Guía de seguridad de Exchange 2010
Se aplica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Última modificación del tema: 2016-11-28
Esta guía se ha escrito para el administrador de responsable de proteger la implementación de MicrosoftExchange Server 2010; asimismo, se ha concebido para que dicho administrador comprenda y controle el entorno de seguridad general en el que está instalado Exchange.
En el pasado, para cada versión de Microsoft Exchange, el equipo de Exchange publicaba guías independientes de refuerzo de seguridad con información sobre permisos y seguridad. Este método tenía sentido para bloquear servicios y directorios después de ejecutar la instalación de Exchange 2010. Sin embargo, a partir de MicrosoftExchange Server 2007, el programa de instalación de Exchange habilita únicamente los servicios que necesite el rol de servidor que se instala. Microsoft Exchange ya no se instala y se refuerza por seguridad. Está diseñado para ser más seguro de forma predeterminada.
Así pues, a diferencia de versiones anteriores de Microsoft Exchange en las que los administradores tenían que llevar a cabo múltiples pasos para bloquear los servidores que ejecutaban Microsoft Exchange, Exchange 2010 no necesita bloqueo ni refuerzo.
Ámbito
Exchange 2010 se ha desarrollado según los principios del ciclo vital del desarrollo de seguridad de Microsoft. Se ha efectuado una revisión de la seguridad en cada característica y componente. Unos valores predeterminados bien seleccionados permiten una implementación más segura. La finalidad de esta guía es informar a los administradores sobre las características y los aspectos relacionados con la seguridad. Esta sección contiene vínculos a documentación sobre la seguridad en Exchange 2010. Estos temas figuran en el apéndice 1: Documentación adicional sobre la seguridad. Esta guía no se ocupa de ningún paso sobre cómo reforzar el sistema operativo Windows Server.
Contenido
Novedades
Ciclo de vida del desarrollo de seguridad de Exchange 2010
Métodos recomendados para crear un entorno seguro
Métodos recomendados para mantener un entorno seguro
Uso de los puertos de red y reforzamiento de Firewall
Parámetros de limitación y directivas de limitación de clientes
Control de acceso basado en roles
Active Directory
Cuentas de servidores de Exchange
Sistema de archivos
Servicios
Certificados
Consideraciones sobre NTLM
Autenticación de doble factor
Federación
Secure/Multipurpose Internet Mail Extensions (S/MIME)
Consideraciones sobre roles del servidor
Apéndice 1: Documentación adicional sobre la seguridad
Novedades
Exchange 2010 incluye las siguientes características de seguridad:
Control de acceso basado en roles Exchange 2010 presenta un nuevo modelo de control de acceso basado en roles con el que la organización administra de forma pormenorizada los permisos asignados a diferentes partes interesadas, por ejemplo administradores de destinatarios, de servidores y de organizaciones.
Directivas de limitación Exchange 2010 incorpora mecanismos de limitación en los servidores de acceso de cliente, Buzón de correo y Transporte para proteger la organización de los ataques de denegación de servicio y reducir las repercusiones de dichos ataques.
Delegación federada Exchange 2010 agrega nuevas características de federación delegada para que los usuarios puedan colaborar de manera segura con usuarios de otras organizaciones. Mediante la delegación federada, los usuarios comparten sus calendarios y contactos con usuarios de organizaciones federadas externas. También es posible la colaboración entre bosques sin tener que configurar y administrar relaciones de confianza de Active Directory.
Information Rights Management Exchange 2010 incorpora nuevas características de control y protección de la seguridad para proteger el contenido confidencial de los mensajes en varios niveles; asimismo, mantiene la capacidad de la organización de descifrar, buscar y aplicar directivas de mensajería a contenido protegido.
Sin asistentes para configurar la seguridad En Exchange 2010, el programa de instalación realiza los cambios de configuración pertinentes para instalar y habilitar únicamente los servicios necesarios para un determinado rol de servidor de Exchange, y para limitar la comunicación solamente a los puertos requeridos para los servicios y procesos que se ejecutan en cada rol de servidor. De este modo, ya no se necesita el asistente para configuración de seguridad (SCW) para configurar estos parámetros.
Ciclo de vida del desarrollo de seguridad de Exchange 2010
A principios de 2002 Microsoft incorporó la iniciativa Trustworthy Computing. Desde la incorporación de Trustworthy Computing, el proceso de desarrollo en Microsoft y en el equipo de Microsoft Exchange se ha concentrado en desarrollar un software que refuerce la seguridad. Para obtener más información, consulte Trustworthy Computing (en inglés).
En Exchange 2010 se ha implementado Trustworthy Computing en las siguientes áreas principales:
Seguro en el diseñoExchange 2010 se ha diseñado y desarrollado según el ciclo de vida del desarrollo de seguridad de Trustworthy Computing. El primer paso para crear un sistema de mensajería más seguro fue diseñar modelos de amenaza y poner a prueba cada opción a medida que se iba diseñando. Se integraron múltiples mejoras relacionadas con la seguridad en el proceso y las prácticas de codificación. Las herramientas de tiempo integradas detectan excesos en el búfer y otras amenazas potenciales de seguridad. Ningún sistema puede garantizar una seguridad completa. Sin embargo, al incluir principios de diseño de seguridad en todo el proceso de diseño, Exchange 2010 es más seguro que versiones anteriores.
Seguro de forma predeterminada Uno de los objetivos de Exchange 2010 era desarrollar un sistema en que la mayoría de las comunicaciones de red se codifiquen de forma predeterminada. Este objetivo se consiguió, excepto para las comunicaciones del bloqueo de mensajes de servidor y algunas comunicaciones de mensajería unificada. Al usar certificados autofirmados, el protocolo Kerberos, el nivel de sockets seguros (SSL) y otras técnicas estándares de cifrado, casi toda la información en la red de Exchange 2010 queda protegida. Además, la instalación basada en roles permite instalar Exchange 2010, de modo que solamente los servicios, y los permisos relacionados con esos servicios, se instalan con un rol de servidor específico y apropiado. En versiones anteriores de Microsoft Exchange había que instalar todos los servicios de funcionalidad.
Funcionalidad antivirus y contra correo electrónico no deseado Exchange 2010 incluye un conjunto de agentes contra correo electrónico no deseado que se ejecutan en la red perimetral del rol de servidor Transporte perimetral y que también puede instalarse en el rol de servidor Transporte de concentradores ubicado en la red interna. La funcionalidad del antivirus está mejorada aún más gracias a la adición de MicrosoftForefront Protection 2010 for Exchange como solución de Microsoft.
Implementación segura A medida que se fue desarrollando Exchange 2010, se implementó la versión de evaluación en el entorno de producción de TI Microsoft. Basado en datos de esa implementación, se ha actualizado el MicrosoftExchange Server Best Practices Analyzer para buscar configuraciones de seguridad reales, y se han documentado consejos para antes y después de la implementación en la Ayuda de Exchange 2010.
En el pasado, se documentaba la administración de permisos y se entregaba una vez finalizada la documentación básica. Sin embargo, sabemos que la administración de permisos no es un proceso de complementos. Debería integrarse en el planeamiento e implementación generales de Exchange 2010. Por lo tanto, hemos simplificado nuestra documentación sobre permisos y la hemos integrado con la documentación básica. De este modo, proporcionamos un contexto integral para los administradores a la hora de planear e implementar su modelo administrativo. Exchange 2010 contiene un nuevo modelo de permisos basados en roles con el que pueden concederse permisos de manera pormenorizada a administradores y usuarios para que puedan realizar tareas con los permisos mínimos que se necesitan.
Comunicaciones Ahora que Exchange 2010 ha salido al mercado, el equipo de Exchange tiene el compromiso de mantener el software actualizado y a los usuarios informados. Manteniendo su sistema actualizado con Microsoft Update, puede tener la certeza de que su organización dispone de las últimas actualizaciones de seguridad. Exchange 2010 también incluye actualizaciones contra correo electrónico no deseado. Además, al suscribirse a las Notificaciones técnicas de seguridad de Microsoft (posiblemente en inglés), podrá consultar las últimas novedades sobre seguridad en Exchange 2010.
Métodos recomendados para crear un entorno seguro
La aplicación de unos métodos recomendados básicos ayudarán a crear y mantener un entorno más seguro. En general, la manera más efectiva de optimizar la seguridad del entorno de Exchange 2010 es mantener actualizados el software y los archivos de firma de antivirus, y ejecutar herramientas de análisis regularmente.
Recomendaciones de instalación y configuración
La aplicación de estos métodos recomendados ayudarán a crear y mantener un entorno de Exchange 2010 más seguro.
Instalación delegada El primer servidor de Exchange 2010 que se instala en la organización requiere que la cuenta que se usa para ejecutar el programa de instalación pertenezca al grupo Administradores de empresa. La cuenta que usa se agrega al grupo de roles de administración de la organización creado por el programa de instalación de Exchange 2010. La instalación delegada puede usarse para que los administradores que no pertenezcan al grupo de roles de administración de la organización configuren los servidores subsiguientes. Para obtener más información, consulte Aprovisionar el servidor de Exchange 2010 y delegar la instalación.
Permisos del sistema de archivos Exchange 2010 El programa de instalación asigna los permisos mínimos necesarios en el sistema de archivos donde se almacenan los datos y archivos binarios de Exchange. No haga ningún cambio en las listas de control de acceso de las carpetas raíz y Archivos de programa del sistema de archivos.
Rutas de instalación Se recomienda instalar los archivos binarios de Exchange 2010 en una unidad que no sea del sistema (un volumen en el que no esté instalado el sistema operativo). Las bases de datos y los registros de transacciones de Exchange pueden aumentar de tamaño rápidamente y deben ubicarse en volúmenes no pertenecientes al sistema para que no disminuya la capacidad ni el rendimiento. Otros registros generados por diferentes componentes de Exchange, por ejemplo los registros de transporte, se almacenan también en la misma ruta de instalación que los archivos binarios de Exchange y su tamaño puede aumentar considerablemente según la configuración y el entorno de mensajería. En Exchange 2010 puede configurarse el tamaño máximo de muchos archivos de registro y el espacio máximo de almacenamiento que puede ocupar una carpeta de archivos de registro, que tiene un valor predeterminado de 250 Megabytes. Para prevenir una posible interrupción del sistema debido a poco espacio en disco, recomendamos que se calculen los requisitos de registro para cada rol del servidor y se configuren las opciones de registro y las ubicaciones de almacenamiento de los archivos de registro en consonancia con ellos.
Bloqueo de clientes heredados de Outlook Teniendo en cuenta sus requisitos, el bloqueo de clientes de Outlook se puede configurar para que bloquee las versiones cliente heredadas de Outlook. Algunas características de Exchange 2010, por ejemplo las reglas de protección de Outlook y los archivos personales, no admiten clientes heredados de Outlook. Para obtener más información sobre el bloqueo de clientes de Outlook, consulte Configurar el bloqueo de clientes de Outlook para la administración de registros de mensajería.
Separación de direcciones SMTP y nombres de usuario De forma predeterminada, Exchange genera alias y direcciones de correo electrónico a partir del nombre de usuario del buzón de correo. Muchas organizaciones crean una directiva adicional de direcciones de correo electrónico para separar las direcciones de correo electrónico de los usuarios de los nombres de usuarios con el fin de incrementar la seguridad. Por ejemplo, si el nombre de usuario de Ben Smith es bsmith y el dominio contoso.com, la dirección de correo electrónico principal generada por la directiva predeterminada de direcciones de correo electrónico es bsmith@contoso.com. Puede crear otra directiva de direcciones de correo electrónico para generar direcciones que no usen el alias ni el nombre de usuario del usuario. Por ejemplo, si se crea una directiva de direcciones de correo electrónico que use la plantilla
%g.%s@domain
, se generan direcciones de correo electrónico con el formato Nombre.Apellidos@dominio. En el caso de Ben Smith, la directiva generará la dirección Ben.Smith@contoso.com. Asimismo, puede separar las direcciones de correo electrónico de los nombres de usuario especificando un alias diferente del nombre de usuario que se usa al crear o habilitar un buzón de correo.Nota
Si una dirección SMTP principal no coincide con el UPN en la cuenta, el usuario no puede usar su dirección de correo electrónico para iniciar sesión en MicrosoftOfficeOutlook Web App; para ello, debe proporcionar un nombre de usuario con el formato DOMINIO\nombre_usuario. En el caso de MicrosoftOutlook, el usuario debe proporcionar el mismo formato DOMINIO\nombre_usuario si se le solicitan credenciales cuando Outlook se conecta al servicio Detección automática.
Microsoft Update
Microsoft Update es un servicio que ofrece las mismas descargas que MicrosoftWindows Update, además de las últimas actualizaciones para otros programas de Microsoft. Ayuda a mantener el servidor más seguro y con un rendimiento óptimo.
Una función clave de Microsoft Update es Windows Automatic Update. Esta función instala automáticamente actualizaciones de prioridad alta fundamentales para la seguridad y fiabilidad del equipo. Sin estas actualizaciones, el equipo es más vulnerable a ataques externos y de software malintencionado (malware).
El modo más confiable de recibir Microsoft Update es de forma automática en el equipo utilizando Actualizaciones automáticas de Windows. Puede activar Actualizaciones automáticas si se suscribe a Microsoft Update.
Windows analizará el software Microsoft instalado en su equipo en busca de actualizaciones actuales y antiguas de alta prioridad necesarias; seguidamente, las descargará e instalará de manera automática. A continuación, cuando se conecte a Internet, Windows repite este proceso para buscar nuevas actualizaciones de alta prioridad.
Para habilitar Microsoft Update, visite Microsoft Update (en inglés).
