Dominios aceptados, espacios de direcciones SMTP compartidos y filtrado de destinatarios
Artículo original publicado el viernes 7 de octubre de 2011
Aceptar correo entrante para un dominio DNS y retransmitirlo a hosts de correo responsables fuera de la organización de Exchange era un proceso sencillo en Exchange 2003, salvo uno que requería explicación, lo cual se abordó en los artículos siguientes:
- KB 321721 Cómo compartir un espacio de direcciones SMTP en Exchange 2000 Server o en Exchange Server 2003
- KB 315511 XADM: Cómo configurar el uso compartido de dominios SMTP centralizados en Exchange 2000 Server para organizaciones independientes
Exchange 2003 usaba Directivas de destinatarios para definir los dominios para las cuales los servidores de Exchange aceptarán el correo electrónico y para generar direcciones de correo electrónico para sus destinatarios usando esos dominios.
Asimismo, las directivas de destinatarios también permitían aplicar la configuración del Administrador de buzones, el equivalente a Administración de registros de mensajería (MRM) de Exchange 2003.
Dominios aceptados y directivas de direcciones de correo electrónico
En Exchange 2007, la funcionalidad Directiva de destinatarios se dividía en dos componentes: Dominios aceptados y Directivas de direcciones de correo electrónico. Como sugieren los nombres, los Dominios aceptados se usan para definir los dominios SMTP para los cuales sus servidores de transporte aceptarán correo electrónico y las Directivas de direcciones de correo electrónico (EAP) se usan para generar direcciones de correo electrónico para sus destinatarios. Las EAP usan Dominios aceptados; debe tener un Dominio aceptado para poder crear direcciones de correo electrónico usando ese dominio. Por ejemplo, si quisiera que sus destinatarios tengan direcciones de correo electrónico de los dominios contoso.com y tailspintoys.com, primero debe crear un Dominio aceptado para cada uno de estos dominios y, a continuación, crear una directiva de direcciones de correo electrónico para definir el formato de las direcciones de correo electrónico generadas automáticamente; por ejemplo, nombre.apellido@contoso.com.
Mientras que Exchange 2003 permitía usar filtros LDAP para aplicar a directivas de destinatarios, Exchange 2010 y 2007 filtran a los destinatarios usando la sintaxis de filtrado OPATH para aplicar EAP. Una serie de filtros predefinidos se incluyen en la interfaz de directivas de direcciones de correo electrónico en EMC o como parámetros en la Consola, lo cual facilita el uso de algunas de las propiedades de destinatario usadas frecuentemente como el nombre de la empresa, el departamento, el estado y los atributos personalizados 1-15 para aplicar directivas. Los filtros predefinidos satisfacen las necesidades de la mayoría de implementaciones de Exchange. Para filtros más complejos, puede crear un filtro de destinatario personalizado usando el parámetro RecipientFilter de la Consola. Un filtro de destinatario personalizado permite usar una larga lista de propiedades de destinatario, denominadas propiedades a las que se puede aplicar un filtro, en un filtro de destinatario. Puede obtener una lista de propiedades a las que se puede obtener un filtro en Propiedades a las que se puede aplicar un filtro para el parámetro -RecipientFilter en Exchange 2007 SP1 y SP2.
Dominios aceptados y uso compartido de espacios de direcciones SMTP
La separación de los objetos de directivas de dirección de correo electrónico y del nombre de dominio facilitan el uso compartido de espacios de direcciones SMTP. Puede crear los tres tipos siguientes de dominios aceptados en Exchange 2010 y Exchange 2007:
Dominios autorizados: un dominio autorizado significa que su organización de Exchange está autorizada para el dominio y conoce todos sus destinatarios. Normalmente, todos los destinatarios de un dominio autorizado son destinatarios de Exchange (buzones de correo, grupos de distribución y carpetas públicas con correo habilitado). Los destinatarios también pueden estar en otros sistemas de correo electrónico pero Exchange debe tener un objeto de contacto con correo habilitado (MailContact) o de usuario con correo habilitado (MailUser) para ellos. Aunque los contactos de correo o usuarios de correo de uso único se pueden crear manualmente, normalmente se crean usando la sincronización de directorios en los siguientes escenarios, por ejemplo:
- Otra unidad de negocio que tiene su propio bosque de Active Directory
- Otro sistema/directorio de mensajería en uso dentro de la organización
Una vez replicados, Exchange sabe cómo entregar correo a estos destinatarios.
Puesto que Exchange está autorizado para el dominio, debe generar un informe de no entrega (NDR) para los mensajes que acepta pero que no puede entregar por cualquier motivo, incluidos los mensajes para destinatarios que no puede encontrar en Active Directory. Puede usar el filtrado de destinatario y retirar correo para destinatarios no existentes de forma silenciosa.
Dominios de retransmisión externa: si sus servidores de Exchange deben aceptar correo electrónico para un dominio que no tiene destinatarios y, a continuación, reenviar dicho correo electrónico a otro host de correo, puede crear un dominio de retransmisión externa. En este caso, Exchange no tiene constancia de los destinatarios y, por lo tanto, no puede llevar a cabo acciones como filtrar destinatarios o retirar correo para destinatarios que no existen. Aceptar correo entrante a través de una infraestructura de mensajería central es un escenario común. Puesto que Exchange no está autorizado para el dominio, solo es responsable de reenviar correo al siguiente salto para dicho dominio, que debe generar un NDR tras un error en la entrega.
