Referenca e porteve të rrjetit të shkëmbimit. Referenca e porteve të rrjetit të shkëmbimit Portet e shkëmbimit për t'u lidhur

26.06.2020 Interesante

Material nga Rosalab Wiki

Qëllimi

Ky udhëzim përshkruan se si të lidhni klientë të ndryshëm të postës elektronike me një server të Microsoft Exchange. Qëllimi është të sigurohet një sistem që përputhet me Microsoft Outlook në funksionalitet.

Fut te dhenat

Shembujt përdorin serverin Microsoft Exchange 2010 (v14.03.0361.001) Përmbledhja e përditësimeve 3 të Service Pack 18. Testimi kryhet brenda rrjetit të korporatës. Serverët DNS përmbajnë adresa të jashtme postare për serverin e postës. Më poshtë duhet të funksionojë në serverin Exchange:

OWA (Outlook Web Access) - klient në internet për të hyrë në serverin e bashkëpunimit të Microsoft Exchange
OAB (Libri i adresave jashtë linje) - libër adresash jashtë linje
EWS (Exchange Web Services) është një shërbim që ofron qasje në të dhënat e kutisë postare të ruajtura në Exchange Online (si pjesë e Office 365) dhe në versionin e brendshëm të Exchange (duke filluar me Exchange Server 2007)

Cilësimet e serverit të shkëmbimit

Një çështje e rëndësishme që klientët jo-Microsoft të funksionojnë me sukses në Exchange 2010 është vërtetimi. Ju mund t'i shikoni parametrat e tij në një server Exchange me rolin CAS (Client Access Server). Hapni skedarin snap-in të Menaxherit të IIS dhe hapni skedën Sites/Sajti i paracaktuar në ueb. Vini re se vërtetimi ka tre komponentë:

OWA - Statusi " Të përfshira"Për" Autentifikimi bazë"Dhe" Autentifikimi i Windows»:

OAB - Statusi " Të përfshira"Për" Autentifikimi bazë"Dhe" Autentifikimi i Windows»:

EWS - Statusi " Të përfshira"Për" Vërtetim anonim», « Autentifikimi bazë"Dhe" Autentifikimi i Windows»:

Shtresat (ndërmjetësit) dhe shërbimet ndihmëse

DavMail

Disa klientë të postës elektronike nuk mund të lidhen drejtpërdrejt me Microsoft Exchange dhe kërkojnë përdorimin e një ndërmjetësi. Në këtë shembull, një server proxy përdoret si ndërmjetës DavMail.

Instaloni DavMail, pasi të keni fituar të drejtat e administratorit duke përdorur su ose sudo:

sudo urpmi davmail

Vraponi DavMail:

Në skedën "Kryesore" në " URL OWA (Exchange)."Fut adresën e serverit tuaj në formatin "https:// /EWS/Exchange.asmx" ose një lidhje me OWA

në formatin "https:// /owa."

Mos harroni numrat e portit " Porta lokale IMAP"Dhe" Porta lokale SMTP" Në këtë shembull, këto janë përkatësisht 1143 dhe 1025.

Në mënyrë që të mos e nisni manualisht serverin çdo herë DavMail, duhet të shtoni thirrjen e tij në nisje.

Shkoni te menyja " Cilësimet e sistemit → Nisja dhe mbyllja → Autorun", klikoni në [ Shto aplikacion] dhe shkruani "davmail" në shiritin e kërkimit, më pas klikoni [ Ne rregull]:

Tani proxy server lokal DavMail do të fillojë automatikisht kur të fillojë sistemi. Nëse ikona e saj në "Taskbar" ju shqetëson, ekziston një mundësi për ta fshehur atë. Për ta bërë këtë, në skedarin .davmail.properties, modifikoni rreshtin davmail.server=false, duke e ndryshuar false në true:

Sudo mcedit /shtëpi/<имя_пользователя>/.davmail.vetitë

Klientët e postës për t'u lidhur me Exchange

Tani mund të filloni të konfiguroni klientët e postës elektronike.

Thunderbird

Mozilla Thunderbirdështë klienti kryesor i emailit për shpërndarjet ROSA Linux dhe, ka shumë të ngjarë, ai është tashmë i instaluar në sistemin tuaj dhe gati për t'u përdorur. Nëse jo, mund ta instaloni nga magazinat ROSA. Ky shembull përdor versionin 52.2.1.

Instaloni Thunderbird:

sudo urpmi mozilla-thunderbird

Shtoni një ndërfaqe në gjuhën ruse:

sudo urpmi mozilla-thunderbird-ru

Instaloni shtesën Lightning, e cila ju lejon të përdorni kalendarët:

sudo urpmi mozilla-thunderbird-rrufe

Vraponi Thunderbird.

në kapitullin " Llogaritë"në pikë" Krijo nje llogari» zgjidhni » Email" Do të shfaqet një dritare mirëseardhjeje.

Në dritaren që hapet, klikoni në [ Kalojeni këtë dhe përdorni emailin tim ekzistues].

në dritare" Vendosja e një llogarie postare"hyni në fusha" Emri juaj», « Adresa e emailit postë"Dhe" Fjalëkalimi» kredencialet tuaja.

Klikoni [ Vazhdoni]. Programi do të përpiqet të gjejë lidhje (pa sukses) dhe do të shfaqet një mesazh gabimi:

Këtu do t'ju duhen numrat e portave që mbani mend gjatë konfigurimit DavMail.

Për kategoritë " Në hyrje"Dhe" Në dalje» ndryshoni emrin e serverit në "localhost".
Specifikoni për " IMAP"porti 1143, dhe për" SMTP" - porti 1025.
në fushë" Emri i përdoruesit» specifikoni UPN (Emri kryesor i përdoruesit) - emri i domenit të përdoruesit në formatin "[email protected]".
Klikoni butonin [ Ritesto].

Nëse i vendosni saktë kredencialet tuaja, nuk do të ketë gabime. Sistemi mund t'ju kërkojë të pranoni certifikatën e serverit Exchange. Nëse kjo nuk ndodh, mund ta keni fikur ndërfaqen shumë herët DavMail.

Krijo një kalendar përdoruesi

Në kategorinë " Llogaritë» zgjidhni artikullin » Krijo një kalendar të ri».
Në dritaren që shfaqet, zgjidhni vlerën " Online" dhe shtypni [ Me tutje].
Zgjidhni formatin " CalDAV"dhe në fushë" Adresë"shkruani "http://localhost:1080/users/ /kalendar":

Krijimi i një libri adresash

Libri i adresave Thunderbird nuk e mbështet protokollin CardDAV dhe mund të lidhet vetëm me drejtorinë LDAP të serverit Exchange.

