Netzwerkports für Clients und Nachrichtenfluss in Exchange
Dieses Thema enthält Informationen zu den Netzwerkports, die von Exchange Server 2016 und Exchange Server 2019 für die Kommunikation mit E-Mail-Clients, Internet-E-Mail-Servern und anderen Diensten außerhalb Ihrer lokalen Exchange-Organisation verwendet werden. Bevor wir dies vertiefen, möchten wir Sie zunächst mit den folgenden Grundregeln vertraut machen:
Das Einschränken oder Ändern des Netzwerkdatenverkehrs zwischen internen Exchange-Servern, zwischen internen Exchange-Servern und internen Lync- oder Skype for Business-Servern oder zwischen internen Exchange-Servern und internen Active Directory-Domänencontrollern in allen Topologietypen wird nicht unterstützt. Wenn Sie über Firewalls oder Netzwerkgeräte verfügen, die diese Art von internem Netzwerkdatenverkehr möglicherweise einschränken oder ändern können, müssen Sie Regeln konfigurieren, die eine freie und uneingeschränkte Kommunikation zwischen diesen Servern ermöglichen: Regeln, die eingehenden und ausgehenden Netzwerkdatenverkehr an einem beliebigen Port (einschließlich zufälliger RPC-Ports) zulassen, und jedes Protokoll, das niemals Bits auf der Verbindung ändert.
Edge-Transport-Server befinden sich fast immer in einem Umkreisnetzwerk. Daher wird erwartet, dass Sie den Netzwerkdatenverkehr zwischen dem Edge-Transport-Server und dem Internet sowie zwischen dem Edge-Transport-Server und Ihrer internen Exchange-Organisation einschränken. Diese Netzwerkports werden in diesem Thema beschrieben.
Es wird erwartet, dass Sie den Netzwerkverkehr zwischen externen Clients und Diensten und Ihrer internen Exchange-Organisation beschränken. Sie können auch den Netzwerkdatenverkehr zwischen internen Clients und internen Exchange-Servern beschränken. Diese Netzwerkports werden in diesem Thema beschrieben.
Für Clients und Dienste erforderliche Netzwerkports
Die Netzwerkports, die E-Mail-Clients für den Zugriff auf Postfächer und andere Dienste in der Exchange-Organisation benötigen, werden in der nachstehenden Abbildung und Tabelle beschrieben.
Hinweise:
Das Ziel für diese Clients und Dienste sind die Clientzugriffsdienste auf einem Postfachserver. In Exchange 2016 und Exchange 2019 werden Clientzugriff (Front-End) und Back-End-Dienste zusammen auf demselben Postfachserver installiert. Weitere Informationen finden Sie unter Architektur des Clientzugriffsprotokolls.
Obwohl das Diagramm Clients und Dienste aus dem Internet zeigt, sind die Konzepte für interne Clients identisch (z. B. Clients in einer Kontengesamtstruktur, die auf Exchange-Server in einer Ressourcengesamtstruktur zugreifen). Ebenso enthält die Tabelle keine Quellspalte, da die Quelle ein beliebiger Speicherort sein kann, der außerhalb der Exchange-Organisation liegt (z. B. das Internet oder eine Kontengesamtstruktur).
Edge-Transport-Server sind nicht am Netzwerkdatenverkehr beteiligt, der diesen Clients und Diensten zugeordnet ist.
