CityCat4

Но щас запарился, может надо было 993 делать SSL/TLS?

Зачем? Это порт с предварительно установленным TLS соединением (то есть оно кем-то до этого установлено и проверено). Обычно используется 143 STARTTLS
Насчет 587 не скажу - у нас эксч наружу не торчит

О дивный новым мир, в котором ответ на такой вопрос приходится начинать с уточнения - Вы в РФ или нет?

Как сделать резервную копию и восстановление Exchange 2013?

Средствами бэкапа серверов/виртуальных машин.

Правильно ли я понимаю , что весь бэкап заключается в копировании папки с базой данных ?

Нет.

И как вообще выглядит алгоритм восстановления в случае например поломки базы или поломки самого exchange сервера?

Удалить ВМ с эксчем. Восстановить вчерашнюю копию. Проблемы могут быть, если есть "за сегодня" крайне важные и срочные письма - тогда их придется доставать из битой базы, а это не совсем тривиальное занятие.

1. Внимательно просмотри существующий сертификат - какие в нем имена, SAN, EKU. Сертификат на эксч - это вещь еще та.
2. csr мне всегда выпускали админы, но я знаю, что выпускается она через виндовую оснастку.
3. Насчет применимости здесь wildcard не знаю, может быть и пойдет, я всегда заказываю SAN-сертификат, в который всегда вписываю имена:
owa.blabla.bla
autodiscover.blabla.bla
(как показала практика, если в сертификате в SAN нет autodiscover.blabla.bla - не работает поиск учетных записей и автонастрока оутлука, а также адресная книга)
4. Я запрашиваю сертификат в CA, получаю, передаю админам, они его устанавивают через оснастку.

Nakivo Backup & Replication

В РФ купить нельзя. На торрентах может и есть - прога хорошая, но не особо популярная.

Evolution подключался напрямую, без davmail? Я просто не знаю ни одного клиента, способного зацепиться к эксчу (как к экчсу, а не как к IMAP-серверу), кроме оутлука.
Для установки в эксч нам приходится покупать честный и нехило дорогой сертификат с SAN, куда вписывается полное доменное имя типа owa.nichego.net и обязательно autodiscover.nichego.net ! Без автодисковера в сертификате хрен чего работать будет.
(То, что nichego.net меняется на свой домен - я думаю и так понятно)

Кому запретить и зачем? Любой вопрос по ИБ начинается с модели нарушителя :) то есть с ответов на вопрос "чего я хочу добиться" и "кто тот человек/люди, который может мне в этом помешать"
Потому что после ответа на эти вопросы может оказаться, что:
- задача не имеет решения
- задача бессмысленна (отсутствует необходимость ее решать)
- задача решается другим способом

Нет. Требуется Windows server, много денег и еще больше лицензий.

Проще сказать, в чем эксч похож на imap :) Эксч - это гигантский суперкомбайн с огромной кучищей всяких фич, наглухо интергированный в винду и офис. Без оутлука половина этих фич работать не будет, также очень многие фичи там завязаны на местные "облака от M$".

Почтовым протоколом там является MAPI.
Можно использовать IMAP, но он там оооочень медленный, причем, я думаю, это сделано специально.

Есть бесплатные расширения, но с новым TB они не работают. Работать с эксчем можно через davmail, но часть фич работать просто не будет, еще часть - будет работать наполовину, например шифрование почты - оно будет, но работать будет неудобно.

К сертификату для Exchange предьявляются особые требования.

У него обязательно должен быть SAN, потому что в нем (в SAN) должно быть как минимум два имени - org.blabla.bla и autodiscover.blabla.bla. При этом, если предполагается предоставлять доступ к OWA извне - обязательно придется его (сертификат) купить, иначе не видать Вам почты на мобильных клиентах :)

Самоподписанный сертификат должен совпадать с именем, на котором работает эксч - а как иначе? и иметь в SAN autodiscover. Ну то есть, если контора имеет домен ktoto.local, а сервер exch.ktoto.local, то сертификат должен включать имена exch.ktoto.local и autodiscover.ktoto.local. Если же хотите еще и внешний доступ - то эксч должен работать на домене ktoto.ru, и соответственно сертификат должен включать имя autodiscover.ktoto.ru.

