Сделай Сам
Подключение почтовых клиентов к Microsoft Exchange Server. Справочник по сетевым портам Exchange Порты для работы exchange

Подключение почтовых клиентов к Microsoft Exchange Server. Справочник по сетевым портам Exchange Порты для работы exchange

What TCP and UDP ports does my Exchange 2000/2003 Server use?

For purposes of configuring firewalls or for troubleshooting communications issues, it may be useful to know what TCP/UDP ports Exchange 2000 Server and Exchange 2000 Conferencing Server are using. This article is also true for Exchange Server 2003 installations.

Protocol: LDAP

Port (TCP/UDP): 389 (TCP)
Description: Lightweight Directory Access Protocol (LDAP), used by Active Directory, Active Directory Connector, and the Microsoft Exchange Server 5.5 directory.

Protocol: LDAP/SSL

Port (TCP/UDP): 636 (TCP)
Description: LDAP over Secure Sockets Layer (SSL). When SSL is enabled, LDAP data that is transmitted and received is encrypted.
To enable SSL, you must install a Computer certificate on the domain controller or Exchange Server 5.5 computer.

Protocol: LDAP

Port (TCP/UDP): 379 (TCP)
Description: The Site Replication Service (SRS) uses TCP port 379.

Protocol: LDAP

Port (TCP/UDP): 390 (TCP)
Description: While not a standard LDAP port, TCP port 390 is the recommended alternate port to configure the Exchange Server 5.5 LDAP protocol when Exchange Server 5.5 is running on a Microsoft Windows 2000 Active Directory domain controller.

Protocol: LDAP

Port (TCP/UDP): 3268 (TCP)
Description: Global catalog. The Windows 2000 Active Directory global catalog (which is really a domain controller “role”) listens on TCP port 3268. When you are troubleshooting issues that may be related to a global catalog, connect to port 3268 in LDP.

Protocol: LDAP/SSL

Port (TCP/UDP): 3269 (TCP)
Description: Global catalog over SSL. Applications that connect to TCP port 3269 of a global catalog server can transmit and receive SSL encrypted data. To configure a global catalog to support SSL, you must install a Computer certificate on the global catalog.

Protocol: IMAP4

Port (TCP/UDP): 143 (TCP)
Description: Internet Message Access Protocol version 4, may be used by “standards-based” clients such as Microsoft Outlook Express or Netscape Communicator to access the e-mail server. IMAP4 runs on top of the Microsoft Internet Information Service (IIS) Admin Service (Inetinfo.exe), and enables client access to the Exchange 2000 information store.

Protocol: IMAP4/SSL

Port (TCP/UDP): 993 (TCP)
Description: IMAP4 over SSL uses TCP port 993. Before an Exchange 2000 server supports IMAP4 (or any other protocol) over SSL, you must install a Computer certificate on the Exchange 2000 server.

Protocol: POP3

Port (TCP/UDP): 110 (TCP)
Description: Post Office Protocol version 3, enables “standards-based” clients such as Outlook Express or Netscape Communicator to access the e-mail server. As with IMAP4, POP3 runs on top of the IIS Admin Service, and enables client access to the Exchange 2000 information store.

Protocol: POP3/SSL

Port (TCP/UDP): 995 (TCP)
Description: POP3 over SSL. To enable POP3 over SSL, you must install a Computer certificate on the Exchange 2000 server.

Protocol: NNTP

Port (TCP/UDP): 119 (TCP)
Description: Network News Transport Protocol, sometimes called Usenet protocol, enables “standards-based” client access to public folders in the information store. As with IMAP4 and POP3, NNTP is dependent on the IIS Admin Service.

Protocol: NNTP/SSL

Port (TCP/UDP): 563 (TCP)

Description: NNTP over SSL. To enable NNTP over SSL, you must install a Computer certificate on the Exchange 2000 Server.

Protocol: HTTP

Port (TCP/UDP): 80 (TCP)
Description: Hyper-Text Transfer Protocol is the protocol used primarily by Microsoft Outlook Web Access (OWA), but also enables some administrative actions in Exchange System Manager. HTTP is implemented through the World Wide Web Publishing Service (W3Svc), and runs on top of the IIS Admin Service.