Zweck | Ports | Kommentare |
---|---|---|
Verschlüsselte Webverbindungen werden von folgenden Clients und Diensten verwendet:
|
443/TCP (HTTPS) | Weitere Informationen zu diesen Clients und Diensten finden Sie in den folgenden Themen: |
Unverschlüsselte Webverbindungen werden von folgenden Clients und Diensten verwendet:
|
80/TCP (HTTP) | Sofern möglich, empfehlen wir die Verwendung verschlüsselter Webverbindungen an 443/TCP zum Schutz von Daten und Anmeldeinformationen. Möglicherweise stellen Sie jedoch fest, dass einige Dienste so konfiguriert werden müssen, dass unverschlüsselte Webverbindungen unter 80/TCP mit den Clientzugriffsdiensten auf Postfachservern verwendet werden. Weitere Informationen zu diesen Clients und Diensten finden Sie in den folgenden Themen: |
IMAP4-Clients | 143/TCP (IMAP), 993/TCP (sicheres IMAP) | IMAP4 ist standardmäßig deaktiviert. Weitere Informationen finden Sie unter POP3 und IMAP4 in Exchange Server. Der IMAP4-Dienst in den Clientzugriffsdiensten auf dem Postfachserver stellt Verbindungen mit dem IMAP4-Back-End-Dienst auf einem Postfachserver her. |
POP3-Clients | 110/TCP (POP3), 995/TCP (sicheres POP3) | POP3 ist standardmäßig deaktiviert. Weitere Informationen finden Sie unter POP3 und IMAP4 in Exchange Server. Der POP3-Dienst in den Clientzugriffsdiensten auf dem Postfachserver stellt Verbindungen mit dem POP3-Back-End-Dienst auf einem Postfachserver her. |
SMTP-Clients (authentifiziert) | 587/TCP (authentifiziertes SMTP) | Der standardmäßige Empfangene Connector mit dem Namen "Name> des Client-Front-End-Servers<" im Front-End-Transportdienst lauscht auf authentifizierte SMTP-Clientübermittlungen an Port 587. Hinweis: Wenn Sie über E-Mail-Clients verfügen, die nur authentifizierte SMTP-E-Mails an Port 25 senden können, können Sie die Netzwerkadapterbindungen des Client-Empfangsconnectors ändern, um auch auf authentifizierte SMTP-E-Mail-Übermittlungen an Port 25 zu lauschen. |
Für den E-Mail-Fluss erforderliche Netzwerkports
Die Übermittlung von E-Mails an Ihre und aus Ihrer Exchange-Organisation richtet sich nach Ihrer Exchange-Topologie. Der wichtigste Faktor ist, ob Sie in Ihrem Umkreisnetzwerk einen abonnierten Edge-Transport-Server bereitgestellt haben.
Für den E-Mail-Fluss Netzwerkports (ohne Edge-Transport-Server)
Die Netzwerkports, die für den Nachrichtenfluss in einer Exchange-Organisation erforderlich sind, die nur über Postfachserver verfügt, werden in der folgenden Abbildung und Tabelle beschrieben.
Zweck | Ports | Source | Ziel | Kommentare |
---|---|---|---|---|
Eingehende E-Mails | 25/TCP (SMTP) | Internet (alle) | Postfachserver | Der Standardmäßige Empfangsconnector mit dem Namen "Standardname> des Front-End-Postfachservers<" im Front-End-Transportdienst lauscht auf anonyme eingehende SMTP-E-Mails an Port 25. E-Mails werden vom Front-End-Transportdienst an den Transportdienst auf einem Postfachserver weitergeleitet, indem der implizite und unsichtbare organisationsinterne Sendeconnector verwendet wird, der E-Mails automatisch zwischen Exchange-Servern in derselben Organisation weitergibt. Weitere Informationen finden Sie unter Implizite Sendeconnectors. |
Ausgehende E-Mails | 25/TCP (SMTP) | Postfachserver | Internet (alle) | Standardmäßig erstellt Exchange keine Sendeconnectors, mit denen Sie E-Mails an das Internet senden können. Sie müssen Sendeconnectors manuell erstellen. Weitere Informationen finden Sie unter Erstellen eines Sendeconnectors zum Senden von E-Mails an das Internet. |
Ausgehende E-Mails (wenn sie über den Front-End-Transportdienst weitergeleitet werden) | 25/TCP (SMTP) | Postfachserver | Internet (alle) | Ausgehende E-Mails werden nur dann über den Front-End-Transportdienst weitergeleitet, wenn ein Sendeconnector mit Proxy über Clientzugriffsserver im Exchange Admin Center oder -FrontEndProxyEnabled $true in der Exchange-Verwaltungsshell konfiguriert ist. In diesem Fall lauscht der Standard-Empfangsconnector namens "Name> des Front-End-Postfachservers für ausgehenden Proxy<" im Front-End-Transportdienst auf ausgehende E-Mails vom Transportdienst auf einem Postfachserver. Weitere Informationen finden Sie unter Configure Send connectors to proxy outbound mail. |
DNS für die Namensauflösung des nächsten E-Mail-Hops (nicht abgebildet) | 53/UDP, 53/TCP (DNS) | Postfachserver | DNS-Server | Weitere Informationen finden Sie im Abschnitt Namensauflösung in diesem Thema. |
Netzwerkports, die für den E-Mail-Fluss mit Edge-Transport-Servern erforderlich sind
Ein abonnierter Edge-Transport-Server, der in Ihrem Umkreisnetzwerk installiert ist, wirkt sich auf folgende Weise auf den Nachrichtenfluss aus:
Ausgehende E-Mails von der Exchange-Organisation werden niemals über den Front-End-Transportdienst auf Postfachservern übertragen. E-Mails werden immer vom Transportdienst auf einem Postfachserver am abonnierten Active Directory-Standort an den Edge-Transport-Server übertragen (unabhängig von der Version von Exchange auf dem Edge-Transport-Server).
Eingehende E-Mails werden vom Edge-Transport-Server zu einem Postfachserver am abonnierten Active Directory-Standort übertragen. Insbesondere gilt:
E-Mails von einem Edge-Transport-Server von Exchange 2013 oder höher gelangen zuerst beim Front-End-Transportdienst, bevor sie an den Transportdienst auf einem Exchange 2016- oder Exchange 2019-Postfachserver übertragen werden.
In Exchange 2016 werden E-Mails von einem Exchange 2010 Edge-Transport-Server immer direkt an den Transportdienst auf einem Exchange 2016-Postfachserver übermittelt. Beachten Sie, dass die Koexistenz mit Exchange 2010 in Exchange 2019 nicht unterstützt wird.
Weitere Informationen finden Sie unter Mail flow and the transport pipeline.
Die Netzwerkports, die für den E-Mail-Fluss in Exchange-Organisationen erforderlich sind, die über Edge-Transport-Server verfügen, werden in der folgenden Abbildung und Tabelle beschrieben.
Zweck | Ports | Source | Ziel | Kommentare |
---|---|---|---|---|
Eingehende E-Mails - Internet zu Edge-Transport-Server | 25/TCP (SMTP) | Internet (alle) | Edge-Transport-Server | Der Standard-Empfangsconnector mit dem Namen "Standardname> des internen Empfangsconnectors< Edge-Transport-Server" auf dem Edge-Transport-Server lauscht auf anonyme SMTP-E-Mails an Port 25. |
Eingehende E-Mails - Edge-Transport-Server zu interner Exchange-Organisation | 25/TCP (SMTP) | Edge-Transport-Server | Postfachserver am abonnierten Active Directory-Standort | Der Standardmäßige Sendeconnector mit dem Namen "EdgeSync – Name des Active Directory-Standorts> für eingehenden< Datenverkehr" leitet eingehende E-Mails an Port 25 an einen beliebigen Postfachserver am abonnierten Active Directory-Standort weiter. Weitere Informationen finden Sie unter Automatische Erstellung von Sendeconnectors durch das Edge-Abonnement Der Standard-Empfangsconnector mit dem Namen "Standardname des Front-End-Postfachservers<>" im Front-End-Transportdienst auf dem Postfachserver lauscht auf alle eingehenden E-Mails (einschließlich E-Mails von Exchange 2013 oder höher Edge-Transport-Servern) an Port 25. |
Ausgehende E-Mails - interne Exchange-Organisation zu Edge-Transport-Server | 25/TCP (SMTP) | Postfachserver am abonnierten Active Directory-Standort | Edge-Transport-Server | Ausgehende E-Mails umgehen immer den Front-End-Transportdienst auf Postfachservern. E-Mails werden vom Transportdienst auf einem beliebigen Postfachserver am abonnierten Active Directory-Standort mithilfe des impliziten und unsichtbaren organisationsinternen Sendeconnectors, der E-Mails automatisch zwischen Exchange-Servern in derselben Organisation weitergibt, an einen Edge-Transportserver weitergeleitet. Der Standardmäßige Empfangsconnector mit dem Namen "Standardname> des internen Edge-Transport-Servers des Empfangsconnectors<" auf dem Edge-Transport-Server lauscht auf SMTP-E-Mails an Port 25 des Transportdiensts auf einem beliebigen Postfachserver am abonnierten Active Directory-Standort. |
Ausgehende E-Mails – Edge-Transport-Server ins Internet | 25/TCP (SMTP) | Edge-Transport-Server | Internet (alle) | Der Standardmäßige Sendeconnector mit dem Namen "EdgeSync – <Active Directory-Standortname> an das Internet" leitet ausgehende E-Mails an Port 25 vom Edge-Transport-Server an das Internet weiter. |