Hapni librat ekzistues të adresave duke klikuar butonin [ Libri i adresave] dhe zgjidhni “ Skedar -> I ri -> Drejtoria LDAP».

Në dritaren e magjistarit, specifikoni parametrat e mëposhtëm:
- Emri- çdo emër i përshtatshëm
- Emri i serverit- localhost
- Elementi rrënjë (DN bazë)- ou=njerëz
- Port- 1389 (nga Davmail)
- Emri i përdoruesit (Lidh DN)- Emri i përdoruesit UPN

Klikoni [ Ne rregull]. Programi do t'ju kërkojë të vendosni një fjalëkalim.

Shkoni te menyja e opsioneve Thunderbird. Në kategorinë " Përpilimi» zgjidhni skedën » Duke iu drejtuar" dhe nën tekstin "Kur futni një adresë, kërkoni për adresa të përshtatshme postare në" kontrolloni kutinë " Serveri i drejtorisë" duke zgjedhur emrin e librit tuaj të adresave.

Evolucioni

Një klient email është gjithashtu i disponueshëm në depot e ROSA Evolucioni(versioni 3.16.4 është përdorur në këtë shembull).

Instaloni Evolucioni:

evolucioni sudo urpmi

Instaloni lidhësin Shkëmbim në përputhje me versionin 2007 dhe më vonë:

sudo urpmi evolucioni-ews

Vraponi Evolucioni.

Në dritaren e magjistarit, klikoni [ Tjetra] derisa të shkoni në " Llogaria».
Plotësoni fushat " Emri i plotë"Dhe" Email».
në " Marrja e postës"në listë" Lloji i serverit» zgjidhni "Exchange Web Services".
Për emrin, shkruani emrin UPN të përdoruesit në formatin "Emri i pë[email protected]".
në fushë" URL-ja e hostit"hyni "https://MailServerNameExchange/EWS/Exchange.asmx .
në fushë" URL OAB» Futni URL-në e OAB.
Zgjidhni "Basic" si lloj vërtetimi.

Pas konfigurimit të suksesshëm, programi do të kërkojë një fjalëkalim:

Pas futjes së fjalëkalimit Evolucioni do të ketë akses në kutinë tuaj postare, librin e adresave dhe kalendarët.

Për çdo pyetje në lidhje me këtë artikull, ju lutemi kontaktoni [email i mbrojtur].

Nëse po përpiqeni të shtoni llogarinë tuaj Outlook.com në një aplikacion tjetër email, mund t'ju nevojiten cilësimet POP, IMAP ose SMTP për Outlook.com. Mund t'i gjeni më poshtë ose në lidhjen Konfiguro POP dhe IMAP në Outlook.com.

Nëse dëshironi të shtoni llogarinë tuaj Outlook.com në një pajisje inteligjente, si për shembull një kamerë sigurie në shtëpi, do t'ju duhet një fjalëkalim aplikacioni. Për më shumë informacion, shihni Shto një llogari Outlook.com në një aplikacion tjetër email ose pajisje inteligjente.

Cilësimet POP, IMAP dhe SMTP për Outlook.com

Nëse dëshironi të shtoni llogarinë tuaj Outlook.com në një program tjetër email që mbështet POP ose IMAP, përdorni cilësimet e mëposhtme të serverit.

Shënime:

Emri i serverit IMAP Outlook.Office365.com

Porta IMAP: 993

Metoda e kriptimit IMAP TLS

Outlook.office365.com Emri i serverit POP

Porta POP: 995

Metoda e kriptimit POP TLS

Emri i serverit SMTP SMTP.Office365.com

Porta SMTP: 587

Metoda e kriptimit SMTP STARTTLS

Aktivizo qasjen POP në Outlook.com

Nëse dëshironi të aksesoni postën tuaj në Outlook.com duke përdorur POP, do t'ju duhet ta aktivizoni atë.

Ndryshoni cilësimet e ofruesit tuaj të postës elektronike

Nëse po përpiqeni të lidhni një llogari tjetër me Outlook.com duke përdorur POP, mund t'ju duhet të ndryshoni disa cilësime në ofruesin tuaj të emailit për të lejuar një lidhje që mund të jetë bllokuar.

Për llogaritë Gmail me qasje POP, .

Për llogaritë Yahoo me akses POP, ndiqni hapat e mëposhtëm.

Nëse përdorni ofrues të tjerë të postës elektronike, duhet t'i kontaktoni ata për udhëzime se si të zhbllokoni lidhjen tuaj.

Gabime të lidhjes IMAP të Outlook.com

Nëse e keni konfiguruar llogarinë tuaj Outlook.com si IMAP në shumë klientë të postës elektronike, mund të merrni një mesazh gabimi lidhjeje. Ne po punojmë për një rregullim dhe do ta përditësojmë këtë artikull nëse kemi më shumë informacion. Për momentin, provoni zgjidhjen e mëposhtme:

Nëse po përdorni Outlook.com për të hyrë në një llogari që përdor një domen të ndryshëm nga @live. com, @hotmail. com ose @outlook. com, nuk do të mund të sinkronizoni llogaritë duke përdorur IMAP. Për të zgjidhur këtë problem, fshini llogarinë e lidhur IMAP në Outlook.com dhe rikonfiguroni atë si një lidhje POP. Për udhëzime mbi rivendosjen e llogarisë tuaj për të përdorur POP, kontaktoni ofruesin e llogarisë tuaj të emailit.

Nëse jeni duke përdorur një llogari GoDaddy, ndiqni këto udhëzime për të ndryshuar cilësimet e llogarisë tuaj GoDaddy për të përdorur një lidhje POP. Nëse përdorimi i protokollit POP nuk e zgjidh problemin ose duhet të aktivizoni protokollin IMAP (i çaktivizuar si parazgjedhje), duhet të kontaktoni shërbimin

Në këtë artikull, ne do të shikojmë se si të konfigurojmë portet statike RPC për shërbimet RPC Client Access, Exchange Address Book dhe Public Folder Access në Exchange 2010.

Le të imagjinojmë se kemi një organizatë komplekse me Exchange Server 2010 SP1 (ose më të lartë), i cili gjithashtu ka . Serverët CAS zakonisht ndodhen në një rrjet që është i ndarë me mure zjarri nga rrjetet nga të cilat përdoruesit pritet të hyjnë (rrjetet Outlook). Klienti Outlook lidhet me serverin CAS nëpërmjet RPC, që do të thotë se çdo port nga një gamë e lirë portash mund të përdoret në nivel rrjeti. Nuk është sekret që në Windows Server 2008 dhe 2008 R2, diapazoni 49152-65535 përdoret si një gamë dinamike portash për lidhjet RPC (në versionet e mëparshme të Windows Server, u përdorën porte RPC në intervalin 1025-65535).

