Portas de rede para clientes e fluxo de email no Exchange
Este tópico fornece informações sobre as portas de rede usadas pelo Exchange Server 2016 e Exchange Server 2019 para comunicação com clientes de email, servidores de internet email e outros serviços externos à sua organização do Exchange local. Antes de falarmos sobre isso, entenda as seguintes regras básicas:
Não há suporte para restringir ou alterando o tráfego de rede entre servidores internos do Exchange, entre servidores internos do Exchange e servidores internos do Lync ou do Skype for Business, ou entre servidores internos do Exchange e controladores de domínio do Active Directory em todos os tipos de topologias. Se você tiver firewalls ou dispositivos de rede que possam potencialmente restringir ou alterar esse tipo de tráfego de rede interno, você precisará configurar regras que permitam comunicação gratuita e irrestrita entre esses servidores: regras que permitem o tráfego de rede de entrada e saída em qualquer porta (incluindo portas RPC aleatórias) e qualquer protocolo que nunca altere bits no fio.
Os servidores de Transporte de Borda estão quase sempre localizados em uma rede de perímetro, portanto, espera-se que você restrinja o tráfego de rede entre o servidor de Transporte de Borda e a Internet e entre o servidor edge transport e sua organização interna do Exchange. Estas portas de rede são descritas neste tópico.
É esperado que você restrinja o tráfego de rede entre clientes e serviços externos e sua organização interna do Exchange. Também não há problema se você decidir restringir o tráfego de rede entre clientes internos e servidores internos do Exchange. Estas portas de rede são descritas neste tópico.
Portas de rede necessárias para clientes e serviços
As portas de rede necessárias para que os clientes de email acessem caixas de correio e outros serviços na organização do Exchange são descritos na tabela e diagrama a seguir.
Observações:
O destino desses clientes e serviços é os serviços de Acesso ao Cliente em um servidor de caixa de correio. No Exchange 2016 e no Exchange 2019, os serviços de acesso ao cliente (front-end) e back-end são instalados juntos no mesmo servidor da Caixa de Correio. Para obter mais informações, confira Arquitetura de protocolo do Client Access.
Embora o diagrama mostre clientes e serviços da Internet, os conceitos são os mesmos para clientes internos (por exemplo, clientes em uma floresta de contas acessando servidores exchange em uma floresta de recursos). Da mesma forma, a tabela não tem uma coluna de origem porque a origem pode ser qualquer local externo à organização do Exchange (por exemplo, a internet ou uma floresta de contas).
Os servidores de transporte de borda não têm nenhum envolvimento no tráfego de rede associado a esses clientes e serviços.
| Objetivo | Portas | Comments |
|---|---|---|
As conexões Web criptografadas são usadas pelos seguintes clientes e serviços:
|
443/TCP (HTTPS) | Para saber mais sobre esses clientes e serviços, consulte os seguintes tópicos: |
As conexões Web sem criptografia são usadas pelos seguintes clientes e serviços:
|
80/TCP (HTTP) | Sempre que possível, recomendamos usar conexões Web criptografadas em 443/TCP para ajudar a proteger os dados e credenciais. No entanto, você pode descobrir que alguns serviços devem ser configurados para usar conexões Web não criptografadas em 80/TCP para os serviços de Acesso ao Cliente em servidores de caixa de correio. Para saber mais sobre esses clientes e serviços, consulte os seguintes tópicos: |
| Clientes IMAP4 | 143/TCP (IMAP), 993/TCP (IMAP seguro) | O IMAP4 está desabilitado por padrão. Para obter mais informações, consulte POP3 e IMAP4 em Exchange Server. O serviço IMAP4 nos serviços de Acesso ao Cliente nas conexões de proxies do servidor da caixa de correio para o serviço de back-end IMAP4 em um servidor de caixa de correio. |
| Clientes POP3 | 110/TCP (POP3), 995/TCP (POP3 seguro) | POP3 está desabilitado por padrão. Para obter mais informações, consulte POP3 e IMAP4 em Exchange Server. O serviço POP3 nos serviços de Acesso ao Cliente nas conexões de proxies do servidor da caixa de correio para o serviço de back-end POP3 em um servidor de caixa de correio. |
| Clientes SMTP (autenticados) | 587/TCP (SMTP autenticado) | O conector recebido padrão chamado "Nome> do Servidor front-end< do cliente" no serviço de transporte front-end escuta para envios autenticados de cliente SMTP na porta 587. Observação: se você tiver clientes de email que só podem enviar email SMTP autenticado na porta 25, poderá modificar as associações do adaptador de rede do conector de recebimento do cliente para também escutar envios de email SMTP autenticados na porta 25. |
Portas de rede necessárias para fluxo de emails
O modo como o email é entregue de e para suas organizações do Exchange depende da sua topologia do Exchange. O fator mais importante é ter um servidor de Transporte de Borda inscrito implantado na sua rede de perímetro.
