Planear el correo electrónico saliente para una granja de servidores de SharePoint Server
SE APLICA A:2013 2016 2019 Subscription Edition SharePoint en Microsoft 365
El correo electrónico saliente es la base en la que los administradores del sitio pueden implementar varias características de notificación por correo electrónico. Estas características ayudan a los usuarios finales a realizar un seguimiento de los cambios y las actualizaciones en colecciones de sitios individuales, y permiten a los administradores de sitios enviar mensajes de estado.
Acerca del correo electrónico saliente
La configuración correcta del correo electrónico saliente es un requisito para implementar alertas y notificaciones por correo electrónico. La característica de correo electrónico saliente usa un servicio de protocolo simple de transferencia de correo (SMTP) de salida para retransmitir alertas y notificaciones por correo electrónico. Estas características de correo electrónico incluyen las siguientes:
Alertas
En una colección de sitios grande y creciente, los usuarios necesitan una manera de mantenerse al día con las actualizaciones de listas, bibliotecas y discusiones. Las alertas ayudan a mantener a los usuarios al tanto de los cambios. Por ejemplo, si varios usuarios trabajan en un mismo documento, el propietario puede configurar alertas para recibir una notificación cada vez que haya cambios en él. Los usuarios pueden especificar las áreas de la colección de sitios o los documentos de los que desean realizar un seguimiento y decidir con qué frecuencia desean recibir alertas.
Nota:
Los usuarios deben tener al menos permisos de visualización para configurar alertas.
Mensajes administrativos
Los administradores de sitios pueden recibir avisos cuando los usuarios pidan acceso a un sitio o cuando los propietarios de sitios hayan superado el espacio de almacenamiento especificado. La configuración del correo electrónico saliente permite a los administradores del sitio recibir notificaciones automáticas para problemas de administración del sitio.
La compatibilidad con el correo electrónico saliente se puede habilitar tanto en el nivel de granja de servidores (disponible en la sección Configuración del sistema del sitio web de Administración central de SharePoint como en el nivel de aplicación web (disponible en la sección Administración de aplicaciones de Administración central). La configuración de correo electrónico saliente en el nivel de aplicación web invalida las configuradas en el nivel de granja de servidores. También puede especificar diferentes configuraciones para una aplicación web específica.
Fases de planeamiento clave del correo electrónico saliente
Debe tener en cuenta los siguientes componentes al planear la configuración de correo electrónico saliente:
Un servicio SMTP para retransmitir alertas y notificaciones por correo electrónico. Necesitará el nombre DNS o la dirección IP del servidor de correo SMTP que se usará.
Una dirección para usar en el encabezado de un mensaje de alerta que identifique al remitente del mensaje.
Dirección de respuesta que se muestra en el campo Para de un mensaje cuando un usuario responde a una alerta o notificación.
Un juego de caracteres para usar en el cuerpo de los mensajes de alerta.
Servidor SMTP saliente
El servicio SMTP es un componente de Internet Information Services (IIS), pero no está habilitado de manera predeterminada con IIS. Se puede habilitar mediante el Asistente para agregar roles y características en el Administrador del servidor.
Después de determinar qué servidor SMTP usar, el servidor SMTP debe configurarse para permitir el acceso anónimo y permitir la retransmisión de mensajes de correo electrónico. Además, el servidor SMTP debe tener acceso a Internet si desea poder enviar mensajes a direcciones de correo electrónico externas.
Para obtener más información sobre cómo instalar, configurar y administrar el servicio SMTP, vea Configuración de correo electrónico saliente .
Nota:
Solo un miembro del grupo de Administradores de la granja de servidores puede configurar un servidor SMTP. El usuario también debe pertenecer al grupo de Administradores local en el servidor.
Direcciones de origen y de respuesta
Al configurar el correo electrónico saliente, puede configurar las dos direcciones siguientes:
Dirección de origen
Las alertas y notificaciones se envían desde una cuenta administrativa de la granja de servidores. Esta cuenta probablemente no sea la que desea que se muestre en el campo Desde de de un mensaje de correo electrónico. La dirección que use no tiene que corresponder a una cuenta de correo electrónico real; puede ser una dirección sencilla y fácil de reconocer para un usuario final. Por ejemplo, una dirección de origen adecuada podría ser "administrador del sitio".
Dirección de respuesta
Esta es la dirección que se muestra en el campo Para de un mensaje cuando un usuario responde a una alerta o notificación. La dirección de respuesta también debe ser una cuenta supervisada para asegurarse de que los usuarios finales reciban una rápida respuesta a los problemas que pudieran tener. Por ejemplo, una dirección de respuesta adecuada podría ser un alias del Servicio de asistencia.
Conjunto de caracteres
Al configurar el correo electrónico saliente, deberá especificar el juego de caracteres que se usará en el cuerpo de los mensajes de correo electrónico. Un juego de caracteres es la asignación de caracteres a los valores de su código de identificación. El juego de caracteres predeterminado para el correo electrónico saliente es Unicode UTF-8, lo que permite que la mayoría de los caracteres (incluido el texto bidireccional) coexista en un solo documento. En la mayoría de los casos, el valor predeterminado de UTF-8 funciona bien, aunque los idiomas de Asia Oriental se representan mejor con su propio juego de caracteres.
Tenga en cuenta que si selecciona un código de idioma específico, es menos probable que el texto aparezca correctamente en los lectores de correo configurados para otros idiomas.
Autenticación del servidor SMTP
La característica de autenticación del servidor SMTP solo está disponible en SharePoint Server 2019.
SharePoint Server 2019 admite la conexión a servidores SMTP de forma anónima o con autenticación. Si el servidor SMTP requiere autenticación, deberá proporcionar las credenciales que SharePoint usará para autenticarse en el servidor SMTP. Se recomienda usar credenciales de cuenta que coincidan con la dirección Desde . Si desea usar credenciales para una cuenta diferente, asegúrese de que la cuenta tiene permiso "Enviar como" para suplantar la dirección Desde.
Nota:
Si usa una cuenta de Windows para autenticarse en el servidor SMTP, puede especificar el nombre de usuario mediante el formato nombre principal universal (UPN) ouser@domain.com el formato de inicio de sesión NT4 (DOMINIO\usuario). Si usa una cuenta que no es de Windows para autenticarse en el servidor SMTP, póngase en contacto con el administrador de correo electrónico para determinar el formato de nombre de usuario correcto.
Debe establecer una clave de credencial de aplicación en cada servidor de la granja de servidores antes de proporcionar las credenciales. La clave de credencial de aplicación es una contraseña independiente que se usa para cifrar y descifrar la contraseña SMTP. La clave de credencial de la aplicación debe ser idéntica en todos los servidores de la granja de servidores. Microsoft recomienda usar una contraseña segura para la clave de credencial de la aplicación y evitar reutilizar la misma contraseña que la frase de contraseña de la granja de servidores, las cuentas de servicio de la granja de servidores, etc.
SharePoint admite los siguientes mecanismos de autenticación simple y capa de seguridad (SASL) para autenticarse en un servidor SMTP:
GSSAPI (Kerberos, NTLM)
NTLM
INICIAR SESIÓN
Nota:
SharePoint usa el siguiente nombre de entidad de seguridad de servicio (SPN) para autenticarse en el servidor SMTP durante la autenticación Kerberos y NTLM, donde <host> es el nombre del servidor SMTP que proporcionó:
SMTPSVC/<host>
Uso del cifrado de conexión TLS
Establezca Usar cifrado de conexión TLS en Sí para requerir que SharePoint establezca una conexión cifrada con el servidor SMTP antes de enviar correo electrónico. Se debe instalar un certificado de servidor válido en el servidor SMTP para establecer una conexión cifrada. Si se establece en Sí y no se puede establecer una conexión cifrada, no se enviará ningún correo electrónico.
Nota:
SharePoint admite STARTTLS para establecer el cifrado de conexión TLS a un servidor SMTP. No admite SMTPS para establecer el cifrado de conexión SSL a un servidor SMTP.
Nota:
Aunque SharePoint puede requerir cifrado de conexión TLS al enviar correo electrónico a un servidor SMTP, no puede controlar si se usará el cifrado de conexión cuando ese servidor SMTP envíe el correo electrónico a otros servidores SMTP. Trabaje con el administrador de correo electrónico para configurar los servidores SMTP a fin de favorecer el cifrado de conexiones.
Uso de la autenticación de certificados de cliente con un servidor SMTP
Nota:
Esta característica Usar autenticación de certificado de cliente con una característica de servidor SMTP solo está disponible en SharePoint Server Subscription Edition.
La autenticación de certificados de cliente a través de SMTP es una configuración de autenticación avanzada opcional que permite al "cliente" (en este escenario, SharePoint) autenticarse en el servidor SMTP mediante un certificado X.509 que el cliente presenta al servidor. Esta autenticación es "en lugar de" o "además de" las credenciales de nombre de usuario y contraseña. Esta configuración no es común, pero se puede usar en entornos de alta seguridad donde la autenticación estándar de nombre de usuario y contraseña no se considera suficiente.
Nota:
No es necesario usar la autenticación de certificado de cliente para usar el cifrado de conexión TLS al servidor SMTP.
A continuación se indican los requisitos para que SharePoint use la autenticación de certificados de cliente con un servidor SMTP:
- El servidor SMTP debe configurarse para admitir STARTTLS para el cifrado de conexiones TLS.
- El servidor SMTP debe configurarse para aceptar o requerir certificados de cliente al establecer conexiones TLS mediante STARTTLS.
- SharePoint debe configurarse para usar el cifrado de conexión TLS al servidor SMTP.
- SharePoint debe configurarse para usar un certificado de cliente al conectarse al servidor SMTP.
- Las cuentas de proceso de SharePoint que envían correos electrónicos (que pueden incluir la cuenta de servicio de granja de servidores de SharePoint y la cuenta de servicio de aplicación web) deben tener permiso para leer la clave privada del certificado X.509.
- El certificado X.509 debe cumplir los siguientes requisitos:
- El certificado X.509 debe estar en el almacén de certificados "End Entity" en SharePoint.
