Descripción del filtrado de destinatarios
Se aplica a: Exchange Server 2010
Última modificación del tema: 2010-01-18
El agente de filtrado de destinatarios es un agente contra correo electrónico no deseado que se habilita en los equipos que ejecutan Microsoft Exchange Server 2010 que tienen instalado el rol de servidor Transporte perimetral. Este agente usa el encabezado RCPT TO SMTP para determinar qué acción, en caso de que sea necesario, se realizará en un mensaje de correo electrónico entrante.
Cuando se configuran agentes contra correo electrónico no deseado en un servidor de transporte de bordes, los agentes actúan sobre los mensajes de forma acumulativa con el fin de reducir el número de mensajes no solicitados que entran en la organización. Para obtener más información acerca de cómo planear e implementar los agentes contra correo electrónico no deseado, consulte Descripción de la funcionalidad contra correo no deseado y antivirus.
El agente de filtro de destinatarios bloquea los mensajes en función de las características del destinatario de la organización. El agente de filtro de destinatarios puede ayudarle a impedir la aceptación de mensajes en los siguientes escenarios:
- Destinatarios no existentes Puede impedir la entrega a destinatarios que no estén en la libreta de direcciones de la organización. Por ejemplo, puede detener la entrega a nombres de cuentas que normalmente no se usan correctamente, como administrador@contoso.com o soporte@contoso.com.
- Listas de distribución restringidas Puede impedir la entrega de correo de Internet a listas de distribución que solo deben usar los usuarios internos.
- Buzones de correo que no deben recibir mensajes de Internet Puede impedir la entrega de correo de Internet a un buzón o alias específico que se suela usar dentro de la organización, como el departamento de soporte técnico.
El agente de filtrado de destinatarios actúa en los destinatarios almacenados en una o las dos fuentes de datos siguientes:
- Lista de destinatarios no admitidos Una lista de destinatarios definida por un administrador en la no se deben aceptar los mensajes entrantes de Internet.
- Búsqueda de destinatarios Comprobación de que el destinatario está en la organización. La búsqueda de destinatarios requiere acceso a la información de Active Directory proporcionada por EdgeSync a Active Directory Lightweight Directory Services (AD LDS).
Para obtener más información acerca de la funcionalidad de las listas de destinatarios no admitidos y de la búsqueda de destinatarios, vea "Orígenes de datos del destinatario" en este mismo tema.
Si se habilita el agente de filtro de destinatarios, se realiza una de las acciones siguientes en los mensajes entrantes según las características de los destinatarios. Dichos destinatarios los indica el encabezado RCPT TO.
- Si el mensaje entrante contiene un destinatario que está en la lista de destinatarios no admitidos, el servidor de transporte de bordes envía un error de sesión SMTP "550 5.1.1 Usuario desconocido" al servidor remitente.
- Si el mensaje entrante contiene un destinatario que no coincide con ninguno de la búsqueda de destinatarios, el servidor de transporte de bordes envía un error de sesión SMTP "550 5.1.1 Usuario desconocido" al servidor de envío.
- Si el destinatario no está en la lista de destinatarios bloqueados y está en la búsqueda de destinatarios, el servidor de transporte perimetral envía una respuesta SMTP "250 2.1.5 Destinatario correcto" al servidor de envío y el siguiente agente contra correo electrónico no deseado de la cadena procesa el mensaje.
¿Está buscando tareas de administración relacionadas con las funciones antivirus y contra el correo electrónico no deseado? Consulte Administración de características antivirus y contra correo electrónico no deseado.
Contenido
Configuración de AD LDS para la búsqueda de destinatarios
Orígenes de datos del destinatario
Funcionalidad del bloqueador del correo electrónico no deseado
Configuración del intervalo del bloqueador del correo no deseado
Varios espacios de nombres
Configuración de AD LDS para la búsqueda de destinatarios
Una de las maneras más eficaces de reducir el correo electrónico no deseado es validar a los destinatarios antes de aceptar mensajes entrantes de Internet. Por tanto, es conveniente configurar la instancia de AD LDS que se ejecuta en el servidor de transporte perimetral para la sincronización con Active Directory. De manera predeterminada, AD LDS está instalado y configurado en el servidor de transporte perimetral. No obstante, debe configurar AD LDS para que se comunique con un servidor de catálogo global unido al dominio de Active Directory. La mayoría de las veces, deberá configurar también el firewall con el fin de habilitar determinados puertos para la comunicación con AD LDS. Para obtener más información, consulte Descripción de las suscripciones perimetrales.
Después de configurar AD LDS para replicar una lista de destinatarios bloqueados desde Active Directory, debe habilitar el bloqueo de los mensajes que se envían a los destinatarios que no están en la organización de Exchange. El bloqueo de mensajes se habilita en la ficha Destinatarios bloqueados de la página Propiedades del filtrado de destinatarios de la Consola de administración de Exchange (EMC). También se puede habilitar con el cmdlet Set-RecipientFilterConfig del Shell de administración de Exchange. Para obtener más información, consulte Set-RecipientFilterConfig.
Volver al principio
Orígenes de datos del destinatario
Como se ha mencionado anteriormente, el agente de filtro de destinatarios hace referencia a dos orígenes de datos al comparar a los destinatarios de los mensajes entrantes: la lista de destinatarios no admitidos y la búsqueda de destinatarios.
Lista de destinatarios no admitidos
Los administradores del servidor de transporte perimetral mantienen la lista de destinatarios bloqueados. Los datos de esta lista se almacenan en la instancia de AD LDS del servidor de transporte perimetral. Los destinatarios no admitidos se deben escribir en todos los equipos de servidores de transporte de bordes.
Puede escribir los destinatarios que desee que el agente de filtrado de destinatarios bloquee en la EMC en la ficha Destinatarios bloqueados de la página Propiedades de filtrado de destinatarios. El cmdlet Set-RecipientFilterConfig se usa en el Shell para escribir destinatarios. Para obtener más información acerca de cómo configurar el agente de filtrado de destinatarios, consulte Configurar las propiedades del filtrado de destinatarios.
Búsqueda de destinatarios
Una ventaja del agente de filtrado de destinatarios es la capacidad para comprobar que los destinatarios de un mensaje entrante están en la organización antes de que Exchange 2010 transmita el mensaje a la organización. La capacidad para comprobar destinatarios en una organización depende de un origen de datos de destinatario disponible para el servidor de transporte perimetral. Dado que el servidor de transporte perimetral no es un equipo unido al dominio de Active Directory y podría estar separado de la organización por un firewall, debe configurar un origen de datos de búsqueda de destinatarios para que dicho servidor lo use.
El rol de servidor Transporte perimetral usa AD LDS para la configuración y el almacenamiento de datos. Para obtener más información, consulte Descripción de las suscripciones perimetrales.
Volver al principio
Funcionalidad del bloqueador del correo electrónico no deseado
La funcionalidad de búsqueda de destinatarios permite al servidor remitente determinar si las direcciones de correo electrónico son válidas o no. Como se ha mencionado anteriormente, cuando el destinatario de un mensaje entrante es un destinatario conocido, el servidor de transporte de bordes devuelve una respuesta SMTP "250 2.1.5 Destinatario correcto" al servidor remitente. Esta funcionalidad proporciona un entorno ideal para los ataques de robo de directorio (DHA).
Un ataque de robo de directorio es un intento de recopilar direcciones de correo electrónico válidas de una organización concreta y agregarlas a una base de datos de correo electrónico no deseado. Dado que la finalidad de todo el correo electrónico no deseado es que la gente abra mensajes de correo electrónico, las direcciones que se saben que están activas suponen una ventaja por la que los usuarios malintencionados, o emisores de correo no deseado, pagan. Como el protocolo SMTP proporciona información acerca de los remitentes conocidos y desconocidos, los emisores de correo no deseado pueden escribir un programa automático que use nombres comunes o términos del diccionario para crear direcciones de correo electrónico en un dominio concreto. El programa recopila todas las direcciones de correo electrónico que devuelven una respuesta SMTP "250 2.1.5 Destinatario correcto" y descarta aquéllas que devuelven un error de sesión SMTP, "550 5.1.1 Usuario desconocido". A continuación, el emisor de correo no deseado puede vender las direcciones de correo electrónico válidas o utilizarlas como destinatarios para mensajes no solicitados.
Para combatir los ataques de robo de directorio, Exchange 2010 incluye la funcionalidad de bloqueo del correo electrónico no deseado. El bloqueo del correo electrónico no deseado es la práctica de retrasar artificialmente las respuestas del servidor para ciertos patrones de comunicación de SMTP que indican volúmenes elevados de correo electrónico no deseado u otros mensajes no deseados. El propósito del retraso del tráfico de red (tarpitting) es ralentizar el proceso de comunicación del tráfico de correo electrónico, con el fin de que el costo del envío de correo electrónico no deseado aumente para la persona u organización que envía dicho correo. El bloqueador de correo electrónico no deseado hace que los ataques de robo de directorio sean demasiado costosos como para automatizarlos eficazmente.
Si el retraso del tráfico de red (tarpitting) no está configurado, Exchange Server devuelve inmediatamente un error de sesión SMTP "550 5.1.1 Usuario desconocido" al remitente cuando un destinatario no se encuentre en la búsqueda de destinatarios. Sin embargo, si el bloqueador de correo electrónico no deseado está configurado, SMTP espera un número de segundos especificado antes de devolver el error "550 5.1.1 Usuario desconocido". Esta pausa en la sesión SMTP dificulta aún más el ataque de robo de directorio y hace que sea menos rentable al emisor de correo electrónico no deseado. De forma predeterminada, el bloqueador del correo no deseado está configurado para 5 segundos en conectores de recepción.
Para configurar el tiempo que debe transcurrir antes de que SMTP devuelva el error "550 5.1.1 Usuario desconocido", use la EMC o el Shell para establecer el valor de TarpitInterval en el conector de recepción. Para obtener más información acerca de cómo administrar y configurar los conectores de recepción, vea Descripción de los conectores de recepción (en inglés).
Volver al principio
Configuración del intervalo del bloqueador del correo no deseado
Como se ha explicado en Descripción del filtrado de destinatarios, puede configurar los conectores de recepción que procesan los mensajes entrantes procedentes de Internet para retrasar la respuesta SMTP. Asegúrese de habilitar la funcionalidad de bloqueador del correo no deseado en los conectores de recepción, en especial si ha habilitado la característica de búsqueda de destinatarios del filtrado de destinatarios. Si no habilita el retraso del tráfico de red (tarpitting) y ha habilitado la característica de búsqueda de destinatarios, expone a su organización a un ataque por recolección de directorios. Un ataque de este tipo generará probablemente más correo electrónico no deseado.
Cuando especifica un intervalo de tiempo para el bloqueador del correo no deseado en un conector de recepción, se habilita el bloqueador del correo no deseado. El valor predeterminado es 5 segundos. Es recomendable comenzar con un valor de 5 (segundos). Proceda con cuidado si decide cambiar este valor. Un intervalo demasiado largo podría interrumpir el flujo de correo ordinario, mientras que uno demasiado corto podría no ser tan eficaz a la hora de frustrar un ataque por recolección de directorios. Si cambia el valor del intervalo para el bloqueador del correo no deseado, hágalo en incrementos pequeños.
El intervalo de retraso del tráfico de red (tarpitting) se establece en la ficha Seguridad de las páginas de propiedades del conector de recepción de la EMC. Para obtener más información acerca de cómo usar la EMC para configurar el intervalo del retraso del tráfico de red (tarpitting), consulte Configurar propiedades del conector de recepción.
También se puede establecer este intervalo mediante el cmdlet Set-ReceiveConnector del Shell.
Volver al principio
Varios espacios de nombres
Algunas organizaciones aceptan mensajes de correo electrónico para varios dominios. Por ejemplo, una organización puede aceptar mensajes para los dominios Contoso.com y Woodgrovebank.com. Algunas veces, las organizaciones tienen autorización en todos los dominios para los que aceptan mensajes. En el contexto de SMTP, la organización está autorizada en un dominio si aloja y administra los buzones de dicho dominio. Esta relación se extiende al servidor de transporte de bordes, que puede aceptar mensajes para varios dominios, pero es posible que no esté autorizado en todos ellos. Por ejemplo, un servidor de transporte de bordes se puede configurar para tener autorización en todos los destinatarios del dominio Contoso.com, pero también acepta y reenvía mensajes para el dominio Woodgrovebank.com.
Al habilitar el agente de filtrado de destinatarios, éste lleva a cabo búsquedas de destinatarios solo en los dominios especificados como autorizados en la configuración del servidor de transporte. Si un servidor de transporte perimetral acepta y reenvía mensajes en nombre de otro dominio, pero no está configurado como autorizado, el agente de filtrado de destinatarios no realiza la búsqueda de destinatarios. No obstante, si se especifica un destinatario no autorizado en la lista de destinatarios bloqueados, dicho destinatario seguirá estando bloqueado.
Volver al principio