از رزالاب ویکی

وقت ملاقات

این راهنما نحوه اتصال کلاینت های ایمیل مختلف به سرور Microsoft Exchange را شرح می دهد. هدف دستیابی به سیستمی است که از نظر عملکرد با Microsoft Outlook مطابقت داشته باشد.

داده های ورودی

نمونه ها از Microsoft Exchange 2010 (v14.03.0361.001) Service Pack 3 Update RollUp 18 استفاده می کنند. آزمایش در شبکه شرکتی انجام می شود. آدرس های پست الکترونیکی خارجی برای سرور ایمیل در سرورهای DNS مشخص شده است. موارد زیر باید روی سرور Exchange اجرا شود:

1. OWA (دسترسی به وب Outlook) - یک سرویس گیرنده وب برای دسترسی به سرور اجتماعی Microsoft Exchange
2. OAB (کتاب آدرس آفلاین) - دفترچه آدرس آفلاین
3. EWS (Exchange Web Services) سرویسی است که دسترسی به داده های صندوق پستی ذخیره شده در Exchange Online (به عنوان بخشی از Office 365) و Exchange در محل (شروع با Exchange Server 2007) را فراهم می کند.

تنظیمات سرور Exchange

احراز هویت برای موفقیت مشتریان غیر مایکروسافت در Exchange 2010 بسیار مهم است. شما می توانید پارامترهای آن را در سرور Exchange با نقش CAS (Client Access Server) مشاهده کنید. Snap-in IIS Manager را اجرا کنید و روی زبانه Sites / Default Web Site کلیک کنید. به احراز هویت در سه جزء توجه کنید:

• OWA - ایالت " روشن شده" برای " احراز هویت اولیه"و" احراز هویت ویندوز»:

• OAB - ایالت " روشن شده" برای " احراز هویت اولیه"و" احراز هویت ویندوز»:

• EWS - State " روشن شده" برای " احراز هویت ناشناس», « احراز هویت اولیه"و" احراز هویت ویندوز»:

میان لایه ها (واسطه ها) و ابزارهای کمکی

DavMail

برخی از سرویس گیرندگان ایمیل نمی توانند مستقیماً به Microsoft Exchange متصل شوند و نیاز به استفاده از یک لایه میانی (واسطه) دارند. در این مثال، یک سرور پروکسی به عنوان یک واسطه استفاده می شود DavMail.

• نصب DavMailبا به دست آوردن حقوق مدیر با su یا sudo:

sudo urpmi davmail

• اجرا کن DavMail:

• در برگه "اصلی" در " URL OWA (Exchange)."آدرس سرور خود را با فرمت وارد کنید" https: // /EWS/Exchange.asmx "یا پیوندی به OWA

در قالب "https: // / اوا ".

• شماره پورت ها را به خاطر بسپار " پورت IMAP محلی"و" پورت SMTP محلی". در این مثال، اینها به ترتیب 1143 و 1025 هستند.

به طوری که هر بار سرور را به صورت دستی راه اندازی نکنید DavMail، باید تماس آن را به راه اندازی اضافه کنید.

• برو به منو" تنظیمات سیستم -> راه اندازی و خاموش کردن -> شروع خودکار"، کلیک کنید بر روی [ افزودن برنامه] و "davmail" را در نوار جستجو وارد کنید، سپس روی [ خوب]:

اکنون پروکسی محلی DavMailدر هنگام راه اندازی سیستم به طور خودکار شروع می شود. اگر نماد آن در "سینی سیستم" شما را آزار می دهد، می توانید آن را پنهان کنید. برای انجام این کار، در فایل .davmail.properties، خط davmail.server = false را ویرایش کنید و false را به true تغییر دهید:

سودو مکدیت / خانه /<имя_пользователя>/.davmail.properties

مشتریان ایمیل برای اتصال به Exchange

اکنون می توانید پیکربندی کلاینت های ایمیل خود را شروع کنید.

تاندربرد

موزیلا تاندربردکلاینت ایمیل اصلی برای توزیع های لینوکس ROSA است و به احتمال زیاد قبلاً روی سیستم شما نصب شده و آماده کار است. اگر نه، می توانید آن را از مخازن ROSA نصب کنید. این مثال از نسخه 52.2.1 استفاده می کند.

• نصب تاندربرد:

sudo urpmi mozilla-thunderbird

• یک رابط روسی زبان اضافه کنید:

sudo urpmi mozilla-thunderbird-ru

• برای استفاده از تقویم ها، افزونه لایتنینگ را نصب کنید:

sudo urpmi mozilla-thunderbird-lightning

• اجرا کن تاندربرد.

• در فصل " حساب ها"در نقطه" یک حساب کاربری ایجاد کنید"انتخاب کنید" پست الکترونیک". یک پنجره خوش آمدگویی ظاهر می شود.

• در پنجره باز شده بر روی [ این را رد کنید و از ایمیل موجود من استفاده کنید].

• در پنجره " راه اندازی یک حساب ایمیل"در فیلدها وارد کنید" اسم شما», « آدرس ایمیل پست الکترونیکی"و" کلمه عبور»مدارک شما

• کلیک [ ادامه هید]. برنامه سعی می کند اتصالات را پیدا کند (ناموفق) و یک پیام خطا ظاهر می شود:

در اینجا به شماره پورتی نیاز دارید که هنگام تنظیم به خاطر آورده اید DavMail.

• برای دسته ها " ورودی"و" برونگرا"نام سرور را به "localhost" تغییر دهید.
• نشان دادن برای " IMAP"پورت 1143 و برای" SMTP"- پورت 1025.
• در زمینه " نام کاربری"UPN (نام اصلی کاربر) - نام دامنه کاربر را در قالب "[email protected]" مشخص کنید.
• کلیک کنید روی [ دوباره تست کنید].

اگر اعتبارنامه صحیح را وارد کنید، هیچ خطایی وجود نخواهد داشت. ممکن است سیستم از شما بخواهد که گواهی Exchange Server را بپذیرید. اگر این اتفاق نیفتد، ممکن است خیلی زود رابط را خاموش کرده باشید. DavMail.

ایجاد تقویم کاربر

• در رده " حساب ها"مورد را انتخاب کنید" یک تقویم جدید ایجاد کنید».
• در پنجره ای که ظاهر می شود، مقدار " را انتخاب کنید برخطو [ به علاوه].
• انتخاب فرمت " CalDAV"و در میدان" آدرس"Enter" http: // localhost: 1080 / کاربران / / تقویم ":

ایجاد دفترچه آدرس

دفترچه آدرس تاندربرداز CardDAV پشتیبانی نمی کند و فقط می تواند به دایرکتوری Exchange Server LDAP متصل شود.

• با کلیک کردن بر روی [ دفترچه آدرس] و انتخاب مورد " فایل -> جدید -> دایرکتوری LDAP».

