Permitir la retransmisión anónima en servidores de Exchange

  • Artículo

La retransmisión abierta está muy desaconsejada para servidores de mensajería en Internet. Los servidores de mensajería que se configuran por error o de forma intencionada como retransmisiones abiertas permiten que el correo de cualquier origen se vuelva a enrutar a través del servidor de retransmisión abierta. Este comportamiento enmascara el origen original de los mensajes y hace parecer que el correo se origina desde el servidor de retransmisión abierta. Los servidores de retransmisión abierta son buscados y usados por spammers, por lo que no querrá que sus servidores de mensajería se configuren para retransmisión abierta.

Por otra parte, una retransmisión anónima es un requisito común para muchas empresas que tienen servidores web internos, servidores de bases de datos, aplicaciones de supervisión u otros dispositivos de red que generan mensajes de correo electrónico, pero que, en realidad, no pueden enviar esos mensajes.

En Exchange Server, puede crear un conector de recepción dedicado en el servicio de transporte front-end en un servidor de buzones de correo que permita la retransmisión anónima desde una lista específica de hosts de red internos. Estas son algunas consideraciones importantes para el conector de recepción de retransmisión anónima:

  • Es necesario crear un conector de recepción dedicado para especificar los hosts de red que tienen permiso para retransmitir mensajes de forma anónima, por lo que puede excluir a cualquier usuario o elemento del uso del conector. No intente agregar la función de retransmisión anónima a los conectores de recepción predeterminados creados por Exchange. Restringir el acceso al conector de recepción es fundamental, ya que no se recomienda configurar el servidor como una retransmisión abierta.

  • Es necesario crear el conector de recepción dedicado en el servicio de transporte front-end, no en el servicio de transporte. En Exchange Server, el servicio de transporte front-end y el servicio de transporte siempre se encuentran juntos en los servidores de buzones de correo. El servicio de transporte front-end tiene un conector de recepción predeterminado denominado Default Frontend <ServerName> que está configurado para escuchar las conexiones SMTP entrantes desde cualquier origen en el puerto TCP 25. Puede crear otro conector de recepción en el servicio de transporte front-end que también escuche conexiones SMTP de entrada en el puerto TCP 25, pero necesita especificar las direcciones IP que pueden usar el conector. El conector de recepción dedicado siempre se usará para las conexiones entrantes de los hosts de red específicos (prevalece el conector de recepción que se ha configurado con la coincidencia más específica a la dirección IP del servidor que realiza la conexión).

    Por el contrario, el servicio de transporte tiene un conector de recepción predeterminado denominado Default< ServerName> que también está configurado para aparecer para las conexiones SMTP entrantes desde cualquier origen, pero este conector escucha en el puerto TCP 2525 para que no entre en conflicto con el conector de recepción en el servicio de transporte front-end. Es más, solo se espera que otros servicios de transporte y servidores de Exchange de su organización usen este conector de recepción, para que los métodos de autenticación y cifrado estén configurados correctamente.

    Para más información, vea Mail flow and the transport pipeline y Conectores de recepción predeterminados creados durante la instalación.

  • Después de crear el conector de recepción dedicado, necesita modificar sus permisos para permitir la retransmisión anónima solo mediante los hosts de red especificados según la identificación de sus direcciones IP. Como mínimo, los hosts de red necesitan los permisos siguientes en el conector de recepción para retransmitir mensajes de forma anónima:

    • ms-Exch-Accept-Headers-Routing

    • ms-Exch-SMTP-Accept-Any-Recipient

    • ms-Exch-SMTP-Accept-Any-Sender

    • ms-Exch-SMTP-Accept-Authoritative-Domain-Sender

    • ms-Exch-SMTP-Submit

      Para más información sobre los permisos en los conectores de recepción, vea Grupos de permisos del conector de recepción y Permisos del conector de recepción.

      Existen dos métodos distintos que se pueden usar para configurar los permisos necesarios para una retransmisión anónima en un conector de recepción. Estos métodos se describen en la tabla siguiente.

Método Permisos concedidos Ventajas Inconvenientes
Agregue el grupo de permisos Usuarios anónimos (Anonymous) al conector de recepción y agregue el Ms-Exch-SMTP-Accept-Any-Recipient permiso a la NT AUTHORITY\ANONYMOUS LOGON entidad de seguridad en el conector de recepción. Las conexiones usan la entidad de NT AUTHORITY\ANONYMOUS LOGON seguridad con los permisos siguientes:
  • ms-Exch-Accept-Headers-Routing
  • ms-Exch-SMTP-Accept-Any-Recipient
  • ms-Exch-SMTP-Accept-Any-Sender
  • ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
  • ms-Exch-SMTP-Submit
 Concede los permisos mínimos necesarios para permitir la retransmisión anónima. Es más difícil de configurar (es necesario usar la Shell de administración de Exchange).

