Porte di rete per client e flusso di posta in Exchange

In questo argomento vengono fornite informazioni sulle porte di rete usate da Exchange Server 2016 e Exchange Server 2019 per la comunicazione con client di posta elettronica, server di posta Internet e altri servizi esterni all'organizzazione di Exchange locale. Prima di approfondire l'argomento, comprendere le regole di base riportate di seguito:

  • Non è supportato il traffico di rete alterato o limitato tra server Exchange interni, tra server Exchange interni e server Lync o Skype for Business interni oppure tra server Exchange interni e controller di dominio Active Directory interni in qualsiasi tipo di topologia. Se si dispone di firewall o dispositivi di rete che potrebbero limitare o modificare questo tipo di traffico di rete interno, è necessario configurare regole che consentano la comunicazione libera e senza restrizioni tra questi server: regole che consentono il traffico di rete in ingresso e in uscita su qualsiasi porta (incluse le porte RPC casuali) e qualsiasi protocollo che non alteri mai bit sul cavo.

  • I server Trasporto Edge si trovano quasi sempre in una rete perimetrale, quindi si prevede che si limiterà il traffico di rete tra il server Trasporto Edge e Internet e tra il server Trasporto Edge e l'organizzazione di Exchange interna. Le porte di rete sono descritte in questo argomento.

  • Probabilmente verrà limitato il traffico di rete tra i servizi e i client esterni e l'organizzazione Exchange interna. È inoltre consentito limitare il traffico di rete tra client interni e server Exchange interni. Le porte di rete sono descritte in questo argomento.

Porte di rete necessarie per client e servizi

Le porte di rete necessarie ai client di posta elettronica per accedere alle cassette postali e ad altri servizi nell'organizzazione Exchange sono descritte nel diagramma e nella tabella seguenti.

Note:

  • La destinazione di questi client e servizi è il servizio Accesso client in un server Cassette postali. In Exchange 2016 ed Exchange 2019, l'accesso client (front-end) e i servizi back-end vengono installati insieme nello stesso server Cassette postali. Per altre informazioni, vedere Architettura del protocollo di accesso client.

  • Sebbene il diagramma mostri client e servizi da Internet, i concetti sono gli stessi per i client interni, ad esempio i client in una foresta di account che accedono ai server Exchange in una foresta di risorse. Analogamente, la tabella non ha una colonna di origine perché l'origine potrebbe essere qualsiasi posizione esterna all'organizzazione di Exchange, ad esempio Internet o una foresta di account.

  • I server Trasporto Edge non influenzano in alcun modo il traffico di rete associato ai client e servizi.

Porte di rete necessarie per client e servizi.

Finalità Porte Commenti
Le connessioni Web crittografate vengono utilizzate dai client e servizi riportati di seguito:
  • Servizio di individuazione automatica
  • Exchange ActiveSync
  • Servizi Web Exchange (EWS)
  • Distribuzione Rubrica fuori rete (OAB, offline address book)
  • Outlook via Internet (RPC su HTTP)
  • Outlook MAPI su HTTP
  • Outlook sul web (in precedenza noto come Outlook Web App)
443/TCP (HTTPS) Per ulteriori informazioni su questi client e servizi, vedere i seguenti argomenti:
Le connessioni Web decrittografate vengono utilizzate dai client e servizi riportati di seguito:
  • Pubblicazione del calendario Internet
  • Outlook sul web (reindirizzamento a 443/TCP)
  • Individuazione automatica (fallback quando 443/TCP non è disponibile)
80/TCP (HTTP) Se possibile, è consigliabile utilizzare connessioni Web crittografate su 443/TCP per proteggere i dati e le credenziali. Tuttavia, è possibile che alcuni servizi debbano essere configurati per l'uso di connessioni Web non crittografate su 80/TCP ai servizi Accesso client nei server Cassette postali.

Per ulteriori informazioni su questi client e servizi, vedere i seguenti argomenti:

client IMAP4 143/TCP (IMAP), 993/TCP (IMAP protetto) IMAP4 è disabilitato per impostazione predefinita. Per altre informazioni, vedere POP3 e IMAP4 in Exchange Server.

Il servizio IMAP4 nei servizi Accesso client nel server Cassette postali proxy connessioni al servizio back-end IMAP4 in un server Cassette postali.

client POP3 110/TCP (POP3), 995/TCP (POP3 protetto) POP3 è disabilitato per impostazione predefinita. Per altre informazioni, vedere POP3 e IMAP4 in Exchange Server.

Il servizio POP3 nei servizi Accesso client nel server Cassette postali esegue il proxy delle connessioni al servizio back-end POP3 in un server Cassette postali.

Client SMTP (autenticati) 587/TCP (SMTP autenticati) Il connettore ricevuto predefinito denominato "Nome> server front-end< client" nel servizio Trasporto Front End è in ascolto degli invii client SMTP autenticati sulla porta 587.

