(整理)Exchange端口映射.

传输服务器

Exchange 2010 包含两个执行邮件传输功能的服务器角色：集线器传输服务器和边缘传输服务器。

下表提供这些传输服务器之间以及与其他Exchange 2010 服务器和服务之间的数据路径的端口、身份验证和加密的有关信息。

传输服务器的数据路径

数据路径所需端口默认身份验证支持的身份验证

是否支持加

密？默认是否加密？

集线器传输服务器到集线器传输

服务器25/TCP (SMTP) Kerberos Kerberos

是，使用传输

层安全性

(TLS)

是

集线器传输服务器到边缘传输服

务器

25/TCP (SMTP) 直接信任直接信任是，使用TLS 是边缘传输服务器到集线器传输服

务器

25/TCP (SMTP) 直接信任直接信任是，使用TLS 是边缘传输服务器到边缘传输服务

器

25/TCP SMTP 匿名、证书匿名、证书是，使用TLS 是邮箱服务器到集线器传输服务器

（通过Microsoft Exchange 邮件提交服务）135/TCP (RPC)

NTLM。如果集线器传输和

邮箱服务器角色位于同一

服务器上，则使用

Kerberos。

NTLM/Kerberos

是，使用RPC

加密

是

集线器传输服务器到邮箱服务器

（通过MAPI）135/TCP (RPC)

NTLM。如果集线器传输和

邮箱服务器角色位于同一

服务器上，则使用

Kerberos。

NTLM/Kerberos

是，使用RPC

加密

是

统一消息服务器到集线器传输服

务器25/TCP (SMTP)

Kerberos

Kerberos

是，使用TLS

是

Microsoft Exchange EdgeSync 服务（从集线器传输服务器到边缘传输服务器）50636/TCP (SSL) 基本基本是，使用SSL

上的LDAP

(LDAPS)

是

Active Directory 从集线器传输服务器访问389/TCP/UDP (LDAP)、

3268/TCP (LDAP GC)、

88/TCP/UDP (Kerberos)、

Kerberos Kerberos

是，使用

Kerberos 加

密

是

53/TCP/UDP (DNS)、

135/TCP (RPC netlogon)

Active Directory 权限管理服

务(AD RMS)（从集线器传输服

务器访问）

443/TCP (HTTPS) NTLM/Kerberos NTLM/Kerberos 是，使用SSL 是*

从SMTP 客户端到集线器传输服务器（例如，使用Windows Live Mail 的最终用户）587 (SMTP)

25/TCP (SMTP)

NTLM/Kerberos NTLM/Kerberos 是，使用TLS 是

有关传输服务器的注释

∙集线器传输服务器之间的所有通信均使用具有自签名证书的TLS 进行加密，这些证书通过Exchange 2010 安装程序安装。

注意：

在Exchange 2010 中，可以在集线器传输服务器上禁用TLS，以便与同一Exchange 组织中的其他集线器传输服务器进行内部SMTP 通信。

除非绝对需要，否则建议不要执行此操作。有关详细信息，请参阅禁用Active Directory 站点间的TLS 以支持WAN 优化。

∙边缘传输服务器与集线器传输服务器之间的所有通信均进行身份验证并加密。Mutual TLS 是基础的身份验证和加密机制。Exchange 2010 使用直接信任（而不是使用X.509 验证）来验证证书。直接信任意味着Active Directory 或Active Directory 轻型目录服务(AD LDS) 中存在证书即证明证书有效。

Active Directory 被视为是受信任的存储机制。使用直接信任时，证书是自签名还是由证书颁发机构(CA) 签名并不重要。为边缘传输服务器订阅Exchange 组织时，边缘订阅将在Active Directory 中发布边缘传输服务器证书，以便集线器传输服务器进行验证。Microsoft Exchange EdgeSync 服务使用集线器传输服务器证书集更新AD LDS，以便边缘传输服务器进行验证。

∙EdgeSync 通过TCP 50636 使用从集线器传输服务器到订阅的边缘传输服务器的安全LDAP 连接。AD LDS 还会侦听TCP 50389。不使用SSL 连接到该端口。您可以使用LDAP 实用程序连接到该端口并检查AD LDS 数据。

∙默认情况下，两个不同组织中的边缘传输服务器之间的通信将进行加密。Exchange 2010 Setup 创建一个自签名证书，并且默认启用TLS。这样，任何发送系统都可以对Exchange 的入站SMTP 会话进行加密。

默认情况下，Exchange 2010 还对所有远程连接尝试实现TLS。

∙当集线器传输服务器角色和邮箱服务器角色安装在同一台计算机上时，对集线器传输服务器与邮箱服务器之间的通信的身份验证方法将有所不同。如果是本地邮件提交，则使用Kerberos 身份验证。如果是远程邮件提交，则使用NTLM 身份验证。

∙Exchange 2010 还支持域安全。域安全性是指Exchange 2010 和Microsoft Outlook 2010 中的功能，它提供一种低成本的备选安全解决方案，可代替S/MIME 或其他邮件级Internet 安全解决方案。域安全提供了一种通过Internet 管理域之间的安全邮件路径的方式。配置这些安全邮件路径后，通过安全路径从已通过身份验证的发件人成功传输的邮件将对Outlook 和Outlook Web Access 用户显示为“域安全”。有关详细信息，请参阅了解域安全性。

∙许多代理可以在集线器传输服务器和边缘传输服务器上运行。通常，反垃圾邮件代理依赖于运行代理的计算机上的本地信息。因此，几乎不需要与远程计算机进行通信。收件人筛选是例外情况。收件人筛选需要呼叫AD LDS 或Active Directory。作为最佳实践，应在边缘传输服务器上运行收件人筛选。在这种情况下，AD LDS 目录与边缘传输服务器位于同一台计算机上，不需要进行任何远程通信。在集线器传输服务器上安装并配置了收件人筛选后，收件人筛选将访问 Active Directory。

∙协议分析代理供Exchange 2010 中的发件人信誉功能使用。此代理还与外部代理服务器建立各种连接，以确定入站邮件路径中的可疑连接。