Para reenviar correo electrónico para un dominio de retransmisión externa a hosts de correo que están autorizados para el dominio (o el siguiente salto, que, a continuación, puede retransmitirlo), debe crear un conector de envío para ese dominio y especificar el siguiente salto como un host inteligente. En topologías con un servidor de transporte perimetral, dicho correo electrónico es retransmitido por el transporte perimetral, y los servidores Transporte de concentradores no necesitan nunca administrar mensajes.
Dominios de retransmisión interna: los dominios de retransmisión interna cumplen una necesidad importante, la cual requería una configuración bastante complicada en Exchange 2003. Estos dominios permiten aceptar correo electrónico para un dominio donde pueden existir algunos destinatarios en su organización de Exchange y puede haber algunos destinatarios en otro sistema de mensajería. Exchange puede tener constancia de los destinatarios de otro sistema de mensajería usando contactos de correo o usuarios de correo. O puede entregar todos los mensajes que se pueden entregar localmente (en cualquier servidor de Exchange de la organización) y retransmitir mensajes para destinatarios desconocidos a otro host de correo usando un conector de envío para el mismo dominio. Puesto que Exchange no está autorizado para este dominio, no genera ningún NDR para destinatarios de los que no es responsable.
Dominios de retransmisión interna y conectores de envío
Una consideración importante al usar un dominio de retransmisión interna es que el conector de envío que use para enviar correo para destinatarios desconocidos a otro host de correo no se puede originar en servidores Transporte perimetral, porque el servidor Transporte perimetral ya ha sido instruido para que acepte todo el correo para ese dominio y lo reenvíe a servidores Transporte de concentradores. En su lugar, el conector de envío se debe originar en servidores Transporte de concentradores y se debe especificar otro host de correo como host inteligente.
Figura 1: Crear un dominio aceptado en EMC
Más detalles en Información acerca de los dominios aceptados.
Dominios aceptados y filtrado de destinatarios
Al crear dominios aceptados, hay que tener en cuenta el filtrado de destinatarios. Si usa filtros de correo no deseado integrados de Exchange, puede filtrar destinatarios que no existen en su organización usando el filtrado de destinatarios. Esto permite retirar un gran grupo de correo no deseado (en la puerta de enlace si ha implementado un servidor Transporte perimetral con EdgeSync). Asimismo, también significa que sus servidores no procesarán correo para destinatarios no existentes ni generarán un NDR para el remitente, que también puede ser una dirección no existente o direcciones válidas cuya identidad ha sido suplantada por un spammer.
Si está en una topología con un servidor Transporte perimetral y tiene configurado EdgeSync. la información del destinatario se sincroniza desde un servidor Transporte de concentradores a un servidor Transporte perimetral, que puede usar esta información para retirar correo electrónico para destinatarios que no existen en su organización. Si no tiene implementado un servidor Transporte perimetral, puede instalar agentes contra el correo no deseado en un servidor Transporte de concentradores y habilitar el filtrado de destinatarios.
Muchas soluciones de seguridad SMTP de terceros que se implementan normalmente en redes perimetrales también pueden buscar destinatarios en Active Directory, aunque pueden requerir conectividad LDAP a un DC/GC de Active Directory, que se ubica en su red interna, u otros medios para replicar información de destinatarios. De manera comparativa, la comunicación es saliente (LDAP seguro) de servidores Transporte de concentradores al servidor Transporte perimetral y no requiere que se abran puertos en el firewall interno para el tráfico entrante.
¿Cómo trata el filtrado de destinatarios a los destinatarios de los distintos tipos de dominios aceptados? Para dominios autorizados, en que Exchange tiene constancia de todos los destinatarios, el filtrado de destinatarios retira el correo para destinatarios que no existen en Active Directory. Para dominios de retransmisión externa, Exchange no conoce estos destinatarios, de modo que el filtrado no es posible. Los dominios de retransmisión interna son un área gris: Exchange puede tener o no constancia de los destinatarios.
Puede configurar si se permite el filtrado de destinatarios para un dominio aceptado ajustando su propiedad AddressBookEnabled. Los valores predeterminados para cada tipo de dominio aceptado se incluyen en la tabla siguiente:
| Tipo de dominio aceptado | AddressBookEnabled |
|---|---|
| Autorizado | true |
| Retransmisión externa | false |
| Retransmisión interna | false |
Para dominios de retransmisión interna, está configurado en false de manera predetermina, lo que significa que Exchange (es decir, el agente de filtrado de destinatarios, si está habilitado y configurado para suprimir correo para destinatarios que no existen en Active Directory) no comprobará si el destinatario existe. Si usa un mecanismo para replicar destinatarios de otra organización de Exchange o un sistema de mensajería que no es de Exchange a Active Directory, puede definir la propiedad en true para que el filtrado de destinatarios compruebe los destinatarios válidos.
Set-AcceptedDomain foo.com –AddressBookEnabled $true
Esta es una entrada de blog localizada. Puede encontrar el artículo original en Accepted Domains, Shared SMTP Address Spaces and Recipient Filtering