Exchange 2013 でのクライアントのネットワーク ポートとメール フロー
製品: Exchange Server 2013
このトピックでは、メール クライアント、インターネット メール サーバー、およびローカル Exchange 組織の外部にあるその他のサービスとの通信にMicrosoft Exchange Server 2013 で使用されるネットワーク ポートについて説明します。 その内容に進む前に、以下の基本ルールを理解している必要があります。
すべての種類のトポロジで、内部 Exchange サーバーの間や、内部 Exchange サーバーと内部 Lync または Skype for Business サーバーとの間、または内部 Exchange サーバーと内部 Active Directory ドメイン コントローラーとの間のネットワーク トラフィックを制限したり変更したりすることはサポートされていません。 この種のネットワーク トラフィックを制限または変更する可能性のあるファイアウォールまたはネットワーク デバイスがある場合は、これらのサーバー間で無料かつ無制限の通信を許可する規則 (任意のポート (ランダム RPC ポートを含む) と、ネットワーク上のビットを変更しないプロトコルを許可する規則) を構成する必要があります。
ほとんどの場合、エッジ トランスポート サーバーは境界ネットワーク内に存在するために、エッジ トランスポート サーバーとインターネットとの間、およびエッジ トランスポート サーバーと内部の Exchange 組織との間で、ネットワーク トラフィックを制限することが期待されています。 これらのネットワーク ポートについては、このトピックで説明されています。
外部のクライアントやサービスと内部の Exchange 組織との間で、ネットワーク トラフィックを制限することが期待されています。 内部のクライアントと内部の Exchange サーバーとの間で、ネットワーク トラフィックを制限するように決定することも可能です。 これらのネットワーク ポートについては、このトピックで説明されています。
クライアントとサービスに必要なネットワーク ポート
電子メール クライアントがメールボックスや Exchange 組織内の他のサービスにアクセスするために必要なネットワーク ポートについては、次の図と表で説明します。
メモ:
これらのクライアントやサービスのための送信先は、クライアント アクセス サーバーです。 これは、スタンドアロンのクライアント アクセス サーバー、または同じコンピューターにインストールされているクライアント アクセス サーバーとメールボックス サーバーとなる場合があります。
この図では、インターネットからのクライアントとサービスを示していますが、内部クライアントについても概念は同じです (リソース フォレスト内の Exchange サーバーにアクセスしているアカウント フォレストなど)。 同様に、ソースは Exchange 組織の外部に存在する任意の場所 (インターネットやアカウント フォレストなど) とすることが可能なので、この表にはソースの列を示していません。
エッジ トランスポート サーバーは、これらのクライアントやサービスに関連付けられたネットワーク トラフィックと関係していません。
.png)
| 用途 | ポート | Comments |
|---|---|---|
暗号化された Web 接続は、以下のクライアントやサービスによって使用されます。
|
443/TCP (HTTPS) | これらのクライアントやサービスについて詳しくは、以下のトピックを参照してください。 |
暗号化されていない Web 接続は、以下のクライアントやサービスによって使用されます。
|
80/TCP (HTTP) | できる限り、データと資格情報を保護するために、443/TCP での暗号化された Web 接続を使用することをお勧めします。 ただし、一部のサービスでは、クライアント アクセス サーバーとの接続において、80/TCP での暗号化されていない Web 接続を使用するように構成されていることが必要な場合があります。 これらのクライアントやサービスについて詳しくは、以下のトピックを参照してください。 |
| IMAP4 クライアント | 143/TCP (IMAP)、993/TCP (セキュア IMAP) | IMAP4 は既定では無効になっています。 詳細については、「Exchange Server 2013 の POP3 と IMAP4」を参照してください>。 クライアント アクセス サーバーの IMAP4 サービスは、メールボックス サーバーの IMAP4 バックエンド サービスに対する接続のプロキシとして動作します。 |
| POP3 クライアント | 110/TCP (POP3)、995/TCP (セキュア POP3) | POP3 は既定では無効になっています。 詳細については、「Exchange Server 2013 の POP3 と IMAP4」を参照してください>。 クライアント アクセス サーバーの POP3 サービスは、メールボックス サーバーの POP3 バックエンド サービスに対する接続のプロキシとして動作します。 |
| SMTP クライアント (認証済み) | 587/TCP (認証された SMTP) | "クライアント フロントエンド <サーバー名>" という名前の既定の受信コネクタは、クライアント アクセス サーバーのポート 587 で認証された SMTP クライアントの送信をリッスンします。 注: ポート 25 でのみ認証済み SMTP メールを送信できるメール クライアントがある場合は、この受信コネクタのネットワーク アダプター バインドの値を変更して、ポート 25 で認証された SMTP メール送信もリッスンできます。 |
メール フローに必要なネットワーク ポート
