Filtrado de conexiones en servidores de transporte perimetral en Exchange Server
El filtrado de conexiones es una característica antispam en Exchange Server que permite o bloquea el correo electrónico en función del origen del mensaje. El agente de filtrado de conexiones lleva a cabo el filtrado de conexiones, que está disponible solo en los servidores de transporte perimetral y básicamente no cambia con respecto a Exchange Server 2010. El agente de filtrado de conexiones se basa en la dirección IP del servidor que realiza la conexión para determinar la acción, si la hay, que se realiza en un mensaje entrante.
De manera predeterminada, el agente de filtrado de conexiones es el primer agente contra correo no deseado en evaluar un mensaje entrante en un servidor de transporte perimetral. La dirección IP de origen de la conexión SMTP se comprueba según las direcciones IP permitidas y bloqueadas. Si la dirección IP de origen se ha permitido de forma específica, el mensaje se envía a los destinatarios de la organización sin que otros agentes contra correo no deseado lleven a cabo ningún procesamiento adicional. Si la dirección IP de origen se ha bloqueado de forma específica, la conexión SMTP se cancelará. Si la dirección IP de origen no se ha permitido o bloqueado de forma específica, el mensaje fluye a través de los demás agentes contra correo no deseado en el servidor de transporte perimetral.
El filtrado de conexiones compara la dirección IP del servidor de correo de origen con los valores de la lista de permitidos ip, la lista de bloqueo ip, los proveedores de listas de permitidos IP y los proveedores de listas de direcciones IP bloqueadas. Es necesario configurar al menos uno de estos cuatro almacenes de datos de direcciones IP para que el filtrado de conexiones funcione. Si no especifica ningún dato de dirección IP, debe deshabilitar el agente de filtrado de conexiones. Para obtener más información, vea Procedimientos de filtrado de conexiones en servidores de transporte perimetral.
Lista de direcciones IP bloqueadas
La lista de bloqueos IP contiene las direcciones IP de los servidores de correo electrónico que desea bloquear. Las direcciones IP se mantienen manualmente en la lista de direcciones IP bloqueadas. Puede agregar direcciones IP individuales o intervalos de direcciones IP. Puede especificar una fecha de expiración que especifique durante cuánto tiempo se bloqueará la entrada de dirección IP. Cuando se alcanza el tiempo de expiración, se deshabilita la entrada de dirección IP de la lista de bloqueo ip.
Si el agente de filtrado de conexiones encuentra la dirección IP de origen en la lista de bloqueos IP, la conexión SMTP se quitará después de que se procesen todos los encabezados RCPT TO (destinatarios del sobre) del mensaje.
Las direcciones IP también se pueden agregar automáticamente a la lista de bloqueos IP mediante la característica Reputación del remitente del agente de análisis de protocolos. Para más información, vea Reputación del remitente y agente de análisis de protocolo.
Lista de direcciones IP permitidas
La lista de permitidos ip contiene las direcciones IP de los servidores de correo electrónico que desea designar como orígenes de correo electrónico de confianza. Email de los servidores de correo que especifique en la lista de permitidos ip está exento del procesamiento por parte de otros agentes antispam de Exchange.
Las direcciones IP se mantienen manualmente en la lista de permitidos de IP. Puede agregar direcciones IP individuales o intervalos de direcciones IP. Puede especificar una fecha de expiración que especifique durante cuánto tiempo se admitirá la entrada de dirección IP. Cuando se alcanza la hora de expiración, se deshabilita la entrada en la lista de permitidos de IP.
Proveedores de listas de bloqueo de IP
Los proveedores de listas de bloqueo ip se conocen con frecuencia como listas de bloqueo en tiempo real o RBL. Los proveedores de listas de bloqueo ip compilan listas de direcciones IP del servidor de correo que envían correo no deseado. Muchos proveedores de listas de bloqueo ip también compilan listas de direcciones IP del servidor de correo que se podrían usar para el correo no deseado. Entre los ejemplos se incluyen servidores de correo configurados para retransmisión abierta, proveedores de acceso a Internet (ISP) que asignan direcciones IP dinámicas e ISP que admiten tráfico de servidor de correo SMTP desde cuentas de acceso telefónico.
