适用于:Exchange Server 2016
了解由 Exchange 2016 用于客户端访问和邮件流的网络端口。
本主题提供有关 MicrosoftExchange Server 2016 用于与电子邮件客户端、Internet 邮件服务器以及本地 Exchange 组织的其他外部服务进行通信的网络端口的信息。在深入介绍之前,请了解以下基本规则:
-
我们不支持限制或更改内部 Exchange 服务器之间或内部 Exchange 服务器与内部 Lync 或 Skype for Business 服务器之间或所有类型的拓扑中的内部 Exchange 服务器与内部 Active Directory 域控制器之间的网络通信。如果你有防火墙或可能会限制或改变上述网络通信的网络设备,需要配置规则,允许这些服务器之间的可用/不受限制的通信(允许任意端口(包括随机 RPC 端口)上的传入和传出网络流量的规则,以及永远不会改变网络上位数的任何协议)。
-
边缘传输服务器几乎始终位于外围网络中,因此您应该可以限制边缘传输服务器和 Internet 之间,以及边缘传输服务器和内部 Exchange 组织之间的网络流量。本主题介绍了这些网络端口。
-
您可以限制外部客户端和服务与内部 Exchange 组织之间的网络流量。您也可以决定限制内部客户端和内部 Exchange 服务器之间的网络流量。本主题介绍了这些网络端口。
目录
下列图表中介绍了电子邮件客户端访问邮箱和 Exchange 组织中其他服务所需的网络端口。
注意:
-
这些客户端和服务的目标是邮箱服务器上的客户端访问服务。在 Exchange 2016 中,客户端访问(前端)和后端服务一起安装在同一邮箱服务器上。有关详细信息,请参阅客户端访问协议体系结构。
-
虽然图中显示来自 Internet 的客户端和服务,但内部客户端的概念都是相同的(例如,帐户林中的客户端访问资源林中的 Exchange 服务器)。同样,表中没有源列,因为源可能是 Exchange 组织外部的任何位置(例如,Internet 或帐户林)。
-
边缘传输服务器不涉及与这些客户端和服务相关的网络流量。
| 用途 | 端口 | 注释 |
|---|---|---|
|
下列客户端和服务使用加密的 Web 连接:
|
443/TCP (HTTPS) |
有关这些客户端和服务的详细信息,请参阅下列主题: |
|
下列客户端和服务使用未加密的 Web 连接:
|
80/TCP (HTTP) |
如果可能,建议对 443/TCP 使用加密的 Web 连接以帮助保护数据和凭据。但是,你可能会发现必须将某些服务配置为对邮箱服务器上客户端访问服务的 80/TCP 使用未加密的 Web 连接。 有关这些客户端和服务的详细信息,请参阅下列主题: |
|
IMAP4 客户端 |
143/TCP (IMAP)、993/TCP(安全 IMAP) |
默认情况下 IMAP4 处于禁用状态。有关详细信息,请参阅 POP3 和 IMAP4 在交换 2016。 邮箱服务器上客户端访问服务中的 IMAP4 服务负责将连接代理到邮箱服务器上的 IMAP4 后端服务。 |
|
POP3 客户端 |
110/TCP (POP3)、995/TCP(安全 POP3) |
默认情况下 POP3 处于禁用状态。有关详细信息,请参阅 POP3 和 IMAP4 在交换 2016。 邮箱服务器上客户端访问服务中的 POP3 服务负责将连接代理到邮箱服务器上的 POP3 后端服务。 |
|
SMTP 客户端(已经过身份验证) |
587/TCP(通过身份验证的 SMTP) |
前端传输服务中名为“客户端前端 <Server name>”的默认接收连接器会侦听端口 587 上已通过身份验证的 SMTP 客户端提交。 注意: 如果您有的邮件客户端只能在端口 25 上提交经过身份验证的 SMTP 邮件,可以修改此接收连接器的网络适配器绑定值,以便还侦听端口 25 上经过身份验证的 SMTP 邮件提交。 |
邮件传入和传出您的 Exchange 组织的方式取决于您的 Exchange 拓扑。最重要的因素是您是否已在外围网络中部署订阅的边缘传输服务器。
在仅具有邮箱服务器的 Exchange 组织中,邮件流所需的网络端口如下列图表中所示。
| 用途 | 端口 | 源 | 目标 | 注释 |
|---|---|---|---|---|
|
入站邮件 |
25/TCP (SMTP) |
Internet(任何) |
邮箱服务器 |
前端传输服务中名为“默认前端 <Mailbox server name>”的默认接收连接器会在端口 25 上侦听匿名的入站 SMTP 邮件。 使用隐式和不可见的组织内部发送连接器将邮件从邮箱上的前端传输服务中继到传输服务,此连接器可在同一组织中的 Exchange 服务器之间自动路由邮件。有关详细信息,请参阅隐式发送连接器。 |
|
出站邮件 |
25/TCP (SMTP) |
邮箱服务器 |
Internet(任何) |
默认情况下,Exchange 不会创建任何发送连接器允许您将邮件发送到 Internet。您必须手动创建发送连接器。有关详细信息,请参阅创建发送连接器,将邮件发送到 Internet。 |
|
出站邮件(如果通过前端传输服务代理) |
25/TCP (SMTP) |
邮箱服务器 |
Internet(任何) |
仅当使用 Exchange 管理中心 中的“通过客户端访问服务器的代理”或通过 Exchange 命令行管理程序 中的 在这种情况下,前端传输服务中名为“出站代理前端 <Mailbox server name>”的默认接收连接器会侦听来自邮箱服务器上传输服务的出站邮件。有关详细信息,请参阅配置发送连接器以代理出站邮件。 |
|
用于下一个邮件跃点的名称解析的 DNS(未显示在图中) |