Protocol: HTTP/SSL

Port (TCP/UDP): 443 (TCP)
Description: HTTP over SSL. To enable HTTP over SSL, you must install a Computer certificate on the Exchange 2000 server.

Protocol: SMTP

Port (TCP/UDP): 25 (TCP)
Description: Simple Mail Transfer Protocol, is the foundation for all e-mail transport in Exchange 2000. The SMTP Service (SMTPSvc) runs on top of the IIS Admin Service. Unlike IMAP4, POP3, NNTP, and HTTP, SMTP in Exchange 2000 does not use a separate port for secure communication (SSL), but rather, employs an “in-band security sub-system” called Transport Layer Security (TLS).

Protocol: SMTP/SSL

Port (TCP/UDP): 465 (TCP)
Description: SMTP over SSL. TCP port 465 is reserved by common industry practice for secure SMTP communication using the SSL protocol. However, unlike IMAP4, POP3, NNTP, and HTTP, SMTP in Exchange 2000 does not use a separate port for secure communication (SSL), but rather, employs an “in-band security sub-system” called Transport Layer Security (TLS). To enable TLS to work on Exchange 2000, you must install a Computer certificate on the Exchange 2000 server.

Protocol: SMTP/LSA

Port (TCP/UDP): 691 (TCP)
Description: The Microsoft Exchange Routing Engine (also known as RESvc) listens for routing link state information on TCP port 691. Exchange 2000 uses routing link state information to route messages and the routing table is constantly updated. The Link State Algorithm (LSA) propagates outing status information between Exchange 2000 servers. This algorithm is based on the Open Shortest Path First (OSPF) protocol from networking technology, and transfers link state information between routing groups by using the X-LSA-2 command verb over SMTP and by using a Transmission Control Protocol (TCP) connection to port 691 in a routing group.

Protocol: RVP

Port (TCP/UDP): 80 (TCP)
Description: RVP is the foundation for Instant Messaging in Exchange 2000. While RVP communication begins with TCP port 80, the server quickly sets up a new connection to the client on an ephemeral TCP port above 1024. Because this port is not known in advance, issues exist when you enable Instant Messaging through a firewall.

Protocol: IRC/IRCX

Port (TCP/UDP): 6667 (TCP)
Description: Internet Relay Chat (IRC) is the chat protocol. IRCX is the extended version offered by Microsoft. While TCP port 6667 is the most common port for IRC, TCP port 7000 is also very frequently used.

Protocol: IRC/SSL

Port (TCP/UDP): 994 (TCP)
Description: IRC (or Chat) over SSL. IRC or IRCX over SSL is not supported in Exchange 2000.

Protocol: X.400

Port (TCP/UDP): 102 (TCP)
Description: ITU-T Recommendation X.400 is really a series of recommendations for what an electronic message handling system (MHS) should look like. TCP port 102 is defined in IETF RFC-1006, which describes OSI communications over a TCP/IP network. In brief, TCP port 102 is the port that the Exchange message transfer agent (MTA) uses to communicate with other X.400-capable MTAs.

Protocol: MS-RPC

Port (TCP/UDP): 135 (TCP)
Description: Microsoft Remote Procedure Call is a Microsoft implementation of remote procedure calls (RPCs). TCP port 135 is actually only the RPC Locator Service, which is like the registrar for all RPC-enabled services that run on a particular server. In Exchange 2000, the Routing Group Connector uses RPC instead of SMTP when the target bridgehead server is running Exchange 5.5. Also, some administrative operations require RPC. To configure a firewall to enable RPC traffic, many more ports than just 135 must be enabled.

For additional information, click the article numbers below to view the articles in the Microsoft Knowledge Base:

XADM: Setting TCP/IP Port Numbers for Internet Firewalls

XCON: Configuring MTA TCP/IP Port # for X.400 and RPC Listens

Protocol: T.120

Port (TCP/UDP): 1503 (TCP)
Description: ITU-T Recommendation T.120 is a series of recommendations that define data conferencing. Data conferencing is implemented on the server side as a Conferencing Technology Provider (CTP) in the Multipoint Control Unit (MCU), which is one component of the Exchange Conferencing Services (ECS). Data conferencing is implemented on the client side as Chat, Application Sharing, Whiteboard, and File Transferring in Microsoft NetMeeting.

