Agregación de lista segura en Exchange
Se aplica a: Exchange Server 2013
En Microsoft Exchange Server 2013, la agregación de listas seguras hace referencia a la funcionalidad contra correo no deseado compartida entre Microsoft Outlook y Exchange. Esta funcionalidad recopila datos de las listas contra correo electrónico no deseado de destinatarios seguros, de remitentes seguros, de remitentes bloqueados y datos de contacto que configuran los usuarios de Outlook y los pone a disposición de los agentes contra correo electrónico no deseado de Exchange.
Si se habilita y configura correctamente la agregación de lista segura, el agente de filtrado de contenido pasa los mensajes de correo electrónico seguros al buzón de correo de la empresa, sin que se realice ningún otro procesamiento adicional. El agente de filtrado de contenido identifica como seguros los mensajes de correo electrónico que los usuarios de Outlook reciben de los contactos en quienes han confiado o que han agregado a las listas de destinatarios seguros o de remitentes seguros de Outlook. Un contacto de Outlook es una persona, dentro o fuera de la organización del usuario, sobre la que el usuario puede guardar varios tipos de información, como direcciones de correo electrónico y calle, números de teléfono y fax y direcciones URL de página web.
En Exchange 2013, el proceso de agregación de lista segura permite que el agente de filtrado de remitentes bloquee mensajes entrantes de la lista de remitentes bloqueados por destinatario.
La agregación de lista segura puede ayudar a reducir los casos de falsos positivos generados por el filtrado contra correo electrónico no deseado que realiza Exchange. En el contexto del filtrado de correo no deseado, se produce un falso positivo cuando un filtro de correo no deseado identifica incorrectamente un mensaje legítimo como correo no deseado.
En las organizaciones que filtran cientos de miles de mensajes de Internet a diario, aun un porcentaje pequeño de falsos positivos significa que es posible que los usuarios no reciban muchos mensajes que se identificaron incorrectamente como correo no deseado y se colocaron en cuarentena o se eliminaron.
La agregación de lista segura es probablemente el método más efectivo para reducir los falsos positivos. En Outlook 2010 o versiones más recientes, los usuarios pueden crear listas de remitentes seguros. Las listas de remitentes seguros especifican una lista de nombres de dominio y direcciones de correo electrónico de las que el usuario de Outlook desea recibir mensajes. De manera predeterminada, las direcciones de correo electrónico de los contactos de Outlook y la lista de direcciones globales de Exchange se incluyen en esta lista. Además, Outlook agrega a la lista de remitentes seguros todos los contactos externos a los que el usuario envía correos.
Información almacenada en la colección de listas seguras del usuario de Outlook
Una colección de listas seguras son los datos combinados de la lista de remitentes seguros del usuario, la lista de destinatarios seguros, la lista de remitentes bloqueados y los contactos externos. Estos datos se almacenan en Outlook y en el buzón de Exchange.
Los siguientes tipos de información se almacenan en una recopilación de listas seguras del usuario de Outlook:
Remitentes seguros y destinatarios seguros: el encabezado del mensaje From indica un remitente. El campo Para del mensaje de correo electrónico indica un destinatario. Los remitentes seguros y los destinatarios seguros se representan mediante direcciones SMTP completas, como masato@contoso.com. Los usuarios de Outlook pueden agregar remitentes y destinatarios a sus listas seguras.
Remitentes bloqueados: al igual que los remitentes seguros, los usuarios pueden bloquear remitentes no deseados agregándolos a sus listas de remitentes bloqueados.
Dominio seguro: el dominio forma parte de una dirección SMTP que sigue el símbolo @ . Por ejemplo, contoso.com es el dominio de la masato@contoso.com dirección. Los usuarios de Outlook pueden agregar dominios remitentes a sus listas seguras.
Importante
De manera predeterminada, Exchange no incluye los dominios durante la agregación de lista segura. Sin embargo, puede configurar la agregación de lista segura para que incluya datos de dominios seguros para los agentes contra el correo no deseado. Para obtener más información, consulte Configurar el filtrado de contenido para usar datos de dominio seguro.
Contactos externos: se pueden incluir dos tipos de contactos externos en la agregación de lista segura. El primer tipo de contacto externo incluye los contactos a los que los usuarios de Outlook han enviado correo. Esta clase de contacto se agrega a la lista de remitentes seguros únicamente si un usuario de Outlook selecciona la opción correspondiente en la configuración de correo electrónico no deseado de Outlook 2007.
El segundo tipo de contacto externo incluye los contactos de Outlook de los usuarios. Los usuarios pueden agregar o importar estos contactos en Outlook. Esta clase de contacto se agrega a la lista de remitentes seguros únicamente si un usuario de Outlook selecciona la opción correspondiente en la configuración de filtro de correo electrónico no deseado de Outlook 2010 o Outlook 2007.
