Filtrado de conexiones en servidores de transporte perimetral
Se aplica a: Exchange Server 2013
El filtrado de conexiones es una característica contra correo no deseado de Microsoft Exchange Server 2013 que permite o bloquea el correo electrónico en función del origen del mensaje. El filtrado de conexiones lo realiza el agente de filtrado de conexiones que solo está disponible en los servidores de transporte perimetral. El agente de filtrado de conexiones se basa en la dirección IP del servidor que realiza la conexión para determinar la acción, si la hay, que se realiza en un mensaje entrante.
De forma predeterminada, el agente de filtrado de conexiones es el primer agente antispam que evalúa un mensaje entrante en un servidor de transporte perimetral. La dirección IP de origen de la conexión SMTP se comprueba según las direcciones IP permitidas y bloqueadas. Si la dirección IP de origen está en la lista de direcciones IP permitidas, no se necesita más procesamiento. A continuación, se envía el mensaje. Si la dirección IP de origen está bloqueada, se quita la conexión SMTP. Si no se permite o bloquea la dirección IP de origen, el mensaje fluye a través de los demás agentes antispam en el servidor de transporte perimetral.
El filtrado de conexiones compara la dirección IP del servidor de correo de origen con los valores de los siguientes almacenes de datos:
- Lista de permitidos de IP
- Lista de direcciones IP bloqueadas
- Proveedores de listas de permitidos de IP
- Proveedores de listas de direcciones IP bloqueadas
Configure al menos un almacén de datos de direcciones IP para que funcione el filtrado de conexiones. Si no especifica ningún dato de dirección IP, debe deshabilitar el agente de filtrado de conexiones. Para más información, vea Administrar el filtrado de conexiones en servidores de transporte perimetral.
Lista de direcciones IP bloqueadas
La lista de direcciones IP bloqueadas contiene las direcciones IP de los servidores de correo electrónico que desea bloquear. Las direcciones IP se mantienen manualmente en la lista de direcciones IP bloqueadas. Puede agregar direcciones IP individuales o intervalos de direcciones IP. Puede especificar una fecha de expiración que especifique durante cuánto tiempo se bloqueará la entrada de dirección IP. Cuando se alcanza el tiempo de expiración, se deshabilita la entrada de dirección IP de la lista de direcciones IP bloqueadas.
Si el agente de filtrado de conexiones encuentra la dirección IP de origen en la lista de direcciones IP bloqueadas, la conexión SMTP se quitará después de que se procesen todos los encabezados RCPT TO (destinatarios del sobre) del mensaje.
Las direcciones IP también se pueden agregar automáticamente a la lista de direcciones IP bloqueadas mediante la característica Reputación del remitente del agente de análisis de protocolos. Para más información, vea Reputación del remitente y agente de análisis de protocolo.
Lista de permitidos de IP
La lista de direcciones IP permitidas contiene las direcciones IP de los servidores de correo electrónico que desea designar como orígenes de correo electrónico de confianza. Email de los servidores de correo que especifique en la lista de permitidos ip está exento del procesamiento por parte de otros agentes de correo no deseado de Exchange.
Las direcciones IP se mantienen manualmente en la lista de direcciones IP permitidas. Puede agregar direcciones IP individuales o intervalos de direcciones IP. Puede especificar una fecha de expiración que especifique durante cuánto tiempo se admitirá la entrada de dirección IP. Cuando se alcanza el tiempo de expiración, se deshabilita la entrada en la lista de permitidos de IP.
Proveedores de listas de direcciones IP bloqueadas
Los proveedores de listas de direcciones IP bloqueadas se conocen con frecuencia como listas de bloqueo en tiempo real o RBL. Los proveedores de listas de direcciones IP bloqueadas compilan listas de direcciones IP del servidor de correo que envían correo no deseado. Muchos proveedores de listas de direcciones IP bloqueadas también compilan listas de direcciones IP del servidor de correo que se podrían usar para el correo no deseado. Entre los ejemplos se incluyen servidores de correo configurados para retransmisión abierta, proveedores de acceso a Internet (ISP) que asignan direcciones IP dinámicas e ISP que admiten tráfico de servidor de correo SMTP desde cuentas de acceso telefónico.
Al configurar el filtrado de conexiones para usar un proveedor de listas de bloqueo de IP, el agente de filtrado de conexiones compara la dirección IP del servidor de correo de conexión con la lista de direcciones IP del proveedor de listas de direcciones IP bloqueadas. Si hay una coincidencia, el mensaje no se admite en la organización. Puede configurar el filtrado de conexiones para usar varios proveedores de listas de bloqueo de IP y asignar valores de prioridad diferentes a cada proveedor.
El agente de filtrado de conexiones comprueba la dirección IP de origen en la lista de direcciones IP permitidas y en la lista de direcciones IP bloqueadas. Si la dirección IP no existe en ninguna de las listas, el agente de filtrado de conexiones consulta el proveedor de listas de bloqueo de IP según el valor de prioridad asignado. Si la dirección IP se define en un proveedor ip blocklist, el servidor de transporte perimetral espera y procesa el encabezado RCPT TO , responde al servidor de correo de envío con un SMTP 550 error y cierra la conexión. La conexión no se quita inmediatamente para que se pueda registrar el intento de conexión y porque puede especificar destinatarios que están exentos de que los proveedores de listas de direcciones IP bloqueen los mensajes.
Si la dirección IP no está definida en ninguno de los proveedores de listas de bloqueo ip, el agente de filtrado de contenido entrega el mensaje al siguiente agente de transporte en el servidor de transporte perimetral.
Para cada proveedor de listas de direcciones IP bloqueadas, puede personalizar el SMTP 550 error que se devuelve al remitente cuando se bloquea un mensaje. Identifique el proveedor ip blocklist que identificó el origen del mensaje como correo no deseado. Si un servidor de correo fuente legítimo se identifica erróneamente como origen de correo no deseado, el administrador puede ponerse en contacto con el proveedor de listas de bloqueo de IP y realizar los pasos necesarios para quitar el servidor de correo del proveedor de listas de direcciones IP bloqueadas.
Los proveedores de listas de direcciones IP bloqueadas pueden devolver códigos diferentes para identificar por qué se define una dirección IP en sus listas. La mayoría de los proveedores de listas de bloqueo de IP devuelven tipos de datos de máscara de bits o valores absolutos. Dentro de estos tipos de datos, el proveedor de listas de bloqueo ip puede usar varios valores para clasificar la dirección IP por tipo de amenaza.
Hay problemas que se deben tener en cuenta al usar proveedores de listas de bloqueo de IP:
Las interrupciones o retrasos en el servicio de proveedor de listas de bloqueo ip pueden provocar retrasos en el procesamiento de mensajes en el servidor de transporte perimetral. Seleccione proveedores de listas de bloqueo de IP confiables.
Los servidores de origen que sabe que son legítimos pueden identificarse erróneamente como orígenes de correo no deseado. Por ejemplo, el servidor de correo se puede configurar de forma involuntaria para que funcione como una retransmisión abierta. Seleccione proveedores de listas de direcciones IP bloqueadas que proporcionen procedimientos claros para la evaluación y eliminación de sus servicios.
Ejemplos de máscara de bits o valor absoluto.
En esta sección se muestra un ejemplo de los códigos de estado devueltos por la mayoría de los proveedores de listas de bloqueo. Para obtener más detalles sobre los códigos de estado que devuelve el proveedor, vea la documentación de ese proveedor en concreto.
Para los tipos de datos de máscara de bits, el servicio de proveedor de listas de bloqueo ip devuelve un código de estado de 127.0.0. x, donde el entero x es cualquiera de los valores enumerados en la tabla siguiente.
| Valor | Código de estado |
|---|---|
| 1 | La dirección IP está en una lista de direcciones IP bloqueadas. |
| 2 | El servidor SMTP está configurado para actuar como una retransmisión abierta. |
| 4 | La dirección IP admite una dirección IP de marcado. |
En el caso de los tipos de valor absoluto, el proveedor ip blocklist devuelve respuestas explícitas que definen por qué la dirección IP se define en sus listas de bloqueos. La siguiente tabla muestra ejemplos de valores absolutos y las respuestas explícitas.
| Valor | Respuesta explícita |
|---|---|
| 127.0.0.2 | La dirección IP es un origen directo de correo no deseado. |
| 127.0.0.4 | La dirección IP envía correos masivos. |
| 127.0.0.5 | Se sabe que el servidor remoto que envía el mensaje admite retransmisiones abiertas multifase. |
Proveedores de listas de permitidos de IP
Los proveedores de listas de permitidos ip también se conocen como listas seguras o listas de permitidos. Los proveedores de listas de permitidos de IP están configurados al igual que los proveedores de listas de direcciones IP bloqueadas, pero los resultados son lo contrario: definen direcciones IP del servidor de correo que definitivamente no están asociadas a la actividad de correo no deseado. Si la dirección IP del servidor de correo que se conecta se define en un proveedor de listas de permitidos ip, el mensaje está exento del procesamiento por parte de otros agentes de correo no deseado de Exchange. Por este motivo, los proveedores de listas de direcciones IP bloqueadas se usan con mucha más frecuencia que los proveedores de listas de permitidos de IP. Elija cuidadosamente los proveedores de listas de permitidos de IP.
Prueba de proveedores de listas de direcciones IP bloqueadas y proveedores de listas de direcciones IP permitidas
Después de configurar el filtrado de conexiones para usar un proveedor de listas de bloqueo ip o un proveedor de listas de permitidos de IP, puede ejecutar pruebas para comprobar que los proveedores funcionan correctamente. Casi todos los proveedores ofrecen direcciones IP de prueba que se pueden usar para probar sus servicios. Al probar un proveedor, el agente de filtrado de conexiones emite una consulta DNS que debe dar como resultado una respuesta específica del proveedor. Para obtener más información sobre cómo probar direcciones IP en un servicio de proveedor de listas de direcciones IP bloqueadas o un servicio de proveedor de listas de permitidos de IP, vea Administrar el filtrado de conexiones en servidores de transporte perimetral.
Configurar el filtrado de conexiones en servidores de transporte perimetral que no están directamente conectados a Internet
Puede usar el filtrado de conexiones en servidores de transporte perimetral que no reciben correo electrónico directamente desde Internet. En este caso, el servidor de transporte perimetral está detrás de otro servidor de correo que recibe y procesa mensajes directamente desde Internet. Por ejemplo, su organización podría enviar tráfico de correo electrónico a través de un servidor, servicio o dispositivo antispam antes de que los mensajes lleguen al servidor de transporte perimetral. En tal caso, el agente de filtrado de conexiones debe extraer la dirección IP de origen correcta del mensaje. Para extraer la dirección IP de origen del mensaje, el agente de filtrado de conexiones debe analizar los valores del campo Encabezado recibido en el encabezado del mensaje y comparar esos valores con las direcciones IP conocidas del servidor de correo que se encuentra entre el servidor de transporte perimetral e Internet.
Cada servidor de correo que acepta y retransmite un mensaje SMTP en la ruta de entrega agrega su propio campo del encabezado Received en el encabezado del mensaje. El encabezado Received normalmente contiene el nombre de dominio y la dirección IP del servidor de correo que procesó el mensaje.
Si el servidor de transporte perimetral no acepta mensajes directamente desde Internet, debe usar el parámetro InternalSMTPServers en el cmdlet Set-TransportConfig de un servidor de buzones de Exchange 2013 para identificar la dirección IP del servidor de correo que se encuentra entre el servidor de transporte perimetral e Internet. EdgeSync se encarga de replicar los datos de las direcciones IP en los servidores Transporte perimetral. Cuando el servidor de transporte perimetral recibe los mensajes, el agente de filtrado de conexiones supone una dirección IP en un campo de encabezado recibido que no coincide con un valor especificado por el parámetro InternalSMTPServers es la dirección IP de origen que debe comprobarse. Por lo tanto, es necesario especificar todos los servidores SMTP internos para que el filtrado de conexiones funcione correctamente.