Nota: se si dispone di client di posta elettronica che sono in grado di inviare solo messaggi di posta elettronica SMTP autenticati sulla porta 25, è possibile modificare le associazioni delle schede di rete del connettore di ricezione client per restare in ascolto anche degli invii di posta elettronica SMTP autenticati sulla porta 25.

Porte di rete necessarie per il flusso di posta

La modalità di recapito da e verso l'organizzazione Exchange dipende dalla topologia di Exchange. Il fattore più importante è se si dispone di un server Trasporto Edge sottoscritto distribuito nella rete perimetrale.

Porte di rete richieste per il flusso di posta (senza server Trasporto Edge)

Le porte di rete necessarie per il flusso di posta in un'organizzazione di Exchange con solo server Cassette postali sono descritte nel diagramma e nella tabella seguenti.

Porte di rete necessarie per il flusso di posta (nessun server Trasporto Edge).

Finalità Porte Origine Destinazione Commenti
Posta in ingresso 25/TCP (SMTP) Internet (qualsiasi) Server Cassette postali Il connettore di ricezione predefinito denominato "Nome> server cassette postali front-end< predefinito" nel servizio Trasporto front-end è in ascolto della posta SMTP in ingresso anonima sulla porta 25.

La posta viene inoltrata dal servizio Trasporto Front End al servizio Trasporto in un server Cassette postali usando il connettore di invio implicito e invisibile all'interno dell'organizzazione che instrada automaticamente la posta tra i server Exchange nella stessa organizzazione. Per altre informazioni, vedere Connettori di invio implicito.

Posta in uscita 25/TCP (SMTP) Server Cassette postali Internet (qualsiasi) Per impostazione predefinita, Exchange non crea connettori di invio che consentono di inviare messaggi di posta elettronica a Internet. È necessario creare manualmente i connettori di invio. Per altre informazioni, vedere Creare un connettore di invio per inviare posta a Internet.
Posta in uscita (se sottoposta a proxy tramite il servizio di trasporto Front End) 25/TCP (SMTP) Server Cassette postali Internet (qualsiasi) La posta in uscita viene indirizzata tramite il servizio Trasporto Front End solo quando un connettore di invio è configurato con proxy tramite il server Accesso client nell'interfaccia di amministrazione di Exchange o -FrontEndProxyEnabled $true in Exchange Management Shell.

In questo caso, il connettore di ricezione predefinito denominato "Nome> server cassette postali front-end< proxy in uscita" nel servizio Trasporto front-end è in ascolto della posta in uscita dal servizio Trasporto in un server Cassette postali. Per ulteriori informazioni, vedere Configure Send connectors to proxy outbound mail.

DNS per la risoluzione dei nomi dell'hop di posta successivo (non raffigurato) 53/UDP,53/TCP (DNS) Server Cassette postali Server DNS Vedere la sezione Risoluzione dei nomi in questo argomento.

Porte di rete richieste per il flusso di posta con i server Trasporto Edge

Un server Trasporto Edge sottoscritto installato nella rete perimetrale influisce sul flusso di posta nei modi seguenti:

  • La posta in uscita dall'organizzazione di Exchange non scorre mai attraverso il servizio Trasporto Front End nei server Cassette postali. La posta passa sempre dal servizio Trasporto in un server Cassette postali nel sito Di Active Directory sottoscritto al server Trasporto Edge (indipendentemente dalla versione di Exchange nel server Trasporto Edge).

  • La posta in ingresso passa dal server Trasporto Edge a un server Cassette postali nel sito di Active Directory sottoscritto. In particolare:

    • La posta da un server Trasporto Edge di Exchange 2013 o versioni successive arriva prima al servizio Trasporto Front End prima di passare al servizio Trasporto in un server Cassette postali di Exchange 2016 o Exchange 2019.

    • In Exchange 2016, la posta da un server Trasporto Edge di Exchange 2010 recapita sempre la posta direttamente al servizio Trasporto in un server Cassette postali di Exchange 2016. Si noti che la coesistenza con Exchange 2010 non è supportata in Exchange 2019.

Per ulteriori informazioni, vedere Mail flow and the transport pipeline.

Le porte di rete necessarie per il flusso di posta in organizzazioni Exchange che dispongono di server Trasporto Edge sono descritte nel diagramma e nella tabella seguenti.

Porte di rete necessarie per il flusso di posta con i server Trasporto Edge.

Finalità Porte Origine Destinazione Commenti
Posta in ingresso - Da Internet al server Trasporto Edge 25/TCP (SMTP) Internet (qualsiasi) Server Trasporto Edge Il connettore di ricezione predefinito denominato "Nome> server Trasporto Edge del connettore< di ricezione interno predefinito" nel server Trasporto Edge è in ascolto della posta SMTP anonima sulla porta 25.
Posta in ingresso - Dal server Trasporto Edge all'organizzazione Exchange interna 25/TCP (SMTP) Server Trasporto Edge Server Cassette postali nel sito Active Directory sottoscritto Il connettore di invio predefinito denominato "EdgeSync - Inbound to <Active Directory site name>" inoltra la posta in ingresso sulla porta 25 a qualsiasi server Cassette postali nel sito di Active Directory sottoscritto. Per altre informazioni, vedere Inviare connettori creati automaticamente dalla sottoscrizione Edge.