El modo predeterminado de Microsoft Update exige que cada servidor de Exchange esté conectado a Internet para recibir las actualizaciones automáticas. Si ejecuta servidores sin conexión a Internet, puede instalar Windows Server Update Services (WSUS) para administrar la distribución de actualizaciones en equipos de su organización. Así podrá configurar Microsoft Update en los equipos Microsoft Exchange internos para que se ponga en contacto con el servidor WSUS interno en busca de actualizaciones. Para obtener más información, consulte Microsoft Windows Server Update Services 3.0 (en inglés).
WSUS no es la única solución de administración de Microsoft Update disponible. Para obtener más información sobre herramientas, comunicaciones, procesos y versiones de seguridad de Microsoft, vea Guía de actualización de seguridad de Microsoft (posiblemente en inglés).
Tareas que ya no son necesarias en Exchange 2010
Ya no es necesario instalar ni ejecutar las herramientas siguientes:
La herramienta de seguridad URLScan no se necesita en IIS 7. En versiones anteriores de Microsoft Exchange, era habitual instalar herramientas de IIS como URLScan para proteger una instalación de IIS. Exchange 2010 requiere Windows Server 2008, que incluye IIS 7. Muchas de las características de seguridad que originalmente estaban en UrlScan están disponibles en el Filtrado de solicitudes de IIS 7.
Ya no hace falta instalar Exchange Best Practices Analyzer. En versiones anteriores de Microsoft Exchange era habitual instalar Exchange Best Practices Analyzer antes de la instalación y después ejecutarlo periódicamente. El programa de instalación de Exchange 2010 incluye los componentes de Exchange Best Practices Analyzer y los ejecuta durante la instalación. Antes de la instalación no hace falta ejecutar Exchange Best Practices Analyzer.
Ya no necesita usar el asistente para configuración de seguridad (SCW) ni las plantillas de Exchange para SCW. El programa de instalación de Exchange 2010 instala solamente los servicios necesarios en un determinado rol del servidor de Exchange; asimismo, crea reglas de Firewall de Windows Firewall con Seguridad avanzada para abrir únicamente los puertos necesarios en los servicios y procesos de ese rol del servidor. Ya no se debe ejecutar el asistente para configuración de seguridad (SCW) para configurar estos parámetros. A diferencia de Exchange Server 2007, Exchange 2010 no se incluye con plantillas de SCW.
Métodos recomendados para mantener un entorno seguro
Estos métodos recomendados ayudarán a mantener seguro el entorno de Exchange 2010.
Mantenimiento del software al día
Como se ha mencionado en una sección anterior, se recomienda ejecutar Microsoft Update. Además de ejecutar Microsoft Update en todos los servidores, es muy importante mantener todos los equipos cliente de su organización al día con actualizaciones antivirus.
Además del software Microsoft, compruebe que tenga las últimas actualizaciones de todo el software que se ejecuta en su organización.
Actualizaciones contra correo electrónico no deseado
Exchange 2010 también utiliza la infraestructura de Microsoft Update para mantener actualizados los filtros contra correo no deseado. De forma predeterminada, con las actualizaciones manuales el administrador debe visitar Microsoft Update para descargar e instalar las actualizaciones de filtro de contenido. Cada dos semanas hay datos de actualización del filtro de contenido actualizados y listos para poder descargar.
Las actualizaciones manuales desde Microsoft Update incluyen datos de firma de correo no deseado y el servicio de reputación de IP de Microsoft. El servicio de reputación IP de Microsoft y los datos de firma de correo no deseado solo están disponibles con Forefront Security para actualizaciones automáticas contra correo no deseado de Exchange Server.
Para obtener más información acerca de cómo habilitar las actualizaciones automáticas contra correo no deseado de Forefront, consulte Descripción de las actualizaciones de correo no deseado.
Ejecución del software antivirus
Los virus, gusanos y otros contenidos malintencionados transmitidos por los sistemas de correo electrónico son una realidad destructiva a la que se enfrentan la mayoría de administradores de Microsoft Exchange. En consecuencia, debe desarrollar una implementación de antivirus defensiva para todos los sistemas de mensajería Esta sección proporciona métodos recomendados para implementar software antivirus para Exchange 2010.
Preste especial atención a dos cambios importantes en Exchange 2010 cuando seleccione un proveedor de software antivirus:
A partir de Exchange Server 2007, Microsoft Exchange, la arquitectura en que se basa es de 64 bits.
Exchange 2010 incluye agente de transporte.
Estos dos cambios implican que los proveedores de antivirus deben proporcionar un software específico para Exchange 2010. Es poco probable que el software antivirus escrito para versiones anteriores de Exchange funcione correctamente con Exchange 2010.
Para usar un método de defensa en profundidad, se recomienda la implementación de un software antivirus diseñado para sistemas de mensajería ya sea en la puerta de enlace SMTP o en los servidores de Exchange que hospedan buzones de correo, además de un software antivirus en el escritorio del usuario.
Suya es la decisión de qué tipos de software antivirus usar y dónde implementar el software buscando el equilibrio adecuado entre el costo que está dispuesto a aceptar y el riesgo que está dispuesto a asumir. Por ejemplo, algunas organizaciones ejecutan un software antivirus para mensajería en la puerta de enlace SMTP, análisis antivirus en el nivel de archivos del servidor de Exchange y un software antivirus del cliente en los equipos de escritorio del usuario. Este método proporciona protección de mensajería en el cliente. Otras organizaciones pueden tolerar costos superiores y mejoran la seguridad ejecutando software antivirus para mensajería en la puerta de enlace SMTP, análisis antivirus en el nivel de archivos del servidor de Exchange y software antivirus del cliente en el escritorio de los usuarios, además de software antivirus compatible con Exchange Virus Scanning Application Programming Interface (VSAPI) 2.5 en el servidor de buzones de Exchange.
Ejecución de software antivirus en servidores Transporte de concentradores y Transporte perimetral
El software antivirus basado en transporte se implementa o incluye agentes de transporte. Los agentes de transporte actúan en los eventos de transporte, de manera muy similar a los receptores de eventos en versiones previas de Microsoft Exchange. Para obtener más información, consulte Descripción de los agentes de transporte.
Nota
Los mensajes que no se enrutan mediante transporte, como los elementos de las carpetas públicas, Elementos enviados y elementos de calendario, que solo se pueden analizar en un servidor de buzones de correo, no están protegidos por la detección de virus solo de transporte.
Los programadores de terceras partes pueden escribir agentes de transporte personalizados para aprovechar las ventajas del motor de análisis MIME subyacente para una mejor detección antivirus del nivel de transporte. Para obtener una lista de los asociados de antispam y antivirus de Exchange, vea los fabricantes de software independientes (posiblemente en inglés).
Además, Forefront Protection para Exchange Server es un paquete de software antivirus estrechamente integrado con Exchange 2010 y que ofrece protección antivirus adicional para su entorno de Exchange. Para obtener más información, consulte Microsoft Forefront Protection 2010 para Exchange Server (en inglés).
El lugar más importante para ejecutar software antivirus de mensajería está en la primera línea de defensa de la organización. Es la puerta de enlace SMTP a través de la cual los mensajes externos tienen acceso al entorno de mensajería. En Exchange 2010, la primera línea de defensa se encuentra es el servidor Transporte perimetral.
Si usa una puerta de enlace o un servidor SMTP que no es de Exchange para recibir correo electrónico antes que Exchange, debe implementar suficiente funcionalidad antivirus y contra correo no deseado en los hosts SMTP que no sean Exchange.
En Exchange 2010, todos los mensajes se enrutan a través de un servidor Transporte de concentradores. Esto incluye mensajes enviados o recibidos desde fuera de la organización de Exchange, así como mensajes enviados dentro de la organización de Exchange. Mensajes enviados a un buzón de correo ubicado en el mismo servidor de buzones que el remitente. Para protegerse mejor contra ataques de virus desde dentro de la organización y disponer de una segunda línea de defensa, recomendamos también ejecutar software antivirus basado en transporte en el servidor Transporte de concentradores.
Ejecución de software antivirus en servidores Buzón de correos
Aparte de la detección de virus en servidores Transporte, una solución de análisis del interfaz de programación para aplicaciones de detección de virus (VSAPI) de MicrosoftExchange puede representar un nivel de defensa importante para muchas organizaciones. Es conveniente considerar la posibilidad de ejecutar una solución antivirus VSAPI si se cumple cualquiera de las condiciones siguientes:
Su organización no ha completado la implementación de productos de análisis de antivirus de escritorio confiables y exhaustivos.
Su organización desea la protección adicional que puede conseguir con el análisis de bases de datos de buzones de correo.
Su organización ha desarrollado aplicaciones personalizadas con acceso programático a una base de datos de Exchange.
La comunidad de usuarios publica habitualmente mensajes en carpetas públicas.
Las soluciones antivirus que utilizan VSAPI de Exchange se ejecutan directamente en el proceso de almacenamiento de información de Exchange. Las soluciones VSAPI son probablemente las únicas soluciones capaces de proteger contra vectores de ataque que introduzcan contenido infectado en el almacén de información de Exchange a la vez que omiten el análisis estándar de cliente y transporte. Por ejemplo, VSAPI es la única solución que analiza la información enviada a la base de datos por objetos para colaboración de datos (CDO), WebDAV y los servicios Web Exchange. Además, cuando se produce un ataque de virus, una solución VSAPI suele ofrecer la manera más rápida de quitar y eliminar los virus de una base de datos de correo infectada.
Exchange Server y antivirus del sistema de archivos
Si implementa software antivirus para proteger los servidores de Exchange, tenga en cuenta los puntos siguientes:
Debe excluir de la detección antivirus del sistema los directorios del servidor de Exchange en los que se almacenan las bases de datos de carpetas públicas y buzones de correo de Exchange. Para obtener más información, consulte Análisis de antivirus de archivos en Exchange 2010.
Los detectores antivirus del sistema de archivos solo protegen archivos. Para proteger mensajes de correo electrónico, es conveniente implementar productos de seguridad de mensajería o antivirus que estén relacionados con Exchange, por ejemplo MicrosoftForefront, u otros productos de asociados o de terceros. Para obtener más información sobre la protección antivirus y contra correo no deseado, consulte Descripción de la funcionalidad contra correo no deseado y antivirus. Para obtener más información, consulte Forefront Protection 2010 para Exchange Server: información general (posiblemente en inglés).
Para disponer de una protección eficaz, debe mantener al día las firmas de correo no deseado y los antivirus.
Los informes de los antivirus y el software o los servicios contra correo no deseado deben examinarse periódicamente para asegurarse de que la protección esté habilitada y funcione como está previsto, detectar incidencias con rapidez y tomar las medidas oportunas.
Uso de Exchange Hosted Services
El filtrado de virus y correo electrónico no deseado está mejorado o también está disponible como servicio de MicrosoftExchange Hosted Services. Exchange Hosted Services es un conjunto de cuatro servicios hospedados:
Hosted Filtering, que ayuda a las organizaciones a protegerse a sí mismas contra el software malintencionado que circula por el correo electrónico
Hosted Archive, que ayuda a las organizaciones a satisfacer los requisitos legales de conservación de datos
Hosted Encryption, que ayuda a las organizaciones a cifrar datos por cuestiones de confidencialidad
Hosted Continuity, que ayuda a las organizaciones a conservar el acceso al correo electrónico durante y después de interrupciones
Estos servicios se integran con cualquier servidor de Exchange que se administre de manera interna. Para obtener más información, consulte Forefront Online Protection para Exchange (posiblemente en inglés).
Uso del filtrado de datos adjuntos
En Exchange 2010, el filtrado de datos adjuntos permite aplicar filtros en servidores Transporte perimetral para controlar los datos adjuntos que reciben los usuarios. El filtrado de datos adjuntos es cada vez más importante en los entornos actuales, en los que muchos de estos datos contienen virus malintencionados o material inadecuado que pueden causar daños importantes en el equipo del usuario o en la organización provocando daños en documentación importante o haciendo pública información confidencial.
Hay disponibles los siguientes tipos de filtrado de datos adjuntos para controlar los datos adjuntos que entran o salen de la organización a través de un servidor Transporte perimetral:
Filtrado basado en el nombre o la extensión del archivo Se pueden filtrar los datos adjuntos especificando el nombre de archivo exacto o la extensión que se deberá filtrar. Un ejemplo de nombre de archivo exacto es NombredeArchivoMalo.exe. Un ejemplo de extensión del archivo es *.exe.
Filtrado basado en el tipo de contenido MIME del archivo También se pueden filtrar los datos adjuntos especificando el tipo de contenido MIME que se filtrará. Los tipos de contenido MIME indican el tipo de datos adjuntos; si es una imagen JPEG, un archivo ejecutable, un archivo MicrosoftOfficeExcel 2010 u otro tipo de archivo. Los tipos de contenido se expresan como tipo o subtipo. Por ejemplo, el tipo de contenido de imagen JPEG se expresa como image/jpeg.
Si los datos adjuntos coinciden con uno de estos criterios de filtrado, se pueden configurar las siguientes acciones para llevar a cabo con los datos adjuntos.
Bloquear todo el mensaje y los datos adjuntos
Eliminar los datos adjuntos pero dejar pasar el mensaje
Eliminar en silencio el mensaje y los datos adjuntos
Para obtener más información, consulte Descripción del filtrado de datos adjuntos.
Nota
El agente de filtro de datos adjuntos no puede usarse para filtrar datos adjuntos según el contenido. Las reglas de transporte pueden usarse para inspeccionar el contenido del mensaje y los datos adjuntos, así como para ejecutar acciones como eliminar o rechazar el mensaje, o aplicar protección de IRM en el mensaje y los datos adjuntos. Para obtener más información, consulte Descripción de las reglas de transporte.
Filtrado de archivos con Forefront Protection para Exchange Server
La funcionalidad de filtrado de archivos proporcionada por Forefront Protection para Exchange Server incluye características avanzadas no disponibles en el agente de filtro de datos adjuntos que viene incluido en Exchange 2010.