Los hosts de red se consideran remitentes anónimos. Los mensajes no omiten las comprobaciones de límite de tamaño de mensajes o antispam y la dirección de correo electrónico del remitente no se puede resolver con el nombre para mostrar correspondiente (si existe) en la lista global de direcciones.
Agregue el grupo de permisos de servidores de Exchange (ExchangeServers) y el mecanismo de autenticación protegido externamente (ExternalAuthoritative) al conector de recepción. Las conexiones usan la entidad de MS Exchange\Externally Secured Servers seguridad con los permisos siguientes:
  • ms-Exch-Accept-Headers-Routing
  • ms-Exch-Bypass-Anti-Spam
  • ms-Exch-Bypass-Message-Size-Limit
  • ms-Exch-SMTP-Accept-Any-Recipient
  • ms-Exch-SMTP-Accept-Any-Sender
  • ms-Exch-SMTP-Accept-Authentication-Flag
  • ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
  • ms-Exch-SMTP-Accept-Exch50
  • ms-Exch-SMTP-Submit
 Es más fácil de configurar (se puede realizar todo en el Centro de administración de Exchange).

Los hosts de red se consideran remitentes autenticados. Los mensajes omiten las comprobaciones de límite de tamaño de mensajes y antispam, y la dirección de correo electrónico del remitente se puede resolver en un nombre para mostrar correspondiente en la lista global de direcciones.

 Concede los permisos para enviar mensajes como si se originaran desde remitentes internos en su organización de Exchange. Los hosts de red se consideran completamente de confianza, independientemente del volumen, el tamaño o el contenido de los mensajes que envíen.

En última instancia, necesita decidir el enfoque que mejor se adapte a las necesidades de su organización. Le mostraremos cómo configurar los dos métodos. Pero recuerde que tiene que elegir uno de los dos métodos (no puede elegir los dos de forma simultánea).

¿Qué necesita saber antes de comenzar?

  • Tiempo estimado para finalizar esta tarea: 10 minutos.

  • Algunos de estos procedimientos necesitan la Shell de administración de Exchange. Para obtener información sobre cómo abrir el Shell de administración de Exchange en su organización de Exchange local, consulte Open the Exchange Management Shell.

  • Deberá tener asignados permisos antes de poder llevar a cabo este procedimiento o procedimientos. Para ver qué permisos necesita, consulte el la entrada "Conectores de recepción" en el tema Permisos de flujo del correo.

  • Para obtener información acerca de los métodos abreviados de teclado aplicables a los procedimientos de este tema, consulte Métodos abreviados de teclado en el Centro de administración de Exchange.

Sugerencia

¿Problemas? Solicite ayuda en los foros de Exchange. Visite los foros en Exchange Server, Exchange Online, o Exchange Online Protection.

Paso 1: Crear un conector de recepción dedicado para retransmisión anónima

Puede crear el conector de recepción en el Centro de administración de Exchange (EAC) o en el Shell de administración de Exchange.

Usar el EAC para crear un conector de recepción dedicado para retransmisión anónima

  1. En el EAC, vaya aConectores de recepción de flujo> de correo y, a continuación, haga clic en Agregaricono Agregar. Se inicia el Asistente para nuevo conector de recepción.

  2. En la primera página, especifique la siguiente información:

    • Nombre: escriba un nombre descriptivo para el conector de recepción, por ejemplo, Retransmisión anónima.

    • Rol: seleccione Transporte de front-end.

    • Tipo: seleccione Personalizado.

      Cuando termine, haga clic en Siguiente.

  3. En la página siguiente, en la sección Enlaces de adaptador de red, realice uno de los procedimientos siguientes:

    • Si el servidor de Exchange tiene un adaptador de red y no separa el tráfico interno y externo con el uso de diferentes subredes, acepte la entrada existente (Todas las direcciones IPv4 disponibles) en el puerto 25.