Эксчевские сертификаты недешевые - от десятки рублей.

Во-первых нет и никогда не было никакого "протокола MS Exchange", а есть MAPI, один из многих протоколов, с которыми работает эксч, и оутлук (когда он работает с эксчем).
Во-вторых, бесплатной почты на протоколе MAPI нет, не было и не будет, разве только libmapi доведут до ума (это типа wine, только для MAPI). Почему? Потому что лицензирование MAPI стоит денег, сделать продукт стоит денег - это нужно чтобы проект спонсировал алегарх.
В-третьих, дешевую почту на MAPI можно взять только у самого M$ - они с большой радостью приютят Вашу пятнадцатилетнюю переписку - агентам ФБР нельзя сидеть без работы!

Задача стоит полностью убрать видимость реального ip на котором крутится exchange

Зачем? Скрывают что-то те, кто чего-то опасается. Вот я опасаюсь хищения номера моей карты - и использую "псевдо-карту" от Юмани. Чего таким образом хотите избежать Вы?

делать буду средствами nginx и реверс прокси,

Реверс прокси будем иметь IP из той же сети, что и почтовик?

Кроме как в заголовках, IP почтовика всегда отражается в логах (ну в смысле - IP сервера, передающего почту)

Хе-хе, лайфхак, которым прямо сейчас пользуюсь.

Thunderbird + Davmail + exchangecalendar (разработка последнего правда встала в конце 2018 года). davmail обеспечивает чтение и отправку почты через эксч (через OWA) и часть функционала адресной книги, exchangecalendar - понятно, что календарь-задачи-заметки и еще часть адресной книги. Конечно, не без косяков, зато бесплатно.

Хотя, надо сказать, если есть деньги на эксч - а там они немалые! - то должны найтись и на оутлук...

owa или десктопный outlook?
В прикрепленном файле что?
В свойствах сообщения совсем ничего про шифрование?

Есть какие нибудь ограничения

Есть :)

Не слушать энтузиастов LE. Потому что работать НЕ будет. Всюду - будет. А с эксчем - не будет :) Потому что хитромудрый M$ заложил такую штучку с ручкой, которую не знают энтузиасты LE (а не знают они ее потому что LE не испольузется на эксче) - для того, чтобы сертификат работал на эксче, нужно, чтобы у него в SAN было прописано его внешнее имя, например ruchka.zhopa.ru и "специЯльное" имя для эксча - autodiscover (в данном случае - autodiscover.zhopa.ru).
Если имени autodiscover в SAN нет - скорее всего сертификат не заработает.

Так что либо генерить самому либо покупать (а стоит такой недешево).

а пользователи могли зайти на яндекс браузером и там работать с почтой если надо и мобильные приложения чтоб так же работали с серверов Яндекса.

Накуа?

Эксч недешев. И еще к нему лицензии нужны на подключение. И сертификат SAN-овский, чтобы OWA работало. Поэтому, обычно если мигрируют на эксч, то на него переходят полностью. У него есть своя вебморда - Outlook Web Access (OWA). Напоминает обычный Outlook. У него есть мобильный доступ - например Maildroid прекрасно с ним работает.
Windows конечно must die, но эксч свои задачи решает, если заморачиваться, иначе этого делать не стоит - дорого, долго, сложно.

При заказе SAN/UCC сертификата нужно не забыть заложить в него имена, нужные эксчу, в особенности autodiscover :) Как достать ключ? Не знаю, возможно что и никак, если винда при генерации запроса не дает пометить ключ экспортируемым. При наличии ключа и наличии в SAN/UCC всех имен, с которыми будет использоваться, можно использовать где угодно.

А кто его отправлять-то будет в таком случае?