53/UDP、53/TCP (DNS) |
邮箱服务器 |
DNS 服务器 |
请参阅名称解析部分。 |
在外围网络中安装的已订阅边缘传输服务器会在以下方面影响邮件流:
-
来自 Exchange 组织的出站邮件永远不会流经邮箱服务器上的前端传输服务。邮件始终从订阅的 Active Directory 网站中的邮箱服务器上的传输服务流到边缘传输服务器(不考虑边缘传输服务器上的 Exchange 版本)。
-
入站邮件从边缘传输服务器流向订阅的 Active Directory 网站中的邮箱服务器。具体来说:
-
来自 Exchange 2016 或 Exchange 2013 边缘传输服务器的邮件首先到达前端传输服务,然后流向 Exchange 2016 邮箱服务器上的传输服务。
-
来自 Exchange 2010 边缘传输服务器的邮件始终直接向 Exchange 2016 邮箱服务器上的传输服务传递邮件。
-
有关详细信息,请参阅邮件流和传输管道。
对于具有边缘传输服务器的 Exchange 组织,邮件流所需的网络端口如下列图表中所示。
| 用途 | 端口 | 源 | 目标 | 注释 | ||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
入站邮件 - 从 Internet 到边缘传输服务器 |
25/TCP (SMTP) |
Internet(任何) |
边缘传输服务器 |
边缘传输服务器上名为“默认内部接收连接器 <边缘传输服务器名称>”的默认接收连接器会侦听端口 25 上的匿名 SMTP 邮件。 |
||||||||
|
入站邮件 - 从边缘传输服务器到内部 Exchange 组织 |
25/TCP (SMTP) |
边缘传输服务器 |
订阅的 Active Directory 站点中的邮箱服务器 |
默认的“EdgeSync - 入站到 <Active Directory site name>”发送连接器会将端口 25 上的入站邮件中继到订阅的 Active Directory 站点中的任意邮箱服务器。有关详细信息,请参阅由边缘订阅自动创建的发送连接器。 邮箱服务器上前端传输服务中名为“默认前端 <Mailbox server name>”的默认接收连接器会侦听端口 25 上的所有入站邮件(包括来自 Exchange 2016 和 Exchange 2013 边缘传输服务器的邮件)。 |
||||||||
|
出站邮件 - 从内部 Exchange 组织到边缘传输服务器 |
25/TCP (SMTP) |
订阅的 Active Directory 站点中的邮箱服务器 |
边缘传输服务器 |
出站邮件始终绕过邮箱服务器上的前端传输服务。 邮件使用隐式和不可见的组织内部发送连接器从订阅的 Active Directory 站点中的任意邮箱服务器上的传输服务中继到边缘传输服务器,此连接器可在同一组织中的 Exchange 服务器之间自动路由邮件。 边缘传输服务器上的“默认内部接收连接器 <Edge Transport server name>”默认接收连接器会侦听端口 25 上发送自订阅的 Active Directory 站点中任意邮箱服务器上的传输服务的 SMTP 邮件。 |
||||||||
|
出站邮件 - 从边缘传输服务器到 Internet |
25/TCP (SMTP) |
边缘传输服务器 |
Internet(任何) |
名为“EdgeSync - <Active Directory 站点名称> 到 Internet”的默认发送连接器会将端口 25 上的出站邮件从边缘传输服务器中继到 Internet。 |
||||||||
|
EdgeSync 同步 |
50636/TCP(安全 LDAP) |
订阅的 Active Directory 站点中参与 EdgeSync 同步的邮箱服务器 |
边缘传输服务器 |
当边缘传输服务器订阅 Active Directory 站点时,站点中的所有现有邮箱服务器都会参与 EdgeSync 同步。但是,您以后添加的任何邮箱服务器不会自动参与 EdgeSync 同步。 |
||||||||
|
用于下一个邮件跃点的名称解析的 DNS(未显示在图中) |
53/UDP、53/TCP (DNS) |
边缘传输服务器 |
DNS 服务器 |
请参阅名称解析部分。 |
||||||||
|
发件人信誉中的开放代理服务器检测(无图示) |
请参阅注释 |
边缘传输服务器 |
Internet |
默认情况下,发件人信誉(协议分析代理)使用开放代理服务器检测作为一个标准来计算源邮件服务器的发件人信誉级别 (SRL)。有关详细信息,请参阅发件人信誉和协议分析代理。 开放代理服务器检测使用下列协议和 TCP 端口来测试开放代理的源邮件服务器:
此外,如果你的组织使用代理服务器来控制出站 Internet 通信,则需要定义代理服务器名称、类型及发件人信誉访问 Internet 以检测开放代理服务器所需的 TCP 端口。 或者,可以在发件人信誉中禁用开放代理服务器检测。 有关详细信息,请参阅发件人信誉过程。 |
在任何 Exchange 组织中,下一个邮件跃点的 DNS 解析都是邮件流的基本组成部分。负责接收入站邮件或传递出站邮件的 Exchange 服务器必须能够解析内部和外部主机名,以确保正确的邮件路由。所有内部 Exchange 服务器都必须能够解析内部主机名,以确保正确的邮件路由。有很多不同设计 DNS 基础结构的方法,但重要的结果是确保下一个跃点的名称解析对您的所有 Exchange 服务器均运行正常。
对于同时使用本地 Exchange 和 MicrosoftOffice 365 的组织,所需的网络端口如混合部署先决条件中的“混合部署协议、端口和终结点”部分所述。
主题 UM 协议、端口和服务中包含统一消息所需的网络端口。
