Cómo permitir la retransmisión anónima en un conector de recepción

  • Artículo

 

Se aplica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Última modificación del tema: 2007-07-02

En este tema se explica cómo usar la Consola de administración de Exchange o el Shell de administración de Exchange para crear y configurar un conector de recepción que permita la retransmisión anónima. El conector de recepción se configura en servidores que tienen instalada la función del servidor Transporte de concentradores o la función del servidor Transporte perimetral de Microsoft Exchange Server 2007.

Retransmisión es la transferencia de mensajes desde un servidor de mensajería de Protocolo simple de transferencia de correo (SMTP) a otro cuando el servidor de mensajería SMTP que la acepta no es el destino final del mensaje. Si no se restringe, la retransmisión anónima en servidores de mensajería SMTP de Internet es un riesgo de seguridad grave que podrían aprovechar los emisores de correo comercial no deseado (o "spammers") para ocultar el origen de sus mensajes. Por lo tanto, se aplican restricciones a los servidores de mensajería expuestos a Internet para impedir la retransmisión a destinos no autorizados.

En Exchange 2007, la retransmisión se controla generalmente mediante el uso de dominios aceptados. Los dominios aceptados se configuran en el servidor de transporte perimetral o el servidor de transporte de concentradores. Además, los dominios aceptados se clasifican como dominios de retransmisión interna o dominios de retransmisión externa. Para obtener más información acerca de los dominios aceptados, consulte Administración de dominios aceptados.

También se puede restringir la retransmisión anónima en función del origen de los mensajes entrantes. Este método es útil cuando una aplicación o servidor de mensajería no autenticado debe usar un servidor de transporte de concentradores o un servidor de transporte perimetral como servidor de retransmisión.

Antes de empezar

Para realizar este procedimiento, se debe delegar lo siguiente a la cuenta utilizada:

  • Función Administrador de servidores de Exchange y grupo Administradores local para el servidor de destino

Para ejecutar los siguientes procedimientos en un equipo que tiene instalada la función del servidor Transporte perimetral, debe iniciar sesión mediante una cuenta que sea miembro del grupo Administradores local en dicho equipo.

Para obtener más información acerca de los permisos, la delegación de funciones y los derechos necesarios para administrar Exchange 2007, consulte Consideraciones sobre permisos.

Creación de un conector de recepción que permita la retransmisión anónima a direcciones IP de origen específicas

Cuando se crea el conector de recepción configurado para permitir la retransmisión anónima, se deben aplicar las siguientes restricciones al conector de recepción:

  • Configuración de red local   Se debe restringir el conector de recepción para que escuche únicamente en el adaptador de red apropiado del servidor de transporte de concentradores o el servidor de transporte perimetral.

  • Configuración de red remota   Se debe restringir el conector de recepción para que acepte únicamente conexiones del servidor o los servidores especificados. Esta restricción es necesaria porque el conector de recepción está configurado para aceptar retransmisiones de usuarios anónimos. La restricción de los servidores de origen por dirección IP es la única medida de protección que se permite en este conector de recepción.

Para conceder el permiso de retransmisión a usuarios anónimos en el conector de recepción, puede usar cualquiera de las estrategias que se describen en las siguientes secciones. Cada una de las estrategias tiene ventajas e inconvenientes.

Concesión de permiso de retransmisión a conexiones anónimas

Esta estrategia incluye las tareas siguientes:

  • Crear un conector de recepción nuevo con tipo de uso establecido en Custom.

  • Agregar el grupo de permisos anónimo al conector de recepción.

  • Asignar el permiso de retransmisión a la entidad de seguridad de inicio de sesión anónimo en el conector de recepción.

El grupo de permisos anónimo concede los siguientes permisos a la entidad de seguridad de inicio de sesión anónimo en el conector de recepción:

  • Ms-Exch-Accept-Headers-Routing

  • Ms-Exch-SMTP-Accept-Any-Sender

  • Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender

  • Ms-Exch-SMTP-Submit

No obstante, para permitir la retransmisión anónima en este conector de recepción, también se debe conceder el siguiente permiso a la entidad de seguridad de inicio de sesión anónimo en el conector de recepción:

  • Ms-Exchange-SMTP-Accept-Any-Recipient

La ventaja de esta estrategia es que concede los permisos mínimos necesarios para retransmisión a las direcciones IP remotas especificadas.

