Справочник по сетевым портам Exchange. Подключение почтовых клиентов к Microsoft Exchange Server Какие порты нужны для exchange activesync

[Данная статья представляет собой предварительный документ и может быть изменена в будущих выпусках. Пустые разделы включены в качестве заполнителей. Если вы хотите написать отзыв, мы будем рады получить его. Отправьте его нам на электронный адрес [email protected].]

Применимо к: Exchange Server 2016

Сведения о сетевых портах, которые Exchange 2016 использует для клиентского доступа и потока обработки почты.

В этом разделе приведены сведения о сетевых портах, используемых МайкрософтExchange Server 2016 для связи с почтовыми клиентами, почтовыми серверами в Интернете и другими службами, которые расположены вне вашей локальной организации Exchange. Прежде чем начать, обдумайте следующие основные правила.

Мы не поддерживаем ограничение или изменение сетевого трафика между внутренними серверами Exchange Server, между внутренними серверами Exchange Server и внутренними серверами Lync либо Skype для бизнеса или между внутренними серверами Exchange Server и внутренними контроллерами домена Active Directory ни в одном из типов топологий. Если вы используете брандмауэры или сетевые устройства, которые могут ограничить или изменить этот сетевой трафик, необходимо настроить правила, обеспечивающие свободную и неограниченную связь между этими серверами (правила, допускающие входящий и исходящий сетевой трафик на любой порт, включая случайные порты RPC, и любой протокол, который не меняет ни единого бита).

Пограничные транспортные серверы почти всегда находятся в сети периметра, поэтому ожидается, что сетевой трафик между пограничным транспортным сервером и Интернетом, а также между пограничным транспортным сервером и внутренней организацией Exchange будет ограничен. Эти сетевые порты описаны в данном разделе.

Ожидается, что вы ограничите сетевой трафик между внешними клиентами и службами и внутренней организацией Exchange. Также можно ограничить трафик между внутренними клиентами и внутренними серверами Exchange. Эти сетевые порты описаны в данном разделе.

Содержание

Network ports required for clients and services

Network ports required for mail flow (no Edge Transport servers)

Network ports required for mail flow with Edge Transport servers

Network ports required for hybrid deployments

Network ports required for Unified Messaging

Сетевые порты, которые необходимы почтовым клиентам для доступа к почтовым ящикам и другим службам в организации Exchange, описаны на следующей диаграмме и в таблице.

Примечания.

Пунктом назначения для этих клиентов и служб являются службы клиентского доступа на сервере почтовых ящиков. В Exchange 2016 службы клиентского доступа (внешние) и внутренние службы устанавливаются вместе на одном сервере почтовых ящиков. Дополнительные сведения см. в разделе .

Хотя на диаграмме показаны клиенты и службы из Интернета, концепции одинаковы и для внутренних клиентов (например, клиентов в лесу учетных записей, обращающихся к серверам Exchange в лесу ресурсов). Аналогично в таблице нет столбца "Источник", поскольку источником может быть любое внешнее по отношению к организации Exchange местоположение (например, Интернет или лес учетных записей).

Пограничные транспортные серверы не участвуют в сетевом трафике, связанном с этими клиентами и службами.

В начало

Исходящая почта

25/TCP (SMTP)

Сервер почтовых ящиков

Интернет (все)

По умолчанию Exchange не создает соединители отправки, которые позволяют отправлять почту в Интернет. Необходимо создать соединители отправки вручную. Дополнительные сведения см. в разделе .

Исходящая почта (если она передается через внешнюю службу транспорта)

25/TCP (SMTP)

Сервер почтовых ящиков

Интернет (все)

Исходящая почта передается через внешнюю службу транспорта, только если для соединителя отправки включен параметр Прокси через сервер клиентского доступа в Центре администрирования Exchange или параметр -FrontEndProxyEnabled $true в командной консоли Exchange.

В этом случае соединитель получения по умолчанию "Outbound Proxy Frontend " во внешней службе транспорта прослушивает исходящую почту из службы транспорта на сервере почтовых ящиков. Дополнительные сведения см. в статье .

DNS-сервер для разрешения имен следующего перехода почты (не показан на рисунке)

53/UDP, 53/TCP (DNS)

Сервер почтовых ящиков

DNS-сервер

В начало

Подписанный пограничный транспортный сервер, установленный в сети периметра, влияет на поток обработки почты следующим образом:

Исходящая почта из организации Exchange никогда не проходит через внешнюю службу транспорта на серверах почтовых ящиков. Она всегда перенаправляется из службы транспорта на сервере почтовых ящиков подписанного сайта Active Directory на пограничный транспортный сервер (независимо от версии Exchange на пограничном транспортном сервере).

Входящая почта перенаправляется с пограничного транспортного сервера на сервер почтовых ящиков подписанного сайта Active Directory. Это означает следующее:

• Почта с пограничного транспортного сервера Exchange 2016 или Exchange 2013 сначала поступает во внешнюю службу транспорта, а затем перенаправляется в службу транспорта на сервере почтовых ящиков Exchange 2016.

  Почта с пограничного транспортного сервера Exchange 2010 всегда поступает непосредственно в службу транспорта на сервере почтовых ящиков Exchange 2016.

Сетевые порты, необходимые для потока обработки почты в организациях Exchange с пограничными транспортными серверами, описываются на приведенной ниже диаграмме и в таблице.

В начало

Разрешение имен

Разрешение DNS следующего перехода почты является фундаментальной составляющей потока обработки почты в любой организации Exchange. Серверы Exchange, ответственные за получение входящей почты или доставку исходящей, должны иметь возможность разрешать как внутренние, так и внешние имена узлов для правильной маршрутизации почты. Все внутренние серверы Exchange должны иметь возможность разрешать внутренние имена узлов для правильной маршрутизации почты. Существует множество различных способов разработки инфраструктуры DNS, но важный результат - обеспечение правильного разрешения имен для следующего перехода на всех серверах Exchange.

Если вы пытаетесь добавить вашу учетную запись на Outlook.com в другое почтовое приложение, вам могут потребоваться параметры POP, IMAP или SMTP для Outlook.com. Вы можете найти их ниже или по ссылке Настройка POP и IMAP на Outlook.com .

Если вы хотите добавить свою учетную запись Outlook.com на интеллектуальное устройство, например на камеру для защиты домашних компьютеров, вам понадобится пароль приложения. Дополнительные сведения можно найти в статье Добавление учетной записи Outlook.com в другое почтовое приложение или интеллектуальное устройство .

Параметры POP, IMAP и SMTP для Outlook.com

Если вы хотите добавить учетную запись Outlook.com в другую почтовую программу, поддерживающую протокол POP или IMAP, используйте указанные ниже параметры сервера.

Примечания:

Имя сервера IMAP Outlook.Office365.com

Порт IMAP : 993

Метод шифрования IMAP TLS

Outlook.office365.com имя сервера POP

POP-порт : 995

Метод шифрования POP TLS

Имя SMTP-сервера SMTP.Office365.com

Порт SMTP : 587

Метод шифрования SMTP STARTTLS

Включите доступ по протоколу POP в Outlook.com

Если вы хотите получать доступ к почте в Outlook.com по протоколу POP, вам потребуется включить его.

Измените настройки вашего почтового провайдера

Если вы пытаетесь подключить другую учетную запись к Outlook.com с помощью протокола POP, вам может понадобиться изменить некоторые настройки вашего почтового провайдера для того, чтобы наладить подключение, которое могло быть заблокировано.

Для учетных записей Gmail с доступом по протоколу POP, .

Для учетных записей Yahoo с доступом по протоколу POP, выполните указанные ниже действия .

При использовании других провайдеров электронной почты следует обратиться к ним за инструкциями для разблокировки подключения.

Outlook.com Ошибки подключения по протоколу IMAP

Если вы настроили учетную запись Outlook.com как IMAP в нескольких почтовых клиентах, возможно, вы получаете сообщение об ошибке подключения. Мы работаем над исправлением и обновляем эту статью, если у нас есть дополнительные сведения. В настоящее время попробуйте следующее решение:

Если вы используете Outlook.com для доступа к учетной записи, использующей домен, отличный от @live. com, @hotmail. com или @outlook. com, вы не сможете синхронизировать учетные записи по протоколу IMAP. Чтобы устранить эту проблему, удалите подключенную учетную запись IMAP в Outlook.com и перенастройте ее как подключение POP. Инструкции по повторной настройке учетной записи для использования POP можно узнать у поставщика учетной записи электронной почты.

Если вы используете учетную запись GoDaddy, следуйте этим инструкциям, чтобы изменить параметры учетной записи GoDaddy для использования подключения по протоколу POP . Если использование протокола POP не решило проблему, или необходимо включить протокол IMAP (отключен по умолчанию), следует обратиться в службу

Недавно пришлось пилить сервер Microsoft Exchange, а затем прописывать правила на фаерволле для его портов. Так вот перед этим долго пришлось выяснять — какие порты использует Microsoft Exchange для работы. Что-то удалось узнать на форумах, а что-то пришлось проверять и выяснять самому, так что если какой-то используемый порт эксчендж я упустил — пишите в комментариях.

SMTP TCP: 25
The SMTP service uses TCP port 25.

DNS TCP/UDP: 53
DNS listens on port 53. Domain controllers use this port.

HTTP TCP: 80
HTTP Server Port.

POP3 TCP: 110
Post Office Protocol version 3 (POP3).

NNTP TCP: 119
Network News Transfer Protocol (NNTP).

MSRPC TCP/UDP: 135
Microsoft RPC and Locator service — LOC-SRV

IMAP4 TCP: 143
Internet Message Access Protocol (IMAP).

LDAP TCP/UDP: 379
The Site Replication Service (SRS).

LDAP TCP/UPD: 389
Lightweight directory access protocol (LDAP) used by Microsoft Active Directory® directory service, Active Directory Connector, and the Microsoft Exchange Server 5.5 directory.

LDAP TCP/UDP: 390
This is the recommended alternate port to configure the Exchange Server 5.5 LDAP protocol when Exchange Server 5.5 is running on an Active Directory domain controller.

HTTP/SSL TCP: 443
HTTP over SSL.

SMTP/SSL:465
SMTP over SSL. TCP port 465 is reserved by common industry practice for secure SMTP communication using the SSL protocol.

NNTP/SSL TCP: 563
NNTP over SSL.

LDAP/SSL TCP/UDP: 636
LDAP over Secure Sockets Layer (SSL).

LSA TCP: 691
The Microsoft Exchange Routing Engine service (RESvc) listens for routing link state information on this port.

IMAP4/SSL TCP: 993
IMAP4 over SSL.

POP3/SSL TCP: 995
POP3 over SSL.

LDAP TCP: 3268
Global catalog. The Windows 2000 and Windows Server 2003 Active Directory global catalog (a domain controller «role») listens on TCP port 3268.

LDAP/SSLPort TCP: 3269
Global catalog over SSL. Applications that connect to TCP port 3269 of a global catalog server can transmit and receive SSL encrypted data.

Брандмауэры (файрволлы) для почтовых серверов (Exchange Server), порты почтовых серверов, front-end и back-end почтовые серверы, виртуальные серверы SMTP, POP3, IMAP4

Как и любой компьютер, подключенный к Интернету, компьютер, на котором стоит почтовый сервер, необходимо защищать при помощи брандмауэра. При этом варианты установки почтового сервера с точки зрения конфигурации сети могут быть очень разными:

· самый простой вариант - установить почтовый сервер на компьютер, который одновременно является прокси-сервером/брандмауэром, а затем на том интерфейсе, который обращен к Интернету, открыть необходимые порты. Обычно такая схема применяется в небольших организациях;

· еще один вариант - установить почтовый сервер в локальной сети и настроить его работу через прокси-сервер. Для этого можно привязать к почтовому серверу public ip и пропускать его через прокси или воспользоваться средствами типа port mapping на прокси-сервере. На многих прокси-серверах есть специальные мастеры или заранее заготовленные правила для организации такого решения (например, в ISA Server). Такой вариант используется в большинстве организаций.

· еще одна принципиальная возможность - создать DMZ и поместить в нее front -end Exchange Server (такая возможность появилась, начиная с версии 2000) или SMTP Relay на основе другого Exchange Server или, например, sendmail на *nix. Обычно применяется в сетях крупных организаций.

В любом случае для почтового сервера необходимо обеспечить взаимодействие, как минимум, на порту TCP 25 (SMTP ) и UDP 53 (DNS ). Другие порты, которые могут потребоваться Exchange Server в зависимости от конфигурации вашей сети (все - TCP):

· 80 HTTP - для доступа на Web -интерфейс (OWA )

· 88 Kerberos authentication protocol - если используется аутентификация Kerberos (редко);

· 102 MTA .X .400 connector over TCP /IP (если используется коннектор X .400 для связи между группами маршрутизации);

· 110 Post Office Protocol 3 (POP 3) - для доступа клиентов;

· 119 Network News Transfer Protocol (NNTP ) - если используются группы новостей;

· 135 Client /server communication RPC Exchange administration - стандартный порт RPC для удаленного администрирования Exchange стандартными средствами System Manager;

· 143 Internet Message Access Protocol (IMAP) - для доступа клиентов;

· 389 LDAP - для обращения к службе каталогов;

· 443 HTTP (Secure Sockets Layer (SSL )) (и ниже) - те же самые протоколы, защищенные по SSL .

· 563 NNTP (SSL)

· 636 LDAP (SSL)

· 993 IMAP4 (SSL)

· 995 POP3 (SSL)

· 3268 and 3269 - запросы к серверу глобального каталога (поиск по Active Directory и проверка членства в universal groups).

Интерфейс Exchange Server, обращенный внутрь организации, закрывать брандмауэром не имеет смысла - по нему будет происходить взаимодействие с контроллерами домена, утилитами администрирования, системами резервного копирования и т.п. Для интерфейса, открытого в Интернет, рекомендуется оставить порты 53 (если Exchange будет разрешать имена хостов сам, а не перенаправлять запросы на локальный сервер DNS) и 25. Очень часто клиентам необходимо обращаться к своим почтовым ящикам извне (из дома, во время командировки и т.п.). Лучшее решение в этой ситуации - настроить OWA (Web-интерфейс для доступа на Exchange Server, который устанавливается по умолчанию, доступен по адресу http://имя_сервера/exchange) для работы по SSL и открыть доступ только по порту 443. Помимо решений вопросов с безопасной аутентификацией и шифрованием сообщений автоматически решается вопрос с SMTP Relay (об этом позже) и с ситуацией, когда пользователь нечаянно скачивает рабочую электронную почту в папки почтового клиента на домашний компьютер, а потом на работе не может эти сообщения найти (не говоря уже о том, что хранить рабочую почту дома - нарушение безопасности).

Новая возможность, которая появилась в Exchange Server . начиная с версии 2000, возможность использования нескольких виртуальных SMTP и POP3-серверов с разными настройками безопасности. Например, тот SMTP-сервер, который взаимодействует с Интернетом, можно настроить на повышенный режим безопасности и строгие ограничения по доставке, а для SMTP-сервера, с которым работают пользователи внутри организации, использовать максимально производительные и удобные для пользователей настройки.

Необходимо также сказать об определенной путанице в терминологии - очень часто брандмауэрами для Exchange называют системы фильтрации сообщений, которые будут рассмотрены ниже.

Материал из Rosalab Wiki

В этой инструкции описано подключение различных почтовых клиентов к серверу Microsoft Exchange. Цель - получить систему, по функциональности соответствующую Microsoft Outlook.

В примерах используется сервер Microsoft Exchange 2010 (v14.03.0361.001) Service Pack 3 Update RollUp 18. Тестирование производится внутри корпоративной сети. На DNS-серверах указаны внешние почтовые адреса для почтового сервера. На сервере Exchange должны работать:

Важным моментом для успешной работы не-Microsoft-клиентов на Exchange 2010 является проверка подлинности. Посмотреть её параметры можно на сервере Exchange с ролью CAS (Client Access Server). Запустите оснастку «Диспетчер служб IIS» и откройте вкладку «Сайты»/Default Web Site. Обратите внимание на проверку подлинности в трёх компонентах:

• OWA - Состояние «Включён » для «Обычная проверка подлинности » и «Проверка подлинности Windows »:

• OAB - Состояние «Включён » для «Обычная проверка подлинности » и «Проверка подлинности Windows »:

• EWS - Состояние «Включён » для «Анонимная проверка подлинности », «Обычная проверка подлинности » и «Проверка подлинности Windows »:

Некоторые почтовые клиенты не могут напрямую подключаться к Microsoft Exchange и требуют использования прослойки (посредника). В данном примере в качестве посредника используется прокси-сервер DavMail .

• Установите DavMail , получив права администратора при помощи su или sudo:

• Запустите DavMail :

• На вкладке «Main» в поле «OWA (Exchange) URL » введите адрес своего сервера в формате «https:///EWS/Exchange.asmx» или ссылку на OWA

в формате «https:///owa».

• Запомните номера портов «Local IMAP port » и «Local SMTP port ». В данном примере это 1143 и 1025, соответственно.

Чтоб каждый раз не запускать вручную сервер DavMail , нужно добавить его вызов в автозагрузку.

• Зайдите в меню «Параметры системы → Запуск и завершение → Автозапуск », нажмите на кнопку [Добавить приложение ] и в строке поиска введите «davmail», после чего нажмите [ОК ]:

Теперь локальный прокси-сервер DavMail будет запускаться при старте системы автоматически. Если вам мешает его значок в «Панели задач», есть возможность его спрятать. Для этого в файлe .davmail.properties отредактируйте строку davmail.server=false , поменяв false на true:

Sudo mcedit /home//.davmail.properties

Теперь можно приступить к настройке почтовых клиентов.

Mozilla Thunderbird является основным почтовым клиентом для дистрибутивов ROSA Linux и, скорее всего, он уже установлен в вашей системе и готов к работе. Если же нет, его можно установить из репозиториев ROSA. В данном примере используется версия 52.2.1.

• Установите Thunderbird :

• Добавьте русскоязычный интерфейс:

• Установите дополнение lightning, позволяющее использовать календари:

• Запустите Thunderbird .

• В разделе «Учётные записи » в пункте «Создать учётную запись » выберите «Электронная почта ». Появится окно приветствия.

• В открывшемся окне нажмите на кнопку [Пропустить это и использовать мою существующую почту ].

• В окне «Настройка учётной записи почты » введите в поля «Ваше имя », «Адрес эл. почты » и «Пароль » свои учётные данные.

• Нажмите [Продолжить ]. Программа попытается найти подключения (безуспешно), и появится сообщение об ошибке:

Здесь вам понадобятся номера портов, которые вы запомнили при настройке DavMail .

• Для категорий «Входящая » и «Исходящая » измените имя сервера на «localhost».
• Укажите для «IMAP » порт 1143, а для «SMTP » - порт 1025.
• В поле «Имя пользователя » укажите UPN (User Principal Name) - доменное имя пользователя в формате «ИмяПользователя@ДоменОрганизации.ru».
• Нажмите на кнопку [Перетестировать ].

При правильном вводе учётных данных ошибок не будет. Возможно, система сообщит о необходимости принять сертификат сервера Exchange. Если этого не происходит, возможно вы слишком рано выключили интерфейс DavMail .

• В категории «Учётные записи » выберите пункт «Создать новый календарь ».
• В появившемся окне выберите значение «В сети » и нажмите [Далее ].
• Выберите формат «CalDAV » и в поле «Адрес » введите «http://localhost:1080/users/ /calendar»:

Адресная книга Thunderbird не поддерживает протокол CardDAV и может быть подключена только к каталогу LDAP сервера Exchange.

• Откройте существующие адресные книги, нажав на кнопку [Адресная книга ] и выбрав пункт «Файл → Создать → Каталог LDAP ».

• В окне мастера укажите следующие параметры:
  • Название - любое подходящее имя
  • Имя сервера - localhost
  • Корневой элемент (Base DN) - ou=people
  • Порт - 1389 (из Davmail )
  • Имя пользователя (Bind DN) - UPN-имя пользователя

• Нажмите [ОК ]. Программа попросит ввести пароль.

• Зайдите в меню параметров Thunderbird . В категории «Составление » выберите вкладку «Адресация » и под текстом «При вводе адреса искать подходящие почтовые адреса в» отметьте пункт «Сервере каталогов », выбрав имя вашей адресной книги.

В репозиториях ROSA также доступен почтовый клиент Evolution (в данном примере используется версия 3.16.4).

• Установите Evolution :

• Установите коннектор Exchange , совместимый с версией 2007 и более поздними:

• Запустите Evolution .

• В окне мастера нажимайте кнопку [Следующая ], пока не перейдёте на вкладку «Учётная запись ».
• Заполните поля «Полное имя » и «Электронная почта ».
• На вкладке «Получение почты » в списке «Тип сервера » выберите «Exchange Web Services».
• В качестве имени укажите UPN-имя пользователя в формате «ИмяПользователя@ВашДомен.ru».
• В поле «Host URL » введите «https://ИмяПочтовогоСервераExchange/EWS/Exchange.asmx .
• В поле «OAB URL » введите URL автономной адресной книги.
• В качестве вида аутентификации выберите «Basic».

При успешной настройке программа запросит пароль:

После ввода пароля Evolution получит доступ к вашему почтовому ящику, адресной книге и календарям.

По любым вопросам, связанным с этой статьёй, просьба обращаться по адресу [email protected].