Por ejemplo, los archivos contenedores, que son archivos que contienen otros archivos, se pueden examinar en busca de tipos de archivos infractores. El filtrado de Forefront Protection para Exchange Server puede analizar los siguientes archivos contenedores y actuar en los archivos insertados:
PKZip (.zip)
GNU Zip (.gzip)
Archivos comprimidos autoextraíbles (.zip)
Archivos comprimidos (.zip)
Archivos Java (.jar)
TNEF (winmail.dat)
Almacenamiento estructurado (.doc, .xls, .ppt, etc.)
MIME (.eml)
SMIME (.eml)
UUEncode (.uue)
Archivo de cinta Unix (.tar)
Archivo RAR (.rar)
MACBinary (.bin)
Nota
El agente de filtro de datos adjuntos que se incluye con Exchange 2010 detecta los tipos de archivos, incluso si se les ha cambiado el nombre. El filtrado de datos adjuntos comprueba además que los archivos Zip y LZH comprimidos no contengan datos adjuntos bloqueados mediante una comparación de las extensiones de nombre de archivo con los archivos del archivo Zip o LZH comprimido. El filtrado de archivos de Forefront Protection para Exchange Server tiene además la capacidad de determinar si se ha cambiado el nombre de los datos adjuntos bloqueados en un archivo contenedor.
Además, puede filtrar los archivos por tamaño. Asimismo, puede configurar Forefront Protection para Exchange Server para que ponga en cuarentena los archivos filtrados o para que envíe notificaciones de correo electrónico basadas en las coincidencias del filtro de archivos de Exchange.
Para obtener más información, visite Proteger su organización Microsoft Exchange con Microsoft Forefront Security para Exchange Server (en inglés).
Ejecución de Exchange Best Practices Analyzer
Exchange Best Practices Analyzer es una de las herramientas más efectivas que puede ejecutar de manera regular para ayudarle a comprobar que su entorno Exchange sea seguro. Exchange Best Practices Analyzer examina automáticamente su implementación de Microsoft Exchange y determina si la configuración se ha realizado de acuerdo con las prácticas recomendadas de Microsoft. En Exchange 2010, Exchange Best Practices Analyzer se instala como parte de la configuración de Exchange y puede ejecutarse desde la sección Herramientas de la Consola de administración de Exchange. Con el acceso a redes apropiado, Exchange Best Practices Analyzer examina todos los servidores de Active Directory Domain Services y los servidores de Exchange. Exchange Best Practices Analyzer incluye comprobaciones de herencias de permisos. También realiza pruebas para la validación de permisos de RBAC. Esto incluye pruebas para asegurar que todos los usuarios tengan acceso al Panel de control de Exchange, que todos los roles predeterminados de RBAC creados por el programa de instalación de Exchange estén configurados correctamente y que como mínimo haya una cuenta administrativa en la organización de Exchange.
Uso de los puertos de red y reforzamiento de Firewall
Windows Server 2008 incluye Firewall de Windows con Seguridad avanzada, un firewall de inspección de paquetes con estado habilitado de forma predeterminada. Firewall de Windows con Seguridad avanzada proporciona la funcionalidad siguiente:
Filtrado de todo el tráfico IP versión 4 (IPv4) e IP versión 6 (IPv6) que entra o sale del equipo. De forma predeterminada, todo el tráfico entrante está bloqueado a menos que sea la respuesta a una solicitud saliente anterior desde el equipo (tráfico solicitado) o se permite de manera específica por parte de una regla que se ha creado para autorizar dicho tráfico. Todo el tráfico saliente se permite de forma predeterminada, menos en el caso de reglas de reforzamiento de servicio que impidan a los servicios estándar comunicarse de manera imprevista. Puede optar por permitir el tráfico basado en números de puerto, direcciones IPv4 o IPv6, el nombre y la ruta de acceso de una aplicación, el nombre de un servicio que se ejecuta en el equipo u otros criterios.
Protección del tráfico de red que entra o sale de ordenador mediante el protocolo IPsec para comprobar la integridad del tráfico de red, autenticar la identidad de los usuarios o equipos remitentes o destinatario, así como cifrar el tráfico para proporcionar confidencialidad.
Exchange 2010 se ha diseñado para ejecutarse con Firewall de Windows Server con Seguridad avanzada habilitada. El programa de instalación de Exchange crea las correspondientes reglas de firewall para que los servicios y procesos de Exchange puedan comunicarse. Crea solamente las reglas que se necesitan para los servicios y procesos instalados en un determinado rol de servidor. Para obtener más información sobre las reglas de uso de puertos y firewall creadas para cada rol de servidor de Exchange 2010, consulte Referencia del puerto de red de Exchange.
En Windows Server 2008 y Windows Server 2008 R2, Firewall de Windows con Seguridad avanzada permite especificar el proceso o servicio para el que se abre un puerto. Esta opción es más segura porque restringe el uso del puerto al proceso o servicio especificado en la regla. El programa de instalación de Exchange 2010 crea reglas de firewall con el nombre del proceso especificado. En algunos casos, y por motivos de compatibilidad, se crea una regla adicional que no está restringida al proceso. Puede deshabilitar o quitar las reglas que no están restringidas a los procesos y mantener las reglas correspondientes creadas también por el programa de instalación de Exchange 2010 restringidas a procesos, en el caso de que la implementación lo admita. Las reglas que no están restringidas a procesos se distinguen con la palabra (GFW) en el nombre de regla. Se recomienda realizar pruebas suficientes en las reglas del entorno antes de deshabilitar las reglas que no se restrinjan a un proceso.
En la tabla siguiente se muestran las reglas de Firewall de Windows creadas con el programa de instalación de Exchange, con los puertos que se abren en cada rol de servidor.
Reglas de Firewall de Windows
Nombre de regla | Roles de servidor | Puerto |
---|---|---|
MSExchangeRPCEPMap (GFW) (TCP-In) |
Todos los roles |
RPC-EPMap |
MSExchangeRPC (GFW) (TCP-In) |
Acceso de clientes, Transporte de concentradores, Buzón de correo, Mensajería unificada |
RPC dinámica |
MSExchange - IMAP4 (GFW) (TCP-In) |
Acceso de clientes |
143, 993 (TCP) |
MSExchange - POP3 (GFW) (TCP-In) |
Acceso de clientes |
110, 995 (TCP) |
MSExchange - OWA (GFW) (TCP-In) |
Acceso de clientes |
5075, 5076, 5077 (TCP) |
MSExchangeMailboxReplication (GFW) (TCP-In) |
Acceso de clientes |
808 (TCP) |
MSExchangeIS (GFW) (TCP-In) |
Buzón de correo |
6001, 6002, 6003, 6004 (TCP) |
MSExchangeTransportWorker (GFW) (TCP-In) |
Transporte de concentradores |
25, 587 (TCP) |
SESWorker (GFW) (TCP-In) |
Mensajería unificada |
Cualquiera |
UMService (GFW) (TCP-In) |
Mensajería unificada |
5060, 5061 (TCP) |
UMWorkerProcess (GFW) (TCP-In) |
Mensajería unificada |
5065, 5066, 5067, 5068 |
Importante
Al modificar un puerto predeterminado usado por un servicio de Exchange 2010, también debe modificarse el correspondiente Firewall de Windows con la regla de firewall de Seguridad avanzada para permitir la comunicación sobre el puerto no predeterminado que se decida usar. Exchange 2010 no cambia las reglas de firewall al cambiar los puertos predeterminados que se usan para un servicio.
Parámetros de limitación y directivas de limitación de clientes
Exchange 2010 presenta parámetros de limitación en los roles del servidor Transporte, Acceso de clientes y Buzón de correo para controlar diferentes parámetros de conexiones relacionadas con cada protocolo. Asimismo, Exchange 2010 incluye directivas de limitación de clientes para controlar la carga en servidores de acceso de cliente. Estos parámetros y directivas de limitación permiten controlar la carga y proteger los servidores de Exchange 2010 de los ataques de denegación de servicio dirigidos a diferentes protocolos.
Parámetros de limitación en servidores Transporte
En los servidores Transporte Exchange 2010, los parámetros de limitación de mensajes se implementan en el servidor, así como en los conectores de envío y recepción para controlar velocidades de procesamiento de mensajes, velocidades de conexión SMTP y valores de tiempo de espera de sesión SMTP. Estos parámetros de limitación en su conjunto protegen los servidores de transporte de la saturación al tener que aceptar y distribuir una gran cantidad de mensajes; asimismo, protegen de clientes SMTP no confiables y de ataques de denegación de servicios.
Puede configurar las directivas de limitación siguientes en servidores Transporte de Exchange 2010 que usan el cmdlet Set-TransportServer.
Parámetros de limitación en servidores Transporte
Parámetro | Descripción |
---|---|
MaxConcurrentMailboxDeliveries |
El parámetro MaxConcurrentMailboxDeliveries especifica el número máximo de subprocesos de entrega que el servidor Transporte de concentradores puede tener abiertos al mismo tiempo para entregar mensajes en buzones. El controlador de almacén del servidor Transporte de concentradores es responsable de entregar mensajes a y desde servidores de buzones. Este límite se aplica a la entrega de mensajes a cualquier buzón de la organización de Exchange. Valor predeterminado 20 entregas |
MaxConcurrentMailboxSubmissions |
El parámetro MaxConcurrentMailboxSubmissions especifica el número máximo de subprocesos de entrega que el servidor Transporte de concentradores puede tener abiertos al mismo tiempo para aceptar mensajes de buzones. El controlador de almacén del servidor Transporte de concentradores es responsable de entregar mensajes a y desde servidores de buzones. Este límite se aplica a la aceptación de nuevos mensajes provenientes de cualquier buzón de la organización de Exchange. Valor predeterminado 20 envíos |
MaxConnectionRatePerMinute |
El parámetro MaxConnectionRatePerMinute especifica la velocidad máxima a la que pueden abrirse nuevas conexiones de entrada para el servidor Transporte de concentradores o el servidor Transporte perimetral. Estas conexiones se abren para todos los conectores de recepción que existan en el servidor. Valor predeterminado 1200 conexiones por minuto. |
MaxOutboundConnections |
El parámetro MaxOutboundConnections especifica el número máximo de conexiones salientes simultáneas que el servidor Transporte de concentradores o el servidor Transporte perimetral pueden tener abiertas al mismo tiempo. Las conexiones salientes se producen al utilizar los conectores de envío que existen en el servidor. El valor especificado por el parámetro MaxOutboundConnections se aplica a todos los conectores de envío que hay en el servidor de transporte. Valor predeterminado 1000 conexiones Si escribe un valor ilimitado, no se impone ningún límite en el número de conexiones de salida. Este valor también puede configurarse mediante la EMC. |
MaxPerDomainOutboundConnections |
El parámetro MaxPerDomainOutboundConnections especifica el número máximo de conexiones que un servidor Transporte de concentradores conectado a Internet o un servidor Transporte perimetral pueden tener abiertas para cualquier dominio remoto único. Las conexiones salientes para dominios remotos se producen al utilizar los conectores de envío que existen en el servidor. Valor predeterminado 20 conexiones por dominio. Si escribe un valor ilimitado, no se impone ningún límite en el número de conexiones de salida por dominio. Este valor también puede configurarse mediante la EMC. |
PickupDirectoryMaxMessagesPerMinute |
El MaxPerDomainOutboundConnections parámetro especifica la velocidad de procesamiento de mensajes en los directorios Recogida y Reproducción. Cada directorio puede procesar archivos de mensaje de manera independiente a la velocidad especificada por el parámetro PickupDirectoryMaxMessagesPerMinute. Valor predeterminado De forma predeterminada, el directorio Recogida puede procesar 100 mensajes por minuto y el directorio Reproducción puede procesar simultáneamente 100 mensajes por minuto. Los directorios Recogida y Reproducción examinan nuevos archivos de mensaje cada 5 segundos o 12 veces por minuto. Este intervalo de sondeo de 5 segundos no se puede configurar. Esto significa que el número máximo de mensajes que se pueden procesar durante cada intervalo de sondeo tiene el valor que se ha asignado al parámetro PickupDirectoryMaxMessagesPerMinute dividido entre 12 (PickupDirectoryMaxMessagesPerMinute/12). De forma predeterminada, solo se pueden procesar un máximo de ocho mensajes en cada intervalo de sondeo de 5 segundos. |
Parámetros de limitación en conectores de envío
Los parámetros de limitación siguientes están disponibles en los conectores de envío. Use el cmdlet Send-Connector para configurar estos parámetros.
Parámetros de limitación de conectores de envío
Parámetro | Descripción |
---|---|
ConnectionInactivityTimeOut |
El parámetro ConnectionInactivityTimeOut especifica el tiempo máximo que puede permanecer inactiva una conexión SMTP con un servidor de mensajería de destino antes de que se cierre la conexión. Valor predeterminado 10 minutos. |
SmtpMaxMessagesPerConnection |
El parámetro SmtpMaxMessagesPerConnection especifica el número máximo de mensajes que este servidor de conector de envío puede enviar por conexión. Valor predeterminado 20 mensajes |
Parámetros de limitación en conectores de recepción
Puede configurar los parámetros de limitación siguientes en conectores de recepción en servidores Transporte de Exchange 2010 con el fin de controlar parámetros de conexión como los tiempos de espera de inactividad, el número máximo de conexiones y el número de errores de protocolo SMTP que se permiten durante una conexión. Use el cmdlet Set-ReceiveConnector para configurar estor parámetros.
