Exchange Server 2010使用的端口身份验证和加密
时间:2013-06-29 12:15来源:未知 作者:admin 点击:
次
Exchange Server 2010使用的端口身份验证和加密
|
Exchange 2010 包含两个执行邮件传输功能的服务器角色:集线器传输服务器和边缘传输服务器。
下表提供这些传输服务器之间以及与其他 Exchange 2010 服务器和服务之间的数据路径的端口、身份验证和加密的有关信息。
传输服务器的数据路径
|
数据路径 |
所需端口 |
默认身份验证 |
支持的身份验证 |
是否支持加密? |
默认是否加密? |
|
集线器传输服务器到集线器传输服务器
|
25/TCP (SMTP)
|
Kerberos
|
Kerberos
|
是,使用传输层安全性 (TLS)
|
是
|
|
集线器传输服务器到边缘传输服务器
|
25/TCP (SMTP)
|
直接信任
|
直接信任
|
是,使用 TLS
|
是
|
|
边缘传输服务器到集线器传输服务器
|
25/TCP (SMTP)
|
直接信任
|
直接信任
|
是,使用 TLS
|
是
|
|
边缘传输服务器到边缘传输服务器
|
25/TCP (SMTP)
|
匿名、证书
|
匿名、证书
|
是,使用 TLS
|
是
|
|
邮箱服务器到集线器传输服务器(通过 Microsoft Exchange 邮件提交服务)
|
135/TCP (RPC)
|
NTLM。如果集线器传输和邮箱服务器角色位于同一服务器上,则使用 Kerberos。
|
NTLM/Kerberos
|
是,使用 RPC 加密
|
是
|
|
集线器传输服务器到邮箱服务器(通过 MAPI)
|
135/TCP (RPC)
|
NTLM。如果集线器传输和邮箱服务器角色位于同一服务器上,则使用 Kerberos。
|
NTLM/Kerberos
|
是,使用 RPC 加密
|
是
|
|
统一消息服务器到集线器传输服务器
|
25/TCP (SMTP)
|
Kerberos
|
Kerberos
|
是,使用 TLS
|
是
|
|
Microsoft Exchange EdgeSync 服务(从集线器传输服务器到边缘传输服务器)
|
50636/TCP (SSL)
|
基本
|
基本
|
是,使用 SSL 上的 LDAP (LDAPS)
|
是
|
|
Active Directory 从集线器传输服务器访问
|
389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、88/TCP/UDP (Kerberos)、53/TCP/UDP (DNS)、135/TCP (RPC netlogon)hzwlocked
|
Kerberos
|
Kerberos
|
是,使用 Kerberos 加密
|
是
|
|
Active Directory 权限管理服务 (AD RMS)(从集线器传输服务器访问)
|
443/TCP (HTTPS)
|
NTLM/Kerberos
|
NTLM/Kerberos
|
是,使用 SSL
|
是*
|
|
从 SMTP 客户端到集线器传输服务器(例如,使用 Windows Live Mail 的最终用户)
|
587 (SMTP)
25/TCP (SMTP)
|
NTLM/Kerberos
|
NTLM/Kerberos
|
是,使用 TLS
|
是
|
-
集线器传输服务器之间的所有通信均使用具有自签名证书的 TLS 进行加密,这些证书通过 Exchange 2010 安装程序安装。
 注意: |
|
在 Exchange 2010 中,可以在集线器传输服务器上禁用 TLS,以便与同一 Exchange 组织中的其他集线器传输服务器进行内部 SMTP 通信。除非绝对必要,否则不建议这么做。 |
-
边缘传输服务器与集线器传输服务器之间的所有通信均进行身份验证并加密。Mutual TLS 是基础的身份验证和加密机制。Exchange 2010 使用“直接信任”(而不是使用 X.509 验证)来验证证书。直接信任意味着 Active Directory 或 Active Directory 轻型目录服务 (AD LDS) 中存在证书即证明证书有效。Active Directory 被视为是受信任的存储机制。使用直接信任时,证书是自签名还是由证书颁发机构 (CA) 签名并不重要。为边缘传输服务器订阅 Exchange 组织时,边缘订阅将在 Active Directory 中发布边缘传输服务器证书,以便集线器传输服务器进行验证。Microsoft Exchange EdgeSync 服务使用集线器传输服务器证书集更新 AD LDS,以便边缘传输服务器进行验证。
-
EdgeSync 通过 TCP 50636 使用从集线器传输服务器到订阅的边缘传输服务器的安全 LDAP 连接。AD LDS 还会侦听 TCP 50389。不使用 SSL 连接到该端口。您可以使用 LDAP 实用程序连接到该端口并检查 AD LDS 数据。
-
默认情况下,两个不同组织中的边缘传输服务器之间的通信将进行加密。Exchange 2010 Setup 创建一个自签名证书,并且默认启用 TLS。这样,任何发送系统都可以对 Exchange 的入站 SMTP 会话进行加密。在默认情况下,Exchange 2010 还会尝试对所有远程连接使用 TLS。
-
当集线器传输服务器角色和邮箱服务器角色安装在同一台计算机上时,对集线器传输服务器与邮箱服务器之间的通信的身份验证方法将有所不同。如果是本地邮件提交,则使用 Kerberos 身份验证。如果是远程邮件提交,则使用 NTLM 身份验证。
-
Exchange 2010 还支持域安全。域安全性是指 Exchange 2010 和 Microsoft Outlook 2010 中的功能,它提供一种低成本的备选安全解决方案,可代替 S/MIME 或其他邮件级 Internet 安全解决方案。域安全提供了一种通过 Internet 管理域之间的安全邮件路径的方式。配置这些安全邮件路径后,通过安全路径从已通过身份验证的发件人成功传输的邮件将对 Outlook 和 Outlook Web Access 用户显示为“域安全”。
-
许多代理可以在集线器传输服务器和边缘传输服务器上运行。通常,反垃圾邮件代理依赖于运行代理的计算机上的本地信息。因此,几乎不需要与远程计算机进行通 信。收件人筛选是例外情况。收件人筛选需要呼叫 AD LDS 或 Active Directory。作为最佳实践,应在边缘传输服务器上运行收件人筛选。在该情况下,AD LDS 目录和边缘传输服务器位于同一计算机上。因此,不需要远程通信。在集线器传输服务器上安装并配置了收件人筛选后,收件人筛选将访问 Active Directory。
-
Exchange 2010 中的发件人信誉功能使用协议分析代理。此代理还与外部代理服务器建立各种连接,以确定入站邮件路径中的可疑连接。
-
其他所有反垃圾邮件功能使用该数据作为安全列表聚合和收件人数据以进行收件人筛选。只能在本地计算机上对此数据进行收集、存储和访问。通常通过使用 Microsoft Exchange EdgeSync 服务将数据推送到本地 AD LDS 目录。
-
集线器传输服务器上的信息权限管理 (IRM) 代理可以建立到组织中的 Active Directory 权限管理服务 (AD RMS) 服务器的连接。AD RMS 是一个 Web 服务,通过使用 SSL 作为最佳做法进行安全保护。是否使用 HTTPS 与 AD RMS 服务器进行通信、使用 Kerberos 还是 NTLM 进行身份验证,具体取决于 AD RMS 服务器的配置。
-
日记规则、传输规则和邮件分类存储在 Active Directory 中,可以通过集线器传输服务器上的日记代理和传输规则代理进行访问。
(责任编辑:admin) |
织梦二维码生成器
------分隔线----------------------------
