Descripción del flujo de correo de las características contra correo no deseado y antivirus

  • Artículo

 

Se aplica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Última modificación del tema: 2009-01-22

Cuando un usuario externo envía mensajes de correo electrónico a un servidor de Microsoft Exchange en el que se ejecutan características contra correo electrónico no deseado, éstas evalúan de forma acumulativa los atributos de los mensajes entrantes y, o bien filtran los mensajes sospechosos de ser correo electrónico no deseado, o les asignan una clasificación basada en la probabilidad de que lo sean. Esta clasificación se almacena con el mensaje como una propiedad del mismo denominada clasificación de nivel de confianza contra correo no deseado (SCL). y se conserva con el mensaje cuando éste se envía a otros servidores de Exchange.

En la Figura 1 se muestra el orden en el que las características predeterminadas contra correo electrónico no deseado y Microsoft Forefront Security para Exchange Server filtran los mensajes entrantes de Internet. De forma predeterminada, las características contra correo electrónico no deseado y antivirus se organizan en este orden con los filtros que utilizan el filtrado de recursos mínimo en primer lugar y los filtros que utilizan el filtrado de recursos máximo en último lugar.

Nota

Puede que en el futuro se desarrollen más características contra correo electrónico no deseado y, a medida que surjan, se incluirán en el flujo de correo global. Además, en la siguiente figura y la explicación correspondiente se asume que el servidor de transporte perimetral de Exchange Server 2007 es el primer servidor SMTP (Protocolo simple de transferencia de correo) que acepta mensajes entrantes. En algunas organizaciones, es posible que el servidor de transporte perimetral se implemente detrás de un servidor SMTP de terceros. Cuando el servidor de transporte perimetral de Exchange 2007 se implementa detrás de un servidor de puerta de enlace SMTP, el servidor de transporte perimetral de Exchange 2007 requiere configuración adicional. De manera específica, debe asegurarse de que todos los servidores de puerta de enlace SMTP se enumeran en la propiedad InternalSMTPServer del objeto TransportConfig. Para obtener más información, consulte Set-TransportConfig (en inglés).

Figura 1   Características predeterminadas contra correo electrónico no deseado con filtrado antivirus de mensajes entrantes procedentes de Internet

diagrama de filtros contra correo no deseado y antivirus

Como se muestra en la Figura 1, los filtros se aplican en el orden siguiente cuando el servidor de transporte perimetral está expuesto a Internet:

  • Un servidor SMTP se conecta a Exchange 2007 e inicia una sesión SMTP.

  • Filtrado de la conexión

  • Filtrado de remitentes

  • Filtrado de destinatarios

  • Filtrado del Id. del remitente

  • Filtrado de contenido

  • Filtrado de datos adjuntos

  • Exploración antivirus

Nota

Aunque este detalle no se muestra en la figura 1, el filtro de conexiones recopila información durante dos eventos diferentes. El primer evento donde el filtro de conexión recopila información se muestra en la figura 1, donde recopila información de dirección IP de la conexión. La segunda vez que el filtro de conexiones recopila información se muestra en la figura 3 cuando el agente de filtro de remitentes analiza los encabezados del mensaje para determinar la primera dirección IP externa. Los agentes pueden supervisar múltiples eventos. La figura 1 muestra una vista de alto nivel del orden aproximado que aplican los agentes, cuando están habilitados todos los agentes, para fines de ilustración de flujo de mensajes. Para obtener más información acerca de eventos específicos y los agentes que supervisan determinados eventos, consulte Introducción a los agentes de transporte.

Filtrado de la conexión

Durante la sesión SMTP, Exchange 2007 aplica el filtrado de la conexión con los criterios siguientes, como se muestra en la Figura 2.

Figura 2   Flujo de correo de filtrado de la conexión

diagrama de filtros de conexión

  1. El agente de filtro de conexiones examina la lista de direcciones IP permitidas definida por el administrador. Si la dirección IP del servidor remitente se encuentra en la lista de IP permitidas definida por el administrador, el mensaje se procesa mediante el Filtrado de remitentes.

  2. El agente de filtro de conexiones examina la lista local de direcciones IP bloqueadas. Si la dirección IP del servidor remitente está incluida en esta lista, se rechazará automáticamente el mensaje y no se aplicará ningún otro filtro.

  3. El agente de filtro de conexiones examina la lista de direcciones IP admitidas de todos los proveedores de listas de IP permitidas que tenga. Si la dirección IP del servidor remitente se encuentra en la lista de IP permitidas de los proveedores de listas de IP admitidas, el mensaje se procesa mediante el Filtrado de remitentes.

  4. El agente de filtro de conexiones examina las listas de bloqueados en tiempo real (RBL) de cualquier proveedor de listas de direcciones IP bloqueadas que haya configurado. Si la dirección IP del servidor remitente está incluida en esta lista, se rechazará el mensaje y no se aplicará ningún otro filtro.

Para obtener más información, consulte Configurar el filtrado de la conexión (en inglés).

Nota

Si el agente de filtro de conexiones se implementa en un equipo que está detrás de otro servidor expuesto a Internet, se invocarán otros filtros, como el filtrado de remitentes y el filtrado de destinatarios, antes del agente de filtro de conexiones.

Filtrado de remitentes

Una vez que se haya aplicado el filtrado de la conexión, Exchange 2007 examinará la dirección de correo electrónico del remitente con la lista de remitentes bloqueados que haya configurado en el filtrado de remitentes, tal como se muestra en la Figura 3.

Figura 3   Flujo de correo de filtrado de remitentes

diagrama de filtros de remitentes

A continuación, el agente de filtro de remitentes examina la dirección de correo electrónico del remitente incluida en los campos del encabezado De: en el sobre del mensaje y el encabezado del mensaje. Si el campo del encabezado De: coincide con la dirección en la lista de remitentes bloqueados, Exchange 2007 rechaza el mensaje en el nivel de protocolo y no se aplican otros filtros.

Nota

Aunque los destinatarios de la organización hayan colocado a los remitentes en sus listas de remitentes seguros de Microsoft Office Outlook, el filtrado de remitentes del servidor de transporte perimetral invalidará la configuración de Outlook de destinatarios y rechazará los mensajes.

Para obtener más información acerca del filtrado de remitentes, consulte Configuración del filtrado de remitentes (en inglés).

Para obtener más información acerca de los sobres y los encabezados de los mensajes, consulte Administrar el directorio de reproducción.

Filtrado de destinatarios

Si el filtrado de remitentes no rechaza el mensaje, Exchange ejecuta de nuevo el filtrado de conexiones. A continuación, Exchange aplica el agente de filtro de destinatarios, tal como se muestra en la Figura 4.

Figura 4   Flujo de correo de filtrado de destinatarios

diagrama de filtros de destinatarios

El agente de filtro de destinatarios examina el destinatario con la lista de destinatarios bloqueados que haya configurado en la configuración del agente de filtro de destinatarios. Si el destinatario deseado coincide con una dirección de correo electrónico de la lista de destinatarios bloqueados, Exchange 2007 rechazará el mensaje para ese destinatario en concreto. Además, el agente de filtro de destinatarios comprueba si el destinatario está presente en la organización. Si no está presente, Exchange rechaza el mensaje para este destinatario en concreto.

Si se muestran varios destinatarios en el mensaje y ninguno de ellos se encuentra en la lista de destinatarios bloqueados, el mensaje se sigue procesando. De lo contrario, si el mensaje está destinado únicamente a un destinatario no admitido, no se aplica ningún otro filtro.

Cuando se procesa un mensaje con destinatarios bloqueados, el grupo de destinatarios bloqueados se elimina del mensaje y el mensaje continúa en la organización. Las respuestas de rechazo de SMTP de nivel de protocolo se envían a cada remitente bloqueado. El agente de reputación del remitente supervisa el evento OnReject para calcular el nivel de agente de reputación del remitente.

Para obtener más información, consulte Configurar el filtrado de destinatarios (en inglés).

Filtrado de Id. de remitentes

Si el mensaje contiene destinatarios válidos después de aplicar el filtrado de destinatarios, Exchange 2007 ejecuta el Id. del remitente, como se muestra en la Figura 5.

Figura 5   Flujo de correo de filtrado de Id. de remitentes

Diagrama de filtros de id. del remitente

En primer lugar, el agente del Id. del remitente determina la dirección de responsabilidad supuesta (PRA) del mensaje utilizando el algoritmo descrito en RFC 4407. Este paso es necesario para identificar con exactitud el remitente de los mensajes. La PRA es una dirección SMTP, como kim@contoso.com. A continuación, el agente del Id. del remitente realiza una búsqueda en el Servicio de nombres de dominio (DNS) con la parte de dominio de la PRA. Si ese dominio ha publicado el registro de la estructura de directivas del remitente (SPF), el agente utilizará el registro SPF para evaluar el mensaje de acuerdo con la especificación para RFC 4408. El resultado de la evaluación se marca en el mensaje en la marca de correo electrónico no deseado. Si ese dominio no tiene un registro SPF publicado, el agente del Id. del remitente marcará el resultado de "Ninguno" en el mensaje. Para obtener más información acerca de los tipos de marcas utilizados para el filtrado de Id. de remitentes, consulte Marcas de correo electrónico no deseado.

Si el DNS del remitente proviene de un dominio bloqueado o de una dirección bloqueada, se realizarán la siguientes acciones dependiendo de la configuración de las acciones de Id. del remitente:

  • Rechazar mensaje   Si la acción de Id. del remitente está establecida en Rechazar mensaje, Exchange rechazará el mensaje y enviará una respuesta de error de SMTP al servidor remitente. La respuesta de error de SMTP es una respuesta del protocolo de nivel 5xx sin texto que corresponde al estado de Id. del remitente.

  • Eliminar mensaje   Si la acción de Id. del remitente está establecida en Eliminar mensaje, Exchange eliminará el mensaje sin informar de ello al servidor remitente. De hecho, el equipo que tiene la función del servidor Transporte perimetral instalada envía un comando de SMTP "OK" falso al servidor remitente y, a continuación, elimina el mensaje. Como el servidor remitente supone que el mensaje se ha enviado, no volverá a intentar enviarlo en la misma sesión.

  • Marcar el mensaje con el resultado del Id. del remitente y continuar con el proceso   Exchange marca el mensaje con el resultado de Id. del remitente y sigue procesando el mensaje. El agente de filtro de contenido evalúa estos metadatos al calcular el SCL. Además, la reputación del remitente utiliza los metadatos del mensaje cuando calcula el nivel de reputación del remitente para el remitente del mensaje.

Para obtener más información, consulte Configurar el Id. de remitente (en inglés).

Filtrado de contenido

Antes de que las llamadas de filtrado de contenido de Exchange llamen al Filtro inteligente de mensajes de Exchange, aplica de nuevo el filtrado de remitentes. A continuación, el servidor de Exchange aplica el agente de filtro de contenido, tal como se muestra en la Figura 6.

Figure 6   Flujo de mensajes de filtrado de contenido

flujo de correo del agente de filtrado de contenido

El agente de filtro de contenido comprueba las siguientes condiciones en el mensaje. Si se cumple alguna de las condiciones, el mensaje pasará por alto el filtrado de contenido. A continuación, estos mensajes pasan a la exploración antivirus para procesarlos.

  • La dirección IP del remitente se encuentra en la lista de IP permitidas para filtrado de conexiones.

  • Todos los destinatarios se encuentran en la lista de excepciones para filtrado de contenido.

  • El parámetro AntiSpamBypassEnabled está establecido en $True en todos los buzones de los destinatarios.

  • Todos los destinatarios han agregado a este remitente a su lista de remitentes seguros de Outlook, que se actualiza en el servidor de transporte perimetral mediante la agregación de listas seguras.

  • El remitente es un socio de confianza y se encuentra en la lista de remitentes de la organización que no se filtran.

Además de las condiciones incluidas aquí, si la sesión SMTP se ha autenticado como un socio de confianza, y si el administrador ha concedido permisos a los socios para eludir el filtrado contra correo electrónico no deseado (Ms-Exch-Bypass-Anti-Spam), se deshabilitarán los agentes contra correo electrónico no deseado para los mensajes durante esa sesión. El permiso para eludir el filtrado contra correo electrónico no se concede a los socios de forma predeterminada y debe asignarlo un administrador.

Si un mensaje no cumple ninguna de las condiciones que se describen aquí, se aplicará el filtrado de contenido. El filtrado de contenido asigna una clasificación de SCL al mensaje. En función de la clasificación de SCL, tiene lugar una de las acciones siguientes:

  • Si la clasificación de SCL del mensaje es mayor o igual al umbral de eliminación de SCL y este umbral está habilitado, el agente de filtro de contenido eliminará el mensaje. No hay ninguna comunicación en el nivel de protocolo que indique al sistema de envío o al remitente que el mensaje se ha eliminado. Si la clasificación de SCL es inferior al valor de umbral de eliminación de SCL, el agente de filtro de contenido no eliminará el mensaje. En su lugar, el agente de filtro de contenido comparará el valor de SCL y el umbral de rechazo de SCL.

  • Si la clasificación de SCL del mensaje es mayor o igual al umbral de rechazo de SCL y este umbral está habilitado, el agente de filtro de contenido rechazará el mensaje y enviará una respuesta de rechazo al sistema remitente. Puede personalizar la respuesta de rechazo. En algunos casos, se envía un informe de no entrega (NDR) al remitente original del mensaje. Si la clasificación de SCL es inferior al valor de umbral de rechazo de SCL, el agente de filtro de contenido no rechazará el mensaje. En su lugar, comparará el valor del nivel de confianza de correo no deseado con el umbral de cuarentena del nivel de confianza de correo no deseado.

  • Si la clasificación de SCL del mensaje es mayor o igual al umbral de cuarentena de SCL y este umbral está habilitado, el agente de filtro de contenido enviará el mensaje al buzón de cuarentena de correo electrónico no deseado. Para obtener más información acerca de cómo administrar la cuarentena del correo electrónico no deseado, consulte Configurar y administrar la cuarentena de correo electrónico no deseado (en inglés). A continuación el mensaje continuará el proceso de filtrado de documentos adjuntos.

Para obtener más información al respecto, consulte los siguientes temas (en inglés):

Filtrado de documentos adjuntos

Una vez que se haya aplicado el filtrado de contenido, Exchange aplicará el filtrado de documentos adjuntos, tal como se muestra en la Figura 7.

Figura 7   Flujo de correo de filtrado de documentos adjuntos

diagrama de filtros de datos adjuntos

Puede configurar el filtrado de documentos adjuntos para bloquearlos en función del tipo de contenido MIME, el nombre de archivo o la extensión del nombre de archivo. Si el filtrado de documentos adjuntos detecta un tipo de contenido de nombre de archivo que se ha bloqueado, tendrá lugar una de las acciones siguientes en función de la configuración de filtrado de documentos adjuntos:

  • Rechazar   Si la configuración de acciones está establecida en Rechazar, no se entregará ni el mensaje de correo electrónico ni el documento adjunto al destinatario y el sistema generará un mensaje de error de DSN para el remitente. Puede personalizar la respuesta de rechazo.

  • Eliminación silenciosa   Si la configuración de acciones está establecida en Eliminación silenciosa, no se entregará ni el mensaje de correo electrónico ni el documento adjunto al destinatario. No se notifica al remitente que se ha bloqueado el mensaje de correo electrónico y el documento adjunto.

  • Seccionar   Si la configuración de acciones está establecida en Seccionar, el documento adjunto se seccionará del mensaje de correo electrónico. Este valor permite que el mensaje y otros documentos adjuntos que no coincidan con una entrada de la lista de documentos adjuntos bloqueados se entreguen al destinatario. Se agregará una notificación de que el documento adjunto está bloqueado al mensaje de correo electrónico del destinatario.

Si el mensaje no se ha rechazado ni eliminado, o el filtrado de documentos adjuntos no ha detectado ningún tipo de documento adjunto bloqueado, el mensaje se explorará en busca de virus.

Para obtener más información, consulte Cómo configurar el filtrado de datos adjuntos (en inglés).

Exploración antivirus

Una vez que se haya aplicado el filtrado de documentos adjuntos, o si se ha pasado por alto los destinatarios en el filtrado de contenido, se aplicará la exploración antivirus de Forefront Security for Exchange Server, tal como se muestra en la Figura 8.

Figura 8   Flujo de correo de exploración antivirus de Forefront Security for Exchange Server

diagrama de filtros del antivirus Forefront

Forefront Security for Exchange Server es un paquete de software antivirus estrechamente integrado con Exchange 2007 que ofrece protección antivirus adicional para su entorno de Exchange. Cuando Forefront Security for Exchange Server detecta mensajes que parecen contener virus, el sistema elimina el mensaje, genera un mensaje de notificación y lo envía al buzón del destinatario.

Para obtener más información acerca de Forefront Security para Exchange Server, consulte Protección de una organización de Microsoft Exchange con Microsoft Forefront Security for Exchange Server.

Filtrado de correo electrónico no deseado de Outlook

Una vez que se ha aplicado todos los filtros y se ha explorado el mensaje en busca de virus, el mensaje se envía al buzón del destinatario deseado y se aplica el filtrado de correo electrónico no deseado, tal como se muestra en la Figura 9.

Figura 9   Flujo de correo de filtrado de correo electrónico no deseado de Outlook

diagrama de filtros de correo no deseado

Si la clasificación de SCL para el mensaje es mayor o igual al umbral de la carpeta de correo electrónico no deseado de SCL y este umbral está activado, el servidor del buzón colocará el mensaje en la carpeta de correo electrónico no deseado del usuario de Outlook. Si el valor de SCL de un mensaje es inferior a los valores de umbral de eliminación, rechazo, cuarentena y carpeta de correo electrónico no deseado de SCL, el servidor del buzón colocará el mensaje en la Bandeja de entrada del usuario. Para obtener más información acerca de los umbrales de SCL, consulte Ajuste del umbral de nivel de confianza contra correo no deseado.

Información adicional

Para obtener más información acerca de las características contra correo electrónico no deseado y antivirus, consulte los siguientes artículos de la Knowledge Base (en inglés):