Për të shmangur kthimin e mureve të zjarrit në një sitë, këshillohet të ngushtoni gamën e portave RPC të përdorura, në mënyrë ideale duke i bërë ato statike në çdo server të aksesit të klientit në grupin e aksesit të klientit. Për më tepër, përdorimi i portave statike RPC mund të zvogëlojë konsumin e memories në pajisjet e balancimit të ngarkesës (veçanërisht HLB) dhe të thjeshtojë konfigurimin e tyre (nuk ka nevojë të specifikoni vargje të mëdha portash).

Në Exchange 2010, mund të vendosni porte statike për shërbimin RPC Client Access dhe shërbimin Exchange Address Book. Outlook komunikon me këto shërbime përmes ndërfaqes MAPI.

Porta statike për shërbimin Exchange 2010 RPC Client Access

Shërbimi virtual Exchange 2010 RPC Client Access është i lidhur me shërbimin RPC Client Access, me të cilin klientët e Outlook MAPI lidhen në Exchange 2010. Kur një klient Outlook lidhet me Exchange, në një server Exchange 2010 Client Access, shërbimi RPC Client Access përdor portën TCP End Point Mapper (TCP/135) dhe një port të rastësishëm nga diapazoni dinamik i porteve RPC (6005-59530) për lidhjet hyrëse.

Për të vendosur një portë statike për shërbimin RPC Client Access në Exchange 2010, duhet të hapni seksionin e mëposhtëm në Redaktorin e Regjistrit:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSExchangeRPC

Krijo një çelës të ri me emrin Sistemi i parametrave, brenda së cilës krijoni një parametër tipi REG_DWORD Me emër Porta TCP/IP. Parametri TCP/IP Port specifikon një portë statike për shërbimin RPC Client Access. Dokumentacioni i Microsoft rekomandon zgjedhjen e një porti në intervalin 59531 - 60554 dhe përdorimin e kësaj vlere në të gjithë serverët CAS (ne specifikuam portin 59532, natyrisht, nuk duhet të përdoret nga asnjë softuer tjetër).

Pas vendosjes së një porti statik, shërbimi Microsoft Exchange RPC Client Access duhet të riniset që ndryshimet të hyjnë në fuqi.

Rinis shërbimin MSExchangeRPC

Porta statike për shërbimin Exchange 2010 Address Book

Në Exchange 2010 para SP1, një skedar i veçantë konfigurimi u përdor për të vendosur portën statike për shërbimin e Librit të Adresave Exchange 2010 Microsoft.exchange.addressbook.service.exe.config. Pas lëshimit të Exchange 2010 SP1, mund të vendosni një portë statike për këtë shërbim përmes regjistrit. Për ta bërë këtë, hapni redaktorin e regjistrit dhe shkoni te dega:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSExchangeAB\Parametrat

Krijo një parametër të ri RpcTcpPort(shkruani REG_SZ) dhe jepni numrin e portit që dëshironi të rregulloni për shërbimin e Librit të Adresave të Exchange. Rekomandohet të përdorni çdo port të lirë në rangun 59531-60554 dhe më pas ta përdorni në të gjithë serverët Exchange 2010 Client Access në domen. Do të vendosim RpcTcpPort=59533

Pas kësaj, duhet të rinisni shërbimin e Librit të Adresave të Microsoft Exchange

Rinis-Shërbimi MSExchangeAB

E rëndësishme: Kur migroni nga Exchange 2010 RTM në SP1, ky çelës duhet të vendoset manualisht; ai nuk trashëgohet automatikisht.

Konfigurimi i një porti statik për t'u lidhur me dosjet e përbashkëta

Dosjet publike aksesohen nga klienti Outlook direkt përmes shërbimit RPC Client Access në serverin që ekzekuton rolin e Kutisë postare. Ky konfigurim duhet të bëhet në të gjithë serverët me rolin e Kutisë postare që përmbajnë një bazë të dhënash të dosjeve publike (të ngjashme me serverët CAS). Hapni redaktorin e regjistrit dhe shkoni te dega

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSExchangeRPC

Krijo një çelës të ri me emrin Sistemi i parametrave, brenda të cilit krijoni një parametër të tipit REG_DWORD me emrin Porta TCP/IP. Vendosni vlerën e tij: Porta TCP/IP = 59532.

Pasi të keni vendosur në mënyrë statike portin për dosjet publike, duhet të rinisni shërbimin Microsoft Exchange RPC Client Access në çdo server të kutisë postare.

Kontrollimi i përdorimit të porteve statike midis Outlook dhe Exchange 2010

Pasi të bëjmë ndryshimet, le të kontrollojmë nëse Outlook lidhet me portat statike RPC që specifikuam. Për ta bërë këtë, rinisni Outlook në makinën e klientit dhe më pas ekzekutoni komandën në vijën e komandës:

Netstat -na

E aplikueshme për: Exchange Server 2010 SP1

Seksioni i fundit i modifikuar: 2011-04-22

Ky seksion ofron informacion rreth portave, vërtetimit dhe kriptimit për të gjitha shtigjet e të dhënave të përdorura në Microsoft Exchange Server 2010. Seksioni "Vërejtje" pas çdo tabele sqaron ose përcakton metodat jo standarde të vërtetimit ose enkriptimit.

Serverët e transportit

Në Exchange 2010, ekzistojnë dy role serveri që kryejnë funksionet e transportit të mesazheve: serveri Hub Transport dhe serveri Edge Transport.

Tabela e mëposhtme ofron informacion në lidhje me portet, vërtetimin dhe enkriptimin e shtigjeve të të dhënave ndërmjet këtyre serverëve të transportit dhe serverëve dhe shërbimeve të tjera Exchange 2010.