Al configurar el filtrado de conexiones para usar un proveedor de listas de bloqueo ip, el agente de filtrado de conexiones compara la dirección IP del servidor de correo de conexión con la lista de direcciones IP del proveedor de listas de bloqueo ip. Si hay una coincidencia, el mensaje no se admite en la organización. Puede configurar el filtrado de conexiones para usar varios proveedores de listas de bloqueo ip y asignar valores de prioridad diferentes a cada proveedor.
El agente de filtrado de conexiones comprueba la dirección IP de origen en la lista de direcciones IP permitidas y en la lista de bloqueos ip. Si la dirección IP no existe en ninguna de las listas, el agente de filtrado de conexiones consulta el proveedor de listas de bloqueo ip según el valor de prioridad asignado. Si la dirección IP se define en un proveedor de listas de bloqueo ip, el servidor de transporte perimetral espera y procesa el encabezado RCPT TO , responde al servidor de correo de envío con un SMTP 550
error y cierra la conexión. La conexión no se quita inmediatamente para que se pueda registrar el intento de conexión y porque puede especificar destinatarios exentos de que los proveedores de listas de bloqueo ip bloqueen los mensajes.
Si la dirección IP no está definida en ninguno de los proveedores de listas de bloqueo ip, el agente de filtrado de contenido entrega el mensaje al siguiente agente de transporte en el servidor de transporte perimetral.
Para cada proveedor de listas de bloqueo ip, puede personalizar el SMTP 550
error que se devuelve al remitente cuando se bloquea un mensaje. Debe identificar el proveedor de listas de bloqueo ip que identificó el origen del mensaje como correo no deseado. Si un servidor de correo fuente legítimo se identifica erróneamente como origen de correo no deseado, el administrador puede ponerse en contacto con el proveedor de listas de bloqueo ip y realizar los pasos necesarios para quitar el servidor de correo del proveedor de listas de bloqueo ip.
Los proveedores de listas de bloqueo de IP pueden devolver códigos diferentes para identificar por qué se define una dirección IP en sus listas. La mayoría de los proveedores de listas de bloqueo ip devuelven tipos de datos de máscara de bits o valores absolutos. Dentro de estos tipos de datos, el proveedor de listas de bloqueo ip puede usar varios valores para clasificar la dirección IP por tipo de amenaza.
Hay problemas que se deben tener en cuenta al usar proveedores de listas de bloqueo ip:
Las interrupciones o retrasos en el servicio de proveedor de listas de bloqueo ip pueden provocar retrasos en el procesamiento de mensajes en el servidor de transporte perimetral. Siempre debe seleccionar proveedores de listas de bloqueo ip confiables.
Los servidores de origen que sabe que son legítimos pueden identificarse erróneamente como orígenes de correo no deseado. Por ejemplo, el servidor de correo se puede configurar de forma involuntaria para que funcione como una retransmisión abierta. Siempre debe seleccionar proveedores de listas de bloqueo de IP que proporcionan procedimientos claros para la evaluación y eliminación de sus servicios.
Ejemplos de máscara de bits o valor absoluto.
En esta sección se muestra un ejemplo de los códigos de estado devueltos por la mayoría de los proveedores de listas de bloqueo. Para obtener más detalles sobre los códigos de estado que devuelve el proveedor, vea la documentación de ese proveedor en concreto.
Para los tipos de datos de máscara de bits, el servicio de proveedor de listas de bloqueo IP devuelve un código de estado de 127.0.0. x, donde el entero x es cualquiera de los valores enumerados en la tabla siguiente.
Valores y códigos de estado de los tipos de datos de máscara de bits
Valor | Código de estado |
---|---|
1 | La dirección IP está en una lista de direcciones IP bloqueadas. |
2 | El servidor SMTP está configurado para actuar como una retransmisión abierta. |
4 | La dirección IP admite una dirección IP de marcado. |
En el caso de los tipos de valor absoluto, el proveedor de listas de bloqueo ip devuelve respuestas explícitas que definen por qué la dirección IP se define en su lista de bloqueos. La siguiente tabla muestra ejemplos de valores absolutos y las respuestas explícitas.
