Firewall per server di posta (Exchange Server), porte per server di posta, server di posta front-end e back-end, server virtuali SMTP, POP3, IMAP4
Come con qualsiasi computer connesso a Internet, il computer che ospita il server di posta deve essere protetto con un firewall. Allo stesso tempo, le opzioni per l'installazione di un server di posta in termini di configurazione di rete possono essere molto diverse:
· L'opzione più semplice è installare il server di posta su un computer che è anche un server proxy/firewall, quindi aprire le porte necessarie sull'interfaccia che si affaccia su Internet. Questo è di solito il caso delle piccole organizzazioni;
Un'altra opzione è installare il server di posta in rete locale e configuralo per funzionare tramite un server proxy. Per fare ciò, puoi associare un IP pubblico al server di posta e passarlo attraverso il proxy, oppure utilizzare strumenti come la mappatura delle porte sul server proxy. Molti server proxy dispongono di procedure guidate speciali o regole predefinite per organizzare tale soluzione (ad esempio, in ISA Server). Questa opzione è utilizzata nella maggior parte delle organizzazioni.
· Un'altra possibilità fondamentale è creare una DMZ e collocarvi un Exchange Server front-end (questa possibilità è apparsa dalla versione 2000) o SMTP Relay basato su un altro Exchange Server o, ad esempio, sendmail su * nix. Solitamente utilizzato nelle reti di grandi organizzazioni.
In ogni caso, il server di posta deve comunicare almeno sulla porta TCP 25 (SMTP) e UDP 53 (DNS). Altre porte che potrebbero essere richieste da Exchange Server a seconda della configurazione di rete (sono tutte TCP):
80 HTTP - per l'accesso all'interfaccia Web (OWA)
· 88 Protocollo di autenticazione Kerberos — se viene utilizzata l'autenticazione Kerberos (raramente);
· Connettore 102 MTA .X .400 su TCP/IP (se il connettore X .400 è utilizzato per la comunicazione tra gruppi di routing);
· 110 Post Office Protocol 3 (POP 3) - per l'accesso dei clienti;
· 119 Network News Transfer Protocol (NNTP) - se vengono utilizzati i newsgroup;
· 135 Comunicazione client/server Amministrazione RPC Exchange - porta RPC standard per l'amministrazione remota di Exchange utilizzando strumenti standard di System Manager;
· 143 Protocollo di accesso ai messaggi Internet (IMAP) - per l'accesso del cliente;
· 389 LDAP - per accedere al servizio di directory;
· 443 HTTP (Secure Sockets Layer (SSL)) (e sotto) - gli stessi protocolli protetti su SSL.
563 NNTP (SSL)
636 LDAP (SSL)
993 IMAP4 (SSL)
995 POP3 (SSL)
· 3268 e 3269 - interrogano il server di catalogo globale (cerca in Active Directory e controlla l'appartenenza ai gruppi universali).
Non ha senso coprire l'interfaccia di Exchange Server rivolta verso l'interno dell'organizzazione con un firewall: verrà utilizzato per interagire con controller di dominio, utilità di amministrazione, sistemi Copia di riserva eccetera. Per un'interfaccia aperta a Internet, si consiglia di lasciare le porte 53 (se Exchange risolverà autonomamente i nomi host, piuttosto che reindirizzare le richieste al server DNS locale) e 25. Molto spesso, i client devono accedere alle proprie caselle di posta dall'esterno (da casa, durante un viaggio di lavoro, ecc. ecc.). La soluzione migliore in questa situazione è configurare OWA (l'interfaccia Web predefinita per l'accesso a Exchange Server, disponibile all'indirizzo http: // servername / exchange) per lavorare su SSL e aprire l'accesso solo sulla porta 443. Oltre a risolvere i problemi con la protezione l'autenticazione e la crittografia dei messaggi risolvono automaticamente il problema con l'inoltro SMTP (ne parleremo più avanti) e con la situazione in cui un utente scarica accidentalmente la posta elettronica di lavoro nelle cartelle del client di posta sul suo computer di casa e quindi al lavoro non riesce a trovare questi messaggi ( per non parlare dell'archiviazione della posta di lavoro a casa è una violazione della sicurezza).
Nuova funzionalità introdotta in Exchange Server. a partire dalla versione 2000, la possibilità di utilizzare più server virtuali SMTP e POP3 con diverse impostazioni sicurezza. Ad esempio, il server SMTP che interagisce con Internet può essere configurato per una maggiore sicurezza e restrizioni di consegna rigorose, e il server SMTP che gli utenti utilizzano all'interno dell'organizzazione può essere configurato con le impostazioni più efficienti e intuitive.
C'è anche una certa confusione nella terminologia: molto spesso i sistemi di filtraggio dei messaggi sono chiamati firewall per Exchange, di cui parleremo di seguito.
Si applica a: Exchange Server 2010 SP1
La sezione è stata modificata l'ultima volta: 2011-04-22
Questa sezione fornisce informazioni su porta, autenticazione e crittografia per tutti i percorsi dati utilizzati in Microsoft Exchange Server 2010. La sezione Note dopo ogni tabella chiarisce o identifica metodi di autenticazione o crittografia non standard.
Server di trasporto
In Exchange 2010, esistono due ruoli del server che forniscono la funzionalità di trasporto dei messaggi: Trasporto Hub e Trasporto Edge.
La tabella seguente fornisce informazioni su porte, autenticazione e crittografia del percorso dati tra questi server di trasporto e altri server e servizi di Exchange 2010.