Shtigjet e të dhënave për serverët e transportit

Rruga e të Dhënave			Mbështetje për kriptim
Midis dy serverëve Hub Transport			Po, duke përdorur TLS (Transport Layer Security)
Nga një server Hub Transport në një server Edge Transport	Besimi i drejtpërdrejtë	Besimi i drejtpërdrejtë	Po, duke përdorur TLS
Nga serveri Edge Transport në serverin Hub Transport	Besimi i drejtpërdrejtë	Besimi i drejtpërdrejtë	Po, duke përdorur TLS
Midis dy serverëve Edge Transport	Anonim, vërtetimi i certifikatës	Në mënyrë anonime, duke përdorur një certifikatë	Po, duke përdorur TLS
Nga një server kuti postare në shërbimin e dërgimit të postës përmes Microsoft Exchange	NTLM. Kur roli i serverit Hub Transport dhe roli i serverit të kutisë postare po ekzekutohen në të njëjtin server, përdoret protokolli Kerberos.		Po, duke përdorur enkriptimin RPC
Nga një server Hub Transport në një server Mailbox nëpërmjet MAPI	NTLM. Kur roli i serverit Hub Transport dhe roli i serverit të kutisë postare janë instaluar në të njëjtin server, përdoret protokolli Kerberos.		Po, duke përdorur enkriptimin RPC
			Po, duke përdorur TLS
Shërbimi Microsoft Exchange EdgeSync nga serveri Hub Transport në serverin Edge Transport			Po, duke përdorur LDAP mbi SSL (LDAPS)
Hyni në Active Directory nga një server Hub Transport
Qasja në Shërbimet e Menaxhimit të të Drejtave të Drejtorisë Active (AD RMS) nga një server Hub Transport			Po, duke përdorur SSL
Klientët SMTP në një server Hub Transport (për shembull, përdoruesit fundorë që përdorin Windows Live Mail)			Po, duke përdorur TLS

Shënime për serverët e transportit

I gjithë trafiku ndërmjet serverëve Hub Transport është i koduar duke përdorur TLS dhe certifikata të vetë-nënshkruara të instaluara nga Exchange 2010 Setup.
I gjithë trafiku ndërmjet serverëve Edge Transport dhe serverëve Hub Transport është i vërtetuar dhe i koduar. TLS e ndërsjellë përdoret si mekanizëm vërtetimi dhe kriptimi. Në vend të vërtetimit X.509, Exchange 2010 përdor besimi i drejtpërdrejtë. Besimi i drejtpërdrejtë do të thotë që prania e një certifikate në Active Directory ose Active Directory Lightweight Directory Services (AD LDS) verifikon vërtetësinë e certifikatës. Active Directory konsiderohet një motor ruajtjeje i besuar. Kur përdoret besimi i drejtpërdrejtë, nuk ka rëndësi nëse përdoret një certifikatë e vetë-nënshkruar ose një certifikatë e nënshkruar nga një autoritet certifikues. Kur një server Edge Transport pajtohet në një organizatë Exchange, Abonimi Edge publikon certifikatën e serverit Edge Transport në Active Directory në mënyrë që serverët Hub Transport të mund ta vërtetojnë atë. Shërbimi Microsoft Exchange EdgeSync shton një grup çertifikatash të serverit Hub Transport në Shërbimet e Drejtorisë së Lehtë të Direktorisë Active Directory (AD LDS) që serveri Edge Transport të verifikohet.
EdgeSync përdor një lidhje të sigurt LDAP nga serveri Hub Transport me serverët e abonuar Edge Transport në portën TCP 50636. Shërbimet e Drejtorisë së lehtë të drejtorisë Active Directory dëgjojnë gjithashtu në portën TCP 50389. Lidhja me këtë portë nuk përdor SSL. Mund të përdorni shërbimet LDAP për t'u lidhur me këtë portë dhe për të verifikuar të dhënat e Shërbimeve të Drejtorisë së lehtë të Active Directory.
Si parazgjedhje, trafiku midis serverëve të Edge Transport të vendosur në dy organizata të ndryshme është i koduar. Exchange 2010 Setup krijon një certifikatë të vetë-nënshkruar dhe aktivizon TLS si parazgjedhje. Kjo lejon çdo sistem dërgues të kodojë seancën SMTP që hyn në Exchange. Si parazgjedhje, Exchange 2010 gjithashtu përpiqet të përdorë TLS për të gjitha lidhjet në distancë.
Metodat e vërtetimit për trafikun ndërmjet serverëve Hub Transport dhe serverëve të Kutisë postare janë të ndryshme kur rolet e serverit Hub Transport dhe Mailbox janë instaluar në të njëjtin kompjuter. Transferimi lokal i postës përdor vërtetimin Kerberos. Transferimi i postës në distancë përdor vërtetimin NTLM.
Exchange 2010 gjithashtu mbështet sigurinë e domenit. Domain Security është një grup funksionesh në Exchange 2010 dhe Microsoft Outlook 2010 që ofrojnë një alternativë me kosto të ulët ndaj S/MIME dhe zgjidhjeve të tjera të sigurisë së mesazheve në Internet. Siguria e domenit ofron një mënyrë për të menaxhuar shtigjet e sigurta të mesazheve midis domeneve në internet. Pasi të konfigurohen këto shtigje të sigurta, mesazhet e transmetuara me sukses nga një dërgues i vërtetuar shfaqen si mesazhe "të mbrojtura nga domeni" për përdoruesit e Outlook dhe Outlook Web Access. Për më shumë informacion, shikoni Përmbledhjen e Sigurisë së Domenit.
Shumë agjentë mund të ekzekutohen si në serverët Hub Transport ashtu edhe në serverët e Edge Transport. Në mënyrë tipike, agjentët anti-spam përdorin informacion nga kompjuteri lokal në të cilin funksionojnë. Kështu, praktikisht nuk kërkohet asnjë ndërveprim me kompjuterët në distancë. Përjashtim është filtrimi i marrësit. Filtrimi i marrësit kërkon një telefonatë në AD LDS ose Active Directory. Ne ju rekomandojmë të kryeni filtrimin e marrësit në serverin Edge Transport. Në këtë rast, drejtoria AD LDS është në të njëjtin kompjuter që ka të instaluar rolin e serverit Edge Transport, kështu që nuk kërkohet një lidhje në distancë. Nëse Recipient Filtering është instaluar dhe konfiguruar në një server Hub Transport, duhet të keni akses në shërbimin e drejtorisë Active Directory.
Agjenti i analizës së protokollit përdoret nga veçoria e reputacionit të dërguesit në Exchange 2010. Ky agjent lidhet gjithashtu me serverë të ndryshëm përfaqësues të jashtëm për të përcaktuar shtigjet e mesazheve hyrëse për lidhje të dyshimta.
Të gjitha veçoritë e tjera anti-spam përdorin të dhëna që mblidhen, ruhen dhe të aksesueshme vetëm në kompjuterin lokal. Në mënyrë tipike, të dhëna të tilla si një listë e konsoliduar e dërguesve të sigurt ose të dhënat e marrësve për filtrimin e marrësve shtyhen në direktorinë AD LDS të brendshme duke përdorur shërbimin Microsoft Exchange EdgeSync.
Agjentët e Menaxhimit të të Drejtave të Informacionit (IRM) në serverët Hub Transport lidhen me serverët e Shërbimeve të Menaxhimit të të Drejtave të Drejtorisë Active (AD RMS) në organizatën tuaj. Shërbimi i Menaxhimit të të Drejtave të Drejtorisë Active (AD RMS) është një shërbim ueb që rekomandohet të mbrohet duke përdorur SSL. Lidhjet me serverët e Shërbimeve të Menaxhimit të të Drejtave të Drejtorisë Active bëhen duke përdorur HTTPS dhe vërtetimi përdor Kerberos ose NTLM, në varësi të konfigurimit të serverit të Shërbimeve të Menaxhimit të të Drejtave të Drejtorisë Active.