Valores y códigos de estado de los tipos de datos de valores absolutos
Valor | Respuesta explícita |
---|---|
127.0.0.2 | La dirección IP es un origen directo de correo no deseado. |
127.0.0.4 | La dirección IP envía correos masivos. |
127.0.0.5 | Se sabe que el servidor remoto que envía el mensaje admite retransmisiones abiertas multifase. |
Proveedores de listas de permitidos de IP
Los proveedores de listas de permitidos de IP también se conocen como listas seguras. Los proveedores de listas de permitidos ip están configurados al igual que los proveedores de listas de bloqueo de IP, pero los resultados son lo contrario: definen direcciones IP del servidor de correo que definitivamente no están asociadas a la actividad de correo no deseado. Si la dirección IP del servidor de correo de conexión se define en un proveedor ip allowlis, el mensaje está exento del procesamiento por parte de otros agentes antispam de Exchange. Por este motivo, los proveedores de listas de bloqueo de IP se usan con mucha más frecuencia que los proveedores de IP allowlis. Elija cuidadosamente los proveedores de IP allowlis.
Prueba de proveedores de listas de bloqueo de IP y proveedores de ip allowlis
Después de configurar el filtrado de conexiones para usar un proveedor de listas de bloqueo ip o un proveedor de listas de permitidos ip, puede ejecutar pruebas para comprobar que los proveedores funcionan correctamente. Casi todos los proveedores ofrecen direcciones IP de prueba que se pueden usar para probar sus servicios. Al probar un proveedor, el agente de filtrado de conexiones emite una consulta DNS que debe dar como resultado una respuesta específica del proveedor. Para obtener más información sobre cómo probar direcciones IP en un servicio de proveedor de listas de direcciones IP bloqueadas o un servicio de proveedor de ip allowlis, consulte Procedimientos de filtrado de conexiones en servidores de transporte perimetral.
Configurar el filtrado de conexiones en servidores de transporte perimetral que no están directamente conectados a Internet
Puede usar el filtrado de conexiones en servidores de transporte perimetral que no reciben correo electrónico directamente desde Internet. En este caso, el servidor de transporte perimetral está detrás de otro servidor de correo que recibe y procesa mensajes directamente desde Internet. Por ejemplo, su organización podría enviar tráfico de correo electrónico a través de un servidor, servicio o dispositivo antispam antes de que los mensajes lleguen al servidor de transporte perimetral. En tal caso, el agente de filtrado de conexiones debe extraer la dirección IP de origen correcta del mensaje. Para ello, el agente de filtrado de conexiones necesita analizar los valores del campo del encabezado Received en el encabezado de mensaje y comparar esos valores con las direcciones IP conocidas del servidor de correo que se sitúa entre el servidor de transporte perimetral e Internet.
Cada servidor de correo que acepta y retransmite un mensaje SMTP en la ruta de entrega agrega su propio campo del encabezado Received en el encabezado del mensaje. El encabezado Received normalmente contiene el nombre de dominio y la dirección IP del servidor de correo que procesó el mensaje.
Si el servidor de transporte perimetral no acepta mensajes directamente desde Internet, debe usar el parámetro InternalSMTPServers en el cmdlet Set-TransportConfig de un servidor de buzones de Exchange para identificar la dirección IP del servidor de correo que se encuentra entre el servidor de transporte perimetral e Internet. EdgeSync se encarga de replicar los datos de las direcciones IP en los servidores Transporte perimetral. Cuando el servidor de transporte perimetral recibe los mensajes, el agente de filtrado de conexiones supone una dirección IP en un campo de encabezado recibido que no coincide con un valor especificado por el parámetro InternalSMTPServers es la dirección IP de origen que debe comprobarse. Por lo tanto, es necesario especificar todos los servidores SMTP internos para que el filtrado de conexiones funcione correctamente.