EdgeSync-Synchronisierung | 50636/TCP (sicheres LDAP) | Postfachserver am abonnierten Active Directory-Standort, die an der EdgeSync-Synchronisierung teilnehmen | Edge-Transport-Server | Wenn der Edge-Transport-Server den Active Directory-Standort abonniert hat, nehmen alle Postfachserver, die zum Zeitpunkt des Standorts vorhanden sind, an der EdgeSync-Synchronisierung teil. Postfachserver, die Sie später hinzufügen, nehmen jedoch nicht automatisch an der EdgeSync-Synchronisierung teil. |
DNS für die Namensauflösung des nächsten E-Mail-Hops (nicht abgebildet) | 53/UDP, 53/TCP (DNS) | Edge-Transport-Server | DNS-Server | Weitere Informationen finden Sie weiter unten in diesem Thema im Abschnitt Namensauflösung . |
Öffnen der Proxyservererkennung in Absenderreputation (nicht abgebildet) | Kommentare anzeigen | Edge-Transport-Server | Internet | Standardmäßig verwendet der Absenderzuverlässigkeits-Agent (der Protokollanalyse-Agent) die Erkennung eines offenen Proxyservers als eines der Kriterien, um die Absenderzuverlässigkeitsstufe (SRL) des Quellmessagingservers zu berechnen. Weitere Informationen finden Sie unter Absenderzuverlässigkeit und der Protokollanalyse-Agent. Die Erkennung von offenen Proxyservern verwendet die folgenden Protokolle und TCP-Ports, um Quellmessagingserver für offenen Proxy zu testen:
Wenn Ihre Organisation einen Proxyserver verwendet, um den ausgehenden Internetdatenverkehr zu steuern, müssen Sie außerdem den Namen, den Typ und den TCP-Port des Proxyservers definieren, den der Absender für den Zugriff auf das Internet für die Erkennung offener Proxyserver benötigt. Alternativ können Sie die Erkennung von offenen Proxyservern in der Absenderreputation deaktivieren. Weitere Informationen finden Sie unter Verfahren zur Absenderreputation. |
Namensauflösung
DNS-Auflösung des nächsten E-Mail-Hops ist ein grundlegender Bestandteil des E-Mail-Flusses in jeder Exchange-Organisation. Exchange-Server, die für das Empfangen von eingehenden E-Mails oder das Übermitteln von ausgehenden E-Mails zuständig sind, müssen in der Lage sein, interne und externe Hostnamen für die richtige E-Mail-Weiterleitung aufzulösen. Alle internen Exchange-Server müssen in der Lage, interne Hostnamen für die richtige E-Mail-Weiterleitung aufzulösen . Es gibt zahlreiche Möglichkeiten zum Entwerfen einer DNS-Infrastruktur, doch wichtig ist es, eine ordnungsgemäße Funktionsweise der Namensauflösung des nächsten Hops für alle Exchange-Server sicherzustellen.
Für Hybridbereitstellungen erforderliche Netzwerkports
Die Netzwerkports, die für eine Organisation erforderlich sind, die sowohl lokale Exchange als auch Microsoft 365 oder Office 365 verwendet, werden unter Hybridbereitstellungsprotokolle, -ports und -Endpunkte behandelt.
Für Unified Messaging in Exchange 2016 erforderliche Netzwerkports
Die Netzwerkports, die für Unified Messaging in Exchange 2013 und Exchange 2016 erforderlich sind, werden im Thema UM-Protokolle, -Ports und -Dienste behandelt.