Порты для Microsoft Exchange, это не просто набор цифр в таблице. Это детальная карта доверия, которая определяет, кто может подключиться к вашей корпоративной почте и что он сможет сделать. Ошибка в этой карте — прямой путь к утечке писем или полному контролю над сервером.
Сетевые порты Microsoft Exchange Server
Правильная настройка сетевых портов для Exchange Server, это фундамент его безопасности. Открытый лишний порт или неправильно сконфигурированный существующий создаёт брешь, которой рано или поздно воспользуются.
Порты для клиентского доступа
Эти порты — главные ворота для пользователей. Через них подключаются Outlook, веб-браузеры (OWA), мобильные приложения. Разрешать доступ из интернета нужно только к защищённым портам, иначе логины, пароли и содержимое писем будут передаваться в открытом виде.
| Порт | Протокол | Назначение | Ключевые моменты |
|---|---|---|---|
| 443 | HTTPS | Основной безопасный доступ | Обслуживает OWA, ActiveSync, Autodiscover, ECP. Должен быть единственным открытым портом для веб-доступа извне. |
| 80 | HTTP | Незащищённый веб-доступ | Используется для автоматического перенаправления на HTTPS. На периметре его лучше закрыть, оставив только для внутреннего редиректа. |
| 993 | IMAPS | Защищённый IMAP | Стандартный порт для IMAP с TLS. Если нужен IMAP — используйте только этот порт. |
| 995 | POP3S | Защищённый POP3 | Аналогично — единственный безопасный вариант для устаревшего протокола POP3. |
| 143, 110 | IMAP4, POP3 | Незащищённые версии | Должны быть заблокированы на брандмауэре. Их наличие — признак устаревшей или небрежной конфигурации. |
Порты для передачи почты (SMTP)
Здесь важно разделять потоки: приём почты от других серверов и отправка от ваших пользователей. Смешение этих функций на одном порте усложняет безопасную настройку аутентификации и контроля.
| Порт | Протокол | Назначение | Ключевые моменты |
|---|---|---|---|
| 25 | SMTP | Межсерверный обмен | Основной порт для приёма почты из интернета и отправки во внешние домены. Аутентификация обычно отключена. Часто является целью для атак на ретрансляцию. |
| 587 | SMTP | Отправка от клиентов (Submission) | Порт, на котором обязательна аутентификация пользователя. Письма, пришедшие на этот порт, помечаются как «отправленные пользователем». Должен работать с обязательным шифрованием STARTTLS. |
| 465 | SMTPS | Устаревший защищённый SMTP | Исторический порт для SMTP поверх SSL. Не является современным стандартом, но может использоваться некоторыми устаревшими клиентами. В новых развёртываниях лучше полагаться на порт 587 с STARTTLS. |
Порты для внутренних коммуникаций и администрирования
Эти порты никогда не должны быть доступны из интернета. Их зона действия — доверенная внутренняя сеть. Попадание RPC-портов во внешний доступ, это почти гарантированный компромисс сервера.
| Порт / Диапазон | Протокол / Служба | Назначение |
|---|---|---|
| 135 | RPC Endpoint Mapper | Ключевая служба для установления RPC-соединений. Открытый порт 135 позволяет злоумышленнику узнать, какие другие RPC-службы (и на каких портах) доступны. |
| 6001-6004 | Динамические RPC-порты | Используются для клиентских подключений MAPI/RPC в устаревших конфигурациях. Диапазон может быть изменён. Полная блокировка RPC извне критична. |
| 5986 | WinRM HTTPS | Основной порт для удалённого администрирования через PowerShell (PowerShell Remoting). Вся коммуникация шифруется. |
| 5985 | WinRM HTTP | Незащищённая версия для PowerShell Remoting. Допустима только во внутренней сети при строгом контроле сегментации. |
| 64327, 64328 | Репликация DAG | Используются для непрерывной репликации баз данных между серверами в группе доступности. Трафик интенсивный и нешифрованный, поэтому требует выделенного защищённого канала. |
Интеграция с Active Directory
Exchange не работает без Active Directory. Запросы на аутентификацию, поиск в глобальном списке адресов, чтение конфигурации — всё это идёт через порты LDAP.
| Порт | Протокол | Назначение |
|---|---|---|
| 389 | LDAP | Незашифрованные запросы к контроллеру домена. Во внутренней сети это норма, но трафик может быть перехвачен. |
| 636 | LDAPS | Защищённый LDAP. Рекомендуется для всех соединений, где возможна настройка, особенно если трафик проходит через ненадёжные сегменты сети. |
Практика: что закрывать в первую очередь
Настройка брандмауэра, это не только разрешение нужного, но и явный запрет ненужного. Вот примеры правил для Windows Firewall через PowerShell, которые стоит рассмотреть.
- Блокировка незащищённых клиентских протоколов из интернета:
New-NetFirewallRule -DisplayName "Block Insecure Client Ports" -Direction Inbound -LocalPort 80,110,143 -Protocol TCP -Action Block -RemoteAddress Internet - Ограничение внутренних RPC-портов только доверенной подсетью:
New-NetFirewallRule -DisplayName "Allow RPC from Admin VLAN Only" -Direction Inbound -LocalPort 135,6001-6004 -Protocol TCP -Action Allow -RemoteAddress 10.0.10.0/24
После создания этого разрешающего правила необходимо убедиться, что для этих портов существует и применяется более общее блокирующее правило.
Конфигурация портов — не разовая задача. При обновлении Exchange, изменении топологии или внедрении новых клиентских приложений эту карту доверия нужно пересматривать. Минимально необходимый набор открытых портов и строгая сегментация доступа — базис, на котором строится безопасная работа почтовой системы.