Exchange 2013 中客户端和邮件流的网络端口
适用于:Exchange Server 2013
本主题提供有关 Microsoft Exchange Server 2013 用于与电子邮件客户端、Internet 邮件服务器以及本地 Exchange 组织外部的其他服务进行通信的网络端口的信息。 在深入介绍之前,请了解以下基本规则:
我们不支持限制或更改内部 Exchange 服务器之间或内部 Exchange 服务器与内部 Lync 或 Skype for Business 服务器之间或所有类型的拓扑中的内部 Exchange 服务器与内部 Active Directory 域控制器之间的网络通信。 如果防火墙或网络设备可能会限制或更改此类网络流量,则需要配置允许这些服务器之间自由和无限制通信的规则 (规则,这些规则允许任何端口上的传入和传出网络流量 (包括随机 RPC 端口) 以及任何从不更改线路) 位的协议。
边缘传输服务器几乎始终位于外围网络中,因此您应该可以限制边缘传输服务器和 Internet 之间,以及边缘传输服务器和内部 Exchange 组织之间的网络流量。 本主题介绍了这些网络端口。
您可以限制外部客户端和服务与内部 Exchange 组织之间的网络流量。 您也可以决定限制内部客户端和内部 Exchange 服务器之间的网络流量。 本主题介绍了这些网络端口。
客户端和服务所需的网络端口
下列图表中介绍了电子邮件客户端访问邮箱和 Exchange 组织中其他服务所需的网络端口。
说明:
这些客户端和服务的目标是客户端访问服务器。 这可能是独立的客户端访问服务器,也可能是安装在同一台计算机上的客户端访问服务器和邮箱服务器。
虽然图中显示来自 Internet 的客户端和服务,但内部客户端的概念都是相同的(例如,帐户林中的客户端访问资源林中的 Exchange 服务器)。 同样,表中没有源列,因为源可能是 Exchange 组织外部的任何位置(例如,Internet 或帐户林)。
边缘传输服务器不涉及与这些客户端和服务相关的网络流量。
.png)
| 用途 | 端口 | Comments |
|---|---|---|
下列客户端和服务使用加密的 Web 连接:
|
443/TCP (HTTPS) | 有关这些客户端和服务的详细信息,请参阅下列主题: |
下列客户端和服务使用未加密的 Web 连接:
|
80/TCP (HTTP) | 如果可能,建议对 443/TCP 使用加密的 Web 连接以帮助保护数据和凭据。 但是,您可能会发现必须将某些服务配置为对客户端访问服务器上的 80/TCP 使用未加密的 Web 连接。 有关这些客户端和服务的详细信息,请参阅下列主题: |
| IMAP4 客户端 | 143/TCP (IMAP)、993/TCP(安全 IMAP) | 默认情况下 IMAP4 处于禁用状态。 有关详细信息,请参阅 >2013 Exchange Server 中的 POP3 和 IMAP4。 客户端访问服务器上的 IMAP4 服务负责将连接代理到邮箱服务器上的 IMAP4 后端服务。 |
| POP3 客户端 | 110/TCP (POP3)、995/TCP(安全 POP3) | 默认情况下 POP3 处于禁用状态。 有关详细信息,请参阅 >2013 Exchange Server 中的 POP3 和 IMAP4。 客户端访问服务器上的 POP3 服务负责将连接代理到邮箱服务器上的 POP3 后端服务。 |
| SMTP 客户端(已经过身份验证) | 587/TCP(通过身份验证的 SMTP) | 名为“客户端前端 <服务器名称>”的默认接收连接器侦听客户端访问服务器上端口 587 上经过身份验证的 SMTP 客户端提交。 注意:如果邮件客户端只能在端口 25 上提交经过身份验证的 SMTP 邮件,则可以修改此接收连接器的网络适配器绑定值,以同时侦听端口 25 上的经过身份验证的 SMTP 邮件提交。 |
邮件流所需的网络端口