Portas de rede necessárias para o fluxo de mensagens (sem servidores de Transporte de Borda)
As portas de rede necessárias para o fluxo de email em uma organização do Exchange que tem apenas servidores de caixa de correio são descritas no diagrama e na tabela a seguir.
| Objetivo | Portas | Origem | Destino | Comments |
|---|---|---|---|---|
| Email de entrada | 25/TCP (SMTP) | Internet (qualquer) | Servidor de Caixa de Correio | O conector de recebimento padrão chamado "Nome> padrão do servidor da caixa de correio front-end<" no serviço de transporte front-end escuta o email SMTP de entrada anônimo na porta 25. O email é retransmitido do serviço de Transporte front-end para o serviço de transporte em um servidor de caixa de correio usando o conector envio implícito e invisível da organização que roteia automaticamente o email entre servidores do Exchange na mesma organização. Para obter mais informações, confira Enviar conectores implícitos. |
| Email de saída | 25/TCP (SMTP) | Servidor de Caixa de Correio | Internet (qualquer) | Por padrão, o Exchange não cria conectores de envio que permitem enviar emails para a Internet. Você precisa criar conectores de Envio manualmente. Para obter mais informações, consulte Criar um conector de envio para enviar emails para a Internet. |
| Email de saída (se for proxiedo por meio do serviço de transporte front-end) | 25/TCP (SMTP) | Servidor de Caixa de Correio | Internet (qualquer) | O email de saída é proxied por meio do serviço de Transporte front-end somente quando um conector Send é configurado com Proxy por meio do servidor de Acesso ao Cliente no centro de administração do Exchange ou -FrontEndProxyEnabled $true no Shell de Gerenciamento do Exchange. Nesse caso, o conector de recebimento padrão chamado "Nome> do servidor de caixa de correio front-end< do proxy de saída" no serviço de Transporte front-end escuta o email de saída do serviço de transporte em um servidor de caixa de correio. Para saber mais, confira Configure Send connectors to proxy outbound mail. |
| DNS para resolução de nomes do próximo salto de emails (não representado) | 53/UDP,53/TCP (DNS) | Servidor de Caixa de Correio | Servidor DNS | Consulte a seção Resolução de nomes neste tópico. |
Portas de rede são necessárias para o fluxo de mensagens com servidores de Transporte Edge
Um servidor de Transporte de Borda inscrito instalado em sua rede de perímetro afeta o fluxo de email das seguintes maneiras:
O email de saída da organização exchange nunca flui pelo serviço de Transporte front-end em servidores de caixa de correio. O email sempre flui do serviço de transporte em um servidor de caixa de correio no site do Active Directory inscrito para o servidor de Transporte de Borda (independentemente da versão do Exchange no servidor de Transporte de Borda).
O email de entrada flui do servidor de Transporte do Edge para um servidor de caixa de correio no site do Active Directory inscrito. Especificamente:
O email de um servidor do Exchange 2013 ou posterior do Edge Transport chega primeiro ao serviço de Transporte front-end antes de fluir para o serviço de transporte em um servidor de caixa de correio exchange 2016 ou Exchange 2019.
No Exchange 2016, o email de um servidor do Exchange 2010 Edge Transport sempre entrega emails diretamente para o serviço de transporte em um servidor da Caixa de Correio do Exchange 2016. Observe que não há suporte para coexistência com o Exchange 2010 no Exchange 2019.
Para obter mais informações, consulte Fluxo de email e o pipeline de transporte.
As portas de rede necessárias para fluxo de emails em organizações do Exchange que têm servidores de Transporte de Borda são descritas na tabela e diagrama a seguir.