Cómo usa Exchange la colección de listas seguras
La colección de listas seguras se almacena en el servidor de buzones de correo del usuario. Un usuario puede tener hasta 1.024 entradas exclusivas en una colección de listas seguras. Exchange 2013 tiene un asistente de buzón de correo, llamado asistente de buzón de correo para opciones de correo electrónico no deseado, que supervisa los cambios en la colección de listas seguras para los buzones de correo. A continuación, replica esos cambios en Active Directory, donde la colección de listas seguras se almacena en cada objeto de usuario. Cuando la colección de listas seguras se almacena en el objeto de usuario en Active Directory, también se agrega a la funcionalidad contra correo electrónico no deseado de Exchange 2013 y se optimiza para minimizar el almacenamiento y la replicación. Exchange usa los datos de colección de listas seguras durante el filtrado de contenido. Si tiene un servidor de transporte perimetral suscrito en la red perimetral, el servicio Microsoft Exchange EdgeSync replica la colección de listas seguras en la instancia Active Directory Lightweight Directory Services (AD LDS) en el servidor de transporte perimetral.
Importante
Aunque los datos de destinatarios seguros se almacenan en Outlook y se pueden agregar a la colección de listas seguras, la funcionalidad de filtrado de contenido no procesa los datos de destinatarios seguros.
Hash en las entradas de la colección de listas seguras
A las entradas de la colección de listas seguras se les aplica un algoritmo hash (SHA-256) unidireccional, antes de almacenarlas como conjuntos de matrices en tres atributos de objeto de usuario, msExchSafeSenderHash, msExchSafeRecipientHash y msExchBlockedSendersHash, como objeto binario de gran tamaño. Al aplicar el algoritmo hash a los datos, se crea una salida de longitud fija, que también es probable que sea única. Para cifrar las entradas de la colección de listas seguras mediante hash, se crea un hash de 4 bytes. Cuando se recibe un mensaje de Internet, Exchange aplica un algoritmo hash a la dirección del remitente y la compara con los algoritmos hash almacenados en nombre del usuario de Outlook al que se envió el mensaje. Si el hash del remitente coincide con el de los remitentes seguros, el mensaje se salta el filtro de contenido. Si el hash del remitente coincide con el de los remitentes bloqueados, el mensaje se bloquea.
El cifrado unidireccional mediante hash de las entradas de la recopilación de listas seguras realiza las siguientes funciones importantes:
Minimiza el espacio de almacenamiento y replicación: la mayoría de las veces, el hash reduce el tamaño de los datos hash. Por tanto, para guardar y transmitir una versión cifrada mediante hash de una entrada de la recopilación de listas seguras hace falta menos espacio y el tiempo de replicación se reduce. Por ejemplo, un usuario que tiene 200 entradas en su colección de listas seguras crearía alrededor de 800 bytes de datos con hash almacenados y replicados en Active Directory.
Hace que los usuarios malintencionados no puedan usar las colecciones de listas seguras de usuario: dado que los valores hash unidireccionales no pueden realizar ingeniería inversa en la dirección SMTP o dominio original, las colecciones de listas seguras no producen direcciones de correo electrónico utilizables para usuarios malintencionados que podrían poner en peligro un servidor Exchange.
Habilitación de la agregación de lista segura
La agregación de lista segura está habilitada de forma predeterminada en Exchange 2013. A diferencia de Exchange Server 2007, no es necesario ejecutar manualmente el cmdlet Update-SafeList para cifrar con hash y escribir los datos de la colección de listas seguras en Active Directory. En Exchange 2013, los datos de la colección de listas seguras se escriben en Active Directory mediante el asistente de buzón de correo para opciones de correo electrónico no deseado.
Para que los datos de la agregación de lista segura en Active Directory estén disponibles para servidores de transporte perimetral en la red perimetral, se debe instalar y configurar el servicio Microsoft Exchange EdgeSync a fin de que los datos de la agregación de lista segura se repliquen en AD LDS.
Aun así, puede ejecutar manualmente la agregación de lista segura activando el cmdlet UpdateSafelist. No obstante, debe tener en cuenta el tráfico de red y de replicación que posiblemente se genere cuando ejecuta este comando. Si ejecuta Update-Safelist en varios buzones de correo en los que las listas seguras se utilizan ampliamente, es posible que se genere una cantidad significativa de tráfico. Si ejecuta el comando en varios buzones, se recomienda que ejecute el comando durante el horario no comercial y de poca actividad.
El cmdlet Update-SafeList lee la colección de listas seguras del buzón del usuario, cifra mediante hash todas las entradas, ordena las entradas para facilitar la búsqueda y convierte el hash en un atributo binario. Por último, el cmdlet Update-SafeList compara el atributo binario que se creó con cualquier valor almacenado en el atributo. Si los dos valores son idénticos, el cmdlet Update-SafeList no actualiza el valor del atributo del usuario con los datos de la agregación de lista segura. Si los dos valores del atributo son diferentes, el cmdlet Update-SafeList actualiza el valor de la agregación de lista segura.