邮件传入和传出您的 Exchange 组织的方式取决于您的 Exchange 拓扑。 最重要的因素是您是否已在外围网络中部署订阅的边缘传输服务器。
邮件流所需的网络端口(没有边缘传输服务器)
对于仅具有客户端访问服务器和邮箱服务器的 Exchange 组织,邮件流所需的网络端口如下列图表中所示。 尽管图中显示了单独的邮箱服务器和客户端访问服务器,无论客户端访问服务器和邮箱服务器安装在同一台计算机上还是在不同计算机上,概念是相同的。
.png "邮件流所需的网络端口 (没有边缘传输服务器)")
| 用途 | 端口 | Source | 目标 | Comments |
|---|---|---|---|---|
| 入站邮件 | 25/TCP (SMTP) | Internet(任何) | 客户端访问服务器 | 客户端访问服务器上名为“默认前端 <客户端访问服务器名称>”的默认接收连接器侦听端口 25 上的匿名入站 SMTP 邮件。 邮件使用隐式和不可见的组织内部发送连接器从客户端访问服务器中继到邮箱服务器,此连接器可在同一组织中的 Exchange 服务器之间自动路由邮件。 |
| 出站邮件 | 25/TCP (SMTP) | 邮箱服务器 | Internet(任何) | 默认情况下,Exchange 不会创建任何发送连接器允许您将邮件发送到 Internet。 您必须手动创建发送连接器。 有关详细信息,请参阅发送连接器。 |
| 出站邮件(如果通过客户端访问服务器路由) | 25/TCP (SMTP) | 客户端访问服务器 | Internet(任何) | 仅当在 Exchange 管理中心或 -FrontEndProxyEnabled $true Exchange 命令行管理程序中使用通过客户端访问服务器配置了代理的发送连接器时,出站邮件才通过客户端访问服务器进行路由。 在这种情况下,客户端访问服务器上名为“出站代理前端 <客户端访问服务器名称>”的默认接收连接器侦听来自邮箱服务器的出站邮件。 有关详细信息,请参阅为发送到 Internet 的电子邮件创建发送连接器。 |
| 用于下一个邮件跃点的名称解析的 DNS(未显示在图中) | 53/UDP、53/TCP (DNS) | 面向 Internet 的 Exchange 服务器(客户端访问服务器或邮箱服务器) | DNS 服务器 | 请参阅名称解析部分。 |
邮件流所需的网络端口(具有边缘传输服务器)
安装在外围网络中的订阅边缘传输服务器基本上消除了通过客户端访问服务器的 SMTP 邮件流。 具体来说:
来自 Exchange 组织的出站邮件永远不会流经客户端访问服务器。 邮件始终从订阅的 Active Directory 网站中的邮箱服务器流到边缘传输服务器(不论边缘传输服务器上的 Exchange 版本如何)。
入站邮件永远不会流经独立的客户端访问服务器。 邮件从边缘传输服务器流向订阅的 Active Directory 网站中的邮箱服务器。 如果邮箱服务器和客户端访问服务器安装在同一台计算机上,则来自 Exchange 2013 边缘传输服务器的邮件将先到达计算机上的前端传输服务(客户端访问服务器角色),然后再流向传输服务(邮箱服务器角色)。 Exchange 2007 或 Exchange 2010 边缘传输服务器始终将邮件直接传递到传输服务,即使邮箱服务器和客户端访问服务器安装在同一台计算机上也是如此。
有关详细信息,请参阅邮件流。
对于具有边缘传输服务器的 Exchange 组织,邮件流所需的网络端口如下列图表中所示。 除非另有说明,无论客户端访问服务器和邮箱服务器安装在同一台计算机上还是在不同计算机上,概念是相同的。
.png "使用边缘传输服务器的邮件流所需的网络端口")
| 用途 | 端口 | Source | 目标 | Comments |
|---|---|---|---|---|
| 入站邮件 - 从 Internet 到边缘传输服务器 | 25/TCP (SMTP) | Internet(任何) | 边缘传输服务器 | 边缘传输服务器上名为“默认内部接收连接器边缘传输服务器名称>”的默认接收连接器<侦听端口 25 上的匿名 SMTP 邮件。 |