Parámetros de limitación de conectores de recepción
Parámetro | Descripción |
---|---|
ConnectionInactivityTimeOut |
El parámetro ConnectionInactivityTimeOut especifica el tiempo máximo que puede permanecer inactiva una conexión SMTP con un servidor de mensajería de origen antes de que se cierre la conexión. Valor predeterminado en servidores Transporte de concentradores 5 minutos. Valor predeterminado en servidores Transporte perimetral 1 minuto. |
ConnectionTimeOut |
El parámetro ConnectionTimeOut especifica el tiempo máximo que puede permanecer abierta una conexión SMTP con un servidor de mensajería de origen, incluso aunque el servidor de mensajería de origen esté transmitiendo datos. Valor predeterminado en servidores Transporte de concentradores 10 minutos. Valor predeterminado en servidores Transporte perimetral 5 minutos. El valor especificado por el parámetro ConnectionTimeout debe ser mayor que el valor especificado por el parámetro ConnectionInactivityTimeout. |
MaxInboundConnection |
El parámetro MaxInboundConnection especifica el número máximo de conexiones SMTP entrantes que permite este conector de recepción al mismo tiempo. Valor predeterminado 5000. |
MaxInboundConnectionPercentagePerSource |
El parámetro MaxInboundConnectionPercentagePerSource especifica el número máximo de conexiones SMTP que permite un conector de recepción al mismo tiempo desde un único servidor de mensajería de origen. El valor se expresa como el porcentaje de conexiones restantes disponibles en un conector de recepción. El número máximo de conexiones que permite el conector de recepción se define con el parámetro MaxInboundConnection. Valor predeterminado 2 por ciento. |
MaxInboundConnectionPerSource |
El parámetro MaxInboundConnectionPerSource especifica el número máximo de conexiones SMTP que permite un conector de recepción al mismo tiempo desde un único servidor de mensajería de origen. Valor predeterminado 100 conexiones. |
MaxProtocolErrors |
El parámetro MaxProtocolErrors especifica el número máximo de errores de protocolo SMTP que un conector de recepción permite antes de cerrar la conexión con el servidor de mensajería de origen. Valor predeterminado 5 errores. |
Parámetros de limitación para el servicio POP3
Los parámetros de limitación siguientes están disponibles para el servicio POP3 de MicrosoftExchange en los servidores de acceso de cliente. Use el cmdlet Set-POPSettings para configurar estos parámetros. Para obtener más información, consulte Establecer límites de conexión para POP3.
Parámetros de limitación del servicio POP3
Parámetro | Descripción |
---|---|
MaxCommandSize |
El parámetro MaxCommandSize especifica el tamaño máximo de un único comando. Los valores posibles van de 40 a 1024 bytes. Valor predeterminado 40 bytes. |
MaxConnectonFromSingleIP |
El parámetro MaxConnectionFromSingleIP especifica el número de conexiones de una sola dirección IP que acepta el servidor especificado. Los valores admitidos van de 1 a 25 000. Valor predeterminado 2000 conexiones. |
MaxConnections |
El parámetro MaxConnections especifica el número total de conexiones que acepta el servidor especificado. Se incluyen en este número tanto las conexiones autenticadas como las que no lo están. Los valores admitidos van de 1 a 25 000. Valor predeterminado 2000 conexiones |
MaxConnectionsPerUser |
El parámetro MaxConnectionsPerUser especifica el número máximo de conexiones de un usuario particular que acepta el servidor de acceso de cliente. Los valores admitidos van de 1 a 25 000. Valor predeterminado 16 conexiones |
PreAuthenticationConnectionTimeOut |
El parámetro PreAuthenticatedConnectionTimeout especifica el tiempo que debe transcurrir antes de cerrar una conexión inactiva que no está autenticada. Los valores admitidos van de 10 a 3600 segundos. Valor predeterminado 60 segundos. |
Parámetros de limitación para el servicio IMAP4
Los parámetros de limitación siguientes están disponibles para el servicio IMAP4 de MicrosoftExchange en los servidores de acceso de cliente. Use el cmdlet Set-IMAPSettings para configurar estos parámetros. Para obtener más información, consulte Establecer los límites de conexión para IMAP4.
Parámetros de limitación de servicios IMAP4
Parámetro | Descripción |
---|---|
AuthenticationConnectionTimeOut |
El parámetro AuthenticatedConnectionTimeout especifica el período de tiempo que debe transcurrir antes de cerrar una conexión autenticada inactiva. Los valores admitidos van de 30 a 86 400 segundos. Valor predeterminado 1800 segundos. |
MaxCommandSize |
El parámetro MaxCommandSize especifica el tamaño máximo de un único comando. El tamaño predeterminado es de 40 bytes. Los valores posibles van de 40 a 1024 bytes. Valor predeterminado 40 bytes. |
MaxConnectionFromSingleIP |
El parámetro MaxConnectionFromSingleIP especifica el número de conexiones de una sola dirección IP que acepta el servidor especificado. Los valores admitidos van de 1 a 25 000. Valor predeterminado 2000 conexiones. |
MaxConnections |
El parámetro MaxConnections especifica el número total de conexiones que acepta el servidor especificado. Se incluyen en este número tanto las conexiones autenticadas como las que no lo están. Los valores admitidos van de 1 a 25 000. Valor predeterminado 2000 conexiones. |
MaxConnectionsPerUser |
El parámetro MaxConnectionsPerUser especifica el número máximo de conexiones de un usuario particular que acepta el servidor de acceso de cliente. Los valores admitidos van de 1 a 25 000. Valor predeterminado 16 conexiones |
PreAuthenticatedConnectionTimeOut |
El parámetro PreAuthenticatedConnectionTimeout especifica el tiempo que debe transcurrir antes de cerrar una conexión inactiva que no está autenticada. Los valores admitidos van de 10 a 3600 segundos. Valor predeterminado 60 segundos. |
Directivas de limitación de clientes
En Exchange 2010, puede usar las directivas de limitación de clientes para administrar el rendimiento del servidor de acceso de cliente controlando parámetros como la cantidad de conexiones simultáneas para cada protocolo de acceso de cliente, el porcentaje de tiempo que una sesión de cliente puede usar para ejecutar operaciones LDAP, operaciones RPC y operaciones de acceso de cliente. Existe una directiva de limitación predeterminada de clientes que, en general, es suficiente para controlar la carga que soportan los servidores de acceso de cliente. Los parámetros de la directiva predeterminada pueden modificarse, así como crear directivas personalizadas que se adecuen a los requisitos de cada implementación.
Los siguientes grupos de usuarios y métodos de acceso disponen de las directivas de limitación siguientes:
Acceso anónimo
Acceso entre sitios (CPA)
Exchange ActiveSync (EAS)
Servicios Web Exchange (EWS)
IMAP
POP
Outlook Web App (OWA)
Acceso de cliente RPC (RCA)
Las configuraciones de limitación siguientes están disponibles en directivas de limitación de clientes para cada uno de estos grupos de usuarios (acceso anónimo y CPA) y métodos de acceso (EAS, EWS, IMAP, OWA, POP y RCA).
Configuración directivas de limitación de clientes
Configuración de limitación | Acceso anónimo | CPA | EAS | EWS | IMAP | OWA | POP | RCA |
---|---|---|---|---|---|---|---|---|
Simultaneidad máxima |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
Porcentaje de tiempo en AD |
Sí |
N A |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
Porcentaje de tiempo en CAS |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
Porcentaje de tiempo en RPC de buzones |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
CPA Acceso entre sitios
EAS Exchange ActiveSync
EWS Servicios Web Exchange
OWA Outlook Web App
Además de esta configuración de limitación a partir de grupos de usuarios y métodos de acceso, en una directiva de limitación de clientes puede haber las configuraciones de limitación siguientes.
Parámetros de directivas de limitación de clientes
Parámetro | Descripción |
---|---|
CPUStartPercent |
El parámetro CPUStartPercent especifica el porcentaje de CPU por proceso en el que se comienza a interrumpir a los usuarios regidos por esta directiva. Los valores válidos van de 0 a 100. Utilice $null para desactivar la limitación basada en el porcentaje de la CPU para esta directiva. |
EASMaxDeviceDeletesPerMonth |
El parámetro EASMaxDeviceDeletesPerMonth especifica un límite al número de asociaciones de Exchange ActiveSync que puede eliminar un usuario cada mes. De forma predeterminada, los usuarios pueden eliminar un máximo de 20 asociaciones cada mes natural. Cuando se alcanza el límite, el intento de eliminación de asociación genera un error y se muestra un mensaje de error. |
EASMaxDevices |
El parámetro EASMaxDevices especifica un límite al número de asociaciones de Exchange ActiveSync que puede eliminar un usuario de forma simultánea. De forma predeterminada, cada usuario puede crear 10 asociaciones de Exchange ActiveSync con su cuenta de Exchange. Después de que un usuario supere el límite, debe eliminar una de sus asociaciones existentes antes de poder crear otra asociación nueva. Cuando se sobrepase el límite, el usuario recibe un mensaje de correo electrónico de error que describe la limitación. Además, se registra un evento en el registro de aplicación cuando un usuario supera el límite. |
EWSFastSearchTimeOutInSeconds |
El parámetro EWSFastSearchTimeoutInSeconds especifica la cantidad de tiempo durante el cual las búsquedas efectuadas mediante los servicios Web Exchange continúan antes de que termine el tiempo de espera. Si la búsqueda tarda más tiempo del indicado por el valor de la directiva, la búsqueda se detiene y se devuelve un error. El valor predeterminado de esta configuración es de 60 segundos. |
EWSFindCountLimit |
El parámetro EWSFindCountLimit especifica el tamaño máximo del resultado de las llamadas de FindItem o FindFolder que puedan existir en la memoria en el servidor de acceso de cliente al mismo tiempo para este usuario en el proceso actual. Si se intenta encontrar más elementos o carpetas de los que permite el límite de la directiva, se genera un error. Sin embargo, el límite no se aplica de forma estricta si se hace la llamada en el contexto de una vista de página con índice. Concretamente, en esta situación, los resultados de búsqueda quedan truncados para incluir el número de elementos y carpetas que se ajustan al límite de la directiva. Después puede continuar hojeando los resultados establecidos mediante las llamadas de FindItem o FindFolder. |
EWSMaxSubscriptions |
El parámetro EWSMaxSubscriptions especifica el número máximo de suscripciones de inserción y de extracción activas que puede tener un usuario en un servidor de acceso de cliente específico al mismo tiempo. Si un usuario intenta crear más suscripciones que el máximo configurado, la suscripción no es válida y se registra un evento en el Visor de eventos. |
ExchangeMaxCmdlets |
El parámetro ExchangeMaxCmdlets especifica el número de cmdlets que se pueden ejecutar en un período de tiempo específico antes de que su ejecución se ralentice. El valor especificado por este parámetro debe ser inferior al valor especificado por el PowerShellMaxCmdlets parameter. El período de tiempo que se usa para este límite se especifica mediante el parámetro PowerShellMaxCmdletsTimePeriod. Se recomienda establecer valores para ambos parámetros al mismo tiempo. |
ForwardeeLimit |
El parámetro ForwardeeLimit especifica los límites para el número de destinatarios que se pueden configurar en Reglas de Bandeja de entrada al usar la acción de reenviar o redirigir. Este parámetro no limita el número de mensajes que se pueden reenviar o redirigir a los destinatarios que están configurados. |
MessageRateLimit |
El parámetro MessageRateLimit especifica el número de mensajes por minuto que se pueden enviar al transporte. Respecto a los mensajes enviados a través del rol de servidor Buzón de correo (Outlook Web App, Exchange ActiveSync o servicios Web Exchange), los mensajes se aplazan hasta que la cuota del usuario está disponible. Más concretamente, los mensajes aparecen en la carpeta Buzón de salida o Borrador durante largos períodos de tiempo cuando los usuarios envían mensajes a un ritmo superior al del parámetro MessageRateLimit. En el caso de los clientes POP o IMAP que envían mensajes directamente al transporte mediante SMTP, los clientes reciben un error transitorio si efectúan envíos a una velocidad que supera el parámetro MessageRateLimit. Exchange intenta conectarse y enviar los mensajes posteriormente. |
PowerShellMaxCmdletQueueDepth |
El parámetro PowerShellMaxCmdletQueueDepth especifica el número de operaciones permitidas que el usuario puede ejecutar. Este valor afecta directamente al comportamiento de los parámetros PowerShellMaxCmdlets y PowerShellMaxConcurrency. Por ejemplo, el parámetro PowerShellMaxConcurrency consume al menos dos operaciones definidas por el parámetro PowerShellMaxCmdletQueueDepth, pero las operaciones adicionales también se consumen según la ejecución de cmdlet. El número de operaciones depende de los cmdlets que se ejecutan. Se recomienda que el valor del parámetro PowerShellMaxCmdletQueueDepth sea al menos tres veces superior al valor del parámetro PowerShellMaxConcurrency parameter. Este parámetro no afectará a las operaciones del Panel de control de Exchange ni a las operaciones de los servicios Web Exchange. |
PowerShellMaxCmdlets |
El parámetro PowerShellMaxCmdlets especifica el número de cmdlets que se pueden ejecutar en un período de tiempo específico antes de que su ejecución se detenga. El valor especificado por este parámetro debe ser superior al valor especificado por el parámetro ExchangeMaxCmdlets. El período de tiempo que se usa para este límite se especifica mediante el parámetro PowerShellMaxCmdletsTimePeriod. Ambos valores se deben establecer al mismo tiempo. |
PowerShellMaxCmdletsTimePeriod |
El parámetro PowerShellMaxCmdletsTimePeriod especifica el período de tiempo, en segundos, que la directiva de limitación usa para determinar si el número de cmdlets que se están ejecutando supera los límites especificados por los parámetros PowerShellMaxCmdlets y ExchangeMaxCmdlets. |
PowerShellMaxConcurrency |
El parámetro PowerShellMaxConcurrency especifica información diferente según el contexto: En el contexto de PowerShell remoto, el parámetro PowerShellMaxConcurrency especifica el número máximo de sesiones de PowerShell remoto que un usuario de PowerShell remoto puede tener abiertas al mismo tiempo. En el contexto de los servicios Web Exchange, el parámetro PowerShellMaxConcurrency especifica el número de ejecuciones simultáneas de cmdlet que un usuario puede tener al mismo tiempo. El valor de este parámetro no se relaciona necesariamente con el número de navegadores abiertos por el usuario. |
RecipientRateLimit |
El parámetro RecipientRateLimit especifica los límites en el número de destinatarios que un usuario puede tratar en un período de 24 horas. |
Para obtener más información sobre directivas de limitación de Exchange 2010, consulte Descripción de las directivas de limitación de peticiones de clientes.
Control de acceso basado en roles
El control de acceso basado en roles o RBAC es el nuevo modelo de permisos de Exchange 2010 con el que se controla, de forma general y particular, lo que pueden hacer administradores y usuarios. Con RBAC ya no es necesario modificar las listas de control de acceso en los objetos Active Directory como las unidades organizativas y los contenedores para posibilitar la delegación individual de permisos a grupos como los operadores del departamento de soporte técnico o para funciones como la administración de destinatarios. Active Directory
Para obtener más información, consulte Descripción del control de acceso basado en funciones. Si desea obtener una lista de los roles de administración predeterminados de RBAC que se incluyen en Exchange 2010, consulte Funciones integradas de administración. Para obtener una lista de los grupos de roles predeterminados, consulte Grupos de funciones integradas.
Los grupos de roles creados por el programa de instalación de Exchange 2010 o por usted se crean en Active Directory como grupos de seguridad universal en las unidades organizativas de grupos de seguridad de MicrosoftExchange. Puede agregar miembros a un grupo de roles mediante el cmdlet New-RoleGroupMember o mediante el Panel de control de Exchange. Al agregar un miembro a un grupo de roles, el usuario o el grupo se incorporan al correspondiente grupo de seguridad de Active Directory. Puede usar una directiva de grupo restringido para restringir la pertenencia a grupos de roles de RBAC importantes, por ejemplo Administración de detección. Al implementar una directiva de grupo restringido, los controladores de dominio de Active Directory supervisan la pertenencia al grupo y los usuarios no incluidos en la directiva se quitan automáticamente.
Importante
Si se usan los grupos restringidos para restringir la pertenencia a grupo para grupos de roles de RBAC, los cambios que se efectúen en un grupo de roles mediante las herramientas de Exchange 2010 deben aplicarse también a la directiva de grupo restringido en Active Directory. Para obtener más información, consulte Configuración de la seguridad de las directivas de grupo (en inglés).
Active Directory
Exchange Server almacena datos de configuración en la partición de configuración y datos de destinatarios en la partición de dominio de Active Directory Domain Services. Para obtener más información sobre los permisos que se necesitan para configurar una organización de Exchange 2010, consulte Referencia de permisos de implementación de Exchange 2010. La comunicación con los controladores de dominios de Active Directory se asegura mediante la autenticación y el cifrado de Kerberos.
Exchange 2010 proporciona un nuevo nivel de autorización de Exchange, denominado control de acceso basado en roles (RBAC), en lugar de solicitar entradas de control de acceso (ACE) para cada cuenta que precise los correspondientes permisos. En versiones anteriores de Microsoft Exchange, el programa de instalación de Exchange se basaba en las ACE en Active Directory para que los administradores de Exchange pudieran administrar objetos en la partición de dominio. Los administradores de Exchange tienen la capacidad de realizar determinadas operaciones en un determinado ámbito mediante RBAC. El servidor de Exchange ejecuta las acciones autorizadas en nombre del administrador o los usuarios mediante los permisos concedidos en Active Directory mediante los grupos de seguridad Permisos de ExchangeWindows y Subsistemas de confianza de Exchange. Para obtener más información acerca de RBAC, consulte Descripción del control de acceso basado en funciones.
En Exchange 2010, /PrepapareDomain no solicita las ACE para el grupo de seguridad universal Permisos de ExchangeWindows del contenedor AdminSDHolder en Active Directory. Si /PrepareDomain detecta que hay ACE concedidas al grupo de seguridad universal Permisos de ExchangeWindows, las ACE se quitan. Esto tiene las repercusiones siguientes:
Los miembros del grupo de seguridad universal Permisos de ExchangeWindows no pueden modificar la pertenencia al grupo de los grupos de seguridad protegidos como Administradores de empresa y Administradores de dominio. Esto tiene las repercusiones siguientes:
Los miembros del grupo de seguridad universal Permisos de ExchangeWindows no pueden forzar el restablecimiento de contraseña de una cuenta que esté protegida por AdminSDHolder.
Los miembros del grupo de seguridad universal Permisos de ExchangeWindows no pueden alterar los permisos de ningún grupo ni cuenta que estén protegidos por AdminSDHolder.
Se recomienda no habilitar para buzón las cuentas protegidas por AdminSDHolder y mantener cuentas independientes para los administradores de Active Directory: una cuenta para administración de Active Directory, y otra para el uso cotidiano normal, incluido el correo electrónico. Para obtener más información, consulte los siguientes temas:
Descripción y actualización del objeto AdminSDHolder de Active Directory
Exchange 2010 y resolución del problema de elevación de AdminSDHolder (posiblemente en inglés)
Cuentas de servidores de Exchange
El programa de instalación de Exchange 2010 crea una nueva unidad organizativa en el dominio raíz denominada Grupos de seguridad de MicrosoftExchange. En la tabla siguiente se muestran los nuevos grupos de seguridad universal.
Grupos de seguridad de Microsoft Exchange
Grupo de seguridad | Descripción |
---|---|
Exchange All Hosted Organizations |
Este grupo contiene todos los grupos de buzones de correo de la organización hospedados de Exchange. Se usa para aplicar objetos de configuración de contraseña a todos los buzones de correo hospedados. Este grupo no debe eliminarse. |
Servidores de Exchange |
Esto incluye todos los servidores de Exchange. Este grupo no debe eliminarse. Se recomienda encarecidamente abstenerse de realizar cambios de pertenencia a grupo en este grupo. |
Subsistema de confianza de Exchange |
Este grupo contiene servidores de Exchange que ejecutan cmdlets de Exchange en nombre de los usuarios mediante un servicio de administración. Sus miembros tendrán permiso para leer y modificar toda la configuración de Exchange, además de los grupos y las cuentas de usuario. Este grupo no debe eliminarse. |
Exchange Permisos de Windows |
Este grupo contiene servidores de Exchange que ejecutan cmdlets de Exchange en nombre de los usuarios mediante un servicio de administración. Sus miembros tendrán permiso para leer y modificar todos los grupos y las cuentas de Windows. Este grupo no debe eliminarse. Se recomienda encarecidamente abstenerse de realizar cambios de pertenencia a grupo en este grupo; asimismo, se recomienda supervisar la pertenencia a grupos. |
ExchangeLegacyInterop |
Este grupo sirve para interoperar con servidores de Exchange 2003 en el mismo bosque. Este grupo no debe eliminarse. |
Además de estos grupos de seguridad, el programa de instalación crea los grupos de seguridad siguientes, que corresponden a grupos de roles de RBAC con el mismo nombre.
Grupos de seguridad que corresponden a grupos de roles de RBAC
Grupo de seguridad | Grupo de roles de RBAC |
---|---|
Configuración delegada |
|
Administración de detección |
|
Help Desk |
|
Administración de higiene |
|
Administración de la organización |
|
Administración de carpetas públicas |
|
Administración de destinatarios |
|
Administración de registros |
|
Administración de servidor |
|
Administración de mensajería unificada |
|
View-Only Organization Management |
Asimismo, al crear un grupo de roles, Exchange 2010 crea un grupo de seguridad con el mismo nombre que el grupo de roles. Para obtener más información, consulte los siguientes temas:
Los usuarios se agregan o quitan de estos grupos de seguridad cuando se agregan o quitan usuarios de grupos de roles mediante los cmdlets Add-RoleGroupMember o Remove-RoleGroupMember, o bien con el Editor de usuarios de control de acceso basado en roles (RBAC) en el Panel de control de Exchange.
Sistema de archivos
El programa de instalación de Exchange 2010 crea directorios con los permisos mínimos para que Exchange 2010 pueda funcionar. No se recomienda reforzar los permisos en las listas de control de acceso de los directorios creados por el programa de instalación.
Servicios
El programa de instalación de Exchange 2010 no deshabilita de forma predeterminada ningún servicio de Windows. En la tabla siguiente aparecen los servicios que están habilitados de forma predeterminada en cada rol de servidor. De forma predeterminada, solo están habilitados los servicios necesarios para que funcione un determinado rol de servidor de Exchange 2010.
Servicios instalados por el programa de instalación de Exchange
Nombre del servicio | Nombre corto del servicio | Contexto de seguridad | Descripción y dependencias | Tipo de inicio predeterminado | Roles de servidor | Necesario (R) u opcional (O) |
---|---|---|---|---|---|---|
Microsoft Exchange Topología de Active Directory |
MSExchangeADTopology |
Sistema local |
Proporciona información de topología de Active Directory a los servicios de Exchange. Si el servicio se detiene, la mayor parte de los servicios de Exchange no podrá iniciarse. Este servicio no tiene dependencias. |
Automático |
Buzón de correo, Transporte de concentradores, Acceso de clientes, Mensajería unificada |
R |
ADAM de Microsoft Exchange |
ADAM_MSExchange |
Servicio de red |
Almacena datos de configuración y datos de destinatarios en el servidor Transporte perimetral. Este servicio representa la instancia con nombre de Active Directory Lightweight Directory Service (AD LDS) que crea automáticamente el programa de instalación durante la instalación del servidor Transporte perimetral. Este servicio depende del servicio Sistema de evento COM+. |
Automático |
Transporte perimetral |
R |
Libreta de direcciones de Microsoft Exchange |
MSExchangeAB |
Sistema local |
Administra las conexiones de libretas de direcciones de clientes. Este servicio depende del servicio de topología de Microsoft Exchange Active Directory. |
Automático |
Acceso de clientes |
R |
Actualización contra correo electrónico no deseado de Microsoft Exchange |
MSExchangeAntispamUpdate |
Sistema local |
Proporciona MicrosoftForefront Protection 2010 para el servicio de actualización de correo electrónico no deseado de Exchange Server. En servidores Transporte de concentradores, este servicio depende del servicio de topología de Microsoft Exchange Active Directory. En los servidores Transporte perimetral, este servicio depende del servicio ADAM de Microsoft Exchange. |
Automático |
Transporte de concentradores, Transporte perimetral |
O |
Servicio de credenciales de Microsoft Exchange |
MSExchangeEdgeCredential |
Sistema local |
Supervisa los cambios de credenciales en AD LDS e instala los cambios en el servidor Transporte perimetral. Este servicio depende del servicio ADAM de Microsoft Exchange. |
Automático |
Transporte perimetral |
R |
EdgeSync de Microsoft Exchange |
MSExchangeEdgeSync |
Sistema local |
Se conecta a una instancia de AD LDS en los servidores Transporte perimetral suscritos mediante un canal LDAP seguro para sincronizar datos entre un servidor Transporte de concentradores y un servidor Transporte perimetral. Este servicio depende del servicio de topología de Microsoft Exchange Active Directory. Este servicio se podrá deshabilitar si no hay suscripciones perimetrales configuradas. |
Automático |
Transporte de concentradores |
O |
Distribución de archivos de Microsoft Exchange |
MSExchangeFDS |
Sistema local |
Distribuye libretas de direcciones sin conexión (OAB) y avisos personalizados de mensajería unificada. Este servicio depende de los servicios de topología y estación de trabajo de Microsoft ExchangeActive Directory. |
Automático |
Acceso de cliente, Mensajería unificada |
R |
Autenticación basada en formularios de Microsoft Exchange |
MSExchangeFBA |
Sistema local |
Proporciona autenticación basada en formularios a Outlook Web App y al Panel de control de Exchange. Si se detiene este servicio, Outlook Web App y el Panel de control de Exchange no autenticarán a los usuarios. Este servicio no tiene dependencias. |
Automático |
Acceso de clientes |
R |
IMAP4 de Microsoft Exchange |
MSExchangeIMAP4 |
Servicio de red |
Proporciona servicios IMAP4 a clientes. Si se detiene este servicio, los clientes no podrán conectarse a este equipo mediante el protocolo IMAP4. Este servicio depende del servicio de topología de Microsoft Exchange Active Directory. |
Manual |
Acceso de clientes |
O |
Almacén de información de Microsoft Exchange |
MSExchangeIS |
Sistema local |
Administra el Almacén de información de Exchange. Incluye bases de datos de buzones de correo y de carpetas públicas. Si se detiene este servicio, no estarán disponibles las bases de datos de buzones de correo y de carpetas públicas en este equipo. Si se deshabilita este servicio, no se podrán iniciar los servicios que dependan explícitamente de él. Este servicio depende de los servicios RPC, Servidor, Registro de eventos de Windows y Estación de trabajo. |
Automático |
Buzón de correo |
R |
Servicio de entrega de correo de Microsoft Exchange |
MSExchangeMailSubmission |
Sistema local |
Envía mensajes de un servidor de buzones de correo a un servidor Transporte de concentradores de Exchange 2010. Este servicio depende del servicio de topología de Microsoft Exchange Active Directory. |
Automático |
Buzón de correo |
R |
Asistentes de buzón de Microsoft Exchange |
MSExchangeMailboxAssistants |
Sistema local |
Realiza el procesamiento en segundo plano de los buzones en el almacén de Exchange. Este servicio depende del servicio de topología de Microsoft Exchange Active Directory. |
Automático |
Buzón de correo |
R |
Servicio de replicación de buzones de Microsoft Exchange |
MSExchangeMailboxReplication |
Sistema local |
Procesa los movimientos de buzón y las solicitudes de movimiento. Este servicio depende del servicio de topología y del servicio de uso compartido de puertos Net.Tcp de Microsoft Exchange Active Directory. |
Automático |
Acceso de clientes |
O |
Supervisión de Microsoft Exchange |
MSExchangeMonitoring |
Sistema local |
Permite que las aplicaciones llamen a los cmdlets de diagnóstico de Exchange. Este servicio no tiene dependencias. |
Manual |
Todos |
O |
Microsoft Exchange POP3 |
MSExchangePOP3 |
Servicio de red |
Proporciona el servicio POP3 a clientes. Si se detiene este servicio, los clientes no podrán conectarse a este equipo mediante el protocolo POP3. Este servicio depende del servicio de topología de Microsoft Exchange Active Directory. |
Manual |
Acceso de clientes |
O |
Microsoft Exchange Protected Service Host |
MSExchangeProtectedServiceHost |
Sistema local |
Proporciona un host para varios servicios de Exchange que deben protegerse de otros servicios. Este servicio depende del servicio de topología de Microsoft Exchange Active Directory. |
Automático |
Transporte de concentradores, Acceso de clientes |
R |
Servicio de replicación de Microsoft Exchange |
MSExchangeRepl |
Sistema local |
Proporciona funciones de replicación para bases de datos de buzones de correo que estén en servidores Buzones de correo de un grupo de disponibilidad de base de datos (DAG). Este servicio depende del servicio de topología de Microsoft Exchange Active Directory. |
Automático |
Buzón de correo |
O |
Acceso de cliente RPC de Microsoft Exchange |
MSExchangeRPC |
Servicio de red |
Administra las conexiones RPC cliente de Exchange. Este servicio depende del servicio de topología de Microsoft Exchange Active Directory. |
Automático |
Buzón de correo, Acceso de clientes |
O (Buzón de correo), R (Acceso de clientes) |
Indizador de búsqueda de Microsoft Exchange |
MSExchangeSearch |
Sistema local |
Dirige la indización del contenido del buzón, lo cual mejora el rendimiento de la búsqueda de contenido. Este servicio depende de los servicios de topología Microsoft ExchangeActive Directory y búsqueda de Microsoft (Exchange Server). |
Automático |
Buzón de correo |
O |
Extensión de Microsoft Exchange Server para Copias de seguridad de Windows Server |
WSBExchange |
Sistema local |
Permite a los usuarios de Copias de seguridad de Windows Server realizar copias de seguridad de los datos de Microsoft Exchange y recuperarlos. Este servicio no tiene dependencias. |
Manual |
Buzón de correo |
O |
Host de servicio de Microsoft Exchange |
MSExchangeServiceHost |
Sistema local |
Proporciona un host para varios servicios de Exchange. En roles de servidor internos, este servicio depende del servicio de topología de Microsoft Exchange Active Directory. En los servidores Transporte perimetral, este servicio depende del servicio ADAM de Microsoft Exchange. |
Automático |
Todos |
R |
Motor de voz de Microsoft Exchange |
MSSpeechService |
Servicio de red |
Proporciona servicios de procesamiento de voz para mensajería unificada. Este servicio depende del servicio Instrumental de administración (WMI) de Windows. |
Automático |
Mensajería unificada |
R |
Operador de sistema de Microsoft Exchange |
MSExchangeSA |
Sistema local |
Reenvía búsquedas en directorio a un servidor de catálogo global para clientes de Outlook heredado, genera direcciones de correo electrónico y libretas de direcciones sin conexión, actualiza la información de disponibilidad de clientes heredados y mantiene los permisos y las pertenencias a grupos del servidor. Si se deshabilita este servicio, no se podrán iniciar los servicios que dependan explícitamente de él. Este servicio depende de los servicios RPC, Servidor, Registro de eventos de Windows y Estación de trabajo. |
Automático |
Buzón de correo |
R |
Limitación de peticiones de Microsoft Exchange |
MSExchangeThrottling |
Servicio de red |
Limita la tasa de operaciones de usuario. Este servicio depende del servicio de topología de Microsoft Exchange Active Directory. |
Automático |
Buzón de correo |
R |
Transporte de Microsoft Exchange |
MSExchangeTransport |
Servicio de red |
Proporciona un servidor SMTP y una pila de transporte. En servidores Transporte de concentradores, este servicio depende del servicio de topología de Microsoft Exchange Active Directory. En los servidores Transporte perimetral, este servicio depende del servicio ADAM de Microsoft Exchange. |
Automático |
Transporte de concentradores, Transporte perimetral |
R |
Búsqueda de registro de transporte Microsoft Exchange |
MSExchangeTransportLogSearch |
Sistema local |
Proporciona la capacidad de búsqueda remota para los archivos de registro de transporte de Microsoft Exchange. En servidores Transporte de concentradores, este servicio depende del servicio de topología de Microsoft Exchange Active Directory. En los servidores Transporte perimetral, este servicio depende del servicio ADAM de Microsoft Exchange. |
Automático |
Transporte de concentradores, Buzón de correo, Transporte perimetral |
O |
Mensajería unificada de Microsoft Exchange |
MSExchangeUM |
Sistema local |
Habilita características de mensajería unificada de Microsoft Exchange. Esto permite que los mensajes de voz y fax se almacenen en Exchange y proporciona a los usuarios acceso telefónico a correo electrónico, correo de voz, calendario, contactos u operadores automáticos. Si se detiene este servicio, la mensajería unificada no estará disponible. Este servicio depende del servicio de topología de Microsoft ExchangeActive Directory y del servicio de motor de voz de Microsoft Exchange. |
Automático |
Mensajería unificada |
R |
Búsqueda de Microsoft (Exchange Server) |
msftesql-Exchange |
Sistema local |
Es una versión personalizada para Microsoft Exchange de Búsqueda de Microsoft. Este servicio depende del servicio RPC. |
Manual |
Transporte de concentradores, Buzón de correo |
O |
Certificados
El programa de instalación de Exchange 2010 crea certificados autofirmados para asegurar las comunicaciones entre distintos protocolos, por ejemplo HTTP, SMTP, POP3 e IMAP4. Los certificados autofirmados creados por el programa de instalación tienen una validez de cinco años. De este modo, no hace falta renovar los certificados autofirmados durante una parte considerable de una implementación de Exchange 2010 y la expiración de los certificados autofirmados no afecta a los servicios de mensajería.
En el caso de los protocolos y mecanismos de acceso de clientes externos, por ejemplo Outlook Web App, POP3, IMAP4, Outlook Anywhere y Detección automática, se recomienda lo siguiente:
Usar certificados firmados por una entidad de certificación comercial de confianza entre los clientes que tienen acceso a esos servicios.
Usar el nuevo Asistente para certificados de Exchange o el cmdlet New-ExchangeCertificate para crear solicitudes de firma para entidades de certificación comerciales. Las solicitudes de certificado que se generan con estas herramientas aseguran que se cumplan todos los requisitos de certificado de Exchange.
Tenga en cuenta los requisitos de certificado en cada protocolo o servicio para el que desea permitir el acceso de clientes externos.
En los servidores de acceso de clientes, los certificados se usan para proteger el tráfico de HTTP (Outlook Anywhere, Outlook Web App, AutoDiscover, Exchange ActiveSync y servicios Web Exchange) mediante Capa de sockets seguros (SLL), y el tráfico de POP3 e IMAP4 mediante SSL o Seguridad de la capa de transporte (TLS). Para obtener más información, consulte Administrar SSL para un servidor de Acceso de cliente.
En el caso de los servidores Transporte, los certificados se usan para proteger el tráfico de SMTP mediante TLS. Para obtener más información, consulte Descripción de los certificados TLS.
En el caso de los servidores Mensajería unificada, los certificados se usan para proteger el tráfico de voz sobre IP (VoIP). Para obtener más información, consulte Descripción de la seguridad de la mensajería unificada VoIP.
Por lo que respecta a la federación, los certificados se usan para cifrar tokens de SAML que se intercambian con Microsoft Federation Gateway y con organizaciones de asociados federadas. Para obtener más información, consulte Descripción de la federación.
Supervise las fechas de vigencia de los certificados y renueve los certificados con las entidades de certificación en el momento oportuno para prevenir la interrupción de los servicios.
Cuando almacene certificados exportados con la clave privada asociada, proteja el archivo exportado mediante los oportunos controles de acceso en la carpeta o el archivo donde se vaya a guardar. Según los requisitos que tenga la organización, considere la posibilidad de habilitar la auditoría del acceso de archivos en las carpetas donde se almacenan los archivos de certificado con claves privadas.
Consideraciones sobre NTLM
El protocolo NTLM es notablemente menos seguro que el protocolo Kerberos. En Exchange 2010, los protocolos POP3 e IMAP4 no admiten autenticación NTLM si SecureLogin
se especifica como LoginType. Para obtener más información, consulte Configuración de la autenticación para POP3 e IMAP4. Los servicios Exchange 2010 que usan Autenticación integrada de Windows pueden usar los protocolos NTLM y Kerberos. Kerberos se usa para la comunicación de servidor de acceso de cliente con un servidor de buzones de correo de Exchange 2010, así como entre servidores de acceso de clientes para Outlook Web App, Exchange ActiveSync y servicios Web Exchange. Para obtener más información sobre los servicios que usan NTLM para autenticar, consulte Referencia del puerto de red de Exchange.
Autenticación de doble factor
Los mecanismos de autenticación de doble factor usan otra autenticación además de las credenciales de inicio de sesión de usuario (nombre de usuario y contraseña), por ejemplo tokens generados de forma aleatoria o un certificado digital en una SmartCard junto con un PIN. Muchas organizaciones implementan la autenticación de doble factor para posibilitar un acceso seguro a la red de la organización.
Exchange 2010 no incluye soporte nativo para autenticación de doble factor. Exchange 2010 usa Internet Information Server (IIS) 7 para el acceso de clientes a través de HTTP (Detección automática, Outlook Web App, Outlook Anywhere, Exchange ActiveSync y servicios Web Exchange). Los asociados y terceros disponen de numerosos productos de autenticación de doble factor que se integran con IIS y que funcionan con servicios de acceso de clientes de Exchange como Outlook Web App. Antes de implementar productos de autenticación de doble factor para servicios de Exchange, se recomienda probarlos adecuadamente para asegurarse de que cumplan los requisitos de seguridad de la organización y de que proporcionen la funcionalidad que se necesita.
Federación
Exchange 2010 incorpora nuevas características de federación que permiten la colaboración segura entre organizaciones federadas de Exchange. Las organizaciones de Exchange 2010 pueden crear una confianza de federación con Microsoft Federation Gateway y establecer relaciones de organización con otras organizaciones federadas para compartir calendarios e información de disponibilidad. Mediante las directivas de uso compartido, las organizaciones también pueden permitir que los usuarios compartan su información sobre disponibilidad, el calendario o los contactos con usuarios de organizaciones externas federadas. Para obtener más información sobre confianzas de generación y el uso compartido federado, consulte Descripción de la federación y Descripción de la delegación federada.
Después de establecer una confianza de federación con MFG, el uso compartido entre dos organizaciones federadas no tiene lugar a menos que se cree una relación organizativa. Ahora bien, de forma predeterminada el uso compartido entre los usuarios de la organización y los de organizaciones externas federadas se habilita mediante la directiva predeterminada de uso compartido asignada a los usuarios. Esta directiva permite el uso compartido del calendario con información sobre disponibilidad solamente con usuarios de organizaciones externas federadas. Si no desea que los usuarios compartan su información sobre disponibilidad con usuarios de todos los dominios externos federados, deshabilite la directiva predeterminada de uso compartido o cambie el nombre de dominio especificado en la directiva por los únicos dominios con los que quiera compartir la información. Este cambio debe realizarse antes de crear una confianza de federación con MFG. Para obtener más información, consulte Deshabilitar una directiva de uso compartido y Configurar propiedades de la directiva de uso compartido.
Todas las características de federación de una organización, incluidas la delegación federada, pueden deshabilitarse quitando la confianza de federación de la organización con MFG. Para obtener más información, consulte Quitar las confianzas de federación.
Extensiones seguras multipropósito al correo de Internet (S/MIME)
Extensiones seguras multipropósito al correo de Internet (S/MIME) es un estándar de cifrado de claves públicas y firma de datos MIME que proporciona autenticación, integridad de mensajes, no rechazo y privacidad de datos para datos de mensajería. Los certificados S/MIME permiten que los usuarios puedan firmar o cifrar mensajes, o bien ambas cosas. Para obtener más información acerca de S/MIME, vea Descripción de S/MIME (posiblemente en inglés).
S/MIME es una tecnología orientada a clientes sin requisitos de interoperabilidad para servidores de correo electrónico. En el ámbito de la transferencia de mensajes, los mensajes firmados o cifrados con S/MIME se transfieren del mismo modo que los mensajes no cifrados. La representación en sí del mensaje se efectúa en el lado cliente tras las comprobaciones de validación de mensajes y certificados. En el caso de Outlook Web App, la compatibilidad con S/MIME es posible con un control ActiveX. Aunque Outlook Web App admite los exploradores más usados como Microsoft Internet Explorer, Mozilla FireFox y Safari, los controles ActiveX son una característica de Internet Explorer. Los usuarios de Outlook Web App que usan otros exploradores no tienen acceso a las características de S/MIME y es posible que deban usar otro cliente de correo electrónico que admita S/MIME. Para obtener más información sobre la compatibilidad de S/MIME en Outlook Web App, consulte Outlook Web App y S/MIME.
Para obtener más información acerca del soporte de S/MIME en Outlook, vea Descripción general de certificados y mensajes cifrados en Outlook (posiblemente en inglés).
Aunque S/MIME proporcione ventajas de seguridad a una organización, cuando evalúe la tecnología debe tener en cuenta lo siguiente:
Los mensajes cifrados con S/MIME son opacos para la organización. El software de seguridad para mensajería como los antivirus y la detección de correo no deseado no pueden inspeccionar el contenido de los mensajes, tanto el cuerpo de los mensajes como los datos adjuntos.
Como el contenido de los mensajes y los datos adjuntos están cifrados, las directivas de mensajería de la organización, incluidas las reglas de transporte, no pueden aplicarse a los mensajes cifrados con S/MIME.