Protocol: ULS

Port (TCP/UDP): 522 (TCP)
Description: User Locator Service is a type of Internet directory service for conferencing clients, such as NetMeeting. Exchange 2000 Server and Exchange 2000 Conferencing Server do not implement a ULS, but rather take advantage of Active Directory for directory services (by TCP port 389).

Protocol: H.323 (Video)

Port (TCP/UDP): 1720 (TCP)
Description: ITU-T Recommendation H.323 defines multimedia conferencing. TCP port 1720 is the H.323 (video) call setup port. After a client connects, the H.323 server negotiates a new, dynamic UDP port to be used for streaming data.

Protocol: Audio

Port (TCP/UDP): 1731 (TCP)
Description: Audio conferencing is enabled in much the same way as H.323 video conferencing is enabled in Exchange 2000 Server. After clients connect to TCP port 1731, a new dynamic port is negotiated for further streaming data.

Exchange Server и брандмауэры

Брандмауэры (файрволлы) для почтовых серверов (Exchange Server), порты почтовых серверов, front-end и back-end почтовые серверы, виртуальные серверы SMTP, POP3, IMAP4

Как и любой компьютер, подключенный к Интернету, компьютер, на котором стоит почтовый сервер, необходимо защищать при помощи брандмауэра. При этом варианты установки почтового сервера с точки зрения конфигурации сети могут быть очень разными:

· самый простой вариант - установить почтовый сервер на компьютер, который одновременно является прокси-сервером/брандмауэром, а затем на том интерфейсе, который обращен к Интернету, открыть необходимые порты. Обычно такая схема применяется в небольших организациях;

· еще один вариант - установить почтовый сервер в локальной сети и настроить его работу через прокси-сервер. Для этого можно привязать к почтовому серверу public ip и пропускать его через прокси или воспользоваться средствами типа port mapping на прокси-сервере. На многих прокси-серверах есть специальные мастеры или заранее заготовленные правила для организации такого решения (например, в ISA Server). Такой вариант используется в большинстве организаций.

· еще одна принципиальная возможность - создать DMZ и поместить в нее front -end Exchange Server (такая возможность появилась, начиная с версии 2000) или SMTP Relay на основе другого Exchange Server или, например, sendmail на *nix. Обычно применяется в сетях крупных организаций.

В любом случае для почтового сервера необходимо обеспечить взаимодействие, как минимум, на порту TCP 25 (SMTP ) и UDP 53 (DNS ). Другие порты, которые могут потребоваться Exchange Server в зависимости от конфигурации вашей сети (все - TCP):

· 80 HTTP - для доступа на Web -интерфейс (OWA )

· 88 Kerberos authentication protocol - если используется аутентификация Kerberos (редко);

· 102 MTA .X .400 connector over TCP /IP (если используется коннектор X .400 для связи между группами маршрутизации);

· 110 Post Office Protocol 3 (POP 3) - для доступа клиентов;

· 119 Network News Transfer Protocol (NNTP ) - если используются группы новостей;

· 135 Client /server communication RPC Exchange administration - стандартный порт RPC для удаленного администрирования Exchange стандартными средствами System Manager;

· 143 Internet Message Access Protocol (IMAP) - для доступа клиентов;

· 389 LDAP - для обращения к службе каталогов;

· 443 HTTP (Secure Sockets Layer (SSL )) (и ниже) - те же самые протоколы, защищенные по SSL .

· 563 NNTP (SSL)

· 636 LDAP (SSL)

· 993 IMAP4 (SSL)

· 995 POP3 (SSL)

· 3268 and 3269 - запросы к серверу глобального каталога (поиск по Active Directory и проверка членства в universal groups).

Интерфейс Exchange Server, обращенный внутрь организации, закрывать брандмауэром не имеет смысла - по нему будет происходить взаимодействие с контроллерами домена, утилитами администрирования, системами резервного копирования и т.п. Для интерфейса, открытого в Интернет, рекомендуется оставить порты 53 (если Exchange будет разрешать имена хостов сам, а не перенаправлять запросы на локальный сервер DNS) и 25. Очень часто клиентам необходимо обращаться к своим почтовым ящикам извне (из дома, во время командировки и т.п.). Лучшее решение в этой ситуации - настроить OWA (Web-интерфейс для доступа на Exchange Server, который устанавливается по умолчанию, доступен по адресу http://имя_сервера/exchange) для работы по SSL и открыть доступ только по порту 443. Помимо решений вопросов с безопасной аутентификацией и шифрованием сообщений автоматически решается вопрос с SMTP Relay (об этом позже) и с ситуацией, когда пользователь нечаянно скачивает рабочую электронную почту в папки почтового клиента на домашний компьютер, а потом на работе не может эти сообщения найти (не говоря уже о том, что хранить рабочую почту дома - нарушение безопасности).