• پارامترهای زیر را در پنجره ویزارد مشخص کنید:
  • نام- هر نام مناسب
  • نام ارائهکننده- میزبان محلی
  • عنصر ریشه (Base DN)- ou = مردم
  • بندر- 1389 (از داومیل)
  • نام کاربری (Bind DN)- نام کاربری UPN

• کلیک [ خوب]. برنامه از شما می خواهد رمز عبور را وارد کنید.

• به منوی گزینه ها بروید تاندربرد... در رده " تدوین"انتخاب برگه" خطاب به"و زیر متن" هنگام وارد کردن آدرس، آدرس های پستی مناسب را در "چک کادر" جستجو کنید. سرور دایرکتوریبا انتخاب نام دفترچه آدرس خود.

سیر تکاملی

یک سرویس گیرنده ایمیل نیز در مخازن ROSA موجود است سیر تکاملی(این مثال از نسخه 3.16.4 استفاده می کند).

• نصب سیر تکاملی:

تکامل sudo urpmi

• کانکتور را نصب کنید تبادلسازگار با نسخه 2007 به بعد:

sudo urpmi evolution-ews

• اجرا کن سیر تکاملی.

• در پنجره جادوگر، روی [ بعد] تا زمانی که به " حساب».
• فیلدها را پر کنید” نام و نام خانوادگی"و" پست الکترونیک».
• در برگه " دریافت نامه"در لیست" نوع سرور"انتخاب" Exchange Web Services ".
• برای نام، نام UPN کاربر را در قالب "[email protected]" مشخص کنید.
• در زمینه " URL میزبان"Enter" https: // MailServerNameExchange/EWS/Exchange.asmx .
• در زمینه " URL OAB»نشانی اینترنتی دفترچه آدرس آفلاین را وارد کنید.
• "Basic" را به عنوان نوع احراز هویت انتخاب کنید.

پس از پیکربندی موفقیت آمیز، برنامه یک رمز عبور می خواهد:

پس از وارد کردن رمز عبور سیر تکاملیبه صندوق پستی، دفترچه آدرس و تقویم های شما دسترسی پیدا می کند.

برای هر گونه سوال در رابطه با این مقاله، لطفا تماس بگیرید [ایمیل محافظت شده]

اگر می‌خواهید حساب Outlook.com خود را به برنامه ایمیل دیگری اضافه کنید، ممکن است به تنظیمات POP، IMAP یا SMTP برای Outlook.com نیاز داشته باشید. می توانید آنها را در زیر یا با دنبال کردن پیوند راه اندازی POP و IMAP در Outlook.com بیابید.

اگر می‌خواهید حساب Outlook.com خود را به یک دستگاه هوشمند، مانند دوربینی برای ایمن کردن رایانه‌های خانگی اضافه کنید، به رمز عبور برنامه نیاز دارید. برای اطلاعات بیشتر، به افزودن حساب Outlook.com خود به برنامه ایمیل یا دستگاه هوشمند دیگر مراجعه کنید.

تنظیمات POP، IMAP و SMTP برای Outlook.com

اگر می خواهید حساب Outlook.com خود را به برنامه ایمیل دیگری که از POP یا IMAP پشتیبانی می کند اضافه کنید، از تنظیمات سرور زیر استفاده کنید.

یادداشت:

نام سرور IMAP Outlook.Office365.com

پورت IMAP: 993

روش رمزگذاری IMAP TLS

Outlook.office365.com نام سرور POP

پورت POP: 995

روش رمزگذاری POP TLS

نام سرور SMTP SMTP.Office365.com

پورت SMTP: 587

روش رمزگذاری SMTP STARTTLS

دسترسی POP را در Outlook.com روشن کنید

اگر می خواهید از POP برای دسترسی به ایمیل خود در Outlook.com استفاده کنید، باید آن را فعال کنید.

تنظیمات ارائه دهنده ایمیل خود را تغییر دهید

اگر می‌خواهید با استفاده از POP حساب دیگری را به Outlook.com متصل کنید، ممکن است لازم باشد برخی از تنظیمات ارائه‌دهنده ایمیل خود را تغییر دهید تا اتصالی ایجاد کنید که ممکن است مسدود شده باشد.

برای حساب های جیمیل با دسترسی POP،.

برای حساب های Yahoo POP، مراحل زیر را دنبال کنید.

اگر از سایر ارائه‌دهندگان ایمیل استفاده می‌کنید، باید برای دستورالعمل‌های رفع انسداد اتصال با آنها تماس بگیرید.

خطاهای اتصال IMAP Outlook.com

اگر حساب Outlook.com خود را به عنوان IMAP در چندین سرویس گیرنده ایمیل پیکربندی کرده اید، ممکن است یک خطای اتصال دریافت کنید. ما در حال کار بر روی یک اصلاح هستیم و اگر اطلاعات بیشتری داشته باشیم این مقاله را به روز خواهیم کرد. در حال حاضر، راه حل زیر را امتحان کنید:

اگر از Outlook.com برای دسترسی به حسابی با استفاده از دامنه ای غیر از @live استفاده می کنید. کام، @hotmail. com یا @outlook. com، شما نمی توانید حساب های IMAP خود را همگام سازی کنید. برای رفع این مشکل، حساب IMAP متصل شده را در Outlook.com حذف کنید و آن را مجدداً به عنوان یک اتصال POP پیکربندی کنید. برای راهنمایی در مورد نحوه پیکربندی مجدد حساب خود برای استفاده از POP، با ارائه دهنده حساب ایمیل خود تماس بگیرید.

اگر از یک حساب GoDaddy استفاده می کنید، این دستورالعمل ها را دنبال کنید تا تنظیمات حساب GoDaddy خود را برای استفاده از اتصال POP تغییر دهید. اگر استفاده از POP مشکل را حل نکرد، یا می‌خواهید IMAP را فعال کنید (به طور پیش‌فرض غیرفعال است)، باید با سرویس تماس بگیرید.

در این مقاله، نحوه پیکربندی پورت های استاتیک RPC برای دسترسی مشتری RPC، دفترچه آدرس تبادل و دسترسی به پوشه عمومی در Exchange 2010 را به شما آموزش خواهیم داد.

فرض کنید یک سازمان پیچیده با Exchange Server 2010 SP1 (یا بالاتر) داریم که شامل. سرورهای CAS معمولاً در شبکه ای قرار دارند که توسط فایروال ها از شبکه هایی که کاربران انتظار می رود از آن دسترسی داشته باشند (شبکه های Outlook) جدا شده است. مشتری Outlook از طریق RPC به سرور CAS متصل می شود، به این معنی که هر پورتی از محدوده آزاد پورت ها را می توان در سطح شبکه استفاده کرد. بر کسی پوشیده نیست که در ویندوز سرور 2008 و 2008 R2، محدوده 49152-65535 به عنوان محدوده پورت پویا برای اتصالات RPC استفاده می شود (در نسخه های قبلی ویندوز سرور، پورت های RPC در محدوده 1025-65535 استفاده می شد).

برای جلوگیری از تبدیل فایروال ها به یک غربال، مطلوب است که محدوده پورت های RPC مورد استفاده را محدود کنید، به طور ایده آل با ثابت کردن آنها در هر سرور دسترسی مشتری در آرایه دسترسی مشتری. علاوه بر این، استفاده از پورت های ثابت RPC می تواند مصرف حافظه را در بار متعادل کننده ها (به ویژه HLB) کاهش دهد و پیکربندی آنها را ساده کند (نیازی به تعیین محدوده پورت های بزرگ نیست).

در Exchange 2010، می‌توانید پورت‌های ثابت را برای سرویس RPC Client Access و همچنین سرویس Exchange Address Book تنظیم کنید. Outlook از طریق رابط MAPI با این سرویس ها ارتباط برقرار می کند.

درگاه استاتیک برای Exchange 2010 RPC Client Access

سرویس مجازی Exchange 2010 RPC Client Access با سرویس RPC Client Access که مشتریان Outlook MAPI در Exchange 2010 به آن متصل می شوند، مرتبط است. هنگامی که یک مشتری Outlook به Exchange متصل می شود، در Exchange 2010 Client Access، سرویس RPC Client Access از پورت TCP End Point Mapper (TCP / 135) و یک پورت تصادفی از محدوده پورت پویا RPC (6005-59530) برای اتصالات ورودی استفاده می کند.

برای تنظیم یک پورت استاتیک برای سرویس RPC Client Access در Exchange 2010، کلید زیر را در ویرایشگر رجیستری باز کنید:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ MSExchangeRPC

یک کلید جدید به نام ایجاد کنید سیستم پارامترهاکه داخل آن یک پارامتر از نوع ایجاد می کند REG_DWORDبا نام پورت TCP / IP... پارامتر TCP/IP Port، پورت استاتیک را برای سرویس RPC Client Access مشخص می کند. در مستندات مایکروسافت توصیه می شود که یک پورت در محدوده 59531 - 60554 انتخاب کنید و از این مقدار در تمام سرورهای CAS استفاده کنید (پورت 59532 را مشخص کردیم، البته نباید توسط هیچ نرم افزار دیگری استفاده شود).

پس از تکمیل کارهای پورت استاتیک، سرویس Microsoft Exchange RPC Client Access باید مجددا راه اندازی شود تا تغییرات اعمال شوند.

Restart-Service MSExchangeRPC

سرویس دفترچه آدرس پورت استاتیک برای تبادل 2010

در Exchange 2010 قبل از SP1، یک فایل پیکربندی سفارشی برای تنظیم پورت استاتیک برای سرویس Exchange 2010 Address Book استفاده شد. Microsoft.exchange.addressbook.service.exe.config... پس از انتشار Exchange 2010 SP1 می توانید از طریق رجیستری یک پورت ثابت برای این سرویس تنظیم کنید. برای انجام این کار، ویرایشگر رجیستری را باز کنید و به شعبه بروید:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ MSExchangeAB \ پارامترها

یک پارامتر جدید ایجاد کنید RpcTcpPort(از نوع REG_SZ) و شماره پورتی را که می خواهید برای سرویس Exchange Address Book تعمیر کنید به آن بدهید. توصیه می کنیم از هر پورت رایگان در محدوده 59531-60554 استفاده کنید و به استفاده از آن در همه سرورهای Exchange 2010 Client Access در دامنه ادامه دهید. RpcTcpPort = 59533 را تنظیم می کنیم

پس از آن، باید سرویس Microsoft Exchange Address Book را مجددا راه اندازی کنید

Restart-Service MSExchangeAB

مهم:هنگام مهاجرت از Exchange 2010 RTM به SP1، این کلید باید به صورت دستی تنظیم شود، به طور خودکار به ارث نمی رسد.

پیکربندی یک پورت استاتیک برای اتصال به پوشه های مشترک

پوشه های مشترک از طریق سرویس گیرنده Outlook مستقیماً از طریق سرویس RPC Client Access در سروری با نقش Mailbox قابل دسترسی هستند. این تنظیم باید در تمام سرورهایی با نقش Mailbox که حاوی پایگاه داده ای از پوشه های عمومی هستند (مشابه سرورهای CAS) انجام شود. ویرایشگر رجیستری را باز کنید و به شعبه بروید

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ MSExchangeRPC

یک کلید جدید به نام ایجاد کنید سیستم پارامترها، که در داخل آن پارامتری از نوع REG_DWORD با نام ایجاد می شود پورت TCP / IP... مقدار آن را تنظیم کنید: TCP / IP Port = 59532.

پس از تنظیم ایستا پورت برای پوشه های عمومی، باید سرویس Microsoft Exchange RPC Client Access را در هر سرور صندوق پستی راه اندازی مجدد کنید.

بررسی استفاده از پورت استاتیک بین Outlook و Exchange 2010

پس از انجام تغییرات، بیایید بررسی کنیم که Outlook به پورت های استاتیک RPC که ما مشخص کرده ایم متصل است. برای انجام این کار، Outlook را در ماشین کلاینت ریستارت کنید و سپس دستور را از خط فرمان اجرا کنید:

Netstat -na

اعمال می شود برای: Exchange Server 2010 SP1

بخش آخرین اصلاح شد: 2011-04-22

این بخش اطلاعات پورت، احراز هویت و رمزگذاری را برای همه مسیرهای داده مورد استفاده در Microsoft Exchange Server 2010 ارائه می‌کند. بخش یادداشت‌ها بعد از هر جدول روش‌های غیر استاندارد احراز هویت یا رمزگذاری را روشن یا مشخص می‌کند.

سرورهای حمل و نقل

در Exchange 2010، دو نقش سرور وجود دارد که عملکرد انتقال پیام را فراهم می کند: Hub Transport و Edge Transport.

جدول زیر اطلاعاتی در مورد پورت ها، احراز هویت و رمزگذاری مسیر داده بین این سرورهای انتقال و سایر سرورها و خدمات Exchange 2010 ارائه می دهد.

مسیرهای داده برای سرورهای حمل و نقل

مسیر داده	پورت های مورد نیاز			پشتیبانی از رمزگذاری
بین دو سرور Hub Transport				بله، از طریق TLS (امنیت لایه حمل و نقل)
حمل و نقل هاب به حمل و نقل لبه		اعتماد مستقیم	اعتماد مستقیم	بله، با استفاده از TLS
از سرور Edge Transport به سرور Hub Transport		اعتماد مستقیم	اعتماد مستقیم	بله، با استفاده از TLS
بین دو سرور Edge Transport		ناشناس، احراز هویت گواهی	به صورت ناشناس با استفاده از گواهی	بله، با استفاده از TLS
از یک سرور صندوق پستی گرفته تا سرویس ارسال ایمیل اکسچنج مایکروسافت		NTLM. اگر نقش سرور Hub Transport و نقش سرور صندوق پستی روی یک سرور اجرا شوند، از Kerberos استفاده می شود.		بله، با استفاده از رمزگذاری RPC
سرور انتقال توپی به سرور صندوق پست از طریق MAPI		NTLM. اگر نقش سرور Hub Transport و نقش سرور صندوق پستی روی یک سرور نصب شده باشند، از Kerberos استفاده می شود.		بله، با استفاده از رمزگذاری RPC
				بله، با استفاده از TLS
سرویس Microsoft Exchange EdgeSync از سرور Hub Transport به سرور Edge Transport				بله، استفاده از LDAP از طریق SSL (LDAPS)
دسترسی به Active Directory از سرور Hub Transport
دسترسی به خدمات مدیریت حقوق Active Directory (AD RMS) از سرور Hub Transport				بله با SSL
مشتریان SMTP به یک سرور Hub Transport (به عنوان مثال، کاربران نهایی با استفاده از Windows Live Mail)				بله، با استفاده از TLS

یادداشت های سرور حمل و نقل

• تمام ترافیک بین سرورهای Hub Transport با استفاده از TLS و گواهینامه های خودامضا نصب شده توسط Exchange 2010 Setup رمزگذاری می شود.
• تمام ترافیک بین سرورهای Edge Transport و سرورهای Hub Transport احراز هویت و رمزگذاری شده است. TLS متقابل به عنوان مکانیزم احراز هویت و رمزگذاری استفاده می شود. به جای احراز هویت X.509، Exchange 2010 استفاده می کند اعتماد مستقیم... اعتماد مستقیم به این معنی است که وجود یک گواهی در Active Directory یا Active Directory Lightweight Directory Services (AD LDS) اعتبار گواهی را تایید می کند. Active Directory یک موتور ذخیره سازی قابل اعتماد در نظر گرفته می شود. هنگام استفاده از اعتماد مستقیم، فرقی نمی‌کند که از گواهی خودامضا استفاده می‌کنید یا گواهی امضا شده توسط مرجع صدور گواهی. هنگامی که یک سرور Edge Transport در یک سازمان Exchange مشترک می شود، Edge Subscription گواهی سرور Edge Transport را در Active Directory منتشر می کند تا سرورهای Hub Transport بتوانند آن را تأیید کنند. Microsoft Exchange EdgeSync مجموعه‌ای از گواهی‌های سرور Hub Transport را به Active Directory Lightweight Directory Services (AD LDS) برای اعتبارسنجی سرور Edge Transport اضافه می‌کند.
• EdgeSync از اتصال سرور LDAP Hub Transport امن به سرورهای Edge Transport مشترک در پورت TCP 50636 استفاده می کند. AD LDS همچنین به درگاه TCP 50389 گوش می دهد. این پورت از SSL استفاده نمی کند. برای اتصال به این پورت و اعتبارسنجی اطلاعات AD LDS می توانید از ابزارهای LDAP استفاده کنید.
• به طور پیش فرض، ترافیک بین سرورهای Edge Transport واقع در دو سازمان مختلف رمزگذاری شده است. Exchange 2010 Setup یک گواهی امضا شده ایجاد می کند و TLS را به طور پیش فرض فعال می کند. این به هر سیستم فرستنده اجازه می دهد تا جلسه SMTP ورودی را به Exchange رمزگذاری کند. به طور پیش فرض، Exchange 2010 همچنین سعی می کند از TLS برای همه اتصالات راه دور استفاده کند.
• اگر نقش سرور Hub Transport و سرور Mailbox روی یک رایانه نصب شده باشند، روش‌های احراز هویت برای ترافیک بین سرورهای Hub Transport و سرورهای Mailbox متفاوت است. انتقال نامه های محلی از احراز هویت Kerberos استفاده می کند. انتقال نامه از راه دور از احراز هویت NTLM استفاده می کند.
• Exchange 2010 همچنین از امنیت دامنه پشتیبانی می کند. Domain Security مجموعه ای از ویژگی ها در Exchange 2010 و Microsoft Outlook 2010 است که جایگزین ارزان قیمتی برای S/MIME و راه حل های دیگر برای ایمن سازی انتقال پیام از طریق اینترنت است. امنیت دامنه راهی برای کنترل مسیرهای ارتباطی امن بین دامنه ها در اینترنت فراهم می کند. هنگامی که این مسیرهای امن پیکربندی شدند، پیام‌هایی از فرستنده احراز هویت که با موفقیت از طریق آن‌ها عبور کرده‌اند، به‌عنوان پیام‌های «محافظت‌شده با دامنه» برای کاربران Outlook و Outlook Web Access ظاهر می‌شوند. برای اطلاعات بیشتر، به درک امنیت دامنه مراجعه کنید.
• بسیاری از عوامل می توانند هم روی سرورهای Hub Transport و هم بر روی سرورهای Edge Transport اجرا شوند. به طور معمول، عوامل ضد هرزنامه از اطلاعات رایانه محلی که روی آن اجرا می شوند استفاده می کنند. بنابراین، عملاً هیچ تعاملی با رایانه های راه دور مورد نیاز نیست. یک استثنا در این مورد، فیلتر گیرنده است. فیلتر گیرنده نیاز به تماس با AD LDS یا Active Directory دارد. توصیه می کنیم فیلتر گیرنده را روی سرور Edge Transport انجام دهید. در این مورد، دایرکتوری AD LDS در همان رایانه ای است که نقش سرور Edge Transport در آن نصب شده است، بنابراین نیازی به اتصال از راه دور نیست. اگر Recipient Filtering روی سرور Hub Transport نصب و پیکربندی شده باشد، باید به Active Directory دسترسی داشته باشید.
• عامل تجزیه و تحلیل پروتکل توسط ویژگی Sender Reputation در Exchange 2010 استفاده می شود. این عامل همچنین به سرورهای پراکسی خارجی مختلف متصل می شود تا مسیرهای پیام ورودی را برای اتصالات مشکوک تعیین کند.
• سایر ویژگی‌های ضد هرزنامه از داده‌هایی استفاده می‌کنند که فقط در رایانه محلی جمع‌آوری، ذخیره و در دسترس هستند. معمولاً، داده‌هایی مانند فهرست امن ادغام‌شده یا فیلتر کردن گیرنده داده‌های گیرنده با استفاده از Microsoft Exchange EdgeSync به فهرست راهنمای AD LDS در محل منتقل می‌شوند.
• عوامل مدیریت حقوق اطلاعات (IRM) در سرورهای Hub Transport به سرورهای Active Directory Rights Management Services (AD RMS) در سازمان شما متصل می شوند. خدمات مدیریت حقوق Active Directory (AD RMS) یک سرویس وب است که توصیه می شود با SSL ایمن شود. شما با استفاده از HTTPS به سرورهای AD RMS متصل می شوید و بسته به پیکربندی سرور AD RMS خود، از Kerberos یا NTLM برای احراز هویت استفاده می کنید.
• قوانین ثبت‌نام، قوانین انتقال و قوانین طبقه‌بندی پیام در اکتیو دایرکتوری ذخیره می‌شوند و توسط نماینده Journaling و عامل قوانین حمل و نقل در سرورهای Hub Transport قابل دسترسی هستند.

  سرورهای صندوق پستی

  در سرورهای صندوق پست، استفاده از احراز هویت NTLM یا Kerberos به زمینه یا فرآیند کاربر بستگی دارد که مصرف کننده لایه منطق تجاری Exchange در آن اجرا می شود. در این زمینه، مصرف کننده هر برنامه یا فرآیندی است که از لایه منطق تجاری Exchange استفاده می کند. در نتیجه، در ستون احراز هویت پیش فرضجداول مسیرهای داده برای سرورهای صندوق پستیبسیاری از خطوط دارای ارزش هستند NTLM / Kerberos.

  لایه منطق تجاری Exchange برای دسترسی و تعامل با فروشگاه Exchange استفاده می شود. لایه منطق تجاری Exchange نیز از فروشگاه Exchange فراخوانی می شود تا با برنامه ها و فرآیندهای خارجی ارتباط برقرار کند.

  اگر یک مصرف کننده لایه منطق تجاری Exchange در زمینه سیستم داخلی در حال اجرا باشد، Kerberos همیشه روش احراز هویت برای دسترسی مصرف کننده به فروشگاه Exchange است. روش احراز هویت Kerberos استفاده می شود زیرا گیرنده باید با استفاده از حساب رایانه محلی سیستم احراز هویت شود و اعتماد دو طرفه تأیید شده لازم است.

  اگر گیرنده لایه منطق تجاری Exchange در زمینه سیستم محلی اجرا نمی شود، روش احراز هویت NTLM است. به عنوان مثال، هنگامی که یک مدیر یک cmdlet مدیریت Exchange Shell را اجرا می کند که از لایه منطق تجاری Exchange استفاده می کند، احراز هویت NTLM استفاده می شود.

  ترافیک RPC همیشه رمزگذاری شده است.

  جدول زیر اطلاعات پورت، احراز هویت و رمزگذاری مسیر داده را برای سرورهای صندوق پست ارائه می دهد.

  مسیرهای داده برای سرورهای صندوق پستی

  مسیر داده	پورت های مورد نیاز	احراز هویت پیش فرض	روش احراز هویت پشتیبانی شده	پشتیبانی از رمزگذاری	رمزگذاری پیش فرض داده ها
  	389 / TCP / UDP (LDAP)، 3268 / TCP (LDAP GC)، 88 / TCP / UDP (Kerberos)، 53 / TCP / UDP (DNS)، 135 / TCP (ورود به شبکه RPC)			بله، با رمزگذاری Kerberos
  دسترسی از راه دور اداری (رجیستری از راه دور)				بله، با IPsec
  دسترسی از راه دور اداری (SMB، فایل ها)				بله، با IPsec
  سرویس وب در دسترس (دسترسی به صندوق پستی مشتری)				بله، با استفاده از رمزگذاری RPC
  خوشه بندی				بله، با استفاده از رمزگذاری RPC
  بین سرورهای دسترسی مشتری (Exchange ActiveSync)	80 / TCP، 443 / TCP (SSL)		Kerberos، احراز هویت گواهی	بله، با استفاده از HTTPS	بله، با استفاده از گواهی خود امضا شده
  بین سرورهای دسترسی مشتری (دسترسی به وب Outlook)	80 / TCP، 443 / TCP (HTTPS)			بله با SSL
  سرور دسترسی مشتری به سرور دسترسی مشتری (سرویس وب تبادل)				بله با SSL
  سرور دسترسی مشتری به سرور دسترسی مشتری (POP3)				بله با SSL
  سرور دسترسی مشتری به سرور دسترسی مشتری (IMAP4)				بله با SSL
  Office Communications Server به Client Access Server (زمانی که Office Communications Server و Outlook Web App ادغام فعال باشد)	5075-5077 / TCP (IN)، 5061 / TCP (OUT)	mTLS (الزامی)	mTLS (الزامی)	بله با SSL

  یادداشت هایی برای سرورهای دسترسی به مشتری

  سرورهای پیام رسانی یکپارچه

  دروازه‌های IP و سانترال‌های IP فقط از احراز هویت گواهی پشتیبانی می‌کنند، که از احراز هویت متقابل TLS برای رمزگذاری ترافیک SIP و تأیید اعتبار مبتنی بر آدرس IP برای اتصالات SIP یا TCP استفاده می‌کند. دروازه های IP از احراز هویت NTLM یا Kerberos پشتیبانی نمی کنند. بنابراین، هنگام استفاده از احراز هویت مبتنی بر آدرس IP، آدرس های IP اتصال به عنوان مکانیزم احراز هویت برای اتصالات رمزگذاری نشده (TCP) استفاده می شود. هنگامی که در پیام‌رسانی یکپارچه استفاده می‌شود، احراز هویت مبتنی بر IP بررسی می‌کند که آیا یک آدرس IP داده شده مجاز به اتصال است یا خیر. آدرس IP در دروازه IP یا IP PBX پیکربندی می شود.

  دروازه های IP و IP PBX ها از TLS متقابل برای رمزگذاری ترافیک SIP پشتیبانی می کنند. پس از وارد کردن و صادرات موفقیت آمیز گواهی های مورد اعتماد، IP Gateway یا IP PBX از سرور Unified Messaging درخواست گواهی می کند و سپس از IP Gateway یا IP PBX درخواست گواهی می کند. گواهی های مورد اعتماد بین دروازه IP یا IP PBX و سرور پیام رسانی یکپارچه رد و بدل می شود و به هر دو دستگاه امکان می دهد با استفاده از Mutual TLS به طور ایمن ارتباط برقرار کنند.

  جدول زیر اطلاعات پورت، احراز هویت و رمزگذاری را برای مسیرهای داده بین سرورهای Unified Messaging و سایر سرورها ارائه می دهد.

  مسیرهای داده برای سرورهای پیام رسانی یکپارچه

  مسیر داده	پورت های مورد نیاز	احراز هویت پیش فرض	روش احراز هویت پشتیبانی شده	پشتیبانی از رمزگذاری	رمزگذاری پیش فرض داده ها
  دسترسی به اکتیو دایرکتوری	389 / TCP / UDP (LDAP)، 3268 / TCP (LDAP GC)، 88 / TCP / UDP (Kerberos)، 53 / TCP / UDP (DNS)، 135 / TCP (ورود به شبکه RPC)			بله، با رمزگذاری Kerberos
  تلفن پیام رسانی یکپارچه (IP PBX / VoIP Gateway)	5060 / TCP، 5065 / TCP، 5067 / TCP (غیر ایمن)، 5061 / TCP، 5066 / TCP، 5068 / TCP (امن)، پورت پویا از 16000-17000 / TCP (کنترل)، پورت های پویا UDP از محدوده 1024-65535 / UDP (RTP)	با آدرس IP	با آدرس IP، MTLS	بله، از طریق SIP / TLS، SRTP
  وب سرویس پیام رسانی یکپارچه	80 / TCP، 443 / TCP (SSL)	احراز هویت یکپارچه ویندوز (مذاکره)		بله با SSL
  از یک سرور پیام رسانی یکپارچه تا یک سرور دسترسی مشتری	5075، 5076، 5077 (TCP)	احراز هویت یکپارچه ویندوز (مذاکره)	Basic، Digest، NTLM، Negotiate (Kerberos)	بله با SSL
  سرور پیام رسانی یکپارچه به سرور دسترسی مشتری (پخش روی تلفن)	RPC پویا			بله، با استفاده از رمزگذاری RPC
  از یک سرور پیام رسانی یکپارچه تا یک سرور حمل و نقل هاب				بله، با استفاده از TLS
  از یک سرور پیام رسانی یکپارچه به یک سرور صندوق پستی				بله، با استفاده از رمزگذاری RPC

  یادداشت هایی برای سرورهای پیام رسانی یکپارچه

  • هنگامی که یک شی دروازه IP UM در اکتیو دایرکتوری ایجاد می کنید، باید آدرس IP دروازه فیزیکی IP یا IP PBX را تعیین کنید. هنگامی که آدرس IP یک شی دروازه IP UM را تعیین می کنید، آدرس IP به لیست دروازه های IP معتبر یا PBX های IP (همچنین شرکت کنندگان جلسه SIP نامیده می شود) اضافه می شود که سرور UM مجاز است با آنها ارتباط برقرار کند. پس از ایجاد یک دروازه IP UM، می توانید آن را با طرح شماره گیری UM مرتبط کنید. نگاشت یک دروازه IP UM به یک پلن شماره گیری، سرورهای UM را که به یک پلن شماره گیری نگاشت شده اند، قادر می سازد تا از احراز هویت مبتنی بر آدرس IP برای ارتباط با دروازه IP استفاده کنند. اگر دروازه IP UM برای استفاده از آدرس IP صحیح ایجاد یا پیکربندی نشده باشد، احراز هویت ناموفق خواهد بود و سرورهای Unified Messaging اتصالات از آدرس IP آن دروازه IP را نمی پذیرند. علاوه بر این، هنگام اجرای Mutual TLS، دروازه IP یا IP PBX، و سرورهای پیام رسانی یکپارچه، دروازه IP UM باید برای استفاده از یک نام دامنه کاملاً واجد شرایط (FQDN) پیکربندی شود. پس از پیکربندی یک دروازه IP UM با یک FQDN، باید یک رکورد میزبان برای آن دروازه نیز به منطقه جستجوی DNS رو به جلو اضافه کنید.
  • در Exchange 2010، سرور پیام‌رسان متحد می‌تواند از طریق پورت 5060 / TCP (ناامن) یا از طریق پورت 5061 / TCP (امن) ارتباط برقرار کند، و می‌توان آن را برای استفاده از هر دو پورت پیکربندی کرد.

  برای اطلاعات بیشتر، به آشنایی با امنیت VoIP پیام‌رسانی یکپارچه و آشنایی با پروتکل‌ها، پورت‌ها و سرویس‌های پیام‌رسانی یکپارچه مراجعه کنید.

  قوانین فایروال ویندوز ایجاد شده توسط Exchange 2010 Setup

  فایروال ویندوز با امنیت پیشرفته یک فایروال حالت دار مبتنی بر رایانه است که ترافیک ورودی و خروجی را بر اساس قوانین فایروال فیلتر می کند. Exchange 2010 Setup قوانین فایروال ویندوز را برای باز کردن پورت های مورد نیاز برای ارتباط سرور-کلینت در هر نقش سرور ایجاد می کند. بنابراین، دیگر نیازی به استفاده از Security Configuration Wizard برای پیکربندی این تنظیمات ندارید. برای اطلاعات بیشتر در مورد فایروال ویندوز با امنیت پیشرفته، فایروال ویندوز با امنیت پیشرفته و IPsec را ببینید.

  جدول زیر قوانین فایروال ویندوز تولید شده توسط Exchange Setup را فهرست می کند، از جمله پورت هایی که در هر نقش سرور باز هستند. شما می توانید این قوانین را با استفاده از فایروال ویندوز با اسنپ-این MMC امنیت پیشرفته مشاهده کنید.

