Ports réseau pour les clients et le flux de messagerie dans Exchange 2013
S’applique à : Exchange Server 2013
Cette rubrique fournit des informations sur les ports réseau utilisés par Microsoft Exchange Server 2013 pour la communication avec les clients de messagerie, les serveurs de messagerie Internet et d’autres services externes à votre organisation Exchange locale. Avant d'aborder ce sujet en détail, saisissons d'abord les règles de base suivantes :
Nous ne prenons pas en charge la restriction ou l'altération du trafic réseau entre les serveurs Exchange internes, entre les serveurs Exchange internes et les serveurs Lync ou Skype Entreprise internes, ou entre les serveurs Exchange internes et les contrôleurs de domaine Active Directory internes dans toutes les topologies, quel qu'en soit le type. Si vous avez des pare-feu ou des périphériques réseau qui peuvent potentiellement restreindre ou modifier ce type de trafic réseau, vous devez configurer des règles qui autorisent la communication libre et illimitée entre ces serveurs (règles qui autorisent le trafic réseau entrant et sortant sur n’importe quel port (y compris les ports RPC aléatoires) et tout protocole qui n’altère jamais les bits sur le réseau).
Les serveurs de transport Edge sont presque toujours situés dans un réseau de périmètre, il est donc prévu de restreindre le trafic réseau entre le serveur de transport Edge et Internet, et entre le serveur de transport Edge et votre organisation Exchange interne. Ces ports réseau sont décrits dans cette rubrique.
Il est prévu de restreindre le trafic réseau entre les clients et services externes et votre organisation Exchange interne. Il convient également de décider de limiter ou non le trafic réseau entre les clients internes et les serveurs Exchange internes. Ces ports réseau sont décrits dans cette rubrique.
Ports réseau requis pour les clients et services
Les ports réseau nécessaires pour que les clients de messagerie accèdent aux boîtes aux lettres et aux autres services de l'organisation Exchange sont décrits dans le schéma et le tableau ci-après.
Remarques :
La destination de ces clients et services est un serveur d'accès au client. Il peut s'agir d'un serveur d'accès au client autonome, ou d'un serveur d'accès au client et d'un serveur de boîtes aux lettres installé sur le même ordinateur.
Bien que les clients et services décrits dans le schéma proviennent d'Internet, les concepts sont les mêmes pour les clients internes (par exemple, les clients d'une forêt de comptes qui accèdent aux serveurs Exchange dans une forêt de ressources). De la même manière, le tableau ne comporte pas de colonne source, car la source peut être n'importe quel emplacement extérieur à l'organisation Exchange (par exemple, Internet ou une forêt de comptes).
Les serveurs de transport Edge ne sont pas impliqués dans le trafic réseau associé à ces clients et services.
.png)
| Objectif | Ports | Comments |
|---|---|---|
Des connexions web chiffrées sont utilisées par les services et clients suivants :
|
443/TCP (HTTPS) | Pour plus d'informations sur ces clients et services, consultez les rubriques suivantes : |
Des connexions web non chiffrées sont utilisées par les services et clients suivants :
|
80/TCP (HTTPS) | Si possible, nous recommandons d'utiliser des connexions web chiffrées 443/TCP afin de protéger les données et les informations d'identification. Toutefois, vous pouvez constater que certains services doivent être configurés pour utiliser des connexions web non chiffrées 80/TCP sur le serveur d'accès au client. Pour plus d'informations sur ces clients et services, consultez les rubriques suivantes : |
| Clients IMAP4 | 143/TCP (IMAP), 993/TCP (IMAP sécurisé) | IMAP4 est désactivé par défaut. Pour plus d’informations, consultez >POP3 et IMAP4 dans Exchange Server 2013. Le service IMAP4 sur le serveur d'accès au client envoie par proxy les connexions au service principal IMAP4 sur un serveur de boîtes aux lettres. |
| Clients POP3 | 110/TCP (POP3), 995/TCP (POP3 sécurisé) | POP3 est désactivé par défaut. Pour plus d’informations, consultez >POP3 et IMAP4 dans Exchange Server 2013. Le service POP3 sur le serveur d'accès au client envoie par proxy les connexions au service principal POP3 sur un serveur de boîtes aux lettres. |
| Clients SMTP (authentifiés) | 587/TCP (SMTP authentifié) | Le connecteur Reçu par défaut nommé « Nom> du serveur frontal< du client » écoute les soumissions de client SMTP authentifiées sur le port 587 sur le serveur d’accès au client. Remarque : Si vous avez des clients de messagerie qui peuvent envoyer des messages SMTP authentifiés uniquement sur le port 25, vous pouvez modifier la valeur des liaisons de carte réseau de ce connecteur de réception pour écouter également les envois de courrier SMTP authentifiés sur le port 25. |
Ports réseau requis pour le flux de messagerie
La remise des messages vers et depuis votre organisation Exchange dépend de votre topologie Exchange. Le facteur le plus important repose sur le fait que vous disposiez ou non d'un serveur de transport Edge abonné déployé sur votre réseau de périmètre.
Ports réseau requis pour le flux de messagerie (aucun serveur de transport Edge)
Les ports réseau nécessaires pour les flux de messagerie dans une organisation Exchange disposant seulement de serveurs d'accès au client et de serveurs de boîtes aux lettres sont décrits dans le schéma et le tableau ci-après. Bien que le schéma représente des serveurs d'accès au client et de boîtes aux lettres distincts, les concepts sont les mêmes, que le serveur d'accès au client et le serveur de boîtes aux lettres soient installés sur le même ordinateur ou sur des ordinateurs différents.
.png "Ports réseau requis pour le flux de messagerie (aucun serveur de transport Edge)")
| Objectif | Ports | Source | Destination | Comments |
|---|---|---|---|---|
| Courrier entrant | 25/TCP (SMTP) | Internet (tout) | Serveur d’accès au client | Le connecteur de réception par défaut nommé « Nom> du serveur d’accès au client frontend< par défaut » sur le serveur d’accès au client écoute les messages SMTP entrants anonymes sur le port 25. Le courrier est relayé du serveur d'accès au client à un serveur de boîte aux lettres via le connecteur d'envoi implicite et invisible interne à l'organisation qui achemine automatiquement les messages entre les serveurs Exchange de la même organisation. |
| Courrier sortant | 25/TCP (SMTP) | Serveur de boîtes aux lettres | Internet (tout) | Par défaut, Exchange ne crée pas de connecteurs d'envoi qui vous permettent d'envoyer des messages à Internet. Vous devez créer des connecteurs d'envoi manuellement. Pour plus d'informations, voir Connecteurs d'envoi. |
| Courrier sortant (si acheminé par le biais du serveur d'accès au client) | 25/TCP (SMTP) | Serveur d'accès au client | Internet (tout) | Le courrier sortant est routé via un serveur d’accès au client uniquement lorsqu’un connecteur d’envoi est configuré avec proxy via un serveur d’accès au client dans le Centre d’administration Exchange ou -FrontEndProxyEnabled $true dans Exchange Management Shell. Dans ce cas, le connecteur de réception par défaut nommé « Nom> du serveur d’accès au client frontal< proxy sortant » sur le serveur d’accès au client écoute les messages sortants du serveur de boîtes aux lettres. Pour plus d'informations, voir Créer un connecteur d'envoi pour les messages électroniques envoyés vers Internet. |
| DNS pour la résolution du nom de tronçon de courrier suivant (non illustré) | 53/UDP, 53/TCP (DNS) | Serveur Exchange Internet (serveur d'accès client ou serveur de boîte aux lettres) | Serveur DNS | Voir la section Résolution de noms. |
Ports réseau requis pour le flux de messagerie avec des serveurs de transport Edge
Un serveur de transport Edge abonné qui est installé sur votre réseau de périmètre élimine généralement le flux de messagerie SMTP par le biais du serveur d’accès au client. Notamment :
Le courrier sortant en provenance de l'organisation Exchange ne transite jamais par un serveur d'accès au client. Les messages proviennent toujours d'un serveur de boîtes aux lettres sur le site Active Directory abonné vers le serveur de transport Edge (quelle que soit la version d'Exchange sur le serveur de transport Edge).
Le courrier entrant ne transite jamais par un serveur d'accès au client autonome. Les messages proviennent toujours du serveur de transport Edge vers un serveur de boîtes aux lettres sur le site Active Directory abonné. Si le serveur de boîtes aux lettres et le serveur d'accès au client sont installés sur le même ordinateur, les messages provenant d'un serveur de transport Edge Exchange 2013 arrivent d'abord sur l'ordinateur du service de transport frontal (rôle du serveur d'accès au client) avant de transiter vers le service de transport (rôle du serveur de boîtes aux lettres). Les serveurs de transport Edge Exchange 2007 ou Exchange 2010 remettent toujours les messages directement au service de transport, même lorsque le serveur de boîtes aux lettres et le serveur d'accès au client sont installés sur le même ordinateur.
Pour plus d'informations, consultez la rubrique Flux de messagerie.
Les ports réseau nécessaires pour les flux de messagerie dans les organisations Exchange disposant de serveurs de transport Edge sont décrits dans le schéma et le tableau ci-après. Sauf mention contraire, les concepts sont les mêmes, que le serveur d'accès au client et le serveur de boîtes aux lettres soient installés sur le même ordinateur ou sur des ordinateurs différents.
.png "Ports réseau requis pour le flux de messagerie avec les serveurs de transport Edge")
| Objectif | Ports | Source | Destination | Comments |
|---|---|---|---|---|
| Courrier entrant - Internet vers serveur de transport Edge | 25/TCP (SMTP) | Internet (tout) | Serveur de transport Edge | Le connecteur de réception par défaut nommé « Nom du serveur> de transport Edge du connecteur< de réception interne par défaut » sur le serveur de transport Edge écoute le courrier SMTP anonyme sur le port 25. |
| Courrier entrant - serveur de transport Edge vers organisation Exchange interne | 25/TCP (SMTP) | Serveur de transport Edge | Serveurs de boîtes aux lettres dans le site Active Directory abonné | Le connecteur d’envoi par défaut nommé « EdgeSync - Inbound to <Active Directory site name> » relaye le courrier entrant sur le port 25 vers n’importe quel serveur de boîtes aux lettres dans le site Active Directory abonné. Pour plus d'informations, consultez la section « Connecteurs d'envoi créés au cours du processus d'abonnement Edge » dans la rubrique abonnements Edge. Le service qui reçoit réellement les messages dépend du fait que le serveur de boîtes aux lettres et le serveur d'accès au client soient installés sur le même ordinateur ou sur des ordinateurs différents.
|
| Courrier sortant - organisation Exchange interne vers serveur de transport Edge | 25/TCP (SMTP) | Serveurs de boîtes aux lettres dans le site Active Directory abonné | Serveurs de transport Edge | Le courrier sortant contourne toujours le serveur d'accès au client. Le courrier est relayé d'un serveur de boîtes aux lettres du site Active Directory abonné vers un serveur de transport Edge à l'aide du connecteur d'envoi implicite et invisible interne à l'organisation qui achemine automatiquement les messages entre les serveurs Exchange dans la même organisation. Le connecteur de réception par défaut nommé « Nom> du serveur de transport Edge du connecteur< de réception interne par défaut » sur le serveur de transport Edge écoute le courrier SMTP sur le port 25 à partir de n’importe quel serveur de boîtes aux lettres dans le site Active Directory abonné. |
| Courrier sortant - Serveur de transport Edge vers Internet | 25/TCP (SMTP) | Serveur de transport Edge | Internet (tout) | Le connecteur d’envoi par défaut nommé « EdgeSync - <Nom> de site Active Directory vers Internet » relaie le courrier sortant sur le port 25 du serveur de transport Edge vers Internet. |
| Synchronisation EdgeSync | 50636/TCP (LDAP sécurisé) | Serveurs de boîtes aux lettres du site Active Directory abonné dans la synchronisation EdgeSync | Serveurs de transport Edge | Lorsque le serveur de transport Edge est abonné au site Active Directory, tous les serveurs de boîtes aux lettres qui existent dans le site à ce moment-là participent à la synchronisation EdgeSync. Toutefois, tous les serveurs de boîtes aux lettres ajoutés ultérieurement ne participent pas automatiquement à la synchronisation EdgeSync. |
| DNS pour la résolution du nom de tronçon de courrier suivant (non illustré) | 53/UDP, 53/TCP (DNS) | Serveur de transport Edge | Serveur DNS | Voir la section Résolution de noms. |
| Définition du serveur proxy pour la réputation de l'expéditeur (non illustré) | Défini par l'utilisateur | Serveurs de transport Edge | Internet | La réputation de l'expéditeur (agent d'analyse de protocole) analyse les chemins du courrier entrant afin de limiter le courrier indésirable. Si votre organisation utilise un serveur proxy pour contrôler l'accès à Internet, vous devez définir les détails concernant le serveur proxy pour que la réputation de l'expéditeur puisse fonctionner correctement (notamment, la détection des proxies ouverts et le blocage des expéditeurs). Vous utilisez les paramètres ProxyServerName, ProxyServerPort et ProxyServerType de l’applet de commande Set-SenderReputationConfig pour définir le serveur proxy de votre organisation afin que la réputation de l’expéditeur puisse se connecter correctement à Internet. Pour plus d'informations, voir Gérer la réputation de l'expéditeur. |
Résolution de noms
La résolution DNS du prochain tronçon de courrier est une partie essentielle du flux de messagerie dans les organisations Exchange. Les serveurs Exchange chargés de recevoir les courriers entrants ou de remettre les courriers sortants doivent être en mesure de résoudre les noms d'hôtes internes et externes pour un routage de messagerie correct. Tous les serveurs Exchange internes doivent également pouvoir résoudre les noms d'hôtes internes pour un routage de messagerie correct. Il existe différentes façons de concevoir une infrastructure DNS, mais le principal objectif consiste à garantir que la résolution de nom pour le tronçon suivant fonctionne correctement sur l'ensemble de vos serveurs Exchange.
Ports réseau requis pour les déploiements hybrides
Les ports réseau requis pour une organisation qui utilise Exchange 2013 et Microsoft 365 ou Office 365 sont couverts dans la section « Protocoles, ports et points de terminaison de déploiement hybrides » dans Conditions préalables au déploiement hybride.
Ports réseau requis pour la messagerie unifiée
Les ports réseau nécessaires pour la messagerie unifiée sont traités dans les rubriques suivantes :