Новая возможность, которая появилась в Exchange Server . начиная с версии 2000, возможность использования нескольких виртуальных SMTP и POP3-серверов с разными настройками безопасности. Например, тот SMTP-сервер, который взаимодействует с Интернетом, можно настроить на повышенный режим безопасности и строгие ограничения по доставке, а для SMTP-сервера, с которым работают пользователи внутри организации, использовать максимально производительные и удобные для пользователей настройки.

Необходимо также сказать об определенной путанице в терминологии - очень часто брандмауэрами для Exchange называют системы фильтрации сообщений, которые будут рассмотрены ниже.

В данной статье мы разберемся с тем, как настроить статические RPC порты для служб RPC Client Access, Exchange Address Book и службы доступа к общим папкам в Exchange 2010.

Представим, что у нас имеется сложная организация с Exchange Server 2010 SP1 (или выше), в которой в том числе имеется . Сервера CAS обычно располагаются в сети, отделенной межсетевыми экранами от сетей, из которых предполагается доступ пользователей (сети Outlook). Подключение клиента Outlook к серверу CAS происходит по RPC, а это значит на сетевом уровне может быть задействован любой порт из свободного диапазона портов. Не секрет, что в Windows Server 2008 и 2008 R2 в качестве динамического диапазона портов для RPC подключений используется диапазон 49152-65535 (в предыдущих версиях Windows Server использовались RPC порты в диапазоне 1025-65535).

Чтобы не превращать брандмауэры в «решето», желательно сузить диапазон используемых RPC портов, в идеале, сделав их статическими на каждом сервере Client Access Server в массиве Client Access. Кроме того использование статических RPC портов позволяет снизить потребления памяти на устройствах балансировки нагрузки (особенно HLB) и упростить их конфигурирование (не нужно указывать большие диапазоны портов).

В Exchange 2010 для службы RPC Client Access, а также для службы адресной книги Exchange можно задать статические порты. Outlook взаимодействует с данными службами через интерфейс MAPI.

Статический порт для службы Exchange 2010 RPC Client Access

Виртуальная служба Exchange 2010 RPC Client Access связана со службой доступа клиентов RPC Client, к которой в Exchange 2010 подключаются клиенты Outlook MAPI. Когда клиент Outlook подключается к Exchange, на сервере Exchange 2010 Client Access службой RPC Client Access для входящих подключений используется порт TCP End Point Mapper (TCP/135) и случайный порт из динамического диапазона портов RPC (6005-59530)

Чтобы в Exchange 2010 для службы RPC Client Access задать статический порт, необходимо в редакторе реестра открыть раздел:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSExchangeRPC

Создайте новый ключ с именем ParametersSystem , внутри которого создайте параметр типа REG_DWORD с именем TCP/IP Port . В параметре TCP/IP Port задается статический порт для службы RPC Client Access. В документации Microsoft рекомендуется выбрать порт в диапазоне 59531 — 60554 , и использовать данное значение на всех серверах CAS (мы указали порт 59532, естественно, он не должен использоваться никаким другим ПО).

После заданий статического порта, чтобы изменения вступили в силу, нужно перезапустить службу Microsoft Exchange RPC Client Access.

Restart-Service MSExchangeRPC

Статический порт для службы Exchange 2010 Address Book

В Exchange 2010 до выхода SP1 для задания статического порта службы Exchange 2010 Address Book использовался специальный конфигурационный файл Microsoft.exchange.addressbook.service.exe.config . После релиза Exchange 2010 SP1 задать статический порт данной службы можно через реестр. Для этого откройте редактор реестра и перейдите в ветку:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSExchangeAB\Parameters

Создайте новый параметр RpcTcpPort (типа REG_SZ) и задайте ему номер порта, который необходимо зафиксировать для службы Exchange Address Book service. Рекомендуется использовать любой свободный порт в диапазоне 59531-60554 и в дальнейшем использовать его на всех серверах Exchange 2010 Client Access в домене. Мы зададим RpcTcpPort=59533

После этого необходимо перезапустить службу Microsoft Exchange Address Book

Restart-Service MSExchangeAB

Важно: При переходе с Exchange 2010 RTM на SP1 этот ключ нужно задавать вручную, автоматически он не наследуется.

Настройка статического порта для подключения к общим папкам

Доступ к общим папкам из клиента Outlook осуществляется напрямую через службу RPC Client Access на сервере с ролью Mailbox. Данную настройку необходимо провести на всех серверах с ролью Mailbox, которые содержат базу общих папок (аналогично серверам CAS). Откройте редактор реестра и перейдите в ветку

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ MSExchangeRPC

Создайте новый ключ с именем ParametersSystem , внутри которого создайте параметр типа REG_DWORD с именем TCP/IP Port . Задайте его значение: TCP/IP Port = 59532.

Задав статически порт для общих папок, нужно перезапустить службу Microsoft Exchange RPC Client Access service на каждом mailbox сервере.

Проверка использования статических портов между Outlook и Exchange 2010

После внесенных изменений проверим, что Outlook подключается к заданным нами статическим RPC портам. Для этого на клиентской машине перезапустите Outlook, а затем в командной строке выполните команду:

Netstat -na

Если вы пытаетесь добавить вашу учетную запись на Outlook.com в другое почтовое приложение, вам могут потребоваться параметры POP, IMAP или SMTP для Outlook.com. Вы можете найти их ниже или по ссылке Настройка POP и IMAP на Outlook.com .

Если вы хотите добавить свою учетную запись Outlook.com на интеллектуальное устройство, например на камеру для защиты домашних компьютеров, вам понадобится пароль приложения. Дополнительные сведения можно найти в статье Добавление учетной записи Outlook.com в другое почтовое приложение или интеллектуальное устройство .

Параметры POP, IMAP и SMTP для Outlook.com

Если вы хотите добавить учетную запись Outlook.com в другую почтовую программу, поддерживающую протокол POP или IMAP, используйте указанные ниже параметры сервера.

Примечания:

Имя сервера IMAP Outlook.Office365.com

Порт IMAP : 993

Метод шифрования IMAP TLS

Outlook.office365.com имя сервера POP

POP-порт : 995

Метод шифрования POP TLS

Имя SMTP-сервера SMTP.Office365.com

Порт SMTP : 587

Метод шифрования SMTP STARTTLS

Включите доступ по протоколу POP в Outlook.com

Если вы хотите получать доступ к почте в Outlook.com по протоколу POP, вам потребуется включить его.

Измените настройки вашего почтового провайдера

Если вы пытаетесь подключить другую учетную запись к Outlook.com с помощью протокола POP, вам может понадобиться изменить некоторые настройки вашего почтового провайдера для того, чтобы наладить подключение, которое могло быть заблокировано.

Для учетных записей Gmail с доступом по протоколу POP, .

Для учетных записей Yahoo с доступом по протоколу POP, выполните указанные ниже действия .

При использовании других провайдеров электронной почты следует обратиться к ним за инструкциями для разблокировки подключения.

Outlook.com Ошибки подключения по протоколу IMAP

Если вы настроили учетную запись Outlook.com как IMAP в нескольких почтовых клиентах, возможно, вы получаете сообщение об ошибке подключения. Мы работаем над исправлением и обновляем эту статью, если у нас есть дополнительные сведения. В настоящее время попробуйте следующее решение:

Если вы используете Outlook.com для доступа к учетной записи, использующей домен, отличный от @live. com, @hotmail. com или @outlook. com, вы не сможете синхронизировать учетные записи по протоколу IMAP. Чтобы устранить эту проблему, удалите подключенную учетную запись IMAP в Outlook.com и перенастройте ее как подключение POP. Инструкции по повторной настройке учетной записи для использования POP можно узнать у поставщика учетной записи электронной почты.

Если вы используете учетную запись GoDaddy, следуйте этим инструкциям, чтобы изменить параметры учетной записи GoDaddy для использования подключения по протоколу POP . Если использование протокола POP не решило проблему, или необходимо включить протокол IMAP (отключен по умолчанию), следует обратиться в службу