Los inconvenientes de esta estrategia son los siguientes:

  • Sólo puede asignar el permiso de retransmisión a la cuenta de inicio de sesión anónimo en el conector de recepción usando el Shell de administración de Exchange en un paso diferente, después de crear el conector de recepción.

  • Los mensajes que se originan en las direcciones IP especificadas se tratan como mensajes anónimos. Por lo tanto, los mensajes no eluden las comprobaciones contra correo electrónico no deseado ni las comprobaciones de límite de tamaño de los mensajes, y no se pueden resolver remitentes anónimos. El proceso de resolver remitentes anónimos fuerza un intento de hacer coincidir la dirección de correo electrónico del remitente anónimo con el nombre que se muestra en la lista global de direcciones para mensajes anónimos.

    Nota

    Si se implementa el Service Pack 1 (SP1) de Exchange 2007 en un equipo que tenga instalado Windows Server 2008, puede escribir las direcciones IP y los intervalos de direcciones IP en formato Protocolo de Internet versión 4 (IPv4), en formato Protocolo de Internet versión 6 (IPv6) o en ambos formatos. Una instalación predeterminada de Windows Server 2008 permite la compatibilidad para IPv4 e IPv6.
    Le recomendamos que no configure conectores de recepción para que acepten conexiones anónimas de direcciones IPv6 desconocidas. Si configura un conector de recepción para que acepte conexiones anónimas de direcciones IPv6 desconocidas, es probable que se incremente la cantidad de correo no deseado que recibe la organización. Actualmente, no existe ningún protocolo estándar aceptado globalmente por el sector para buscar direcciones IPv6. La mayoría de proveedores de la lista de direcciones IP bloqueadas no admiten direcciones IPv6. Por lo tanto, si permite conexiones anónimas de direcciones IPv6 desconocidas en un conector de recepción, incrementará las posibilidades de que los emisores de correo no deseado omitan los proveedores de la lista de direcciones IP bloqueadas y consigan entregar correo no deseado a su organización.
    Para obtener más información acerca de la compatibilidad de Exchange 2007 SP1 con direcciones IPv6, consulte Compatibilidad con IPv6 en Exchange 2007 SP1 y SP2. Para obtener más información acerca de filtros de conexión, cómo agregar direcciones IP a las listas de direcciones IP permitidas o no permitidas y cómo configurar los servicios de proveedor de lista de direcciones IP no permitidas y permitidas, consulte Configurar el filtrado de la conexión.

Para utilizar la Consola de administración de Exchange con el objeto de crear un conector de recepción que conceda permiso de retransmisión a conexiones anónimas

  1. Abra la Consola de administración de Exchange. Siga uno de estos pasos:

    1. Para crear un conector de recepción en un equipo que tiene instalada la función del servidor Transporte perimetral, seleccione Transporte perimetral y, a continuación, en el panel de trabajo, haga clic en la ficha Conectores de recepción.

    2. Para crear un conector de recepción en una función del servidor Transporte de concentradores, en el árbol de consola, expanda Configuración de servidores y seleccione Transporte de concentradores. En el panel de resultados, seleccione el servidor en el que desea crear el conector y, a continuación, haga clic en la ficha Conectores de recepción.

  2. En el panel de acciones, haga clic en Nuevo conector de recepción. Se inicia el Asistente para nuevo conector de recepción SMTP.

  3. En la página Introducción, siga estos pasos:

    1. En el campo Nombre:, escriba un nombre con sentido para este conector. Este nombre se utiliza para identificar el conector.

    2. En el campo Seleccione el uso que se quiere dar a este conector, seleccione Personalizado.

    3. Haga clic en Siguiente.

  4. En la página Configuración de red local, siga los siguientes pasos:

    1. Seleccione la entrada Todos disponibles existente y, a continuación, haga clic en Icono Quitar.

    2. Haga clic en Agregar. En el cuadro de diálogo Agregar enlace de conector de recepción, seleccione Especificar una dirección IP. Escriba una dirección IP que esté asignada a un adaptador de red en el servidor local que tenga más posibilidades de comunicarse con el servidor de mensajería remoto.