  نام قانون	نقش های سرور	بندر	برنامه
  MSExchangeADTopology - RPC (TCP Inbound)		RPC پویا	Bin \ MSExchangeADTopologyService.exe
  MSExchangeMonitoring - RPC (TCP Inbound)	سرور دسترسی مشتری، سرور حمل و نقل هاب، سرور حمل و نقل لبه، سرور پیام رسانی یکپارچه	RPC پویا	Bin \ Microsoft.Exchange.Management.Monitoring.exe
  MSExchangeServiceHost - RPC (TCP Inbound)		RPC پویا	Bin \ Microsoft.Exchange.ServiceHost.exe
  MSExchangeServiceHost - RPCEPMap (TCP Inbound)			Bin \ Microsoft.Exchange.Service.Host
  MSExchangeRPCEPMap (GFW) (TCP ورودی)
  MSExchangeRPC (GFW) (TCP ورودی)	سرور دسترسی مشتری، سرور انتقال مرکز، سرور صندوق پست، سرور پیام رسانی یکپارچه	RPC پویا
  MSExchange - IMAP4 (GFW) (TCP ورودی)	سرور دسترسی مشتری
  MSExchangeIMAP4 (TCP ورودی)	سرور دسترسی مشتری		ClientAccess \ PopImap \ Microsoft.Exchange.Imap4Service.exe
  MSExchange - POP3 (FGW) (TCP ورودی)	سرور دسترسی مشتری
  MSExchange - POP3 (TCP ورودی)	سرور دسترسی مشتری		ClientAccess \ PopImap \ Microsoft.Exchange.Pop3Service.exe
  MSExchange - OWA (GFW) (TCP ورودی)	سرور دسترسی مشتری	5075، 5076، 5077 (TCP)
  MSExchangeOWAAppPool (ورودی TCP)	سرور دسترسی مشتری	5075، 5076، 5077 (TCP)	Inetsrv \ w3wp.exe
  MSExchangeAB RPC (TCP ورودی)	سرور دسترسی مشتری	RPC پویا
  MSExchangeAB-RPCEPMap (TCP ورودی)	سرور دسترسی مشتری		Bin \ Microsoft.Exchange.AddressBook.Service.exe
  MSExchangeAB-RpcHttp (TCP ورودی)	سرور دسترسی مشتری	6002، 6004 (TCP)	Bin \ Microsoft.Exchange.AddressBook.Service.exe
  RpcHttpLBS (TCP ورودی)	سرور دسترسی مشتری	RPC پویا	System32 \ Svchost.exe
  MSExchangeRPC - RPC (TCP ورودی)		RPC پویا
  MSExchangeRPC - PRCEPMap (TCP ورودی)	سرور دسترسی مشتری، سرور صندوق پستی		Bing \ Microsoft.Exchange.RpcClientAccess.Service.exe
  MSExchangeRPC (TCP ورودی)	سرور دسترسی مشتری، سرور صندوق پستی		Bing \ Microsoft.Exchange.RpcClientAccess.Service.exe
  MSExchangeMailboxReplication (GFW) (TCP Inbound)	سرور دسترسی مشتری
  MSExchangeMailboxReplication (TCP Inbound)	سرور دسترسی مشتری		Bin \ MSExchangeMailboxReplication.exe
  MSExchangeIS - RPC (TCP ورودی)	سرور صندوق پستی	RPC پویا
  MSExchangeIS RPCEPMap (ورودی TCP)	سرور صندوق پستی
  MSExchangeIS (GFW) (TCP ورودی)	سرور صندوق پستی	6001، 6002، 6003، 6004 (TCP)
  MSExchangeIS (TCP ورودی)	سرور صندوق پستی
  MSExchangeMailbox Assistants - RPC (TCP Inbound)	سرور صندوق پستی	RPC پویا
  MSExchangeMailbox Assistants - RPCEPMap (TCP Inbound)	سرور صندوق پستی		Bin \ MSExchangeMailboxAssistants.exe
  MSExchangeMailSubmission - RPC (TCP Inbound)	سرور صندوق پستی	RPC پویا
  MSExchangeMailSubmission - RPCEPMap (TCP Inbound)	سرور صندوق پستی		Bin \ MSExchangeMailSubmission.exe
  MSExchangeMigration - RPC (TCP Inbound)	سرور صندوق پستی	RPC پویا	Bin \ MSExchangeMigration.exe
  MSExchangeMigration - RPCEPMap (TCP Inbound)	سرور صندوق پستی		Bin \ MSExchangeMigration.exe
  MSExchangerepl - Log Copier (TCP Inbound)	سرور صندوق پستی		Bin \ MSExchangeRepl.exe
  MSExchangerepl - RPC (TCP ورودی)	سرور صندوق پستی	RPC پویا	Bin \ MSExchangeRepl.exe
  MSExchangerepl - RPC-EPMap (TCP Inbound)	سرور صندوق پستی		Bin \ MSExchangeRepl.exe
  MSExchangeSearch - RPC (TCP Inbound)	سرور صندوق پستی	RPC پویا	Bin \ Microsoft.Exchange.Search.ExSearch.exe
  MSExchangeThrottling - RPC (TCP Inbound)	سرور صندوق پستی	RPC پویا	Bin \ MSExchangeThrottling.exe
  MSExchangeThrottling - RPCEPMap (TCP Inbound)	سرور صندوق پستی		Bin \ MSExchangeThrottling.exe
  MSFTED - RPC (TCP ورودی)	سرور صندوق پستی	RPC پویا
  MSFTED - RPCEPMap (TCP ورودی)	سرور صندوق پستی
  MSExchangeEdgeSync - RPC (TCP ورودی)	سرور حمل و نقل هاب	RPC پویا
  MSExchangeEdgeSync RPCEPMap (TCP ورودی)	سرور حمل و نقل هاب		Bin \ Microsoft.Exchange.EdgeSyncSvc.exe
  MSExchangeTransportWorker - RPC (TCP Inbound)	سرور حمل و نقل هاب	RPC پویا	Bin \ edgetransport.exe
  MSExchangeTransportWorker - RPCEPMap (TCP Inbound)	سرور حمل و نقل هاب		Bin \ edgetransport.exe
  MSExchangeTransportWorker (GFW) (TCP Inbound)	سرور حمل و نقل هاب
  MSExchangeTransportWorker (TCP Inbound)	سرور حمل و نقل هاب		Bin \ edgetransport.exe
  MSExchangeTransportLogSearch - RPC (TCP ورودی)		RPC پویا
  MSExchangeTransportLogSearch - RPCEPMap (TCP ورودی)	Hub Transport، Edge Transport، Mailbox server		Bin \ MSExchangeTransportLogSearch.exe
  SESWorker (GFW) (TCP Inbound)	سرور پیام رسانی یکپارچه
  SESWorker (TCP ورودی)	سرور پیام رسانی یکپارچه		UnifiedMessaging \ SESWorker.exe
  UMSservice (GFW) (TCP Inbound)	سرور پیام رسانی یکپارچه
  UMS Service (TCP Inbound)	سرور پیام رسانی یکپارچه		Bin \ UMService.exe
  UMWorkerProcess (GFW) (TCP Inbound)	سرور پیام رسانی یکپارچه	5065, 5066, 5067, 5068
  UMWorkerProcess (TCP Inbound)	سرور پیام رسانی یکپارچه	5065, 5066, 5067, 5068	Bin \ UMWorkerProcess.exe
  UMWorkerProcess - RPC (TCP Inbound)	سرور پیام رسانی یکپارچه	RPC پویا	Bin \ UMWorkerProcess.exe

  نکاتی در مورد قوانین فایروال ویندوز ایجاد شده توسط Exchange 2010 Setup

  • در سرورهایی که سرویس‌های اطلاعات اینترنتی نصب شده‌اند، ویندوز پورت‌های HTTP (پورت 80، TCP) و HTTPS (پورت 443، TCP) را باز می‌کند. Exchange 2010 Setup این پورت ها را باز نمی کند. بنابراین، این پورت ها در جدول قبلی ذکر نشده اند.
  • در Windows Server 2008 و Windows Server 2008 R2، Windows Firewall with Advanced Security به شما امکان می دهد فرآیند یا سرویسی را که پورت برای آن باز است را مشخص کنید. این امن تر است زیرا پورت فقط توسط فرآیند یا سرویس مشخص شده در قانون قابل استفاده است. Exchange Setup قوانین فایروال را با نام فرآیند مشخص شده ایجاد می کند. در برخی موارد، به دلایل سازگاری، یک قانون اضافی نیز ایجاد می شود که به این فرآیند محدود نمی شود. در صورتی که محیط استقرار فعلی شما از آنها پشتیبانی می کند، می توانید قوانین بدون محدودیت فرآیند را غیرفعال یا حذف کنید و قوانین محدود شده فرآیند مربوطه را ذخیره کنید. قوانینی که محدود به فرآیندها نیستند را می توان با کلمه تشخیص داد (GFW)به نام قاعده
  • بسیاری از سرویس‌های Exchange از فراخوان‌های رویه از راه دور (RPC) برای برقراری ارتباط استفاده می‌کنند. فرآیندهای سروری که از RPCها استفاده می کنند، به نگاشت نقطه پایانی RPC برای بازیابی نقاط پایانی پویا و ثبت آنها در پایگاه داده نگاشت نقطه پایانی متصل می شوند. کلاینت‌های RPC با نقشه‌بردار نقطه پایانی RPC برای تعیین نقاط پایانی مورد استفاده در فرآیند سرور تعامل دارند. به طور پیش فرض، نگاشت نقطه پایانی RPC به درگاه 135 (TCP) گوش می دهد. هنگامی که فایروال ویندوز را برای فرآیندی که از RPC استفاده می کند پیکربندی می کنید، Exchange 2010 Setup دو قانون فایروال را برای آن فرآیند ایجاد می کند. یک قانون اجازه می دهد تا با نگاشت نقطه پایانی RPC ارتباط برقرار کند و دومی امکان ارتباط با یک نقطه پایانی اختصاص داده شده به صورت پویا را می دهد. برای اطلاعات بیشتر در مورد تماس های رویه از راه دور، به مقاله مراجعه کنید. برای اطلاعات بیشتر در مورد نحوه ایجاد قوانین فایروال ویندوز برای RPC پویا، به مقاله مراجعه کنید.