- El certificado X.509 debe usar claves RSA o ECC (ECDSA). No se admiten las claves DSA.
- El certificado X.509 debe tener una clave privada.
- Si el certificado X.509 tiene una extensión de uso de clave, la extensión debe contener el uso de "Firma digital".
- Si el certificado X.509 tiene una extensión de uso de clave extendida, la extensión debe contener el uso de "Autenticación de cliente" (OID: 1.3.6.1.5.5.7.3.2).
Captura de pantalla de ejemplo de cómo se configura esto en Administración central:
Suplantación de correo electrónico
Algunas características de SharePoint pueden suplantar a los usuarios finales al enviar correo electrónico para personalizar el mensaje. Por ejemplo, cuando un usuario solicita acceso a un sitio, SharePoint establecerá la dirección "Desde" de la notificación de correo electrónico como el usuario que realizó la solicitud.
Algunos servidores SMTP pueden bloquear la suplantación para proteger a los usuarios de intentos no autorizados de suplantar sus identidades. Si el servidor SMTP bloquea la suplantación, hay varias opciones para permitir que se envíen correos electrónicos de SharePoint:
Conceder permiso a la cuenta de correo electrónico autenticada de SharePoint para suplantar a los usuarios
Microsoft Exchange Server permite conceder permiso a un usuario para suplantar a otros usuarios al enviar correo electrónico a través de un conector de recepción. Estos permisos incluyen:
Permiso del conector de recepción | Descripción |
---|---|
ms-Exch-SMTP-Submit |
Se debe conceder este permiso a la sesión o no podrá enviar mensajes a este conector de recepción. Si una sesión no tiene este permiso, los comandos MAIL FROM y AUTH darán un error. |
ms-Exch-SMTP-Accept-Any-Recipient |
Este permiso permite a la sesión retransmitir mensajes a través de este conector. Si no se concede este permiso, solo se aceptarán en este conector los mensajes dirigidos a destinatarios incluidos en los dominios aceptados. |
ms-Exch-SMTP-Accept-Any-Sender |
Con este permiso, la sesión puede omitir la comprobación de suplantación de la dirección del remitente. NOTA: Este permiso solo es necesario si SharePoint suplantará a los usuarios cuya cuenta de correo electrónico no está administrada por su organización. |
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender |
Este permiso permite a los remitentes que tienen direcciones de correo electrónico en dominios autoritativos establecer una sesión en este conector de recepción. |
ms-Exch-Accept-Headers-Routing |
Este permiso permite que la sesión envíe un mensaje que tiene todos los encabezados de recepción intactos. Si no se concede este permiso, el servidor elimina todos los encabezados recibidos. |
Ejecute este comando en Microsoft Exchange Server para conceder permiso a la cuenta de correo electrónico autenticada de SharePoint para suplantar a otros usuarios a través de un conector de recepción:
Get-ReceiveConnector "<Receive Connector Name>" | Add-ADPermission -User <DOMAIN\AuthenticatedEmailAccount> -ExtendedRights ms-Exch-SMTP-Submit, ms-Exch-SMTP-Accept-Any-Recipient, ms-Exch-SMTP-Accept-Any-Sender, ms-Exch-SMTP-Accept-Authoritative-Domain-Sender, ms-Exch-Accept-Headers-Routing
Nota:
Cuando se usa Microsoft Exchange Server 2013 o una versión posterior, este permiso se debe aplicar al conector de recepción del proxy de cliente. Al usar Microsoft Exchange Server 2010 o versiones anteriores, este permiso se debe aplicar al conector de recepción de front-end del cliente.
Deshabilitar la suplantación de correo electrónico de SharePoint
Puede configurar cada aplicación web de SharePoint para deshabilitar la suplantación de correo electrónico. Esto garantizará que SharePoint siempre use la dirección From y Reply-To especificada en el nivel de aplicación web. Ejecute lo siguiente para deshabilitar la suplantación de correo electrónico de SharePoint:
Inicie el Shell de administración de SharePoint 2019.
Ejecute los comandos siguientes:
$webapp = Get-SPWebApplication <web application URL> $webapp.OutboundMailOverrideEnvelopeSender = $true $webapp.Update()
Uso de un conector de recepción protegido externamente
Los conectores de recepción de Microsoft Exchange Server se pueden configurar para confiar automáticamente en todos los correos electrónicos como autenticados, incluso si no se realiza ninguna autenticación. A continuación, SharePoint enviará correos electrónicos a este conector de recepción de forma anónima. Siga estos pasos para crear un conector de recepción protegido externamente:
- Cree un conector de recepción "Personalizado" dedicado para la granja de servidores de SharePoint.
- Establezca el grupo de permisos del conector de recepción en "Servidores Exchange".
- Establezca el tipo de autenticación del conector de recepción en "protegido externamente".
Debido al riesgo de suplantación de identidad en esta configuración, se recomienda restringir las direcciones IP desde las que este conector de recepción aceptará mensajes de correo electrónico solo a los servidores de la granja de SharePoint.
Vea también
Conceptos
Configuración del correo electrónico saliente para una granja de servidores de SharePoint Server