Rregullat e regjistrave, rregullat e transportit dhe rregullat e klasifikimit të mesazheve ruhen në shërbimet e Active Directory dhe aksesohen nga Agjenti i Gazetarisë dhe Agjenti i Rregullave të Transportit në serverët Hub Transport.

Serverët e kutisë postare

Në serverët e kutisë postare, nëse përdoret vërtetimi NTLM ose Kerberos varet nga konteksti ose procesi i përdoruesit brenda të cilit po funksionon konsumatori i shtresës logjike të biznesit të Exchange. Në këtë kontekst, konsumatorë janë çdo aplikacion ose proces që përdorin shtresën logjike të biznesit të Exchange. Si rezultat, në kolonën Autentifikimi i parazgjedhur tabelat Shtigjet e të dhënave për serverët e kutisë postare shumë rreshta kanë një vlerë të specifikuar NTLM/Kerberos.

Shtresa logjike e biznesit të Exchange përdoret për të hyrë dhe ndërvepruar me dyqanin Exchange. Shtresa logjike e biznesit të Exchange thirret gjithashtu nga dyqani Exchange për të bashkëvepruar me aplikacionet dhe proceset e jashtme.

Nëse konsumatori i shtresës së logjikës së biznesit të Exchange funksionon në kontekstin e sistemit lokal, metoda e vërtetimit që përdoret kur konsumatori hyn në dyqanin e Exchange është gjithmonë Kerberos. Përdoret metoda e vërtetimit Kerberos sepse identiteti i marrësit duhet të verifikohet duke përdorur llogarinë kompjuterike të Sistemit Lokal dhe kërkohet një besim i vërtetuar i dyanshëm.

Nëse marrësi i shtresës së logjikës së biznesit të Exchange nuk funksionon në kontekstin e sistemit lokal, metoda e vërtetimit është NTLM. Për shembull, kur një administrator drejton një cmdlet të Exchange Management Shell që përdor shtresën logjike të biznesit të Exchange, aplikohet vërtetimi NTLM.

Trafiku RPC është gjithmonë i koduar.

Tabela e mëposhtme ofron informacione rreth porteve, vërtetimit dhe kriptimit të rrugës së të dhënave për serverët e kutisë postare.

Shtigjet e të dhënave për serverët e kutisë postare

Rruga e të dhënave	Portet e nevojshme	Autentifikimi i parazgjedhur	Metoda e mbështetur e vërtetimit	Mbështetje për kriptim	Kriptimi i të dhënave si parazgjedhje
	389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (Hyrja në rrjet RPC)			Po, duke përdorur enkriptimin Kerberos
Qasja administrative në distancë (regjistri në distancë)				Po, duke përdorur IPsec
Qasje administrative në distancë (SMB, skedarë)				Po, duke përdorur IPsec
Disponueshmëria e shërbimit të uebit (Qasja e klientit të kutisë postare)				Po, duke përdorur enkriptimin RPC
Grumbullimi				Po, duke përdorur enkriptimin RPC
Midis serverëve të Access Client (Exchange ActiveSync)	80/TCP, 443/TCP (SSL)		Vërtetimi i certifikatës Kerberos	Po, duke përdorur HTTPS	Po, duke përdorur një certifikatë të vetë-nënshkruar
Midis serverëve të Access Client (Outlook Web Access)	80/TCP, 443/TCP (HTTPS)			Po, duke përdorur SSL
Serveri i aksesit të klientit në serverin e aksesit të klientit (Shërbimet e uebit të shkëmbimit)				Po, duke përdorur SSL
Serveri i qasjes së klientit në serverin e aksesit të klientit (POP3)				Po, duke përdorur SSL
Serveri i aksesit të klientit te serveri i aksesit të klientit (IMAP4)				Po, duke përdorur SSL
Serveri i Office Communications në Serverin e Qasjes së Klientit (kur është aktivizuar integrimi i serverit të Office Communications dhe i aplikacionit në ueb Outlook)	5075-5077/TCP (IN), 5061/TCP (OUT)	mTLS (kërkohet)	mTLS (kërkohet)	Po, duke përdorur SSL

Shënime për serverët e aksesit të klientit

Serverë të unifikuar të mesazheve

Portat IP dhe PBX-të IP mbështesin vetëm vërtetimin e certifikatës, e cila përdor vërtetimin e ndërsjellë TLS për të koduar trafikun SIP dhe vërtetimin e bazuar në adresën IP për lidhjet SIP ose TCP. Portat IP nuk mbështesin vërtetimin NTLM ose Kerberos. Prandaj, kur përdorni vërtetimin e bazuar në adresën IP, adresat IP të lidhjeve përdoren si mekanizëm vërtetimi për lidhjet e pakriptuara (TCP). Kur përdoret në Unified Messaging, vërtetimi i bazuar në IP kontrollon nëse një adresë IP e caktuar lejohet të lidhet. Adresa IP është konfiguruar në portën IP ose IP PBX.

Portat IP dhe PBX-të IP mbështesin TLS të ndërsjellë për të koduar trafikun SIP. Pas importimit dhe eksportimit me sukses të certifikatave të besuara të kërkuara, porta IP ose IP PBX do të kërkojë një certifikatë nga serveri i Unified Messaging dhe më pas do të kërkojë certifikatën nga porta IP ose IP PBX. Shkëmbimi i certifikatave të besuara midis portës IP ose IP PBX dhe serverit të Unifikuar të Mesazheve i lejon të dyja pajisjet të komunikojnë përmes një kanali të sigurt duke përdorur TLS të ndërsjellë.

Tabela e mëposhtme ofron informacione të portit, vërtetimit dhe enkriptimit për shtigjet e të dhënave midis serverëve të Unified Messaging dhe serverëve të tjerë.

Shtigjet e të dhënave për serverët e Unifikuar të Mesazheve

Rruga e të dhënave	Portet e nevojshme	Autentifikimi i parazgjedhur	Metoda e mbështetur e vërtetimit	Mbështetje për kriptim
Qasja në Active Directory	389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (Hyrja në rrjet RPC)			Po, duke përdorur enkriptimin Kerberos
Telefonia e unifikuar e mesazheve (IP PBX/VoIP Gateway)	5060/TCP, 5065/TCP, 5067/TCP (modaliteti i pambrojtur), 5061/TCP, 5066/TCP, 5068/TCP (modaliteti i sigurt), diapazoni dinamik i portës 16000-17000/TCP (kontrolli), porte dinamike UDP nga diapazoni 1024-65535/UDP (RTP)	Me adresë IP	Me adresë IP, MTLS	Po, duke përdorur SIP/TLS, SRTP
Shërbimi i unifikuar i uebit i mesazheve	80/TCP, 443/TCP (SSL)	Autentifikimi i integruar i Windows (Negocio)		Po, duke përdorur SSL
Nga serveri i Unifikuar i Mesazheve te serveri i Access Client	5075, 5076, 5077 (TCP)	Autentifikimi i integruar i Windows (Negociim)	Basic, Digest, NTLM, Negotiate (Kerberos)	Po, duke përdorur SSL
Nga serveri i unifikuar i mesazheve në serverin e aksesit të klientit (luaj në telefon)	RPC dinamike			Po, duke përdorur enkriptimin RPC
Nga një server i unifikuar i mesazheve në një server Hub Transport				Po, duke përdorur TLS
Nga një server i unifikuar i mesazheve në një server të kutisë postare				Po, duke përdorur enkriptimin RPC

Shënime për serverët e unifikuar të mesazheve

Kur krijoni një objekt të portës IP të Unified Messaging në Active Directory, duhet të specifikoni adresën IP të portës fizike IP ose IP PBX. Kur përcaktoni adresën IP të një objekti të portës IP UM, adresa IP i shtohet listës së portave IP të vlefshme ose PBX-ve IP (të njohura edhe si pjesëmarrës të sesionit SIP) me të cilat lejohet të komunikojë serveri i Unified Messaging. Pasi të krijoni një portë IP të Unified Messaging, mund ta lidhni atë me një plan telefonimi të Unified Messaging. Hartëzimi i një porte IP të UM në një plan telefonimi lejon serverët e Unified Messaging që janë hartuar në planin e telefonimit të përdorin vërtetimin e bazuar në adresën IP për të komunikuar me portën IP. Nëse nuk është krijuar ose nuk është konfiguruar një portë IP e Unified Messaging për të përdorur adresën IP të saktë, vërtetimi do të dështojë dhe serverët e Unified Messaging nuk do të pranojnë lidhje nga adresa IP e portës IP. Për më tepër, kur zbatoni TLS të ndërsjellë, një portë IP ose IP PBX dhe serverë të Unifikuar të Mesazheve, porta IP UM duhet të konfigurohet për të përdorur një emër domaini plotësisht të kualifikuar (FQDN). Pasi të konfiguroni një portë IP UM duke përdorur një emër domaini plotësisht të kualifikuar, duhet gjithashtu të shtoni një rekord pritës për atë portë në zonën e kërkimit të DNS përpara.
Në Exchange 2010, serveri i Unified Messaging mund të komunikojë në portin 5060/TCP (të pasigurt) ose në portin 5061/TCP (të siguruar) dhe mund të konfigurohet për të përdorur të dyja portet.

Për më shumë informacion, shihni Kuptimi i sigurisë së VoIP të mesazheve të unifikuara dhe Kuptimi i protokolleve, porteve dhe shërbimeve të unifikuara të mesazheve.

Rregullat e Windows Firewall të krijuara nga Exchange 2010 Setup

Firewall i Windows me Siguri të Avancuar është një mur zjarri i bazuar në makineri, shtetëror, që filtron trafikun hyrës dhe dalës bazuar në rregullat e murit të zjarrit. Exchange 2010 Setup krijon rregulla të Windows Firewall për të hapur portat e kërkuara për komunikimin server-klient në çdo rol server. Prandaj, nuk keni më nevojë të përdorni magjistarin e konfigurimit të sigurisë për të konfiguruar këto cilësime. Për më shumë informacion rreth Windows Firewall me Siguri të Avancuar, shihni Windows Firewall me Siguri të Avancuar dhe IPsec.

Tabela e mëposhtme tregon rregullat e Windows Firewall që krijon Exchange Setup, duke përfshirë portat që janë të hapura në secilin rol të serverit. Ju mund t'i shikoni këto rregulla duke përdorur "Firewall"-in e Windows me "Snap-in" e MMC të Sigurisë së Avancuar.