| 入站邮件 - 从边缘传输服务器到内部 Exchange 组织 | 25/TCP (SMTP) | 边缘传输服务器 | 订阅的 Active Directory 站点中的邮箱服务器 | 名为“EdgeSync - 入站到 <Active Directory 站点名称>”的默认发送连接器将端口 25 上的入站邮件中继到订阅的 Active Directory 站点中的任何邮箱服务器。 有关详细信息,请参阅边缘订阅主题中的"在边缘订阅过程中创建的发送连接器"部分。 实际接收邮件的服务取决于邮箱服务器和客户端访问服务器安装在同一台计算机上还是不同计算机上。
|
| 出站邮件 - 从内部 Exchange 组织到边缘传输服务器 | 25/TCP (SMTP) | 订阅的 Active Directory 站点中的邮箱服务器 | 边缘传输服务器 | 出站邮件将始终绕过客户端访问服务器。 邮件使用隐式和不可见的组织内部发送连接器从订阅的 Active Directory 站点中的任意邮箱服务器中继到边缘传输服务器,此连接器可在同一组织中的 Exchange 服务器之间自动路由邮件。 边缘传输服务器上名为“默认内部接收连接器边缘传输服务器名称>”的默认接收连接器<从订阅的 Active Directory 站点中的任何邮箱服务器侦听端口 25 上的 SMTP 邮件。 |
| 出站邮件 - 从边缘传输服务器到 Internet | 25/TCP (SMTP) | 边缘传输服务器 | Internet(任何) | 名为“EdgeSync - <Active Directory 站点名称> 到 Internet”的默认发送连接器将端口 25 上的出站邮件从边缘传输服务器中继到 Internet。 |
| EdgeSync 同步 | 50636/TCP(安全 LDAP) | 订阅的 Active Directory 站点中参与 EdgeSync 同步的邮箱服务器 | 边缘传输服务器 | 当边缘传输服务器订阅 Active Directory 站点时,站点中的所有现有邮箱服务器都会参与 EdgeSync 同步。 但是,您以后添加的任何邮箱服务器不会自动参与 EdgeSync 同步。 |
| 用于下一个邮件跃点的名称解析的 DNS(未显示在图中) | 53/UDP、53/TCP (DNS) | 边缘传输服务器 | DNS 服务器 | 请参阅名称解析部分。 |
| 发件人信誉的代理服务器定义(无图示) | 用户定义 | 边缘传输服务器 | Internet | 发件人信誉(协议分析代理)会分析入站的邮件路径以减少垃圾邮件。 如果您的组织使用代理服务器控制对 Internet 的访问,您需要定义关于代理服务器的详细信息,以便发件人信誉正常运行(尤其是在开放式代理检测和发件人阻止中)。 在 Set-SenderReputationConfig cmdlet 上使用 ProxyServerName、ProxyServerPort 和 ProxyServerType 参数来定义组织的代理服务器,以便发件人信誉可以成功连接到 Internet。 有关详细信息,请参阅 管理发件人信誉。 |
名称解析
在任何 Exchange 组织中,下一个邮件跃点的 DNS 解析都是邮件流的基本组成部分。 负责接收入站邮件或传递出站邮件的 Exchange 服务器必须能够解析内部和外部主机名,以确保正确的邮件路由。 所有内部 Exchange 服务器都必须能够解析内部主机名,以确保正确的邮件路由。 有很多不同设计 DNS 基础结构的方法,但重要的结果是确保下一个跃点的名称解析对您的所有 Exchange 服务器均运行正常。
混合部署所需的网络端口
混合部署先决条件中的“混合部署协议、端口和终结点”部分介绍了同时使用 Exchange 2013 和 Microsoft 365 或 Office 365 的组织所需的网络端口。
统一消息所需的网络端口
以下主题中包含统一消息所需的网络端口: