Descripción del flujo de correo de las características contra correo no deseado y antivirus

  • Artículo

 

Se aplica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Última modificación del tema: 2016-11-28

Cuando un usuario externo envía mensajes de correo electrónico a un servidor que ejecuta Microsoft Exchange en el que se ejecutan funciones contra correo electrónico no deseado, estas funciones evalúan de forma acumulativa los atributos de los mensajes entrantes y filtran los mensajes sospechosos de correo electrónico no deseado o les asignan una clasificación basada en la probabilidad de que sean mensajes de correo electrónico no deseado. Esta clasificación se almacena con el mensaje como una propiedad del mensaje llamada clasificación de confianza de correo no deseado (SCL). y se conserva con el mensaje cuando éste se envía a otros servidores de Exchange.

En la siguiente figura se muestra el orden en el que las funciones predeterminadas contra el correo electrónico no deseado y Microsoft Forefront protección para Exchange Server filtran los mensajes entrantes de Internet. De forma predeterminada, las características contra el correo electrónico no deseado y de antivirus se organizan en este orden con los filtros que usan el filtrado de recursos mínimo en primer lugar y los filtros que usan el filtrado de recursos máximo en último lugar.

Nota

En la siguiente figura y en la explicación correspondiente, se asume que el servidor Transporte perimetral de Microsoft Exchange Server 2010 es el primer servidor SMTP que acepta mensajes entrantes. En algunas organizaciones, es posible que el servidor de transporte perimetral se implemente detrás de un servidor SMTP de terceros. Cuando el servidor de transporte perimetral de Exchange 2010 se implementa detrás de un servidor de puerta de enlace SMTP, el servidor de transporte perimetral de Exchange 2010 requiere configuración adicional. De manera específica, debe asegurarse de que todos los servidores de puerta de enlace SMTP se enumeren en la propiedad InternalSMTPServerdel objeto TransportConfig. Para obtener más información, consulte Set-TransportConfig (en inglés).

Para obtener más información sobre funciones de antivirus y contra correo no deseado de Exchangeconsulte Microsoft Forefront Protection 2010 para Exchange Server.

Características predeterminadas contra correo electrónico no deseado con filtrado antivirus de mensajes entrantes procedentes de Internet

Como se muestra en la figura anterior, cuando un servidor SMTP se conecta a Exchange 2010 e inicia una sesión SMTP, los filtros se aplican en el siguiente orden cuando el servidor de transporte perimetral se encuentra orientado a Internet:

  • Filtrado de la conexión

  • Filtrado de remitentes

  • Filtrado de destinatarios

  • Filtrado del Id. del remitente

  • Filtrado de contenido

  • Filtrado de reputación del remitente

  • Filtrado de datos adjuntos

  • Exploración antivirus

  • Filtrado de correo electrónico no deseado de Outlook

Nota

El filtrado de conexión recopila información durante dos eventos diferentes. En el primer evento, el filtrado de conexión recopila información de la dirección IP de la conexión (se muestra en la figura anterior). En el segundo evento, el filtrado de conexión recopila información cuando el agente de filtrado de remitentes analiza los encabezados de mensajes para determinar la primera dirección IP externa (se muestra en la figura en "Filtrado de remitentes" más adelante en este tema). Los agentes pueden supervisar múltiples eventos. La figura anterior muestra una vista de alto nivel del orden aproximado en que se aplican los agentes, cuando están habilitados todos los agentes, con el fin de ilustrar el flujo de mensajes. Para obtener más información acerca de eventos específicos y los agentes que supervisan determinados eventos, consulte Descripción de los agentes de transporte.

¿Está buscando tareas de administración relacionadas con las funciones antivirus y contra el correo electrónico no deseado? Consulte Administración de funciones antivirus y contra correo no deseado.

Contenido

Filtrado de la conexión

Filtrado de remitentes

Filtrado de destinatarios

Filtrado de Id. de remitentes

Filtrado de contenido

Filtrado de reputación del remitente

Filtrado de documentos adjuntos

Exploración antivirus

Filtrado de correo no deseado de Outlook

Filtrado de la conexión

Durante la sesión SMTP, Exchange 2010 aplica el filtrado de la conexión con los criterios siguientes, como se muestra en la siguiente figura.

Flujo de correo de filtrado de conexión

Se aplica el proceso siguiente:

  1. El agente de filtrado de conexión examina la lista de direcciones IP permitidas definida por el administrador. Si la dirección IP del servidor de envío se encuentra en la lista de direcciones IP permitidas definida por el administrador, el mensaje se procesa mediante el filtrado de remitentes.

  2. El agente de filtrado de conexión examina la lista local de direcciones IP bloqueadas. Si la dirección IP del servidor remitente está incluida en esta lista, se rechazará automáticamente el mensaje y no se aplicará ningún otro filtro.

  3. El agente de filtrado de conexión examina la lista de direcciones IP permitidas de todos los proveedores de listas de direcciones IP permitidas que tenga. Si la dirección IP del servidor de envío se encuentra en la lista de direcciones IP permitidas de los proveedores de listas de direcciones IP permitidas, el mensaje se procesa mediante el filtrado de remitentes.

  4. El agente de filtrado de conexión examina las listas de bloqueados en tiempo real de cualquier proveedor de listas de direcciones IP bloqueadas que haya configurado. Si la dirección IP del servidor de envío está incluida en una lista de bloqueados en tiempo real, se rechazará el mensaje y no se aplicará ningún otro filtro.

Para obtener más información, consulte Descripción de filtrado de conexiones.

Nota

Si el agente de filtrado de conexión se implementa en un equipo que está detrás de otro servidor expuesto a Internet, se invocarán otros filtros, como el filtrado de remitentes y el filtrado de destinatarios, antes del agente de filtrado de conexión.

Volver al principio

Filtrado de remitentes

Una vez que se haya aplicado el filtrado de conexión, Exchange 2010 examinará la dirección de correo electrónico del remitente con la lista de remitentes bloqueados que haya configurado en el filtrado de remitentes, tal como se muestra en la siguiente figura.

Flujo de correo de filtrado de remitentes

El agente de filtrado de remitentes luego comprueba la dirección de correo electrónico del remitente incluida en los campos de encabezado De en el sobre y en el encabezado del mensaje. Si cualquiera de los campos de encabezado De coinciden con la dirección en la lista de remitentes bloqueados, Exchange 2010 rechaza el mensaje en el nivel de protocolo y no se aplican otros filtros.

Nota

Aunque los destinatarios de la organización hayan colocado los remitentes en su lista de remitentes seguros en Microsoft Outlook, el filtrado de remitentes del servidor de transporte perimetral invalidará la configuración de destinatarios de Outlook y rechazará los mensajes.

Para obtener más información acerca del filtrado de remitentes, consulte Descripción del filtrado de remitentes

Para obtener más información acerca de los sobres y los encabezados de los mensajes, consulte Descripción de los directorios de recogida y reproducción.

Volver al principio

Filtrado de destinatarios

Si el filtrado de remitentes no rechaza el mensaje, Exchange ejecuta el filtrado de conexión nuevamente. Luego, Exchange aplica el agente de filtrado de destinatarios como se muestra en la siguiente figura.

Flujo de correo de filtrado de destinatarios

El agente de filtro de destinatarios examina el destinatario con la lista de destinatarios bloqueados que haya configurado en la configuración del agente de filtro de destinatarios. Si el destinatario deseado coincide con una dirección de correo electrónico de la lista de destinatarios bloqueados, Exchange 2010 rechazará el mensaje para ese destinatario en concreto. Además, el agente de filtrado de destinatarios comprueba si el destinatario está presente en la organización. Si el destinatario no está presente en la organización, Exchange rechaza el mensaje para este destinatario en concreto.

Si se muestran varios destinatarios en el mensaje y ninguno de ellos se encuentra en la lista de destinatarios bloqueados, el mensaje se sigue procesando. De lo contrario, si el mensaje está destinado únicamente a un destinatario no admitido, no se aplica ningún otro filtro.

Cuando se procesa un mensaje con destinatarios bloqueados, el grupo de destinatarios bloqueados se elimina del mensaje y el mensaje continúa en la organización. Las respuestas de rechazo de SMTP de nivel de protocolo se envían a cada remitente bloqueado. El agente de reputación del remitente supervisa el evento OnReject para calcular el nivel de agente de reputación del remitente (SRL).

Para obtener más información, consulte Descripción del filtrado de destinatarios.

Volver al principio

Filtrado de Id. de remitentes

Si el mensaje contiene destinatarios válidos después de aplicar el filtrado de destinatarios, Exchange 2010 ejecuta el agente de Id. de remitente, como se muestra en la siguiente figura.

Flujo de correo de filtrado de Id. de remitente

En primer lugar, el agente del Id. de remitente determina la Dirección responsable pretendida (PRA) del mensaje utilizando el algoritmo descrito en RFC 4407. Este paso es necesario para identificar con exactitud el remitente de los mensajes. La PRA es una dirección SMTP, como joseignacio@contoso.com. A continuación, el agente del Id. de remitente realiza una búsqueda en el Servicio de nombres de dominio (DNS) con la parte de dominio de la PRA. Si ese dominio ha publicado el registro de la estructura de directivas del remitente (SPF), el agente usará el registro SPF para evaluar el mensaje de acuerdo con la especificación para RFC 4408. El resultado de la evaluación se marca en el mensaje en la marca de correo electrónico no deseado. Si ese dominio no tiene un registro SPF publicado, el agente del Id. de remitente marcará el resultado de "Ninguno" en el mensaje. Para obtener más información acerca de los tipos de marcas utilizados para el filtrado de Id. de remitentes, consulte Descripción de marcas de correo no deseado.

Si el DNS del remitente proviene de un dominio bloqueado o de una dirección bloqueada, se realizarán la siguientes acciones dependiendo de la configuración de las acciones de Id. del remitente:

  • Rechazar mensaje   Si la acción de Id. de remitente está establecida en Rechazar mensaje, Exchange rechazará el mensaje y enviará una respuesta de error de SMTP al servidor de envío. La respuesta de error de SMTP es una respuesta del protocolo de nivel 5xx con texto que corresponde al estado de Id. de remitente.

  • Eliminar mensaje   Si la acción de Id. de remitente está establecida en Eliminar mensaje, Exchange eliminará el mensaje sin informar al servidor de envío. El equipo que tiene el rol de servidor Transporte perimetral instalado envía un comando de SMTP "OK" falso al servidor de envío y, a continuación, elimina el mensaje. Como el servidor de envío supone que el mensaje se ha enviado, no volverá a intentar enviarlo en la misma sesión.

  • Marcar mensaje con el resultado de Id. de remitente y continuar con el procesamiento   Exchange marca el mensaje con el resultado de Id. de remitente y sigue procesando el mensaje. El agente de filtrado de contenido evalúa estos metadatos al calcular el SCL. Además, la reputación del remitente usa los metadatos del mensaje cuando calcula el nivel de reputación del remitente para el remitente del mensaje.

Para obtener más información, consulte Descripción del identificador de remitente.

Volver al principio

Filtrado de contenido

Antes de que el filtrado de contenido de Exchange llame al Filtro inteligente de mensajes de Exchange, éste aplica de nuevo el filtrado de remitentes. A continuación, el servidor de Exchange aplica el agente de filtrado de contenido, tal como se muestra en la siguiente figura.

Flujo de mensaje de filtrado de contenido

El agente de filtro de contenido comprueba las siguientes condiciones en el mensaje. Si se cumple alguna de las condiciones, el mensaje pasará por alto el filtrado de contenido y el filtrado de documentos adjuntos. A continuación, estos mensajes pasan al análisis de antivirus para procesarlos. Se comprueban las condiciones siguientes:

  • La dirección IP del remitente se encuentra en la lista de IP permitidas para filtrado de conexiones.

  • Todos los destinatarios se encuentran en la lista de excepciones para filtrado de contenido.

  • El parámetro AntiSpamBypassEnabled está establecido en $True en todos los buzones de correo de los destinatarios.

  • Todos los destinatarios han agregado a este remitente a su lista de remitentes seguros de Outlook, que se actualiza en el servidor de transporte perimetral mediante la adición de listas seguras.

  • El remitente es un asociado de confianza y se encuentra en la lista de remitentes de la organización que no se filtran.

Además de las condiciones incluidas, si la sesión SMTP se ha autenticado como un asociado de confianza y si el administrador ha concedido permisos a los asociados para omitir filtros de contenido antispam (Ms-Exch-Bypass-Anti-Spam), se deshabilitarán los agentes del filtro de correo no deseado para los mensajes durante esa sesión. El permiso para omitir filtros de contenido contra correo electrónico no deseado no se concede a los asociados de forma predeterminada y debe asignarlo un administrador.

Si un mensaje no cumple ninguna de las condiciones descritas, se aplicará el filtrado de contenido. El filtrado de contenido asigna una clasificación de SCL al mensaje. En función de la clasificación de SCL, tiene lugar una de las acciones siguientes:

  • Si la clasificación de SCL del mensaje es mayor o igual que el umbral de eliminación de SCL y este umbral está habilitado, el agente de filtrado de contenido eliminará el mensaje. No hay ninguna comunicación en el nivel de protocolo que indique al sistema de envío o al remitente que el mensaje se ha eliminado. Si la clasificación de SCL es inferior al valor de umbral de eliminación de SCL, el agente de filtrado de contenido no eliminará el mensaje. En su lugar, el agente de filtro de contenido comparará el valor de SCL y el umbral de rechazo de SCL.

  • Si la clasificación de SCL del mensaje es mayor o igual que el umbral de rechazo de SCL y este umbral está habilitado, el agente de filtrado de contenido rechazará el mensaje y enviará una respuesta de rechazo al sistema remitente. Puede personalizar la respuesta de rechazo. En algunos casos, se envía un informe de no entrega (NDR) al remitente original del mensaje. Si la clasificación de SCL es inferior al valor de umbral de rechazo de SCL, el agente de filtrado de contenido no rechazará el mensaje. En su lugar, comparará el valor del nivel de confianza de correo no deseado con el umbral de cuarentena del nivel de confianza de correo no deseado.

  • Si la clasificación de SCL del mensaje es mayor o igual que el umbral de cuarentena de SCL y este umbral está habilitado, el agente de filtrado de contenido enviará el mensaje al buzón de cuarentena de correo electrónico no deseado. Para obtener más información acerca de cómo administrar el buzón de correo de cuarentena de correo electrónico no deseado, consulte Descripción del filtro de contenido A continuación el mensaje continuará el proceso de filtrado de documentos adjuntos.

Para obtener más información al respecto, consulte los siguientes temas (en inglés):

Volver al principio

Filtrado de reputación del remitente

Una vez que se haya aplicado el filtrado de contenido, Exchange aplicará el filtrado de reputación del remitente, como se muestra en la siguiente figura.

Flujo de mensajes de reputación de remitente

La reputación del remitente examina las siguientes estadísticas de mensajes y calcula el SRL de cada remitente:

  • Análisis HELO/EHLO

  • Búsqueda DNS inversa

  • Análisis de las clasificaciones de SCL en los mensajes de un remitente concreto

  • Prueba de proxy abierto de remitente

El SRL es un número comprendido entre 0 y 9 que predice la probabilidad de que un remitente específico sea alguien que envía correo electrónico no deseado o un usuario malintencionado. Un valor de 0 indica que no es probable que el remitente envíe correo no deseado, mientras que un valor de 9 indica que sí es probable.

Se puede configurar un umbral de bloqueo de SRL del 0 al 9, en el que la reputación del remitente emite una solicitud al agente de filtro de remitentes para bloquear al remitente para que no pueda enviar el mensaje a la organización. Cuando se bloquea a un remitente, este se agrega a la lista Remitentes bloqueados durante un período de tiempo que se puede configurar. La forma en la que se tratan los mensajes depende de la configuración del agente de filtro de remitentes. Las siguientes acciones son las opciones que se pueden elegir para tratar los mensajes bloqueados:

  • Rechazar

  • Eliminar y archivar

  • Aceptar y marcar como remitente bloqueado

Si el remitente está incluido en la lista de bloqueo de IP o servicio de reputación de IP de Microsoft, el agente de reputación de remitente emite una solicitud inmediata al agente de filtro del remitente para bloquear al remitente. Para aprovechar esta funcionalidad, se debe habilitar y configurar el servicio de actualización contra correo no deseado de Microsoft Exchange.

De forma predeterminada, el servidor Transporte perimetral establece una clasificación de 0 para los remitentes que no se han analizado. Cuando un remitente ha enviado 20 o más mensajes, la reputación del remitente calcula un SRL basado en las estadísticas descritas anteriormente.

Para obtener más información al respecto, consulte los temas siguientes:

Volver al principio

Filtrado de documentos adjuntos

Una vez que se haya aplicado el filtrado de reputación del remitente, Exchange aplicará el filtrado de documentos adjuntos, como se muestra en la siguiente figura.

Flujo de correo de filtrado de datos adjuntos

Puede configurar el filtrado de documentos adjuntos para bloquearlos en función del tipo de contenido MIME, el nombre de archivo o la extensión del nombre de archivo. Si el filtrado de documentos adjuntos detecta un tipo de contenido de nombre de archivo que se ha bloqueado, tendrá lugar una de las acciones siguientes en función de la configuración de filtrado de documentos adjuntos:

  • Rechazar   Si la configuración de acciones está establecida en Rechazar, no se entregará el mensaje de correo electrónico ni el documento adjunto al destinatario, y el sistema generará un mensaje de error de notificación de estado de envío (DSN) para el remitente. Puede personalizar la respuesta de rechazo.

  • Eliminación silenciosa   Si la configuración de acciones está establecida en Eliminación silenciosa, no se entregará ni el mensaje de correo electrónico ni el documento adjunto al destinatario. No se notifica al remitente que se bloquearon el mensaje de correo electrónico y el documento adjunto.

  • Seccionar   Si la configuración de acciones está establecida en Seccionar, el documento adjunto se seccionará del mensaje de correo electrónico. Este valor permite que se entreguen al destinatario el mensaje y otros documentos adjuntos que no coinciden con ninguna entrada de la lista de bloqueo de documentos adjuntos. Se agregará una notificación de que el documento adjunto está bloqueado al mensaje de correo electrónico del destinatario.

Si el mensaje no se ha rechazado ni eliminado, o el filtrado de documentos adjuntos no ha detectado ningún tipo de documento adjunto bloqueado, el mensaje se explorará en busca de virus.

Para obtener más información, consulte Configurar el filtro de datos adjuntos (en inglés).

Volver al principio

Exploración antivirus

Una vez que se haya aplicado el filtrado de documentos adjuntos, o si se han pasado por alto los destinatarios en el filtrado de contenido, se aplicará el análisis de antivirus de Forefront Protection para Exchange Server, como se muestra en la siguiente figura.

Flujo de correo de análisis de antivirus con Forefront Protection para Exchange Server

Forefront Protection para Exchange Server es un paquete de software antivirus estrechamente integrado con Exchange 2010 que ofrece protección antivirus adicional para su entorno de Exchange. Cuando Forefront Protection para Exchange Server detecta mensajes que parecen contener virus, el sistema elimina el mensaje, genera un mensaje de notificación y lo envía al buzón de correo del destinatario.

Para obtener más información, consulte Microsoft Forefront Protection 2010 para Exchange Server.

Volver al principio

Filtrado de correo no deseado de Outlook

Una vez que se han aplicado todos los filtros y se ha analizado el mensaje en busca de virus, el mensaje se envía al buzón de correo del destinatario deseado y se aplica el filtrado de correo no deseado, tal como se muestra en la siguiente figura.

Flujo de correo de filtrado de correo no deseado de Outlook

Si la clasificación de SCL para el mensaje es mayor o igual que el umbral de la carpeta de correo no deseado de SCL y este umbral está habilitado, el servidor de buzones de correo colocará el mensaje en la carpeta de correo no deseado del usuario de Outlook. Si el valor de SCL de un mensaje es inferior a los valores de umbral de eliminación, rechazo, cuarentena y carpeta de correo electrónico no deseado de SCL, el servidor del buzón colocará el mensaje en la Bandeja de entrada del usuario. Para obtener más información acerca de los umbrales de SCL, consulte Descripción del umbral de nivel de confianza del correo no deseado.

Volver al principio

 © 2010 Microsoft Corporation. Reservados todos los derechos.