    • Si el servidor Exchange tiene un adaptador de red interno y un adaptador de red externo, y separa el tráfico de red interno y externo con el uso de diferentes subredes, puede mejorar aún más la seguridad del conector si limita el uso del contacto a las solicitudes que se originan en el adaptador de red interno. Para hacerlo:

      1. Seleccione la entrada existente (All available IPv4), haga clic en RemoveRemove icon (Quitar icono) y, a continuación, haga clic en Add addicon (Agregar icono).

      2. En el cuadro de diálogo Enlaces de adaptador de red, seleccione Especifique una dirección IPv4 o IPv6, especifique una dirección IP válida y disponible que esté configurada en el adaptador de red interno y, después, haga clic en Guardar.

    Cuando termine, haga clic en Siguiente.

  4. En la página siguiente, en la sección Configuración de red remota , siga estos pasos:

    1. Seleccione la entrada 0.0.0.0-255.255.255.255 existente y, a continuación, haga clic en Quitaricono quitar y, a continuación, haga clic en Agregaricono.

    2. En el cuadro de diálogo Configuración de dirección remota, escriba una dirección IP o un intervalo de direcciones IP que identifique los hosts de red que pueden usar este conector y, después, haga clic en Guardar. Puede repetir este paso para agregar varias direcciones IP o intervalos de direcciones IP. En lugar de usar criterios generales, intente ser específico para identificar claramente los hosts de red que pueden usar este conector.

    Cuando haya terminado, haga clic en Finalizar.

Usar el Shell de administración de Exchange para crear un conector de recepción dedicado para retransmisión anónima

Para crear el mismo conector de recepción en el Shell de administración de Exchange, use la sintaxis siguiente:

New-ReceiveConnector -Name <ConnectorName> -TransportRole FrontendTransport -Custom -Bindings <LocalIPAddresses>:25 -RemoteIpRanges <RemoteIPAddresses>

En este ejemplo se crea un conector de recepción con las opciones de configuración siguientes:

  • Nombre: Retransmisión anónima

  • Rol de transporte: FrontEndTransport

  • Tipo de uso: Personalizado

  • Enlaces: 0.0.0.0:25 (escuche los mensajes entrantes en todas las direcciones IP configuradas en todos los adaptadores de red del servidor Exchange en el puerto TCP 25).

  • Direcciones IP remotas que pueden usar este conector: 192.168.5.10 y 192.168.5.11

New-ReceiveConnector -Name "Anonymous Relay" -TransportRole FrontendTransport -Custom -Bindings 0.0.0.0:25 -RemoteIpRanges 192.168.5.10,192.168.5.11

Notas:

  • El parámetro Bindings es necesario al especificar el tipo basado en el uso personalizado.

  • El parámetro RemoteIpRanges acepta una dirección IP individual, un intervalo de direcciones IP (por ejemplo, 192.168.5.10-192.168.5.20), o enrutamiento de interdominios sin clase (CIDR) (por ejemplo, 192.168.5.1/24). Puede especificar distintos valores separados por comas.

Paso 2: Configurar los permisos para retransmisión anónima en el conector de recepción dedicado

Tal y como se describe en la introducción, se pueden usar dos métodos distintos para configurar los permisos necesarios en el conector de recepción:

  • Configure las conexiones como anónimas.

  • Configure las conexiones como protegidas externamente.

Elija solo un método. En los ejemplos se usa el conector de recepción denominado Anonymous Relay que creó en el paso 1.

Configurar las conexiones como anónimas

Ejecute los comandos siguientes en el Shell de administración de Exchange:

1.

Set-ReceiveConnector "Anonymous Relay" -PermissionGroups AnonymousUsers

Get-ReceiveConnector "Anonymous Relay" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"

Configurar las conexiones como protegidas externamente

  1. En el EAC, vaya aConectores de recepciónde flujo> de correo, seleccione el conector de Retransmisión anónima y, a continuación, haga clic en el icono Editar edición.

  2. En las propiedades del conector, haga clic en Seguridad y realice las selecciones siguientes:

    • Autenticación: anule la selección de Seguridad de la capa de transporte (TLS) y seleccione Seguridad externa (por ejemplo, con IPsec).

    • Grupos de permisos: seleccione Servidores Exchange.

    Cuando haya terminado, haga clic en Guardar.

Para ejecutar los mismos pasos en el Shell de administración de Exchange, ejecute el comando siguiente:

Set-ReceiveConnector "Anonymous Relay" -AuthMechanism ExternalAuthoritative -PermissionGroups ExchangeServers

¿Cómo saber si el proceso se ha completado correctamente?