Si se modifican los mensajes firmados con S/MIME para adecuarlos a las directivas de mensajería de la organización, por ejemplo para aplicar una declinación de responsabilidades o una firma personalizada, el mensaje se invalida.
El contenido de los mensajes cifrados no puede inspeccionarse para detectar infracciones de contenido y la organización no puede proteger datos confidenciales. Esto afecta a cualquier información de identificación personal que salga de la organización.
Exchange Search no puede indizar los mensajes cifrados con S/MIME; por lo tanto, no pueden buscarse por detección.
Para ajustarse a la normativa local o a los requisitos de detección en caso de litigio, es posible que la organización deba proporcionar copias de todos los mensajes cifrados que no están cifrados.
Exchange 2010 proporciona características de Information Rights Management con las cuales la organización puede aplicar protección permanente a contenido confidencial de los mensajes de modo que solamente determinados destinatarios tengan acceso a mensajes protegidos de este modo. Asimismo, la organización puede implementar controles sobre la manera de usar ese contenido una vez lo hayan recibido los destinatarios. Por ejemplo, se puede impedir la impresión, la respuesta o el reenvío de mensajes dentro o fuera de la organización. Además, la organización puede descifrar contenido protegido por IRM para aplicar software antivirus y detección de correo no deseado y otros agentes de transporte, aplicar directivas de mensajería mediante reglas de transporte, así como habilitar la detección y el archivado de mensajes protegidos por IRM. Las características de IRM también están disponibles en todos los exploradores web compatibles con Outlook Web App y en dispositivos Windows Mobile. Para obtener más información acerca de IRM, consulte Descripción de Information Rights Management.
Consideraciones sobre roles del servidor
En esta sección figuran una serie de aspectos sobre seguridad relativos al rol del servidor de Exchange 2010.
Consideraciones sobre el servidor de buzones de correo
En Exchange 2010, se han realizado cambios de arquitectura en el almacenamiento y la conectividad de Exchange desde clientes MAPI como Outlook. Los clientes MAPI se conectan con el servidor de acceso de cliente; de este modo, el servidor de buzones se aísla del tráfico de clientes. Los servidores Buzón de correo se comunican solamente con los servidores de acceso de cliente que usan RPCSec, así como con los servidores Active Directory Domain Services (AD DS) de la organización. Los servidores Buzón de correo no necesitan conexión a Internet.
Almacenamiento
El almacenamiento es un componente fundamental en los servidores Buzón de correo. Debe planear el subsistema de almacenamiento del servidor de buzones de correo para asegurar un rendimiento correcto y un espacio de almacenamiento adecuado para la implementación. Para obtener más información sobre la planeación del almacenamiento de servidores de buzones de correo, consulte Diseño del almacenamiento del servidor de buzones de correo.
Tras implementar el servidor de buzones de correo, debe supervisar los aspectos siguientes:
Disponibilidad del subsistema de almacenamiento
Disponibilidad de suficiente espacio en disco en volúmenes que contengan la base de datos de buzones de correo y los registros de transacciones. Cuando el volumen que almacena la base de datos o los registros de transacciones se queda sin espacio disponible en disco, se desmonta un buzón de correo o una base de datos de carpetas públicas.
Use Microsoft Federation Gateway Systems Center Operations Manager para supervisar la disponibilidad de almacenamiento y el espacio libre en disco. Para obtener más información, vea Systems Center Operations Manager 2007 (posiblemente en inglés).
Al planear y supervisar el almacenamiento, si tiene previsto usar las características siguientes, debe tener en cuenta sus requisitos de almacenamiento:
Registro en diario Si usa registro en diario para el archivo de mensajes a largo plazo, según si se usa el registro en diario estándar (por base de datos de buzones) o registro en diario premium (reglas de diario), los mensajes que se envían y reciben de todos los destinatarios de una base de datos de buzones de correo o los destinatarios especificados en una regla de diario se distribuyen en un informe de diario al buzón de registro en diario o al destinatario indicado. El resultado puede ser una gran cantidad de informes de diario entregados a un buzón de correo de registro en diario. Al planear el almacenamiento para servidores Buzón de correo, tenga en cuenta los tamaños de buzón de correo de registro en diario. Puede controlar los tamaños de buzones de correo de registro en diario configurando cotas de buzón de correo suficientes para un buzón de correo de registro en diario. Para obtener más información sobre registro en diario y cuotas de buzones de correo, consulte los temas siguientes:
Retención por juicio Si coloca un buzón de correo en retención por juicio, los elementos eliminados por el usuario mediante Recuperar elementos eliminados en Outlook y Outlook Web App, y mensajes eliminados por procesos automatizados como MRM se conservan hasta que se quita la retención por juicio. En Exchange 2010, la cuota de advertencia de elementos recuperables se establece en 20 GB y 30 GB. Para obtener información detallada, consulte los siguientes temas:
Alta disponibilidad
La alta disponibilidad en servidores Buzón de correo es fundamental para asegurar la disponibilidad en los servicios de mensajería. Exchange 2010 incluye grupos de disponibilidad de base de datos para servidores Buzón de correos de alta disponibilidad. Los grupos de disponibilidad de base de datos pueden proporcionar disponibilidad en caso de error en el subsistema de almacenamiento, el servidor, la conexión de red o una interrupción de todo un centro de datos en la implementación de Exchange. Para obtener más información sobre cómo planear y configurar una implementación de Exchange 2010 de alta disponibilidad, consulte Alta disponibilidad y resistencia de sitios.
De forma predeterminada, en Exchange 2010, el tráfico de replicación (trasvase de registros) entre miembros de DAG ubicados en diferentes sitios de Active Directory está cifrado. Puede cifrar tráfico de replicación entre servidores en el mismo sitio de Active Directory definiendo como deshabilitada (Enabled) la propiedad NetworkEncryption del DAG. Use el cmdlet Set-DatabaseAvailabilityGroup para modificar esta propiedad para un DAG.
La replicación se da en un solo puerto TCP, de forma predeterminada el puerto TCP 64327, pero se puede modificar. Para obtener más información, consulte Configurar las propiedades del grupo de disponibilidad de la base de datos.
Parámetros para alta disponibilidad
Parámetro | Descripción |
---|---|
NetworkEncryption |
El parámetro NetworkEncryption especifica si se ha habilitado el cifrado. Los valores válidos son:
Valor predeterminado |
ReplicationPort |
El parámetro ReplicationPort especifica un puerto de Protocolo de control de transmisión (TCP) para la actividad de replicación (propagación y trasvase de registros). Valor predeterminado Si no se especifica este parámetro, el puerto predeterminado para la replicación es TCP 64327. |
Acceso y permisos de buzones de correos
De forma predeterminada, Exchange 2010 no permite que los administradores tengan acceso a los buzones de correo. Si la organización usa servicios o aplicaciones que necesitan tener acceso a un buzón de correo, debe asignar los correspondientes permisos de buzón de correo a las cuentas usadas por dichos servicios o aplicaciones Se recomienda no configurar esos servicios o aplicaciones para usar credenciales de administrador.
Si bien todos los buzones de correo pueden contener información confidencial valiosa para una organización, debe prestarse especial atención a los buzones siguientes en lo concerniente a la seguridad; los permisos para tener acceso a ellos deben controlarse y supervisarse para cumplir con los requisitos de seguridad de la organización.
Buzones de correo de detección Los usa la característica Búsqueda en varios buzones de correo de Exchange 2010. Esto permite que los administradores de detecciones que pertenecen al grupo de roles Administración de detección busquen mensajes en todos los buzones de correo de una organización de Exchange 2010. Los mensajes devueltos por una búsqueda de detección se copian en el buzón de correo de detección pertinente. El programa de instalación de Exchange 2010 crea un buzón de correo de detección predeterminado. Para obtener más información, consulte Descripción de la búsqueda en varios buzones.
Buzones de correo de registros en diario Si configura el registro en diario para una base de datos de buzones de correo o crea reglas de diario para mensajes de diario y para unos destinatarios determinados, los informes de diario se entregan al buzón de correo de registros en diario especificado. Para obtener información detallada, consulte los siguientes temas:
Además de proteger estos buzones de correo, un administrador puede usar reglas de transporte para inspeccionar el contenido de mensajes, así como entregar una copia del mensaje a otro destinatario, incluso si es un destinatario CCO. Los permisos necesarios para administrar reglas de transporte figuran en la entrada sobre reglas de transporte en el tema Permisos de directiva de mensajería y conformidad. Se recomienda aplicar controles adecuados para supervisar y controlar la creación y modificación de reglas de transporte, además de realizar auditorías periódicas de reglas de transporte para todas las reglas.
Consideraciones sobre los servidores de acceso de cliente
En Exchange 2010, los clientes siguientes se conectan con servidores de acceso de cliente para tener acceso a buzones de correo:
Clientes de Outlook que usan MAPI
Clientes de Outlook que usan Outlook Anywhere
Exploradores web que usan Outlook Web App,
Dispositivos móviles que usan Exchange ActiveSync
Clientes POP3 e IMAP4
Aplicaciones que usan servicios Web Exchange (EWS)
De forma predeterminada, estos métodos de acceso de clientes se protegen mediante rutas de acceso a datos cifradas. También de forma predeterminada, los clientes de Outlook que se conectan a un servidor de acceso de cliente que usa MAPI emplean cifrado RPC. El acceso de Outlook Web App, Outlook Anywhere y Exchange ActiveSync se protege mediante Capa de sockets seguros.
En el caso del acceso de clientes externos, debe obtener e instalar certificados firmados por una entidad de certificación que sea de confianza para el cliente. Para obtener más información, consulte Administrar SSL para un servidor de Acceso de cliente.
De forma predeterminada, los servicios POP3 e IMAP4 están deshabilitados en los servidores de acceso de clientes de Exchange 2010. Si los habilita, se recomienda usar Seguridad de la capa de transporte o Capa de sockets seguros para proteger mejor las comunicaciones mediante el uso de estos protocolos. Para obtener información detallada, consulte los siguientes temas:
Se recomienda usar los controles de acceso y firewalls adecuados cuando publique servidores de acceso de clientes para acceso externo. MicrosoftForefront Threat Management Gateway (TMG) 2010 incluye asistentes para publicación para publicar de manera fácil y segura servidores de acceso de cliente de Exchange 2010 para acceso externo. Para obtener más información, consulte Forefront Threat Management Gateway (TMG) 2010 (en inglés).
Importante
No se admite la búsqueda de servidores de acceso de cliente en redes perimetrales
En servidores de acceso de cliente, Internet Information Server (IIS) se usa para proporcionar acceso de protocolo HTTP a servicios como Outlook Web App, Exchange ActiveSync, Outlook Anywhere, Detección automática, Panel de control de Exchange Control Panel , servicios Web Exchange y libreta de direcciones sin conexión. Remote PowerShell también usa IIS y todas las solicitudes de RPS, incluidas las de la Consola de administración de Exchange, figuran en registros de IIS. Los registros de IIS pueden crecer hasta consumir una gran cantidad de espacio en disco. IIS, que es un componente de Windows Server, no tiene un mecanismo para borrar registros antiguos basados en el tamaño del directorio en el que residen los archivos de registro. En este caso, se recomienda trasladar los registros de IIS a un volumen que no sea del sistema. De este modo, aunque los archivos de registro crezcan en tamaño, seguirá habiendo espacio disponible en disco; de lo contrario, el servicio podría interrumpirse. Es conveniente supervisar el crecimiento de los archivos de registro e implementar un mecanismo que de forma manual los vaya eliminando o archivando. Para obtener más información, vea Configurar el registro en IIS 7 (posiblemente en inglés).
Consideraciones sobre servidores de transporte
Exchange 2010 ofrece dos roles del servidor Transporte ideados para finalidades diferentes.
Transporte perimetral El rol de servidor Transporte perimetral consiste en un servidor de transporte que no forma parte de un dominio. En general, se ubica en redes perimetrales y transfiere mensajes entre los hosts SMTP de una organización de Exchange y SMTP hosts SMTP externos. Aunque se haya diseñado para redes perimetrales, los servidores Transporte perimetral también pueden ubicarse en la red interna y conectarse al servidor en un dominio de Active Directory en calidad de servidor miembro.
Transporte de concentradores El rol del servidor Transporte de concentradores transfiera mensajes dentro de la organización, incluidos mensajes entre servidores de Exchange, mensajes de clientes SMTP como usuarios de POP3 e IMAP4, así como dispositivos y servidores de aplicaciones.
De forma predeterminada, en Exchange 2010, la comunicación SMTP se protege mediante TLS.
Comunicación SMTP entre servidores Transporte de concentradores Los servidores Transporte de concentradores de una organización de Exchange usan TLS para proteger mejor las comunicaciones SMTP dentro de la organización. Se recomienda dejar habilitada TLS en los servidores Transporte de concentradores. En Exchange 2010, las organizaciones que usan dispositivos que no son de Exchange o aplicaciones para efectuar cifrado TLS pueden descargar TLS de servidores Transporte de concentradores en dichas aplicaciones. Para obtener más información, consulte Deshabilitar TLS entre sitios de Active Directory para permitir la optimización de WAN.
Comunicación SMTP entre servidores Transporte de concentradores y Transporte perimetral Todo el tráfico entre servidores Transporte de concentradores y Transporte perimetral se autentica y cifra. El mecanismo subyacente de autenticación y cifrado es TLS mutuo. En lugar de usar la validación X.509 para validar certificados, Exchange 2010 usa la confianza directa para autenticar certificados. Confianza directa significa que la presencia mismo del certificado en Active Directory o Active Directory Lightweight Directory Services (AD LDS) valida el certificado. Active Directory se considera un mecanismo de almacenamiento de confianza. Cuando se usa confianza directa, no importa si el certificado es autofirmado o lo ha firmado una entidad de certificación. Cuando un servidor Transporte perimetral se suscribe a un sitio de Active Directory, la suscripción perimetral publica el certificado del servidor Transporte perimetral en Active Directory. Los servidores Transporte de concentradores consideran válido el certificado publicado. El servicio EdgeSync de Microsoft actualiza AD LDS en servidores Transporte perimetral que tienen certificados de servidor Transporte de concentradores, considerados válidos por el servidor Transporte perimetral.