| Objetivo | Portas | Origem | Destino | Comments |
|---|---|---|---|---|
| Email de entrada - da Internet para o servidor de Transporte de Borda | 25/TCP (SMTP) | Internet (qualquer) | Servidor de Transporte de Borda | O conector de recebimento padrão chamado "Nome padrão do servidor> de transporte de borda do conector< de recebimento interno padrão" no servidor de Transporte de Borda escuta o email SMTP anônimo na porta 25. |
| Email de entrada - do Servidor de Transporte de Borda para a organização interna do Exchange | 25/TCP (SMTP) | Servidor de Transporte de Borda | Servidores de caixa de correio no site Active Directory inscrito | O conector de envio padrão chamado "EdgeSync – Entrada para <o nome> do site do Active Directory" retransmite o email de entrada na porta 25 para qualquer servidor da Caixa de Correio no site do Active Directory inscrito. Para obter mais informações, consulte Enviar conectores criados automaticamente pela Assinatura do Edge. O conector de recebimento padrão chamado "Nome> padrão do servidor da caixa de correio front-end<" no serviço de Transporte front-end no servidor da caixa de correio escuta todos os emails de entrada (incluindo emails do Exchange 2013 ou posteriores servidores de Transporte de Borda) na porta 25. |
| Email de saída - da organização interna do Exchange para o Servidor de Transporte de Borda | 25/TCP (SMTP) | Servidores de caixa de correio no site Active Directory inscrito | Servidores de Transporte de Borda | O email de saída sempre ignora o serviço de Transporte front-end em servidores de caixa de correio. O email é retransmitido do serviço De transporte em qualquer servidor da Caixa de Correio no site do Active Directory inscrito para um servidor de Transporte de Borda usando o conector Send implícito e invisível da organização que roteia automaticamente o email entre servidores do Exchange na mesma organização. O conector de recebimento padrão chamado "Nome padrão do servidor> de transporte de borda do conector< de recebimento interno padrão" no servidor de Transporte de Borda escuta o email SMTP na porta 25 do serviço De transporte em qualquer servidor de caixa de correio no site do Active Directory inscrito. |
| Email de saída – Servidor de Transporte de Borda para a Internet | 25/TCP (SMTP) | Servidor de Transporte de Borda | Internet (qualquer) | O conector de envio padrão chamado "EdgeSync – <Nome> do site do Active Directory para Internet" retransmite o email de saída na porta 25 do servidor de Transporte de Borda para a Internet. |
| Sincronização EdgeSync | 50636/TCP (LDAP seguro) | Servidores de caixa de correio no site do Active Directory inscrito para participar da sincronização EdgeSync | Servidores de Transporte de Borda | Quando o servidor de Transporte do Edge é inscrito no site do Active Directory, todos os servidores de caixa de correio que existem no site no momento participam da sincronização do EdgeSync. No entanto, todos os servidores de caixa de correio que você adicionar posteriormente não participam automaticamente da sincronização do EdgeSync. |
| DNS para resolução de nomes do próximo salto de emails (não representado) | 53/UDP,53/TCP (DNS) | Servidor de Transporte de Borda | Servidor DNS | Consulte a seção Resolução de nomes mais adiante neste tópico. |
| Abrir a detecção do servidor proxy na reputação do remetente (não retratado) | ver comentários | Servidor de Transporte de Borda | Internet | Por padrão, a reputação do remetente (o agente de Análise de Protocolo) usa a detecção aberta do servidor proxy como um dos critérios para calcular o nível de reputação do remetente (SRL) do servidor de mensagens de origem. Para mais informações, consulte Reputação do remetente e o agente de análise de protocolo. A detecção de servidor proxy aberto usa os seguintes protocolos e portas TCP para testar servidores de mensagens de origem para proxy aberto:
Além disso, se sua organização usar um servidor proxy para controlar o tráfego de saída da Internet, você precisará definir o nome do servidor proxy, o tipo e a porta TCP que a reputação do remetente exige para acessar a Internet para detecção aberta do servidor proxy. Como alternativa, você pode desabilitar a detecção aberta do servidor proxy na reputação do remetente. Para saber mais, consulte Procedimentos de reputação do remetente. |
Resolução do nome
A resolução de DNS do próximo salto de email é uma parte fundamental do fluxo de emails em qualquer organização do Exchange. Os servidores Exchange responsáveis por receber emails de entrada ou entregar emails de saída devem ser capazes de resolver os nomes de host internos e externos para um roteamento de emails adequado. E todos os servidores internos do Exchange devem ser capazes de resolver nomes de host internos para rotear emails corretamente. Há muitas maneiras diferentes de criar uma infraestrutura DNS, mas o resultado importante é garantir que a resolução de nomes para o próximo salto está funcionando corretamente para todos os seus servidores Exchange.
Portas de rede necessárias para implantações híbridas
As portas de rede necessárias para uma organização que usa o Exchange local e o Microsoft 365 ou Office 365 são abordadas em protocolos de implantação híbrida, portas e pontos de extremidade.
Portas de rede necessárias para mensagens unificadas no Exchange 2016
As portas de rede necessárias para o Unified Messaging no Exchange 2013 e no Exchange 2016 são abordadas no tópico Protocolos, portas e serviços da UM.