    3. En la página Configuración de red local, en el campo Puerto, escriba 25 y, a continuación, haga clic en Aceptar.

    4. Haga clic en Siguiente.

  5. En la página Configuración de red remota, siga los siguientes pasos:

    1. Seleccione la entrada 0.0.0.0 - 255.255.255.255 existente y, a continuación, haga clic en Icono Quitar.

    2. Haga clic en Agregar o en la flecha desplegable ubicada junto a Agregar y escriba la dirección IP o el intervalo de direcciones IP del servidor o los servidores de mensajería remotos que tengan permiso para retransmitir correo en este servidor. Cuando haya terminado de escribir las direcciones IP, haga clic en Aceptar.

    3. Haga clic en Siguiente.

  6. En la página Conector nuevo, revise el resumen de configuración del conector. Si desea modificar la configuración, haga clic en Atrás. Para crear el conector de recepción mediante la configuración del resumen de configuración, haga clic en Nuevo.

  7. En la página Finalización, haga clic en Finalizar.

  8. En el panel de trabajo, seleccione el conector de recepción que ha creado.

  9. En el nombre del conector de recepción del panel de acciones, haga clic en Propiedades para abrir la página Propiedades.

  10. Haga clic en la ficha Grupos de permisos. Seleccione Usuarios anónimos.

  11. Haga clic en Aceptar para guardar los cambios y salir de la página Propiedades.

  12. Abra el Shell de administración de Exchange.

  13. Ejecute el siguiente comando usando el nombre del conector de recepción que ha creado en los pasos 1 a 11:

    Get-ReceiveConnector "Receive Connector Name" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"

Para utilizar el Shell de administración de Exchange con el objeto de crear un conector de recepción que conceda permiso de retransmisión a conexiones anónimas

  1. Ejecute el siguiente comando:

    New-ReceiveConnector -Name <Name> -Usage Custom -PermissionGroups AnonymousUsers -Bindings <LocalIPAddress:25> -RemoteIpRanges <SourceServer>

    Por ejemplo, para crear un conector de recepción nuevo denominado "Anonymous Relay" que escuche en la dirección IP local 10.2.3.4, en el puerto 25, desde un servidor de origen en la dirección IP 192.168.5.77, ejecute el siguiente comando:

    New-ReceiveConnector -Name "Anonymous Relay" -Usage Custom -PermissionGroups AnonymousUsers -Bindings 10.2.3.4:25 -RemoteIpRanges 192.168.5.77

  2. Ejecute el siguiente comando usando el nombre del conector de recepción que ha creado en el paso 1:

    Get-ReceiveConnector "Anonymous Relay" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"

Configuración del conector de recepción como protegido externamente

Esta estrategia incluye las tareas siguientes:

  • Crear un conector de recepción nuevo con tipo de uso establecido en Custom.

  • Agregar el grupo de permisos ExchangeServers al conector de recepción.

  • Agregar el mecanismo de autenticación ExternalAuthoritative al conector de recepción.

El grupo de permisos ExchangeServers es necesario cuando se selecciona el mecanismo de autenticación ExternalAuthoritative. Esta combinación de método de autenticación y grupo de permisos concede los siguientes permisos a cualquier conexión entrante que se permita en el conector de recepción.

  • Ms-Exch-Accept-Headers-Routing

  • Ms-Exch-SMTP-Accept-Any-Sender

  • Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender

  • Ms-Exch-SMTP-Submit

  • Ms-Exch-Accept-Exch50

  • Ms-Exch-Bypass-Anti-Spam

  • Ms-Exch-Bypass-Message-Size-Limit

  • Ms-Exch-SMTP-Accept-Any-Recipient

  • Ms-Exch-SMTP-Accept-Authentication-Flag

Las ventajas de esta estrategia son las siguientes:

  • Configuración sencilla

  • Los mensajes que se originan en las direcciones IP especificadas se tratan como mensajes autenticados. Los mensajes eluden las comprobaciones contra correo electrónico no deseado y las comprobaciones de límite de tamaño de los mensajes, y pueden resolver remitentes anónimos.

El inconveniente de esta estrategia es que las direcciones IP remotas se consideran completamente confiables. Los permisos que se conceden a las direcciones IP remotas permiten que el servidor de mensajería remoto envíe mensajes como si provinieran de remitentes internos dentro de la organización de Exchange.