Emri i rregullit	Rolet e serverit	Port	Programi
MSExchangeADTopology - RPC (TCP-in)		RPC dinamike	Bin\MSExchangeADTopologyService.exe
MSExchangeMonitoring - RPC (TCP-in)	Serveri i aksesit të klientit, serveri i transportit qendror, serveri i transportit skajor, serveri i unifikuar i mesazheve	RPC dinamike	Bin\Microsoft.Exchange.Management.Monitoring.exe
MSExchangeServiceHost - RPC (TCP-in)		RPC dinamike	Bin\Microsoft.Exchange.ServiceHost.exe
MSExchangeServiceHost - RPCEPMap (TCP-in)			Bin\Microsoft.Exchange.Service.Host
MSExchangeRPCEPMap (GFW) (TCP-in)
MSExchangeRPC (GFW) (TCP-in)	Serveri i aksesit të klientit, serveri i transportit qendror, serveri i kutisë postare, serveri i unifikuar i mesazheve	RPC dinamike
MSExchange - IMAP4 (GFW) (TCP-in)	Serveri i aksesit të klientit
MSExchangeIMAP4 (TCP-in)	Serveri i aksesit të klientit		ClientAccess\PopImap\Microsoft.Exchange.Imap4Service.exe
MSExchange - POP3 (FGW) (TCP-in)	Serveri i aksesit të klientit
MSExchange - POP3 (TCP-in)	Serveri i aksesit të klientit		ClientAccess\PopImap\Microsoft.Exchange.Pop3Service.exe
MSExchange - OWA (GFW) (TCP-in)	Serveri i aksesit të klientit	5075, 5076, 5077 (TCP)
MSExchangeOWAAppPool (TCP-in)	Serveri i aksesit të klientit	5075, 5076, 5077 (TCP)	Inetsrv\w3wp.exe
MSExchangeAB RPC (TCP-in)	Serveri i aksesit të klientit	RPC dinamike
MSExchangeAB-RPCEPMap (TCP-in)	Serveri i aksesit të klientit		Bin\Microsoft.Exchange.AddressBook.Service.exe
MSExchangeAB-RpcHttp (TCP-in)	Serveri i aksesit të klientit	6002, 6004 (TCP)	Bin\Microsoft.Exchange.AddressBook.Service.exe
RpcHttpLBS (TCP-in)	Serveri i aksesit të klientit	RPC dinamike	System32\Svchost.exe
MSExchangeRPC - RPC (TCP-in)		RPC dinamike
MSExchangeRPC - PRCEPMap (TCP-in)	Serveri i aksesit të klientit, serveri i kutisë postare		Bing\Microsoft.Exchange.RpcClientAccess.Service.exe
MSExchangeRPC (TCP-in)	Serveri i aksesit të klientit, serveri i kutisë postare		Bing\Microsoft.Exchange.RpcClientAccess.Service.exe
MSExchangeMailboxReplication (GFW) (TCP-in)	Serveri i aksesit të klientit
MSExchangeMailboxReplication (TCP-in)	Serveri i aksesit të klientit		Bin\MSExchangeMailboxReplication.exe
MSExchangeIS - RPC (TCP-in)	Serveri i kutisë postare	RPC dinamike
MSExchangeIS RPCEPMap (TCP-in)	Serveri i kutisë postare
MSExchangeIS (GFW) (TCP-in)	Serveri i kutisë postare	6001, 6002, 6003, 6004 (TCP)
MSExchangeIS (TCP-in)	Serveri i kutisë postare
MSExchangeMailbox Assistants - RPC (TCP-in)	Serveri i kutisë postare	RPC dinamike
MSExchange Mailbox Assistants - RPCEPMap (TCP-in)	Serveri i kutisë postare		Bin\MSExchangeMailboxAssistants.exe
MSExchangeMailSubmission - RPC (TCP-in)	Serveri i kutisë postare	RPC dinamike
MSExchangeMailSubmission - RPCEPMap (TCP-in)	Serveri i kutisë postare		Bin\MSExchangeMailSubmission.exe
MSExchangeMigration - RPC (TCP-in)	Serveri i kutisë postare	RPC dinamike	Bin\MSExchangeMigration.exe
MSExchangeMigration - RPCEPMap (TCP-in)	Serveri i kutisë postare		Bin\MSExchangeMigration.exe
MSExchangerepl - Kopjuesi i Regjistrimit (TCP-in)	Serveri i kutisë postare		Bin\MSExchangeRepl.exe
MSExchangerepl - RPC (TCP-in)	Serveri i kutisë postare	RPC dinamike	Bin\MSExchangeRepl.exe
MSExchangerepl - RPC-EPMap (TCP-in)	Serveri i kutisë postare		Bin\MSExchangeRepl.exe
MSExchangeSearch - RPC (TCP-in)	Serveri i kutisë postare	RPC dinamike	Bin\Microsoft.Exchange.Search.ExSearch.exe
MSExchangeThrottling - RPC (TCP-in)	Serveri i kutisë postare	RPC dinamike	Bin\MSExchangeThrottling.exe
MSExchangeThrottling - RPCEPMap (TCP-in)	Serveri i kutisë postare		Bin\MSExchangeThrottling.exe
MSFTED - RPC (TCP-in)	Serveri i kutisë postare	RPC dinamike
MSFTED - RPCEPMap (TCP-in)	Serveri i kutisë postare
MSExchangeEdgeSync - RPC (TCP-in)	Serveri i transportit qendror	RPC dinamike
MSExchangeEdgeSync RPCEPMap (TCP-in)	Serveri i transportit qendror		Bin\Microsoft.Exchange.EdgeSyncSvc.exe
MSExchangeTransportWorker - RPC (TCP-in)	Serveri i transportit qendror	RPC dinamike	Bin\edgetransport.exe
MSExchangeTransportWorker - RPCEPMap (TCP-in)	Serveri i transportit qendror		Bin\edgetransport.exe
MSExchangeTransportWorker (GFW) (TCP-in)	Serveri i transportit qendror
MSExchangeTransportWorker (TCP-in)	Serveri i transportit qendror		Bin\edgetransport.exe
MSExchangeTransportLogSearch - RPC (TCP-in)		RPC dinamike
MSExchangeTransportLogSearch - RPCEPMap (TCP-in)	Serveri i transportit qendror, serveri i transportit skajor, serveri i kutisë postare		Bin\MSExchangeTransportLogSearch.exe
SESWorker (GFW) (TCP-in)	Server i unifikuar i mesazheve
SESWorker (TCP-in)	Server i unifikuar i mesazheve		UnifiedMessaging\SESWorker.exe
UMSservice (GFW) (TCP-in)	Server i unifikuar i mesazheve
UMSservice (TCP-in)	Server i unifikuar i mesazheve		Bin\UMService.exe
UMWorkerProcess (GFW) (TCP-in)	Server i unifikuar i mesazheve	5065, 5066, 5067, 5068
UMWorkerProcess (TCP-in)	Server i unifikuar i mesazheve	5065, 5066, 5067, 5068	Bin\UMWorkerProcess.exe
UMWorkerProcess - RPC (TCP-in)	Server i unifikuar i mesazheve	RPC dinamike	Bin\UMWorkerProcess.exe

Shënime mbi rregullat e Windows Firewall të krijuara nga Exchange 2010 Setup

Në serverët me IIS të instaluar, Windows hap portet HTTP (port 80, TCP) dhe HTTPS (port 443, TCP). Konfigurimi i Exchange 2010 nuk i hap këto porte. Prandaj, këto porte nuk janë të renditura në tabelën e mëparshme.
Në Windows Server 2008 dhe Windows Server 2008 R2, Windows Firewall me Siguri të Avancuar ju lejon të specifikoni procesin ose shërbimin për të cilin një port është i hapur. Kjo është më e sigurt sepse porti mund të përdoret vetëm nga procesi ose shërbimi i specifikuar në rregull. Exchange Setup krijon rregulla të murit të zjarrit me emrin e specifikuar të procesit. Në disa raste, për qëllime të përputhshmërisë, krijohet gjithashtu një rregull shtesë që nuk kufizohet në këtë proces. Ju mund të çaktivizoni ose hiqni rregullat jo të kufizuara nga procesi dhe të mbani rregullat përkatëse të kufizuara nga procesi nëse mjedisi juaj aktual i vendosjes i mbështet ato. Rregullat që nuk kufizohen në procese mund të dallohen me fjalë (GFW) në emrin e rregullit.
Shumë shërbime të Exchange përdorin thirrje të procedurave në distancë (RPC) për të komunikuar. Proceset e serverit që përdorin thirrjet e procedurës në distancë lidhen me hartuesin e pikës fundore RPC për të marrë pika fundore dinamike dhe për t'i regjistruar ato në bazën e të dhënave të hartës së pikës fundore. Klientët RPC ndërveprojnë me hartuesin e pikës fundore RPC për të përcaktuar pikat fundore të përdorura nga procesi i serverit. Si parazgjedhje, zgjidhësi i pikës fundore RPC dëgjon në portin 135 (TCP). Kur konfiguroni Windows Firewall për një proces që përdor thirrjet e procedurës në distancë, Exchange 2010 Setup krijon dy rregulla të murit të zjarrit për atë proces. Një rregull lejon ndërveprimin me hartuesin e pikës fundore RPC, dhe i dyti lejon ndërveprimin me një pikë fundore të caktuar në mënyrë dinamike. Për më shumë informacion rreth thirrjeve të procedurës në distancë, shihni këtë artikull. Për më shumë informacion rreth krijimit të rregullave të Windows Firewall për thirrjet dinamike të procedurës në distancë, shihni këtë artikull.
Për më shumë informacion, shihni nenin 179442 të bazës së njohurive të Microsoft

Exchange Server dhe Firewalls

Muret e zjarrit për serverët e postës (Exchange Server), portat e serverit të postës, serverët e postës së përparme dhe të pasme, serverët virtualë SMTP, POP3, IMAP4

Si çdo kompjuter i lidhur me internetin, kompjuteri që drejton serverin e postës duhet të mbrohet me një mur zjarri. Sidoqoftë, opsionet për instalimin e një serveri postar për sa i përket konfigurimit të rrjetit mund të jenë shumë të ndryshme:

· Opsioni më i thjeshtë është instalimi i një serveri të postës në një kompjuter që është gjithashtu një server proxy/firewall dhe më pas hapja e portave të nevojshme në ndërfaqen që përballet me internetin. Në mënyrë tipike, kjo skemë përdoret në organizata të vogla;

· Një opsion tjetër është instalimi i një serveri postar në rrjetin lokal dhe konfigurimi i tij që të funksionojë përmes një serveri proxy. Për ta bërë këtë, mund të lidhni një ip publike me serverin e postës dhe ta kaloni atë përmes një përfaqësuesi, ose të përdorni mjete si harta e portit në një server proxy. Shumë serverë proxy kanë magjistarë të veçantë ose rregulla të parapërgatitura për organizimin e një zgjidhjeje të tillë (për shembull, ISA Server). Ky opsion përdoret në shumicën e organizatave.

· Një mundësi tjetër themelore është krijimi i një DMZ dhe vendosja e një Exchange Server të përparmë në të (ky opsion është shfaqur që nga versioni 2000) ose SMTP Relay bazuar në një server tjetër Exchange ose, për shembull, sendmail në *nix. Zakonisht përdoret në rrjetet e organizatave të mëdha.

Në çdo rast, serveri i postës duhet të komunikojë të paktën në portin TCP 25 (SMTP) dhe UDP 53 (DNS). Portet e tjera që Exchange Server mund të kërkojë në varësi të konfigurimit të rrjetit tuaj (të gjitha TCP):

· 80 HTTP - për qasje në ndërfaqen e uebit (OWA)

· 88 Protokolli i vërtetimit Kerberos - nëse përdoret vërtetimi Kerberos (rrallë);

· 102 lidhës MTA .X .400 mbi TCP /IP (nëse lidhësi X .400 përdoret për komunikim ndërmjet grupeve të rrugëzimit);

· 110 Protokolli i Postës 3 (POP 3) - për aksesin e klientit;

· 119 Network News Transfer Protocol (NNTP) - nëse përdoren grupet e lajmeve;

· 135 Komunikimi klient/server Administrimi i RPC Exchange - porta standarde RPC për administrimin në distancë të Exchange duke përdorur mjete standarde të System Manager;

· 143 Protokolli i Qasjes së Mesazheve në Internet (IMAP) - për aksesin e klientit;

· 389 LDAP - për të hyrë në shërbimin e drejtorisë;

· 443 HTTP (Secure Sockets Layer (SSL)) (dhe më poshtë) - të njëjtat protokolle të mbrojtura nga SSL.

· 563 NNTP (SSL)

636 LDAP (SSL)

· 993 IMAP4 (SSL)

· 995 POP3 (SSL)

· 3268 dhe 3269 - pyetje në serverin e katalogut global (kërkoni në Active Directory dhe kontrolloni anëtarësimin në grupe universale).

Nuk ka kuptim të mbulosh ndërfaqen e Exchange Server që përballet me pjesën e brendshme të organizatës me një mur zjarri - ai do të përdoret për të bashkëvepruar me kontrolluesit e domenit, shërbimet e administrimit, sistemet rezervë, etj. Për një ndërfaqe të ekspozuar ndaj internetit, rekomandohet të lini portat 53 (nëse Exchange do të zgjidhë vetë emrat e hosteve dhe jo do t'i ridrejtojë kërkesat te serveri lokal DNS) dhe 25. Shumë shpesh, klientët duhet të hyjnë në kutitë e tyre postare nga jashtë (nga në shtëpi, gjatë një udhëtimi pune, etj.) etj.). Zgjidhja më e mirë në këtë situatë është të konfiguroni OWA (ndërfaqja e internetit për akses në Exchange Server, e cila është instaluar si parazgjedhje, e disponueshme në http://server_name/exchange) për të punuar mbi SSL dhe për të hapur aksesin vetëm në portin 443. Përveç zgjidhja e problemeve me vërtetimin e sigurt dhe enkriptimin e mesazheve zgjidh automatikisht problemin me SMTP Relay (më shumë për këtë më vonë) dhe situatën kur një përdorues shkarkon aksidentalisht emailin e punës në dosjet e klientit të postës në kompjuterin e tij të shtëpisë dhe më pas në punë nuk mund t'i gjejë këto mesazhe (për të mos përmendur që mbajtja e emailit të punës në shtëpi është një shkelje e sigurisë).

Një veçori e re që është shfaqur në Exchange Server. duke filluar nga versioni 2000, aftësia për të përdorur disa serverë virtualë SMTP dhe POP3 me cilësime të ndryshme sigurie. Për shembull, serveri SMTP që ndërvepron me internetin mund të konfigurohet me një mënyrë sigurie të shtuar dhe kufizime strikte të dorëzimit, dhe serveri SMTP që përdorin përdoruesit brenda organizatës mund të konfigurohet me cilësimet më të fuqishme dhe më të përshtatshme për përdoruesit.

Është gjithashtu e nevojshme të përmendet një konfuzion i caktuar në terminologji - shumë shpesh muret e zjarrit për Exchange quhen sisteme të filtrimit të mesazheve, të cilat do të diskutohen më poshtë.