Windows Server 2012 R2: закрытие портов smtp/pop3/imap (или отключение связанных служб)

Я использую Windows Server 2012 R2. На данный момент я хочу повысить безопасность своего сервера, поэтому я ищу службы (и открытые порты), которые не нужны.

Я отключил почти все роли сервера, кроме IIS (мне нужен IIS).

Брандмауэр Windows настроен так, что каждое входящее / исходящее соединение без правила автоматически блокируется.

Я создал только некоторые правила для порта 80,443 и порта удаленного рабочего стола. Все остальные правила деактивированы (или настроены на частный профиль), поэтому в моей общедоступной сети нет правил для других портов / протоколов / служб, поэтому открытых портов не должно быть.

Но если я сканирую свой сервер с помощью nmap (tcp connect scan), есть несколько открытых портов. Например:

25/tcp   open  smtp
80/tcp   open  http 
110/tcp  open  pop3
119/tcp  open  nntp
143/tcp  open  imap
465/tcp  open  smtps
563/tcp  open  snews
587/tcp  open  submission
993/tcp  open  imaps
995/tcp  open  pop3s
3389/tcp open  rdp

Мне не нужны pop, imap и другие сервисы (кроме RDP 3389).

Теперь у меня есть несколько вопросов: 1. Как могло быть возможно, чтобы порты отображались как открытые, если брандмауэр должен блокировать все порты без правил (порты выше не имеют правил)? 2. С помощью netstat -anop tcp я посмотрел, какие службы прослушивают эти порты. Это система-сервис. Но почему системная служба прослушивает эти порты и как я могу остановить службу от этого?