Para utilizar la Consola de administración de Exchange con el objeto de crear un conector de recepción que se configure como protegido externamente

  1. Abra la Consola de administración de Exchange. Siga uno de los siguientes pasos:

    1. Para crear un conector de recepción en un equipo que tiene instalada la función del servidor Transporte perimetral, seleccione Transporte perimetral y, a continuación, en el panel de trabajo, haga clic en la ficha Conectores de recepción.

    2. Para crear un conector de recepción en una función del servidor Transporte de concentradores, en el árbol de consola, expanda Configuración de servidores y seleccione Transporte de concentradores. En el panel de resultados, seleccione el servidor en el que desea crear el conector y, a continuación, haga clic en la ficha Conectores de recepción.

  2. En el panel de acciones, haga clic en Nuevo conector de recepción. Se inicia el Asistente para nuevo conector de recepción SMTP.

  3. En la página Introducción, siga los siguientes pasos:

    1. En el campo Nombre, escriba un nombre con sentido para este conector. Este nombre se utiliza para identificar el conector.

    2. En el campo Seleccione el uso que se quiere dar a este conector:, seleccione Personalizado.

    3. Haga clic en Siguiente.

  4. En la página Configuración de red local, siga los siguientes pasos:

    1. Seleccione la entrada Todos disponibles existente y, a continuación, haga clic en Icono Quitar.

    2. Haga clic en Agregar. En el cuadro de diálogo Agregar enlace de conector de recepción, seleccione Especificar una dirección IP. Escriba una dirección IP que esté asignada a un adaptador de red en el servidor local que tenga más posibilidades de comunicarse con el servidor de mensajería remoto.

    3. En la página Configuración de red local, en el campo Puerto, escriba 25 y, a continuación, haga clic en Aceptar.

    4. Haga clic en Siguiente.

  5. En la página Configuración de red remota, siga los siguientes pasos:

    1. Seleccione la entrada 0.0.0.0 - 255.255.255.255 existente y, a continuación, haga clic en Icono Quitar.

    2. Haga clic en Agregar o en la flecha desplegable ubicada junto a Agregar y escriba la dirección IP o el intervalo de direcciones IP del servidor o los servidores de mensajería remotos que tengan permiso para retransmitir correo en este servidor. Cuando haya terminado de escribir las direcciones IP, haga clic en Aceptar.

    3. Haga clic en Siguiente.

  6. En la página Conector nuevo, revise el resumen de configuración del conector. Si desea modificar la configuración, haga clic en Atrás. Para crear el conector de recepción mediante la configuración del resumen de configuración, haga clic en Nuevo.

  7. En la página Finalización, haga clic en Finalizar.

  8. En el panel de trabajo, seleccione el conector de recepción que ha creado.

  9. En el nombre del conector de recepción del panel de acciones, haga clic en Propiedades para abrir la página Propiedades.

  10. Haga clic en la ficha Grupos de permisos. Seleccione Servidores de Exchange.

  11. Haga clic en la ficha Autenticación. Seleccione Protegido externamente (por ejemplo, con IPsec).

  12. Haga clic en Aceptar para guardar los cambios y salir de la página Propiedades.

Para utilizar la Consola de administración de Exchange con el objeto de crear un conector de recepción que se configure como protegido externamente

  • Ejecute el siguiente comando:

    New-ReceiveConnector -Name <Name> -Usage Custom -AuthMechanism ExternalAuthoritative -PermissionGroups ExchangeServers -Bindings <LocalIPAddress:25> -RemoteIpRanges <SourceServer>

    Por ejemplo, para crear un conector de recepción nuevo denominado "Anonymous Relay" que escuche en la dirección IP local 10.2.3.4, en el puerto 25, desde un servidor de origen en la dirección IP 192.168.5.77, ejecute el siguiente comando:

    New-ReceiveConnector -Name "Anonymous Relay" -Usage Custom -AuthMechanism ExternalAuthoritative -PermissionGroups ExchangeServers -Bindings 10.2.3.4:25 -RemoteIpRanges 192.168.5.77

Información adicional

Para obtener más información, consulte los temas siguientes: