio de Active Directory suscrito a un servidor de transporte perimetral mediante el conector de envío entre organizaciones implícito e invisible que enruta automáticamente el correo entre servidores de Exchange de la misma organización. El conector de recepción predeterminado denominado "Nombre> predeterminado del servidor de transporte perimetral del conector< de recepción" en el servidor de transporte perimetral escucha el correo SMTP en el puerto 25 desde el servicio de transporte en cualquier servidor de buzón del sitio de Active Directory suscrito. |
| Correo saliente: servidor de transporte perimetral a Internet | 25/TCP (SMTP) | Servidor de transporte perimetral | Internet (cualquiera) | El conector de envío predeterminado denominado "EdgeSync: <nombre> de sitio de Active Directory a Internet" retransmite el correo saliente en el puerto 25 desde el servidor de transporte perimetral a Internet. |
| sincronización de EdgeSync | 50636/TCP (LDAP seguro) | Servidores de buzones de correo en el sitio suscrito de Active Directory que participan en la sincronización de EdgeSync | Servidores de transporte perimetral | Cuando el servidor de transporte perimetral está suscrito al sitio de Active Directory, todos los servidores de buzones que existen en el sitio en ese momento participan en la sincronización de EdgeSync. Sin embargo, los servidores de buzones que agregue más adelante no participan automáticamente en la sincronización de EdgeSync. |
| DNS para la resolución de nombres del siguiente salto del correo (no mostrado) | 53/UDP,53/TCP (DNS) | Servidor de transporte perimetral | Servidor DNS | Consulte la sección Resolución de nombres más adelante en este tema. |
| Apertura de la detección de servidores proxy en la reputación del remitente (no en la imagen) | ver comentarios | Servidor de transporte perimetral | Internet | De forma predeterminada, la reputación del remitente (el agente de análisis de protocolos) usa la detección de servidor proxy abierto como uno de los criterios para calcular el nivel de reputación del remitente (SRL) del servidor de mensajería de origen. Para más información, vea Reputación del remitente y agente de análisis de protocolo. La detección del servidor proxy abierto usa los siguientes protocolos y puertos TCP para probar los servidores de mensajería de origen para el proxy abierto:
Además, si su organización usa un servidor proxy para controlar el tráfico saliente de Internet, debe definir el nombre del servidor proxy, el tipo y el puerto TCP que requiere la reputación del remitente para acceder a Internet para la detección de servidores proxy abiertos. Como alternativa, puede deshabilitar la detección de servidores proxy abiertos en la reputación del remitente. Para obtener más información, consulte Procedimientos de reputación del remitente. |
Resolución de nombres
La resolución DNS del próximo salto de correo es una parte fundamental del flujo de correo en cualquier organización de Exchange. Los servidores de Exchange encargados de recibir el correo entrante o de entregar el correo saliente deben poder resolver ambos nombres de host, internos y externos, para enrutar el correo correctamente. Además, todos los servidores internos de Exchange deben poder resolver los nombres de host para enrutar el correo correctamente. Hay muchas formas de diseñar una infraestructura DNS, pero lo más importante es garantizar que la resolución de nombres para el salto siguiente funciona correctamente para todos los servidores de Exchange.
Puertos de red necesarios para las implementaciones híbridas
Los puertos de red necesarios para una organización que usa Exchange local y Microsoft 365 o Office 365 se tratan en protocolos de implementación híbrida, puertos y puntos de conexión.
Puertos de red necesarios para la mensajería unificada en Exchange 2016
Los puertos de red necesarios para la mensajería unificada en Exchange 2013 y Exchange 2016 se tratan en el tema Protocolos, puertos y servicios de mensajería unificada.