Il connettore di ricezione predefinito denominato "Nome> server cassette postali front-end< predefinito" nel servizio Trasporto front-end nel server Cassette postali è in ascolto di tutti i messaggi di posta in ingresso (inclusa la posta proveniente da server Trasporto Edge di Exchange 2013 o versioni successive) sulla porta 25.

Posta in uscita - Dall'organizzazione Exchange interna al server Trasporto Edge 25/TCP (SMTP) Server Cassette postali nel sito Active Directory sottoscritto Server Trasporto Edge La posta in uscita ignora sempre il servizio Trasporto front-end nei server Cassette postali.

La posta viene inoltrata dal servizio Trasporto in qualsiasi server Cassette postali nel sito di Active Directory sottoscritto a un server Trasporto Edge usando il connettore di invio implicito e invisibile all'interno dell'organizzazione che instrada automaticamente la posta tra i server Exchange nella stessa organizzazione.

Il connettore di ricezione predefinito denominato "Nome> server Trasporto Edge del connettore< di ricezione interno predefinito" nel server Trasporto Edge è in ascolto della posta SMTP sulla porta 25 del servizio Trasporto in qualsiasi server Cassette postali nel sito di Active Directory sottoscritto.

Posta in uscita - Server Trasporto Edge verso Internet 25/TCP (SMTP) Server Trasporto Edge Internet (qualsiasi) Il connettore di invio predefinito denominato "EdgeSync - <Nome> sito Active Directory a Internet" inoltra la posta in uscita sulla porta 25 dal server Trasporto Edge a Internet.
Sincronizzazione EdgeSync 50636/TCP (LDAP protetto) Server Cassette postali nel sito Active Directory sottoscritto inclusi nel processo di sincronizzazione EdgeSync Server Trasporto Edge Quando il server Trasporto Edge è sottoscritto al sito di Active Directory, tutti i server Cassette postali esistenti nel sito al momento partecipano alla sincronizzazione edgesync. Tuttavia, tutti i server Cassette postali aggiunti in un secondo momento non partecipano automaticamente alla sincronizzazione di EdgeSync.
DNS per la risoluzione dei nomi dell'hop di posta successivo (non raffigurato) 53/UDP,53/TCP (DNS) Server Trasporto Edge Server DNS Vedere la sezione Risoluzione dei nomi più avanti in questo argomento.
Aprire il rilevamento del server proxy nella reputazione del mittente (non illustrato) vedere i commenti Server Trasporto Edge Internet Per impostazione predefinita, la reputazione del mittente (agente di analisi del protocollo) usa il rilevamento del server proxy aperto come uno dei criteri per calcolare il livello di reputazione del mittente (SRL) del server di messaggistica di origine. Per ulteriori informazioni, vedere Reputazione del mittente e l'agente analisi del protocollo.

Il rilevamento del server proxy aperto usa i protocolli e le porte TCP seguenti per testare i server di messaggistica di origine per il proxy aperto:

  • SOCKS4, SOCKS5: 1081, 1080
  • Wingate, Telnet, Cisco: 23
  • HTTP CONNECT, HTTP POST: 6588, 3128, 80

Inoltre, se l'organizzazione usa un server proxy per controllare il traffico Internet in uscita, è necessario definire il nome, il tipo e la porta TCP del server proxy richiesti dalla reputazione del mittente per accedere a Internet per il rilevamento del server proxy aperto.

In alternativa, è possibile disabilitare il rilevamento del server proxy aperto nella reputazione del mittente.

Per ulteriori informazioni, vedere Procedure per la reputazione mittente.

Risoluzione dei nomi

La risoluzione DNS dell'hop di posta successivo è una parte fondamentale del flusso di posta in qualsiasi organizzazione Exchange. I server Exchange che si occupano della ricezione della posta in ingresso o del recapito della posta in uscita devono essere in grado di risolvere i nomi host interni ed esterni per il routing della posta corretto. Tutti i server Exchange interni devono essere in grado di risolvere i nomi host interni per il routing della posta corretto. Esistono molti modi diversi per progettare un'infrastruttura DNS, ma l'importante è garantire che la risoluzione dei nomi per l'hop di posta successivo funzioni correttamente per tutti i server Exchange.

Porte di rete necessarie per le distribuzioni ibride

Le porte di rete necessarie per un'organizzazione che usa exchange locale e Microsoft 365 o Office 365 sono trattate in protocolli, porte ed endpoint di distribuzione ibrida.

Porte di rete necessarie per la messaggistica unificata in Exchange 2016

Le porte di rete necessarie per la messaggistica unificata in Exchange 2013 ed Exchange 2016 sono trattate nell'argomento Protocolli, porte e servizi di messaggistica unificata.