Comunicación SMTP entre servidores Transporte perimetral y hosts externos En Exchange 2010, la comunicación SMTP entre servidores Transporte perimetral y hosts externos queda protegida de forma predeterminada mediante TLS oportunista. No se necesita un certificado emitido por una entidad de confianza ni realizar ninguna clase de configuración. Los conectores de recepción ofrecen negociación de TLS para conexiones SMTP entrantes. Los conectores de envío también intentan la negociación de TLS para todas las conexiones SMTP salientes. La TLS oportunista no realiza la validación de certificados, lo que permite el uso de certificados autofirmados. Para obtener más información, consulte Funcionalidad de la TLS y terminología relacionada en Exchange 2010.
Nota
De forma predeterminada, los servidores Transporte de concentradores no pueden comunicarse con hosts SMTP externos, puesto que en dichos servidores no hay conectores de recepción que permitan a los hosts anónimos comunicarse. Los servidores Transporte de concentradores pueden configurarse para comunicarse con hosts anónimos. Para obtener más información, consulte Configurar el flujo de correo de Internet directamente a través de un servidor de transporte de concentradores. No se recomienda usar esta topología porque incrementa los riesgos para la seguridad, ya que expone el servidor de Exchange 2010 y todos los roles instaladas en dicho servidor a Internet. Se recomienda implementar, en cambio, una puerta de enlace SMTP basada en una red perimetral, como el servidor Transporte perimetral.
Comunicación SMTP entre servidores Transporte perimetral o de concentradores y hosts inteligentes En Exchange 2010, puede configurarse un conector de envío para enrutar el correo de dominios remotos, incluido el correo de Internet, a una puerta de enlace SMTP que en general reside en la red perimetral. Si bien es posible crear un conector de envío para enrutar el correo electrónico a un host inteligente sin ninguna autenticación, en esta clase de conectores se recomienda usar la autenticación pertinente. Si usa autenticación básica, se recomienda la autenticación básica sobre TLS. Si selecciona la opción protegida externamente, se supone que la autenticación se realiza con un mecanismo que no es de Exchange, por ejemplo IPsec. Al configurar el conector con la dirección de un host inteligente, puede usar la dirección IP del host o bien su FQDN. Se recomienda usar la dirección IP del host inteligente porque brinda protección contra los DNS dudosos, frente a la comodidad de usar el FQDN.
Uso de seguridad de dominio para comunicación SMTP con asociados En Exchange 2010, puede usar seguridad de dominio para proteger mejor las rutas de acceso de comunicación de mensajes con dominios de asociados. La seguridad de dominio utiliza TLS mutua para proporcionar autenticación y cifrado basados en la sesión. En el caso de la autenticación TLS mutua, los host de origen y destino comprueban la conexión realizando la validación del certificado X.509. Los servidores Transporte que se comunican con dominios de asociados configurados para seguridad de dominio requieren un certificado firmado por un tercero de confianza o por una entidad de certificación interna. Si se usa una entidad de certificación interna, la lista de revocación de certificados debe configurarse y estar disponible para el host del asociado. Para obtener más información, consulte los siguientes temas:
Exchange 2010 usa el puerto SMTP predeterminado (puerto TCP 25) para la comunicación SMTP. El programa de instalación de Exchange crea las correspondientes reglas de firewall en Windows Firewall con Seguridad avanzada para permitir la comunicación en los puertos predeterminados. Si especifica un puerto diferente para un conector, Exchange no modifica las reglas de firewall o crea automáticamente una regla que permita la comunicación en el puerto no predeterminado. La configuración del firewall debe modificarse manualmente para permitir la comunicación en puertos no predeterminados. Si se configura un conector de recepción para un puerto no predeterminado, los clientes SMTP que envían mensajes al conector también deben configurarse para usar el puerto no predeterminado.
En Exchange 2010, puede buscar el rol del servidor Transporte de concentradores en un servidor de buzones de correo de Exchange 2010. Esto incluye un servidor de buzones de correo que pertenezca a un grupo de disponibilidad de base de datos (DAG). Se recomienda no buscar el rol del servidor Transporte de concentradores en un servidor de buzones de correo, sobre todo en topologías donde no se implementan servidores Transporte perimetral, con el fin de aislar servidores de buzones de correo de Internet. Puede buscar el rol del servidor Transporte de concentradores en servidores de acceso de cliente. Debe seguir las directivas de tamaño en cada rol del servidor al colocar roles del servidor en el mismo servidor.
Cuando se especifica un host inteligente para un conector de envío en un servidor Transporte de concentradores o perimetral, se recomienda usar direcciones IP en lugar del FQDN de un host inteligente para proteger el DNS de mensajes dudosos y suplantaciones de identidad. Esto minimiza también las repercusiones de las interrupciones de DNS en la infraestructura de transporte. Los servidores DNS de las redes perimetrales deben usarse solo para resolución externa. Los servidores DNS perimetrales pueden contener registros para servidores Transporte de concentradores. También puede usar archivos de hosts en servidores Transporte perimetral para evitar la creación de registros para servidores Transporte de concentradores en servidores DNS ubicados en redes perimetrales.
Además de los pasos tratados en esta sección, debe considerarse la aplicación de las correspondientes restricciones de espacio en los mensajes en conectores, así como la configuración de limitaciones de mensajes. Para obtener información detallada, consulte los siguientes temas:
Consideraciones sobre mensajería unificada
Si se planea implementar el rol del servidor Mensajería unificada, debe tener en cuenta los diferentes canales de comunicación usados por la mensajería unificada para comunicarse con puertas de enlace IP o IP PBX.
De forma predeterminada, al crear un plan de marcado de mensajería unificada, se comunicará en modo No protegida. Además los servidores de mensajería unificada asociados con el plan de marcado de mensajería unificada enviarán y recibirán datos desde puertas de enlace IP, IP PBX y otros equipos de Exchange 2010 sin usar cifrado. En modo No protegida, ni el canal de medios con Protocolo de transporte en tiempo real (RTP) ni la información de señalización en SIP están cifrados.
Se puede configurar un servidor de mensajería unificada para que use la TLS mutua y cifre el tráfico de SIP y RTP que envía a otros dispositivos y servidores, y recibe de estos. Cuando se agrega un servidor de mensajería unificada a un plan de marcado de mensajería unificada y este último se configura para que use el modo SIP protegida, solo se cifrará el tráfico de señalización de SIP, mientras que los canales de medios con RTP seguirán usando TCP. TCP no está cifrado. No obstante, si se agrega un servidor de mensajería unificada a un plan de marcado y este se configura para usar el modo Protegida, se cifrarán el tráfico de señalización de SIP y los canales de medios RTP. Un canal de medios de señalización seguro que usa el Protocolo de transporte en tiempo real seguro (SRTP) también usará la TLS mutua para cifrar los datos de VoIP.
Si la puerta de enlace IP o IP PBX que se usan admiten IPsec, también puede usar IPsec para proteger mejor la comunicación entre un servidor de mensajería unificada y la puerta de enlace IP o IP PBX.
Para obtener más información, consulte Descripción de la seguridad de la mensajería unificada VoIP.
La mensajería unificada también envía mensajes como notificaciones de llamadas perdidas y mensajes de correo de voz a servidores Transporte de concentradores. De forma predeterminada, esta comunicación se realiza sobre SMTP con cifrado TLS.
Puede configurar una directiva de buzón de correo de mensajería unificada para acceso sin PIN. Eso permite que el autor de una llamada tenga acceso al correo de voz sin tener que proporcionar un PIN, basado en el identificador de llamada de la llamada. La suplantación de identidad de los identificadores de llamada es muy escasa. Se recomienda no habilitar el acceso al correo de voz sin PIN. También se recomienda comprobar las opciones predeterminadas del PIN y configurarlas para que se adecuen a los requisitos de seguridad de la organización. Las opciones siguientes pueden configurarse para una directiva de buzón de correo de mensajería unificada mediante el cmdlet Set-UMMailboxPolicy.
Parámetros para controlar el PIN de usuario para tener acceso al correo de voz
Parámetro | Descripción |
---|---|
AllowCommonPatterns |
El parámetro AllowCommonPatterns especifica si se van a permitir PIN obvios. Por ejemplo, PIN obvios pueden ser subconjuntos de números de teléfono, números secuenciales o números repetidos. Si se establece en $false, se rechazarán los números secuenciales, los números repetidos y el sufijo de la extensión de buzón. Si se establece en $, solo se rechazará el sufijo de la extensión de buzón. |
AllowPinlessVoiceMailAccess |
El parámetro AllowPinlessVoiceMailAccess especifica si los usuarios asociados con la directiva de buzones de mensajería unificada deben usar un número de identificación personal para tener acceso a su correo de voz. El número de identificación personal también será necesario para tener acceso al correo electrónico y al calendario. Valor predeterminado deshabilitado ( |
LogonFailusresBeforePINReset |
El parámetro LogonFailuresBeforePINReset especifica el número de intentos incorrectos de inicio de sesión secuenciales realizados antes del restablecimiento automático del PIN del buzón. Para deshabilitar esta característica, establezca este parámetro en Sin límite. Si este parámetro no está establecido en Sin límite, se debe establecer en un valor inferior al valor del parámetro MaxLogonAttempts. El intervalo va de 0 a 999. Valor predeterminado 5 errores. |
MaxLogonAttempts |
El parámetro MaxLogonAttempts especifica el número de intentos incorrectos de inicio de sesión secuenciales que puede realizar un usuario, antes de que se bloqueen los buzones de mensajería unificada. El intervalo va de 1 a 999. Valor predeterminado 15 intentos. |
MinPINLength |
El parámetro MinPINLength especifica el número mínimo de dígitos debe tener un PIN para los usuarios habilitados para mensajería unificada. El intervalo va de 4 a 24. Valor predeterminado 6 dígitos. |
PINHistoryCount |
El parámetro PINHistoryCount especifica el número de PIN anteriores que se recuerdan y no están permitidos durante el restablecimiento de un PIN. Este número incluye la primera vez que se estableció el PIN. El intervalo va de 1 a 20. Valor predeterminado 5 PIN. |
PINLifetime |
El parámetro PINLifetime especifica el número de días que deben transcurrir hasta que se necesite una contraseña nueva. El intervalo es de 1 a 999. Si se especifica Sin límite, el PIN del usuario no expirará. Valor predeterminado 60 días. |
En Exchange 2010, los mensajes de correo de voz pueden marcarse como protegidos. Los mensajes de correo de voz se protegen mediante Information Rights Management (IRM). Las opciones de protección del correo de voz pueden configurarse estableciendo el parámetro siguiente en una directiva de buzón de correo de mensajería unificada. Para obtener información detallada, consulte los siguientes temas:
Parámetros de correo de voz protegido
Parámetro | Descripción |
---|---|
ProtectAuthenticatedVoicemail |
El parámetro ProtectAuthenticatedVoiceMail especifica si los servidores de mensajería unificada que responden a llamadas de Voice Access de Outlook para usuarios habilitados para mensajería unificada asociados con la directiva de buzones de mensajería unificada crean mensajes de correo de voz protegidos. Si el valor se establece en Privado, solo se protegen los mensajes marcados como privados. Si el valor se establece en Todos, se protegen todos los mensajes de correo de voz. Valor predeterminado Ninguno (no se aplica protección a los mensajes de correo electrónico). |
ProtectUnauthenticatedVoiceMail |
El parámetro ProtectUnauthenticatedVoiceMail especifica si los servidores de mensajería unificada que contestan a las llamadas de los usuarios habilitados para mensajería unificada asociados con la directiva de buzones de mensajería unificada crean mensajes de correo de voz protegidos. Esto también se aplica cuando se envía un mensaje desde un operador automático de mensajería unificada a un usuario habilitado para mensajería unificada asociado con la directiva de buzones de mensajería unificada. Si el valor se establece en Privado, solo se protegen los mensajes marcados como privados. Si el valor se establece en Todos, se protegen todos los mensajes de correo de voz. Valor predeterminado Ninguno (no se aplica protección a los mensajes de correo electrónico). |
RequireProtectedPlayOnPhone |
El parámetro RequireProtectedPlayOnPhone especifica si los usuarios asociados con la directiva de buzones de mensajería unificada solo pueden usar la función Reproducir en teléfono para mensajes de correo de voz protegidos, o bien si los usuarios pueden usar software multimedia para reproducir el mensaje protegido. Valor predeterminado |
Importante
Para que los usuarios de mensajería unificada puedan seguir contestando a llamadas, es fundamental que tengan acceso a Active Directory. Se recomienda supervisar la disponibilidad de Active Directory.
Apéndice 1: Documentación adicional sobre la seguridad
Esta sección contiene vínculos a documentación adicional sobre la seguridad en Exchange.
Funcionalidad contra correo electrónico no deseado y antivirus
Descripción de la funcionalidad contra correo no deseado y antivirus
Administración de funciones antivirus y contra correo no deseado
Certificados
Autenticación del cliente y seguridad
Configuración de la autenticación basada en formularios para Outlook Web App
Configuración de métodos de autenticación estándar para Outlook Web App
Outlook Web App
Configurar los directorios virtuales de Outlook Web App para usar SSL
Configuración de la autenticación basada en formularios para Outlook Web App
Configuración de métodos de autenticación estándar para Outlook Web App
Configurar Outlook Web App para que funcione con los Servicios de federación de Active Directory
Outlook Anywhere
POP3 e IMAP
Permisos
Protección del flujo de correo
Directiva de mensajería y cumplimiento normativo
Federación
© 2010 Microsoft Corporation. Reservados todos los derechos.