Para comprobar que ha configurado correctamente la retransmisión anónima, siga estos pasos:

  • Compruebe la configuración del conector de recepción dedicado.

    Get-ReceiveConnector "Anonymous Relay" | Format-List Enabled,TransportRole,Bindings,RemoteIPRanges

  • Compruebe los permisos del conector de recepción dedicado.

    Get-ADPermission "Anonymous Relay" -User "NT AUTHORITY\ANONYMOUS LOGON" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

    O bien

    Get-ADPermission "Anonymous Relay" -User "MS Exchange\Externally Secured Servers" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

  • Use Telnet para probar si uno o más de los hosts de red especificados se pueden conectar al conector de recepción dedicado y puede retransmitir correo de forma anónima a través del conector. De forma predeterminada, el cliente Telnet no está instalado en la mayoría de las versiones de cliente o servidor de Microsoft Windows. Para instalarlo, vea Instalación del cliente Telnet.

    Para más información, vea Usar Telnet para probar la comunicación SMTP en servidores de Exchange.

    Si el host de red es un dispositivo que no tiene Telnet, puede agregar de forma temporal la dirección IP de un equipo al conector de recepción y, después, quitar la dirección IP desde el conector de recepción cuando termine las pruebas.

    Para la prueba, necesitará los valores siguientes:

    • Destino: esta es la dirección IP o el FQDN que se usa para conectarse al conector de recepción dedicado. Lo más probable es que sea la dirección IP del servidor de buzones donde se define el conector de recepción. Esto está relacionado con el valor de la propiedad Enlaces de adaptador de red (o el parámetro Bindings) que configuró en el conector. Tendrá que usar el valor válido para su entorno. En este ejemplo, usaremos 10.1.1.1.

    • Dirección de correo electrónico del remitente: es probable que configure los servidores o dispositivos que retransmiten correo de forma anónima para usar una dirección de correo electrónico de envío que se encuentra en un dominio autoritativo para su organización. En este ejemplo, usaremos chris@contoso.com.

    • Dirección de correo electrónico del destinatario: use una dirección de correo electrónico válida. En este ejemplo, usaremos kate@fabrikam.com.

    • Asunto del mensaje: Prueba

    • Cuerpo del mensaje: se trata de un mensaje de prueba

    1. En la ventana del símbolo del sistema, escriba telnet y, después, presione Entrar.

    2. Escriba set localecho y, después, presione Entrar.

    3. Escriba OPEN 10.1.1.1 25 y, después, presione Entrar.

    4. Escriba EHLO y, después, presione Entrar.

    5. Escriba MAIL FROM:chris@contoso.comy, a continuación, presione Entrar.

    6. Escriba RCPT TO:kate@fabrikam.comy presione Entrar.

      • Si recibe la respuesta 250 2.1.5 Recipient OK, el conector de recepción permite la retransmisión anónima desde el host de red. Continúe con el paso siguiente para finalizar el envío del mensaje de prueba.

      • Si recibe la respuesta 550 5.7.1 Unable to relay, el conector de recepción no permite la retransmisión anónima desde el host de red. En ese caso, siga estos pasos:

        • Compruebe que se conecta a la dirección IP o FQDN correcto para el conector de recepción dedicado.

        • Compruebe que el equipo desde donde ejecuta Telnet pueda usar el conector de recepción.

        • Compruebe los permisos del conector de recepción.

    7. Escriba DATA y, después, presione Entrar.

      Recibirá una respuesta parecida a esta:

      354 Start mail input; end with <CLRF>.<CLRF>

    8. Escriba Asunto: Prueba y, después, presione Entrar.

    9. Vuelva a presionar Entrar.

    10. Escriba Este es un mensaje de prueba y, después, presione Entrar.

    11. Presione Entrar, escriba un punto (.) y, después, presione Entrar.

      Recibirá una respuesta parecida a esta:

      250 2.6.0 <GUID> Queued mail for delivery

    12. Para desconectarse del servidor SMTP, escriba QUIT y, después, presione Entrar.

      Recibirá una respuesta parecida a esta:

      221 2.0.0 Service closing transmission channel

    13. Para cerrar la sesión de Telnet, escriba quit y, después, presione Entrar.

  • Si la retransmisión anónima funciona de forma intermitente, es posible que tenga que modificar los valores predeterminados de tasa de mensajes y límites en el conector de recepción. Para más información, vea Limitación de mensajes en conectores de recepción.