Exchange 組織との間でメールが送受信される方法は、Exchange トポロジによって異なります。 最も重要な要素は、境界ネットワークに展開された購読済みエッジ トランスポート サーバーがあるかどうかです。
メール フローに必要なネットワーク ポート (エッジ トランスポート サーバーがない場合)
クライアント アクセス サーバーとメールボックス サーバーだけを持つ Exchange 組織のメール フローに必要なネットワーク ポートについては、次の図と表で説明します。 この図ではメールボックス サーバーとクライアント アクセス サーバーを別個に示していますが、クライアント アクセス サーバーとメールボックス サーバーのインストール先が同じコンピューターであっても、別個のコンピューターであっても、その概念は同じです。
.png "メール フローに必要なネットワーク ポート (エッジ トランスポート サーバーなし)")
| 用途 | ポート | ソース | Destination (転送先) | Comments |
|---|---|---|---|---|
| 受信メール | 25/TCP (SMTP) | インターネット (任意) | クライアント アクセス サーバー | クライアント アクセス サーバーの "既定のフロントエンド <クライアント アクセス サーバー名>" という名前の既定の受信コネクタは、ポート 25 で匿名受信 SMTP メールをリッスンします。 メールは、同じ組織内の Exchange サーバー間でメールを自動的にルーティングする、暗黙的で不可視の組織内送信コネクタを使用して、クライアント アクセス サーバーからメールボックス サーバーに中継されます。 |
| 送信メール | 25/TCP (SMTP) | メールボックス サーバー | インターネット (任意) | 既定では、Exchange は、メールをインターネットに送信できるようにする送信コネクタを作成しません。 送信コネクタは手動で作成する必要があります。 詳細については、「送信コネクタ」を参照してください。 |
| 送信メール (クライアント アクセス サーバーを経由する場合) | 25/TCP (SMTP) | クライアント アクセス サーバー | インターネット (任意) | 送信メールは、送信コネクタが Exchange 管理センターまたは -FrontEndProxyEnabled $true Exchange 管理シェルのクライアント アクセス サーバーを介してプロキシで構成されている場合にのみ、クライアント アクセス サーバーを介してルーティングされます。 この場合、クライアント アクセス サーバーの "送信プロキシ フロントエンド <クライアント アクセス サーバー名>" という名前の既定の受信コネクタは、メールボックス サーバーからの送信メールをリッスンします。 詳細については、「インターネットへの電子メール送信に対応した送信コネクタの作成」を参照してください。 |
| 次のメール ホップ (ここでは示されていません) の名前解決の DNS | 53/UDP、53/TCP (DNS) | インターネットに直接接続された Exchange サーバー (クライアント アクセス サーバーまたはメールボックス サーバー) | DNS サーバー | 「名前の解決」セクションを参照してください。 |
エッジ トランスポート サーバーによるメール フローに必要なネットワーク ポート
基本的に、境界ネットワークにインストールされている購読済みエッジ トランスポート サーバーは、クライアント アクセス サーバー経由の SMTP メール フローを排除します。 具体的には次のとおりです。
Exchange 組織からの送信メールは、クライアント アクセス サーバーを経由してフローしません。 メールは常に、購読済みの Active Directory サイトのメールボックス サーバーから、エッジ トランスポート サーバーに (エッジ トランスポート サーバーの Exchange のバージョンには関係なく) フローします。
受信メールは、スタンドアロンのクライアント アクセス サーバーを経由してフローしません。 メールは、エッジ トランスポート サーバーから購読済みの Active Directory サイトのメールボックス サーバーにフローします。 メールボックス サーバーとクライアント アクセス サーバーが同じコンピューターにインストールされている場合、Exchange 2013 エッジ トランスポート サーバーからのメールは、トランスポート サービスにフローする前に (メールボックス サーバーの役割)、最初にフロント エンド トランスポート サービスのコンピューターに到着します (クライアント アクセス サーバーの役割)。 Exchange 2007 または Exchange 2010 のエッジ トランスポート サーバーは、メールボックス サーバーとクライアント アクセス サーバーが同じコンピューターにインストールされている場合でも、メールを常にトランスポート サービスに直接配信します。
詳細については、「メール フロー」を参照してください。
エッジ トランスポート サーバーのある Exchange 組織でのメール フローに必要なネットワーク ポートについて、次の図と表で説明します。 別途記載されていない限り、クライアント アクセス サーバーとメールボックス サーバーが同じコンピューターにインストールされている場合も異なるコンピューターにインストールされている場合も、概念は同じです。
.png "エッジ トランスポート サーバーを使用したメール フローに必要なネットワーク ポート")
| 用途 | ポート | ソース | Destination (転送先) | Comments |
|---|---|---|---|---|
| 受信メール - インターネットからエッジ トランスポート サーバーへ | 25/TCP (SMTP) | インターネット (任意) | エッジ トランスポート サーバー | エッジ トランスポート サーバーの "既定の内部受信コネクタエッジ トランスポート サーバー名>" という名前の既定の受信コネクタ<は、ポート 25 で匿名 SMTP メールをリッスンします。 |
| 受信メール - エッジ トランスポート サーバーから内部 Exchange 組織へ | 25/TCP (SMTP) | エッジ トランスポート サーバー | サブスクライブ先の Active Directory サイトのメールボックス サーバー | "EdgeSync - Active Directory サイト名>への<受信" という名前の既定の送信コネクタは、ポート 25 の受信メールを、サブスクライブしている Active Directory サイト内のすべてのメールボックス サーバーに中継します。 詳しくは、トピック「エッジ サブスクリプション」の「エッジ サブスクリプション プロセス中に作成される送信コネクタ」を参照してください。 実際にメールを受信するサービスは、メールボックス サーバーとクライアント アクセス サーバーが同じコンピューターまたは別のコンピューターのどちらにインストールされているかによって異なります。
|
| 送信メール - 内部 Exchange 組織からエッジ トランスポート サーバーへ | 25/TCP (SMTP) | サブスクライブ先の Active Directory サイトのメールボックス サーバー | エッジ トランスポート サーバー | 送信メールは常に、クライアント アクセス サーバーをバイパスします。 メールは、購読済み Active Directory サイトのメールボックス サーバーから、同じ組織内の Exchange サーバー間でメールを自動的にルーティングする暗黙的で不可視の組織内送信コネクタを使用して、エッジ トランスポート サーバーに送信されます。 エッジ トランスポート サーバーの "既定の内部受信コネクタエッジ トランスポート サーバー名>" という名前の既定の受信コネクタ<は、サブスクライブされている Active Directory サイト内のメールボックス サーバーからポート 25 で SMTP メールをリッスンします。 |
| 送信メール - エッジ トランスポート サーバーからインターネットへ | 25/TCP (SMTP) | エッジ トランスポート サーバー | インターネット (任意) | "EdgeSync - <Active Directory サイト名> をインターネットに送信する" という名前の既定の送信コネクタは、ポート 25 の送信メールをエッジ トランスポート サーバーからインターネットに中継します。 |
| EdgeSync 同期 | 50636/TCP (セキュア LDAP) | EdgeSync 同期に参加している購読済み Active Directory サイトのメールボックス サーバー | エッジ トランスポート サーバー | エッジ トランスポート サーバーが Active Directory サイトに購読されると、その時点でサイト内に存在するすべてのメールボックス サーバーが EdgeSync 同期に参加します。 ただし、後に追加するメールボックス サーバーは、自動的に EdgeSync 同期に参加しません。 |
| 次のメール ホップ (ここでは示されていません) の名前解決の DNS | 53/UDP、53/TCP (DNS) | エッジ トランスポート サーバー | DNS サーバー | 「名前の解決」セクションを参照してください。 |
| 送信者評価用のプロキシ サーバーの定義 (ここでは示されていません) | ユーザー定義 | エッジ トランスポート サーバー | インターネット | 送信者評価 (プロトコル分析エージェント) は、スパムを削減する取り組みの一環として、受信メッセージ パスを分析します。 組織でプロキシ サーバーを使用してインターネットへのアクセスを制御している場合、送信者評価が正常に機能するためには、プロキシ サーバーについての詳細を定義する必要があります (特にオープン プロキシの検出と送信者のブロック)。 Set-SenderReputationConfig コマンドレットの ProxyServerName、ProxyServerPort、ProxyServerType パラメーターを使用して、送信者の評判がインターネットに正常に接続できるように、組織のプロキシ サーバーを定義します。 詳細については、「 送信者評価の管理」を参照してください。 |
名前の解決
次のメール ホップの DNS 解決は、すべての Exchange 組織においてメール フローの基本的な部分です。 受信メールを受信または送信メールの配信を担当する Exchange サーバーは、適切なメール ルーティングを行うために内部および外部のホスト名を両方解決できなければなりません。 また、すべての内部 Exchange サーバーは、適切なメール ルーティングを行うために内部ホスト名を解決できなければなりません。 DNS インフラストラクチャを設計するにはさまざまな方法がありますが、重要なのは、次のホップの名前解決がすべての Exchange サーバーに対して適切に実行されるようにすることです。
ハイブリッド展開に必要なネットワーク ポート
Exchange 2013 と Microsoft 365 または Office 365の両方を使用する組織に必要なネットワーク ポートについては、「ハイブリッド展開の前提条件」の「ハイブリッド展開プロトコル、ポート、エンドポイント」セクションで説明されています。
ユニファイド メッセージングに必要なネットワーク ポート
ユニファイド メッセージングに必要なネットワーク ポートについては、次のトピックで説明します。