    برای اطلاعات بیشتر، مقاله 179442 پایگاه دانش مایکروسافت را ببینید

تبادل سرور و فایروال ها

فایروال برای سرورهای پست (Exchange Server)، پورت ها برای سرورهای پست، سرورهای ایمیل جلویی و پشتی، سرورهای مجازی SMTP، POP3، IMAP4

مانند هر رایانه ای که به اینترنت متصل است، رایانه میزبان ایمیل سرور باید با فایروال محافظت شود. در عین حال، گزینه های نصب یک سرور ایمیل از نظر پیکربندی شبکه می تواند بسیار متفاوت باشد:

· ساده ترین گزینه این است که سرور پست الکترونیکی را روی رایانه ای که یک سرور پروکسی / فایروال نیز هست نصب کنید و سپس پورت های لازم را روی رابط رو به اینترنت باز کنید. این معمولاً برای سازمان های کوچک صدق می کند.

· گزینه دیگر نصب یک سرور پست الکترونیکی در شبکه محلی و پیکربندی آن برای کار از طریق یک سرور پراکسی است. برای این کار می توانید یک ip عمومی را به میل سرور متصل کنید و آن را از پروکسی عبور دهید یا از ابزارهایی مانند نگاشت پورت در سرور پراکسی استفاده کنید. بسیاری از سرورهای پروکسی دارای جادوگرهای ویژه یا قوانین از پیش تعریف شده برای سازماندهی چنین راه حلی هستند (مثلاً در سرور ISA). این گزینه در اکثر سازمان ها استفاده می شود.

· امکان اساسی دیگر ایجاد یک DMZ و قرار دادن یک فرانت اند Exchange Server در آن است (این امکان از نسخه 2000 ظاهر شده است) یا SMTP Relay بر اساس یک Exchange Server دیگر یا مثلا sendmail در * nix. معمولا در شبکه های سازمان های بزرگ استفاده می شود.

در هر صورت، برای سرور پست الکترونیکی، لازم است از ارتباط حداقل در پورت های TCP 25 (SMTP) و UDP 53 (DNS) اطمینان حاصل شود. پورت های دیگری که ممکن است توسط Exchange Server بسته به پیکربندی شبکه شما مورد نیاز باشد (همه TCP هستند):

80 HTTP - برای دسترسی به رابط وب (OWA)

· 88 پروتکل احراز هویت Kerberos - اگر از احراز هویت Kerberos استفاده شود (به ندرت).

· 102 کانکتور MTA .X .400 از طریق TCP / IP (اگر کانکتور X .400 برای ارتباط بین گروه های مسیریابی استفاده شود).

· 110 دفتر پست پروتکل 3 (POP 3) - برای دسترسی مشتری.

· 119 پروتکل انتقال اخبار شبکه (NNTP) - در صورت استفاده از گروه های خبری.

· 135 ارتباط مشتری / سرور RPC Exchange Administration - پورت استاندارد RPC برای مدیریت از راه دور Exchange با استفاده از ابزارهای استاندارد System Manager.

· 143 پروتکل دسترسی به پیام اینترنتی (IMAP) -برای دسترسی مشتری؛

· 389 LDAP - برای دسترسی به سرویس دایرکتوری.

· 443 HTTP (Secure Sockets Layer (SSL)) (و پایین تر) - همان پروتکل ها از طریق SSL ایمن شده اند.

563 NNTP (SSL)

636 LDAP (SSL)

993 IMAP4 (SSL)

995 POP3 (SSL)

· 3268 و 3269 - نمایش داده شد به سرور کاتالوگ جهانی (جستجو در اکتیو دایرکتوری و بررسی عضویت در گروه های جهانی).

پوشاندن رابط Exchange Server رو به داخل سازمان با فایروال معنی ندارد - از آن برای تعامل با کنترل کننده های دامنه، ابزارهای مدیریتی، سیستم های پشتیبان گیری و غیره استفاده می شود. برای یک رابط باز به اینترنت، توصیه می‌شود پورت‌های 53 را ترک کنید (اگر Exchange خودش نام میزبان را حل کند، به جای هدایت درخواست‌ها به سرور DNS محلی) و 25. خیلی اوقات، مشتریان باید از بیرون به صندوق‌های پستی خود دسترسی داشته باشند. خانه، در طول یک سفر کاری، و غیره). بهترین راه حل در این شرایط، پیکربندی OWA (واسط وب برای دسترسی به Exchange Server، که به طور پیش فرض نصب شده است، در http: // servername / exchange موجود است) برای کار بر روی SSL و باز کردن دسترسی فقط در پورت 443 است. علاوه بر حل مشکلات مربوط به احراز هویت ایمن و رمزگذاری پیام ها، به طور خودکار مشکل SMTP Relay (در ادامه در مورد آن بیشتر خواهد شد) و وضعیتی که کاربر به طور تصادفی ایمیل کاری را در پوشه های سرویس گیرنده ایمیل در رایانه خانگی خود بارگیری می کند و سپس در محل کار نمی تواند پیدا کند، حل می کند. این پیام ها (غیر از ذکر اینکه ذخیره نامه های کاری در خانه یک نقض امنیتی است).

قابلیت جدیدی در Exchange Server معرفی شد. با شروع از نسخه 2000، امکان استفاده از چندین سرور مجازی SMTP و POP3 با تنظیمات امنیتی مختلف. به عنوان مثال، سرور SMTP که با اینترنت در تعامل است را می توان با امنیت بالا و محدودیت های تحویل سخت پیکربندی کرد، و سرور SMTP که توسط کاربران درون سازمان استفاده می شود را می توان با بالاترین عملکرد و تنظیمات کاربر پسند پیکربندی کرد.

همچنین لازم است یک سردرگمی خاص در اصطلاح ذکر شود - اغلب سیستم های فیلتر پیام را فایروال برای تبادل می نامند که در زیر مورد بحث قرار خواهد گرفت.