Percorsi dati per server di trasporto
| Percorso dati | Porte richieste | Supporto per la crittografia | |||
|---|---|---|---|---|---|
|
Tra due server Trasporto Hub |
Sì, tramite TLS (Transport Layer Security) |
||||
|
Dal server Hub Transport al server Edge Transport |
Fiducia diretta |
Fiducia diretta |
Sì, utilizzando TLS |
||
|
Da un server Trasporto Edge a un server Trasporto Hub |
Fiducia diretta |
Fiducia diretta |
Sì, utilizzando TLS |
||
|
Tra due server Trasporto Edge |
Anonimo, autenticazione del certificato |
Utilizzo anonimo di un certificato |
Sì, utilizzando TLS |
||
|
Da un server Cassette postali al servizio di invio posta di Microsoft Exchange |
NTLM. Se il ruolo del server Trasporto Hub e il ruolo del server Cassette postali sono in esecuzione sullo stesso server, viene utilizzato Kerberos. |
Sì, utilizzando la crittografia RPC |
|||
|
Trasporto Hub al server di cassette postali tramite MAPI |
NTLM. Se il ruolo del server Trasporto Hub e il ruolo del server Cassette postali sono installati sullo stesso server, viene utilizzato Kerberos. |
Sì, utilizzando la crittografia RPC |
|||
|
Sì, utilizzando TLS |
|||||
|
Servizio Microsoft Exchange EdgeSync dal server Trasporto Hub al server Trasporto Edge |
Sì, utilizzando LDAP su SSL (LDAPS) |
||||
|
Accesso ad Active Directory da un server Trasporto Hub |
|||||
|
Accesso ad Active Directory Rights Management Services (AD RMS) da un server Trasporto Hub |
Sì, con SSL |
||||
|
Client SMTP a un server Trasporto Hub (ad esempio, utenti finali che utilizzano Windows Live Mail) |
Sì, utilizzando TLS |
Note sul server di trasporto
- Tutto il traffico tra i server Trasporto Hub viene crittografato utilizzando TLS e i certificati autofirmati installati dal programma di installazione di Exchange 2010.
- Tutto il traffico tra i server Trasporto Edge e Trasporto Hub viene autenticato e crittografato. Il mutuo TLS viene utilizzato come meccanismo di autenticazione e crittografia. Invece dell'autenticazione X.509, Exchange 2010 utilizza fiducia diretta... Trust diretto significa che la presenza di un certificato in Active Directory o Active Directory Lightweight Directory Services (AD LDS) convalida l'autenticità del certificato. Active Directory è considerato un motore di archiviazione affidabile. Quando si utilizza l'attendibilità diretta, non importa se si utilizza un certificato autofirmato o un certificato firmato da un'autorità di certificazione. Quando un server Trasporto Edge si iscrive a un'organizzazione di Exchange, la sottoscrizione Edge pubblica il certificato del server Trasporto Edge in Active Directory in modo che i server Trasporto Hub possano convalidarlo. Microsoft Exchange EdgeSync aggiunge un set di certificati del server Trasporto Hub ad Active Directory Lightweight Directory Services (AD LDS) per la convalida del server Trasporto Edge.
- EdgeSync utilizza una connessione al server Trasporto Hub LDAP protetto ai server Trasporto Edge sottoscritti sulla porta TCP 50636. Anche AD LDS è in ascolto sulla porta TCP 50389. Questa porta non utilizza SSL. È possibile utilizzare le utilità LDAP per connettersi a questa porta e convalidare le informazioni di AD LDS.
- Per impostazione predefinita, il traffico tra i server Trasporto Edge situati in due diverse organizzazioni è crittografato. Il programma di installazione di Exchange 2010 crea un certificato autofirmato e abilita TLS per impostazione predefinita. Ciò consente a qualsiasi sistema di invio di crittografare la sessione SMTP in entrata su Exchange. Per impostazione predefinita, Exchange 2010 tenta anche di utilizzare TLS per tutte le connessioni remote.
- I metodi di autenticazione per il traffico tra i server Trasporto Hub e i server Cassette postali sono diversi se i ruoli del server Trasporto Hub e Cassette postali sono installati sullo stesso computer. I trasferimenti di posta locali utilizzano l'autenticazione Kerberos. La trasmissione della posta remota utilizza l'autenticazione NTLM.
- Exchange 2010 supporta anche la sicurezza del dominio. Domain Security è un insieme di funzionalità in Exchange 2010 e Microsoft Outlook 2010 che forniscono un'alternativa a basso costo a S/MIME e ad altre soluzioni per proteggere la trasmissione di messaggi su Internet. La sicurezza del dominio fornisce un modo per controllare i percorsi di comunicazione sicuri tra i domini su Internet. Una volta configurati questi percorsi protetti, i messaggi provenienti da un mittente autenticato che li hanno attraversati correttamente vengono visualizzati dagli utenti di Outlook e Outlook Web Access come messaggi "protetti dal dominio". Per ulteriori informazioni, vedere Informazioni sulla sicurezza del dominio.
- Molti agenti possono essere eseguiti sia sui server Trasporto Hub che sui server Trasporto Edge. In genere, gli agenti antispam utilizzano le informazioni del computer locale su cui vengono eseguiti. Quindi, praticamente nessuna interazione con computer remoti... Un'eccezione a ciò è il filtro dei destinatari. Il filtro dei destinatari richiede una chiamata ad AD LDS o ad Active Directory. Si consiglia di eseguire il filtro dei destinatari su un server Trasporto Edge. In questo caso, la directory AD LDS si trova sullo stesso computer in cui è installato il ruolo del server Trasporto Edge, quindi connessione remota non richiesto. Se Filtro destinatario è installato e configurato su un server Trasporto Hub, è necessario avere accesso ad Active Directory.
- L'agente di analisi del protocollo viene utilizzato dalla funzionalità Reputazione mittente in Exchange 2010. Questo agente si connette anche a vari server proxy esterni per determinare i percorsi dei messaggi in entrata per le connessioni sospette.
- Tutte le altre funzionalità antispam utilizzano dati raccolti, archiviati e disponibili solo sul computer locale. In genere, i dati come l'elenco degli elenchi indirizzi attendibili consolidato o i dati dei destinatari del filtro dei destinatari vengono inviati forzatamente alla directory AD LDS locale utilizzando Microsoft Exchange EdgeSync.
- Gli agenti di Information Rights Management (IRM) sui server Trasporto Hub si connettono ai server Active Directory Rights Management Services (AD RMS) nell'organizzazione. Active Directory Rights Management Service (AD RMS) è un servizio Web che si consiglia di proteggere con SSL. Ci si connette ai server AD RMS tramite HTTPS e si usa Kerberos o NTLM per l'autenticazione, a seconda della configurazione del server AD RMS.
- Le regole di registrazione, le regole di trasporto e le regole di classificazione dei messaggi sono archiviate in Active Directory e sono accessibili dall'agente di journaling e dall'agente delle regole di trasporto sui server Trasporto Hub.
Server di cassette postali
Sui server Cassette postali, l'utilizzo dell'autenticazione NTLM o Kerberos dipende dal contesto utente o dal processo all'interno del quale è in esecuzione il consumer del livello di logica aziendale di Exchange. In questo contesto, i consumatori sono tutte le applicazioni oi processi che utilizzano Exchange Business Logic Layer. Di conseguenza, nella colonna Autenticazione predefinita tavoli Percorsi dati per i server Cassette postali molte righe hanno un valore NTLM / Kerberos.
Il livello della logica aziendale di Exchange viene utilizzato per accedere e interagire con l'archivio di Exchange. Il livello della logica aziendale di Exchange viene chiamato anche dall'archivio di Exchange per interagire con applicazioni e processi esterni.
Se un consumer del livello della logica aziendale di Exchange è in esecuzione nel contesto del sistema locale, Kerberos è sempre il metodo di autenticazione per consentire al consumer di accedere all'archivio di Exchange. Viene utilizzato il metodo di autenticazione Kerberos perché il destinatario deve essere autenticato utilizzando l'account del computer del sistema locale ed è richiesta l'attendibilità bidirezionale autenticata.
Se il destinatario di Exchange Business Logic Layer non è in esecuzione nel contesto del sistema locale, il metodo di autenticazione è NTLM. Ad esempio, quando un amministratore esegue un cmdlet di Exchange Management Shell che utilizza Exchange Business Logic Layer, viene utilizzata l'autenticazione NTLM.
Il traffico RPC è sempre crittografato.
La tabella seguente fornisce informazioni sulla porta, autenticazione e crittografia del percorso dati per i server Cassette postali.
Percorsi dati per i server Cassette postali
Percorso dati Porte richieste Autenticazione predefinita Metodo di autenticazione supportato Supporto per la crittografia Crittografia dei dati predefinita 389 / TCP / UDP (LDAP), 3268 / TCP (LDAP GC), 88 / TCP / UDP (Kerberos), 53 / TCP / UDP (DNS), 135 / TCP (accesso alla rete RPC)
Sì, con la crittografia Kerberos
Amministrativo accesso remoto(registro remoto)
Sì, con IPsec
Accesso remoto amministrativo (SMB, file)
Sì, con IPsec
Servizio Web Disponibilità (Accesso client alle cassette postali)
Sì, utilizzando la crittografia RPC
Raggruppamento
Sì, utilizzando la crittografia RPC
Tra server Accesso client (Exchange ActiveSync)
80/TCP, 443/TCP (SSL)
Kerberos, autenticazione del certificato
Sì, utilizzando HTTPS
Sì, utilizzando un certificato autofirmato
Tra server Accesso client (Outlook Web Access)
80/TCP, 443/TCP (HTTPS)
Sì, con SSL
Da server di accesso client a server di accesso client (Exchange Web Services)
Sì, con SSL
Da server di accesso client a server di accesso client (POP3)
Sì, con SSL
Da server di accesso client a server di accesso client (IMAP4)
Sì, con SSL
Da Office Communications Server a Client Access Server (quando è abilitata l'integrazione di Office Communications Server e Outlook Web App)
5075-5077 / TCP (INGRESSO), 5061 / TCP (USCITA)
mTLS (richiesto)
mTLS (richiesto)
Sì, con SSL
Note per i server di accesso client
Server di messaggistica unificata
I gateway IP e gli IP PBX supportano solo l'autenticazione del certificato, che utilizza l'autenticazione Mutual TLS per crittografare il traffico SIP e l'autenticazione basata sull'indirizzo IP per le connessioni SIP o TCP. I gateway IP non supportano l'autenticazione NTLM e Kerberos. Pertanto, quando si utilizza l'autenticazione basata sull'indirizzo IP, gli indirizzi IP di connessione vengono utilizzati come meccanismo di autenticazione per le connessioni non crittografate (TCP). Quando viene utilizzata nella messaggistica unificata, l'autenticazione basata su IP verifica se un determinato indirizzo IP è autorizzato a connettersi. L'indirizzo IP è configurato sul gateway IP o IP PBX.
I gateway IP e gli IP PBX supportano Mutual TLS per crittografare il traffico SIP. Dopo aver importato ed esportato correttamente i certificati attendibili richiesti, il gateway IP o IP PBX richiederà un certificato dal server Messaggistica unificata e quindi richiederà un certificato dal gateway IP o IP PBX. I certificati attendibili vengono scambiati tra il gateway IP o IP PBX e il server Messaggistica unificata, consentendo a entrambi i dispositivi di comunicare in modo sicuro utilizzando Mutual TLS.
La tabella seguente fornisce informazioni su porta, autenticazione e crittografia per i percorsi dati tra i server Messaggistica unificata e altri server.
Percorsi dati per server di messaggistica unificata
Percorso dati Porte richieste Autenticazione predefinita Metodo di autenticazione supportato Supporto per la crittografia Crittografia dei dati predefinita Accesso ad Active Directory
389 / TCP / UDP (LDAP), 3268 / TCP (LDAP GC), 88 / TCP / UDP (Kerberos), 53 / TCP / UDP (DNS), 135 / TCP (accesso alla rete RPC)
Sì, con la crittografia Kerberos
Telefonia di messaggistica unificata (IP PBX / Gateway VoIP)
5060 / TCP, 5065 / TCP, 5067 / TCP (modalità non sicura), 5061 / TCP, 5066 / TCP, 5068 / TCP (modalità sicura), porta dinamica da 16000-17000 / TCP (controllo), dinamica Porte UDP dalla gamma 1024-65535 / UDP (RTP)
Per indirizzo IP
Per indirizzo IP, MTLS
Sì, tramite SIP/TLS, SRTP
Servizio Web di messaggistica unificata
80/TCP, 443/TCP (SSL)
Autenticazione Windows integrata (negoziazione)
Sì, con SSL
Da un server di messaggistica unificata a un server di accesso client
5075, 5076, 5077 (TCP)
Autenticazione Windows integrata (negoziazione)
Base, Digest, NTLM, Negoziazione (Kerberos)
Sì, con SSL
Da server di messaggistica unificata a server di accesso client (riproduci sul telefono)
RPC dinamico
Sì, utilizzando la crittografia RPC
Da un server di messaggistica unificata a un server di trasporto hub
Sì, utilizzando TLS
Da un server di messaggistica unificata a un server di cassette postali
Sì, utilizzando la crittografia RPC
Note per i server di messaggistica unificata
- Quando si crea un oggetto gateway IP di messaggistica unificata in Active Directory, è necessario determinare l'indirizzo IP del gateway IP fisico o dell'IP PBX. Quando si determina l'indirizzo IP dell'oggetto gateway IP di messaggistica unificata, l'indirizzo IP viene aggiunto all'elenco di gateway IP o PBX IP validi (denominati anche partecipanti SIP) con cui il server Messaggistica unificata può comunicare. Dopo aver creato un gateway IP di messaggistica unificata, è possibile associarlo al dial plan di messaggistica unificata. Il mapping di un gateway IP di messaggistica unificata a un dial plan consente ai server di messaggistica unificata mappati a un dial plan di utilizzare l'autenticazione basata sull'indirizzo IP per comunicare con il gateway IP. Se un gateway IP di messaggistica unificata non è stato creato o configurato per utilizzare l'indirizzo IP corretto, l'autenticazione avrà esito negativo e i server di messaggistica unificata non accetteranno connessioni dall'indirizzo IP di tale gateway IP. Inoltre, durante l'implementazione di Mutual TLS, un gateway IP o IP PBX e server di messaggistica unificata, il gateway IP di messaggistica unificata deve essere configurato per utilizzare un nome di dominio completo (FQDN). Dopo aver configurato un gateway IP di messaggistica unificata con un nome di dominio completo, è necessario aggiungere anche un record host per quel gateway alla zona di ricerca DNS diretta.
- In Exchange 2010, un server Messaggistica unificata può comunicare tramite la porta 5060/TCP (non protetta) o tramite la porta 5061/TCP (protetta) e può essere configurato per utilizzare entrambe le porte.
Per ulteriori informazioni, vedere Informazioni sulla protezione VoIP della messaggistica unificata e Informazioni su protocolli, porte e servizi di messaggistica unificata.
Regole di Windows Firewall create dall'installazione di Exchange 2010
Windows Firewall con protezione avanzata è un firewall stateful basato su computer che filtra il traffico in entrata e in uscita in base alle regole del firewall. Il programma di installazione di Exchange 2010 crea regole di Windows Firewall per aprire le porte necessarie per la comunicazione server-client in ogni ruolo del server. Pertanto, non è più necessario utilizzare la Configurazione guidata sicurezza per configurare queste impostazioni. Per ulteriori informazioni su Windows Firewall con sicurezza avanzata, vedere Windows Firewall con sicurezza avanzata e IPsec.
Nella tabella seguente sono elencate le regole del firewall di Windows generate dal programma di installazione di Exchange, incluse le porte aperte in ogni ruolo del server. È possibile visualizzare queste regole utilizzando lo snap-in MMC Windows Firewall con sicurezza avanzata.
Nome della regola Ruoli del server Porta Programma MSExchangeADTopology - RPC (TCP in ingresso)
RPC dinamico
Bin \ MSExchangeADTopologyService.exe
MSExchangeMonitoring - RPC (TCP in entrata)
Server Accesso client, Server Trasporto Hub, Server Trasporto Edge, Server Messaggistica unificata
RPC dinamico
Bin \ Microsoft.Exchange.Management.Monitoring.exe
MSExchangeServiceHost - RPC (TCP in ingresso)
RPC dinamico
Bin \ Microsoft.Exchange.ServiceHost.exe
MSExchangeServiceHost - RPCEPMap (TCP in entrata)
Bin \ Microsoft.Exchange.Service.Host
MSExchangeRPCEPMap (GFW) (TCP in entrata)
MSExchangeRPC (GFW) (TCP in entrata)
Server accesso client, server trasporto hub, server cassette postali, server messaggistica unificata
RPC dinamico
MSExchange - IMAP4 (GFW) (TCP in entrata)
Server di accesso client
MSExchangeIMAP4 (TCP in entrata)
Server di accesso client
ClientAccess \ PopImap \ Microsoft.Exchange.Imap4Service.exe
MSExchange - POP3 (FGW) (TCP in entrata)
Server di accesso client
MSExchange - POP3 (TCP in entrata)
Server di accesso client
ClientAccess \ PopImap \ Microsoft.Exchange.Pop3Service.exe
MSExchange - OWA (GFW) (TCP in entrata)
Server di accesso client
5075, 5076, 5077 (TCP)
MSExchangeOWAAppPool (TCP in entrata)
Server di accesso client
5075, 5076, 5077 (TCP)
Inetsrv \ w3wp.exe
MSExchangeAB RPC (TCP in entrata)
Server di accesso client
RPC dinamico
MSExchangeAB-RPCEPMap (TCP in entrata)
Server di accesso client
Bin \ Microsoft.Exchange.AddressBook.Service.exe
MSExchangeAB-RpcHttp (TCP in entrata)
Server di accesso client
6002, 6004 (TCP)
Bin \ Microsoft.Exchange.AddressBook.Service.exe
RpcHttpLBS (TCP in entrata)
Server di accesso client
RPC dinamico
System32 \ Svchost.exe
MSExchangeRPC - RPC (TCP in entrata)
RPC dinamico
MSExchangeRPC - PRCEPMap (TCP in entrata)
Server accesso client, server cassette postali
Bing \ Microsoft.Exchange.RpcClientAccess.Service.exe
MSExchangeRPC (TCP in entrata)
Server accesso client, server cassette postali
Bing \ Microsoft.Exchange.RpcClientAccess.Service.exe
MSExchangeMailboxReplication (GFW) (TCP in entrata)
Server di accesso client
MSExchangeMailboxReplication (TCP in entrata)
Server di accesso client
Bin \ MSExchangeMailboxReplication.exe
MSExchangeIS - RPC (TCP in entrata)
Server delle cassette postali
RPC dinamico
MSExchangeIS RPCEPMap (TCP in entrata)
Server delle cassette postali
MSExchangeIS (GFW) (TCP in entrata)
Server delle cassette postali
6001, 6002, 6003, 6004 (TCP)
MSExchangeIS (TCP in entrata)
Server delle cassette postali
MSExchangeMailboxAssistants - RPC (TCP in entrata)
Server delle cassette postali
RPC dinamico
MSExchangeMailboxAssistants - RPCEPMap (TCP in entrata)
Server delle cassette postali
Bin \ MSExchangeMailboxAssistants.exe
MSExchangeMailSubmission - RPC (TCP in entrata)
Server delle cassette postali
RPC dinamico
MSExchangeMailSubmission - RPCEPMap (TCP in entrata)
Server delle cassette postali
Bin \ MSExchangeMailSubmission.exe
MSExchangeMigration - RPC (TCP in entrata)
Server delle cassette postali
RPC dinamico
Bin \ MSExchangeMigration.exe
MSExchangeMigration - RPCEPMap (TCP in entrata)
Server delle cassette postali
Bin \ MSExchangeMigration.exe
MSExchangerepl - Copia log (TCP in entrata)
Server delle cassette postali
Bin \ MSExchangeRepl.exe
MSExchangerepl - RPC (TCP in entrata)
Server delle cassette postali
RPC dinamico
Bin \ MSExchangeRepl.exe
MSExchangerepl - RPC-EPMap (TCP in entrata)
Server delle cassette postali
Bin \ MSExchangeRepl.exe
MSExchangeSearch - RPC (TCP in entrata)
Server delle cassette postali
RPC dinamico
Bin \ Microsoft.Exchange.Search.ExSearch.exe
MSExchangeThrottling - RPC (TCP in ingresso)
Server delle cassette postali
RPC dinamico
Bin \ MSExchangeThrottling.exe
MSExchangeThrottling - RPCEPMap (TCP in entrata)
Server delle cassette postali
Bin \ MSExchangeThrottling.exe
MSFTED - RPC (TCP in entrata)
Server delle cassette postali
RPC dinamico
MSFTED - RPCEPMap (TCP in entrata)
Server delle cassette postali
MSExchangeEdgeSync - RPC (TCP in ingresso)
Server di trasporto hub
RPC dinamico
MSExchangeEdgeSync RPCEPMap (TCP in entrata)
Server di trasporto hub
Bin \ Microsoft.Exchange.EdgeSyncSvc.exe
MSExchangeTransportWorker - RPC (TCP in entrata)
Server di trasporto hub
RPC dinamico
Bin \ edgetransport.exe
MSExchangeTransportWorker - RPCEPMap (TCP in entrata)
Server di trasporto hub
Bin \ edgetransport.exe
MSExchangeTransportWorker (GFW) (TCP in entrata)
Server di trasporto hub
MSExchangeTransportWorker (TCP in entrata)
Server di trasporto hub
Bin \ edgetransport.exe
MSExchangeTransportLogSearch - RPC (TCP in entrata)
RPC dinamico
MSExchangeTransportLogSearch - RPCEPMap (TCP in entrata)
Trasporto Hub, Trasporto Edge, Server cassette postali
Bin \ MSExchangeTransportLogSearch.exe
SESWorker (GFW) (TCP in entrata)
Server di messaggistica unificata
SESWorker (TCP in entrata)
Server di messaggistica unificata
Messaggistica unificata \ SESWorker.exe
UMService (GFW) (TCP in entrata)
Server di messaggistica unificata
UMService (TCP in entrata)
Server di messaggistica unificata
Bin \ UMService.exe
UMWorkerProcess (GFW) (TCP in entrata)
Server di messaggistica unificata
5065, 5066, 5067, 5068
UMWorkerProcess (TCP in entrata)
Server di messaggistica unificata
5065, 5066, 5067, 5068
Bin \ UMWorkerProcess.exe
UMWorkerProcess - RPC (TCP in entrata)
Server di messaggistica unificata
RPC dinamico
Bin \ UMWorkerProcess.exe
Note sulle regole di Windows Firewall create dall'installazione di Exchange 2010
- Sui server con IIS installato, Windows apre le porte HTTP (porta 80, TCP) e HTTPS (porta 443, TCP). Il programma di installazione di Exchange 2010 non apre queste porte. Pertanto, queste porte non sono elencate nella tabella precedente.
- In Windows Server 2008 e Windows Server 2008 R2, Windows Firewall con protezione avanzata consente di specificare il processo o il servizio a cui è aperta la porta. Questo è più sicuro perché la porta può essere utilizzata solo dal processo o dal servizio specificato nella regola. Il programma di installazione di Exchange crea regole del firewall con il nome del processo specificato. In alcuni casi, per motivi di compatibilità, viene creata anche una regola aggiuntiva che non si limita a questo processo. È possibile disabilitare o rimuovere le regole non limitate ai processi e salvare le corrispondenti regole limitate ai processi se l'ambiente di distribuzione corrente le supporta. Le regole che non sono limitate ai processi possono essere distinte dalla parola (GFW) nel nome della regola.
- Molti servizi di Exchange utilizzano chiamate di procedura remota (RPC) per comunicare. I processi server che utilizzano gli RPC si connettono al mapping degli endpoint RPC per recuperare gli endpoint dinamici e registrarli nel database del mapping degli endpoint. I client RPC interagiscono con il mapping degli endpoint RPC per determinare gli endpoint utilizzati dal processo del server. Per impostazione predefinita, il mapping degli endpoint RPC è in ascolto sulla porta 135 (TCP). Quando si configura Windows Firewall per un processo che utilizza RPC, il programma di installazione di Exchange 2010 crea due regole firewall per tale processo. Una regola consente la comunicazione con il mapping degli endpoint RPC e la seconda consente la comunicazione con un endpoint assegnato dinamicamente. Per ulteriori informazioni sulle chiamate di procedura remota, vedere l'articolo. Per ulteriori informazioni su come creare regole di Windows Firewall per RPC dinamico, vedere l'articolo.
Per ulteriori informazioni, vedere l'articolo della Microsoft Knowledge Base 179442
Se stai cercando di aggiungere il tuo account Outlook.com a un'altra applicazione di posta elettronica, potrebbero essere necessarie le impostazioni POP, IMAP o SMTP per Outlook.com. Puoi trovarli di seguito o seguendo il link Configura POP e IMAP su Outlook.com.
Se desideri aggiungere il tuo account Outlook.com a un dispositivo smart, ad esempio una fotocamera per proteggere i computer di casa, è necessaria una password per l'app. Per altre informazioni, vedere aggiungere il proprio account Outlook.com a un'altra app di posta elettronica o smart device.
Impostazioni POP, IMAP e SMTP per Outlook.com
Se desideri aggiungere il tuo account Outlook.com a un altro programma di posta elettronica che supporta POP o IMAP, utilizza le seguenti impostazioni del server.
Appunti:
Nome del server IMAP Outlook.Office365.com
Porta IMAP: 993
Metodo di crittografia IMAP TLS
Outlook.office365.com Nome del server POP
Porta POP: 995
Metodo di crittografia POP TLS
Nome del server SMTP SMTP.Office365.com
Porta SMTP: 587
Metodo di crittografia SMTP INIZIA
Attiva l'accesso POP in Outlook.com
Se desideri utilizzare POP per accedere alla tua posta in Outlook.com, dovrai abilitarlo.
Modifica le impostazioni del tuo provider di posta
Se stai tentando di connettere un altro account a Outlook.com tramite POP, potrebbe essere necessario modificare alcune impostazioni del provider di posta elettronica per stabilire una connessione che potrebbe essere stata bloccata.
Per la contabilità record di Gmail con accesso POP,.
Per gli account Yahoo POP, segui i passaggi seguenti.
Quando si utilizzano altri fornitori E-mail dovresti contattarli per istruzioni su come sbloccare la connessione.
Errori di connessione IMAP di Outlook.com
Se hai configurato il tuo account Outlook.com come IMAP su più client di posta elettronica, potresti ricevere un errore di connessione. Stiamo lavorando a una correzione e aggiorneremo questo articolo se avremo ulteriori informazioni. Per ora, prova la seguente soluzione:
Se stai utilizzando Outlook.com per accedere a un account utilizzando un dominio diverso da @live. com, @hotmail. com o @outlook. com, non sarai in grado di sincronizzare i tuoi account IMAP. Per risolvere questo problema, elimina l'account IMAP connesso in Outlook.com e riconfiguralo come connessione POP. Per istruzioni su come riconfigurare il tuo account per utilizzare POP, contatta il provider del tuo account di posta elettronica.
Se stai utilizzando un account GoDaddy, segui queste istruzioni per modificare le impostazioni del tuo account GoDaddy in modo da utilizzare una connessione POP. Se l'utilizzo di POP non risolve il problema, o si desidera abilitare IMAP (disabilitato per impostazione predefinita), è necessario contattare il servizio
In questo articolo verrà illustrato come configurare le porte RPC statiche per l'accesso client RPC, la rubrica di Exchange e l'accesso alle cartelle pubbliche in Exchange 2010.
Supponiamo di avere un'organizzazione complessa con Exchange Server 2010 SP1 (o versione successiva), che include. I server CAS si trovano solitamente su una rete separata da firewall dalle reti da cui gli utenti dovrebbero accedere (reti Outlook). Il client Outlook si connette al server CAS tramite RPC, il che significa che qualsiasi porta dell'intervallo libero di porte può essere utilizzata a livello di rete. Non è un segreto che in Windows Server 2008 e 2008 R2, l'intervallo 49152-65535 viene utilizzato come intervallo di porte dinamiche per le connessioni RPC (in versione precedente Windows Server utilizzava le porte RPC nell'intervallo 1025-65535).
Per evitare di trasformare i firewall in un setaccio, è consigliabile restringere l'intervallo di porte RPC utilizzate, idealmente rendendole statiche su ciascun server Accesso client nell'array Accesso client. Inoltre, l'uso di porte RPC statiche consente di ridurre il consumo di memoria sui sistemi di bilanciamento del carico (in particolare HLB) e semplificarne la configurazione (non è necessario specificare grandi intervalli di porte).
In Exchange 2010, è possibile impostare porte statiche per il servizio Accesso client RPC e per il servizio Rubrica di Exchange. Outlook comunica con questi servizi tramite l'interfaccia MAPI.
Porta statica per il servizio di accesso client RPC di Exchange 2010
Il servizio virtuale Accesso client RPC di Exchange 2010 è associato al servizio Accesso client RPC a cui i client MAPI di Outlook si connettono in Exchange 2010. Quando un client Outlook si connette a Exchange, su Exchange 2010 Client Access, il servizio RPC Client Access utilizza la porta TCP End Point Mapper (TCP/135) e una porta casuale dall'intervallo di porte dinamiche RPC (6005-59530) per le connessioni in entrata
Per impostare una porta statica per il servizio Accesso client RPC in Exchange 2010, aprire la seguente chiave nell'editor del registro:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ MSExchangeRPC
Crea una nuova chiave denominata ParametriSistema all'interno del quale creare un parametro di tipo REG_DWORD Con nome Porta TCP/IP... Il parametro Porta TCP/IP specifica la porta statica per il servizio Accesso client RPC. Nella documentazione Microsoft, si consiglia di selezionare una porta nell'intervallo 59531 - 60554 e utilizzare questo valore su tutti i server CAS (abbiamo specificato la porta 59532, ovviamente, non dovrebbe essere utilizzata da nessun altro software).
Dopo aver completato i processi di porta statica, è necessario riavviare il servizio Accesso client RPC di Microsoft Exchange per rendere effettive le modifiche.
Riavvia il servizio MSExchangeRPC
Porta statica per il servizio Rubrica di Exchange 2010
In Exchange 2010, prima di SP1, veniva utilizzato un file di configurazione personalizzato per impostare la porta statica per il servizio Rubrica di Exchange 2010 Microsoft.exchange.addressbook.service.exe.config... Dopo il rilascio di Exchange 2010 SP1, è possibile impostare una porta statica per questo servizio tramite il registro. Per fare ciò, apri l'editor del registro e vai al ramo:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ MSExchangeAB \ Parameters
Crea un nuovo parametro RpcTcpPort(di tipo REG_SZ) e assegnagli il numero di porta che desideri correggere per il servizio Rubrica di Exchange. Si consiglia di utilizzare qualsiasi porta libera nell'intervallo 59531-60554 e continuare a utilizzarla su tutti i server Accesso client di Exchange 2010 nel dominio. Imposteremo RpcTcpPort = 59533
Successivamente, è necessario riavviare il servizio Rubrica di Microsoft Exchange
Riavvia-servizio MSExchangeAB
Importante: Quando si esegue la migrazione da Exchange 2010 RTM a SP1, questa chiave deve essere impostata manualmente, non viene ereditata automaticamente.
Configurazione di una porta statica per la connessione a cartelle condivise
È possibile accedere alle cartelle condivise da un client Outlook direttamente tramite il servizio Accesso client RPC su un server con il ruolo Cassetta postale. Questa impostazione deve essere eseguita su tutti i server con il ruolo Cassetta postale che contengono il database cartelle condivise(simile ai server CAS). Apri l'editor del registro e vai al ramo
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ MSExchangeRPC
Crea una nuova chiave denominata ParametriSistema, all'interno del quale creare un parametro di tipo REG_DWORD denominato Porta TCP/IP... Imposta il suo valore: Porta TCP / IP = 59532.
Dopo aver impostato staticamente la porta per le cartelle pubbliche, è necessario riavviare il servizio Accesso client RPC di Microsoft Exchange su ciascun server di cassette postali.
Verifica dell'utilizzo della porta statica tra Outlook ed Exchange 2010
Dopo aver apportato le modifiche, controlliamo che Outlook si connetta alle porte RPC statiche che abbiamo specificato. Per fare ciò, riavvia Outlook sul computer client, quindi in riga di comando eseguire il comando:
Netstat -na
[Questo articolo è un documento preliminare ed è soggetto a modifiche nelle versioni future. Le sezioni vuote sono incluse come segnaposto. Se desideri scrivere una recensione, saremo lieti di riceverla. Inviacelo via email [e-mail protetta]]
Si applica a: Exchange Server 2016
Informazioni sulle porte di rete utilizzate da Exchange 2016 per l'accesso client e il flusso di posta.
Questa sezione fornisce informazioni sulle porte di rete utilizzate da Microsoft Exchange Server 2016 per comunicare con client di posta elettronica, server di posta Internet e altri servizi che si trovano all'esterno dell'organizzazione di Exchange locale. Prima di iniziare, considera le seguenti regole di base.
Non supportiamo la limitazione o la modifica del traffico di rete tra i server Exchange back-end, tra i server Exchange back-end e i server back-end Lync o Skype for Business o tra i server Exchange back-end e i controller di dominio Active Directory back-end in qualsiasi tipo di topologia. Se si utilizzano firewall o dispositivi di rete in grado di limitare o modificare questo traffico di rete, è necessario configurare regole per garantire una comunicazione libera e senza restrizioni tra questi server (regole per consentire il traffico di rete in entrata e in uscita su qualsiasi porta, comprese le porte RPC casuali e qualsiasi protocollo, che non cambia un singolo bit).
I server Trasporto Edge si trovano quasi sempre nella rete perimetrale, quindi è previsto che il traffico di rete tra il server Trasporto Edge e Internet e tra il server Trasporto Edge e l'organizzazione interna di Exchange sarà limitato. Queste porte di rete sono descritte in questa sezione.
È previsto che limiti il traffico di rete tra client e servizi esterni e l'organizzazione interna di Exchange. Puoi anche limitare il traffico tra client interni e server Exchange interni. Queste porte di rete sono descritte in questa sezione.
Contenuto
Porte di rete necessarie per client e servizi
Porte di rete necessarie per il flusso di posta (nessun server Trasporto Edge)
Porte di rete necessarie per il flusso di posta con i server Trasporto Edge
Porte di rete necessarie per implementazioni ibride
Porte di rete necessarie per la messaggistica unificata
Le porte di rete necessarie ai client di posta elettronica per accedere alle cassette postali e ad altri servizi nell'organizzazione di Exchange sono descritte nel diagramma e nella tabella seguenti.
Appunti.
La destinazione di questi client e servizi sono i servizi di accesso client sul server Cassette postali. In Exchange 2016, i servizi Accesso client (esterno) e interni vengono installati insieme sullo stesso server Cassette postali. Per ulteriori informazioni, vedere.
Sebbene il diagramma mostri client e servizi da Internet, i concetti sono gli stessi per i client interni (ad esempio, i client in una foresta di account che accedono ai server Exchange in una foresta di risorse). Allo stesso modo, la tabella non dispone di una colonna Origine perché l'origine può essere qualsiasi posizione esterna all'organizzazione di Exchange (ad esempio, Internet o una foresta di account).
I server Trasporto Edge non partecipano al traffico di rete associato a questi client e servizi.
| Appuntamento | porti | Note (modifica) |
|---|---|---|
Le connessioni Web crittografate vengono utilizzate dai seguenti client e servizi. Servizio di individuazione automatica Scambia Activesync Servizi Web Exchange (EWS) Distribuzione di rubriche offline Outlook via Internet (RPC su HTTP) MAPI Outlook su HTTP Outlook sul web | 443 / TCP (HTTPS) | Scambia il riferimento EWS |
Le connessioni Web non crittografate vengono utilizzate dai seguenti client e servizi. Pubblica il tuo calendario online Outlook sul web (reindirizzamento alla porta 443/TCP) Individuazione automatica (rollback quando la porta 443/TCP non è disponibile) | 80/TCP (HTTP) | Quando possibile, consigliamo di utilizzare connessioni Web crittografate sulla porta 443/TCP per proteggere le credenziali e altri dati. Tuttavia, alcuni servizi devono essere configurati per utilizzare connessioni Web non crittografate sulla porta 80/TCP ai servizi di accesso client sui server Cassette postali. Per ulteriori informazioni su questi client e servizi, vedere i seguenti articoli. |
Client IMAP4 | 143 / TCP (IMAP), 993 / TCP (IMAP sicuro) | IMAP4 è disabilitato per impostazione predefinita. Per ulteriori informazioni, vedere. Il servizio IMAP4 in Accesso client sul server Cassette postali esegue il proxy delle connessioni al servizio IMAP4 interno sul server Cassette postali. |
Client POP3 | 110/TCP (POP3), 995/TCP (POP3 sicuro) | POP3 è disabilitato per impostazione predefinita. Per ulteriori informazioni, vedere. Il servizio POP3 in Accesso client sul server Cassette postali esegue il proxy delle connessioni al servizio POP3 interno sul server Cassette postali. |
Client SMTP (autenticati) | 587/TCP (SMTP autenticato) | Il connettore di ricezione predefinito "Client Frontend" Nota. Se si dispone di client di posta elettronica in grado di inviare messaggi SMTP autenticati solo sulla porta 25, è possibile modificare il valore di associazione di questo connettore di ricezione in modo che controlli anche l'invio di messaggi SMTP autenticati sulla porta 25. |
All'inizio
Porte di rete necessarie per il flusso di posta
Posta in uscita
25/TCP (SMTP)
Server delle cassette postali
Internet (tutti)
Per impostazione predefinita, Exchange non crea connettori di invio che consentono di inviare posta a Internet. È necessario creare manualmente i connettori di invio. Per ulteriori informazioni, vedere.
Posta in uscita (se inviata tramite un servizio di trasporto esterno)
25/TCP (SMTP)
Server delle cassette postali
Internet (tutti)
La posta in uscita viene passata attraverso il servizio di trasporto esterno solo se l'opzione Connettore di invio è abilitata. Proxy tramite server di accesso client in EAC o il parametro -FrontEndProxyEnabled $ true in Exchange Management Shell.
In questo caso, il connettore di ricezione predefinito "Outbound Proxy Frontend
Server DNS per la risoluzione dei nomi di posta dell'hop successivo (non mostrato)
53/UDP, 53/TCP (DNS)
Server delle cassette postali
Server DNS
All'inizio
Un server Trasporto Edge firmato installato sulla rete perimetrale influisce sul flusso di posta nei seguenti modi:
La posta da un server Trasporto Edge di Exchange 2016 o Exchange 2013 viene prima inviata al servizio di trasporto esterno e quindi reindirizzata al servizio di trasporto sul server Cassette postali di Exchange 2016.
La posta da un server Trasporto Edge di Exchange 2010 va sempre direttamente al servizio di trasporto su un server Cassette postali di Exchange 2016.
La posta in uscita dall'organizzazione di Exchange non passa mai attraverso il servizio di trasporto esterno sui server Cassette postali. Viene sempre reindirizzato dal servizio di trasporto sul server Cassette postali del sito firmato di Active Directory al server Trasporto Edge (indipendentemente dalla versione di Exchange sul server Trasporto Edge).
La posta in arrivo viene reindirizzata dal server Trasporto Edge al server Cassette postali del sito sottoscritto in Active Directory. Ciò significa quanto segue:
Le porte di rete necessarie per il flusso di posta nelle organizzazioni di Exchange con server Trasporto Edge sono descritte nel diagramma e nella tabella seguenti.
| Appuntamento | porti | Una fonte | Appuntamento | Note (modifica) |
|---|---|---|---|---|
Posta in arrivo - da Internet al server Trasporto Edge | 25/TCP (SMTP) | Internet (tutti) | Connettore di ricezione predefinito denominato Connettore di ricezione interno predefinito <имя пограничного транспортного сервера> "sul server Trasporto Edge è in ascolto della posta SMTP anonima sulla porta 25. |
|
Posta in entrata: dal server Trasporto Edge all'organizzazione di Exchange back-end | 25/TCP (SMTP) | Server Trasporto Edge | Il connettore di invio predefinito denominato "EdgeSync - In entrata a Connettore di ricezione predefinito "Frontend predefinito" |
|
Posta in uscita: dall'organizzazione interna di Exchange al server Trasporto Edge | 25/TCP (SMTP) | Server di cassette postali in un sito di Active Directory sottoscritto | La posta in uscita ignora sempre il servizio di trasporto esterno sui server Cassette postali. La posta viene inoltrata da Transport su qualsiasi server Cassette postali in un sito di Active Directory sottoscritto a un server Trasporto Edge utilizzando un connettore di invio interno implicito e invisibile che reindirizza automaticamente la posta tra i server Exchange nella stessa organizzazione. Connettore di ricezione interno predefinito |
|
Posta in uscita: dal server Trasporto Edge a Internet | 25/TCP (SMTP) | Server Trasporto Edge | Internet (tutti) | Il connettore di invio predefinito denominato EdgeSync - con <имя сайта Active Directory> a Internet "trasmette la posta in uscita sulla porta 25 dal server Trasporto Edge a Internet. |
Sincronizzazione EdgeSync | 50636/TCP (LDAP sicuro) | Server di cassette postali in un sito di Active Directory sottoscritto che partecipano alla sincronizzazione di EdgeSync | Server Trasporto Edge | Se un server Trasporto Edge è sottoscritto a un sito di Active Directory, tutti i server Cassette postali attualmente esistenti nel sito partecipano alla sincronizzazione di EdgeSync. Tuttavia, se in un secondo momento si aggiungono altri server Cassette postali, questi non parteciperanno automaticamente alla sincronizzazione di EdgeSync. |
Server DNS per la risoluzione del nome dell'hop successivo (non mostrato) | 53/UDP, 53/TCP (DNS) | Server Trasporto Edge | Server DNS | Vedere la sezione sulla risoluzione dei nomi. |
Rilevamento proxy aperto reputazione mittente (non mostrato) | Vedere le note | Server Trasporto Edge | Internet | Per impostazione predefinita, l'agente di analisi del protocollo utilizza il rilevamento del proxy aperto come una delle condizioni per calcolare il livello di reputazione del server di messaggistica di origine. Per ulteriori informazioni, vedere l'articolo. Le seguenti porte TCP vengono utilizzate per controllare i server di messaggistica di origine per un server proxy aperto: Inoltre, se l'organizzazione utilizza un server proxy per controllare il traffico Internet in uscita, è necessario determinare il nome, il tipo e la porta TCP del server proxy necessari per accedere a Internet e rilevare un server proxy aperto. Puoi anche disabilitare il rilevamento del proxy aperto. Per ulteriori informazioni, vedere. |
All'inizio
Risoluzione del nome
Risoluzione del nome
La risoluzione della posta DNS dell'hop successivo è una parte fondamentale del flusso di posta in qualsiasi organizzazione di Exchange. I server Exchange responsabili della ricezione della posta in entrata o della consegna della posta in uscita devono essere in grado di risolvere nomi host sia interni che esterni per poter instradare correttamente la posta. Tutti i server Exchange interni devono essere in grado di risolvere i nomi host interni per un corretto instradamento della posta. Esistono molti modi diversi per progettare un'infrastruttura DNS, ma un risultato importante è garantire la corretta risoluzione dei nomi per l'hop successivo su tutti i server Exchange.
