Filtrado de la conexión
Se aplica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Última modificación del tema: 2009-10-06
El agente de filtro de conexiones es un agente contra correo electrónico no deseado que se habilita en los equipos que tienen instalada la función de servidor de transporte de bordes de Microsoft Exchange Server 2007. El agente de filtro de conexiones depende de la dirección IP del servidor remoto que está intentando conectar para determinar qué acción ejecutar, si hay que ejecutar alguna, con un mensaje entrante. La dirección IP remota está disponible para el agente de filtro de conexiones como consecuencia de la conexión TCP/IP subyacente que se necesita para la sesión de Protocolo de transferencia simple de correo (SMTP). Dado que, para ser eficaz, el agente de filtro de conexiones debe evaluar la dirección IP del servidor remoto que está enviando el mensaje, este agente normalmente está habilitado en el servidor de transporte de bordes expuesto a Internet. No obstante, también se puede configurar de forma adicional para ejecutar el agente de filtro de conexiones a nivel más profundo en la ruta de acceso del mensaje entrante.
Cuando se configuran agentes contra correo electrónico no deseado en un servidor de transporte de bordes, los agentes actúan sobre los mensajes de forma acumulativa con el fin de reducir el número de mensajes no solicitados que entran en la organización. Para reducir la redundancia y mejorar el rendimiento y la eficacia generales del sistema, es importante comprender el orden en el que los agentes evalúan los mensajes entrantes. Comprender el orden en el que los filtros evalúan los mensajes entrantes ayudará a optimizar la configuración de los servidores de transporte de bordes. Para obtener más información acerca de cómo planear e implementar los agentes contra correo electrónico no deseado, consulte Funcionalidad contra correo electrónico no deseado y antivirus (en inglés).
Cuando se habilita el agente de filtro de conexiones, éste es el primer agente contra correo electrónico no deseado que se ejecuta al evaluar un mensaje entrante.
Cuando se envía un mensaje entrante a un servidor de transporte de bordes en el que está habilitado el agente de filtro de conexiones, la dirección IP origen de la conexión SMTP se compara con listas de IP admitidas e IP no admitidas. Si la dirección IP origen está incluida en una lista de IP admitidas, el mensaje se envía al destino sin procesamiento adicional por parte de otros agentes contra correo electrónico no deseado. Si la dirección IP origen está incluida en una lista de IP no admitidas, se cancela la conexión SMTP cuando se procesan todos los encabezados RCPT TO del mensaje.
Nota
El momento en el que se cancela una conexión dada depende de otras configuraciones contra correo electrónico no deseado. Por ejemplo, se puede especificar qué destinatarios siempre reciben los mensajes de correo electrónico, incluso cuando la dirección IP origen está bloqueada. Asimismo, también se pueden configurar otros agentes que dependan del análisis del contenido del comando DATA. El agente de filtro de conexiones siempre cancela las conexiones bloqueadas de acuerdo con la configuración general contra correo electrónico no deseado.
Si la dirección IP origen no está incluida en las listas de IP admitidas o de IP no admitidas, el mensaje continúa fluyendo a través de otros agentes contra correo electrónico no deseado que estén configurados.
Para obtener más información acerca de cómo configurar el agente de filtro de conexiones, consulte Configurar el filtrado de la conexión (en inglés).
Listas de IP admitidas y de IP no admitidas
El agente de filtro de conexiones compara la dirección IP del servidor que está enviando un mensaje con cualquiera de los siguientes almacenes de datos de direcciones IP:
Listas de IP admitidas y de IP no admitidas definidas por el administrador
Proveedores de listas de IP no admitidas
Proveedores de listas de IP admitidas
Para obtener más información acerca de los proveedores de listas de IP no admitidas, consulte "Proveedores de listas de IP no admitidas" más adelante en este tema.
Se debe configurar al menos uno de estos almacenes de datos de direcciones IP, para que el agente de filtro de conexiones sea operativo. Si los almacenes de datos de direcciones IP no contienen las direcciones de las listas de IP no admitidas o de IP admitidas, o si no tiene configurado ningún proveedor de listas de IP no admitidas o de IP admitidas, se debería deshabilitar el agente de filtro de conexiones.
Listas de IP admitidas y de IP no admitidas definidas por el administrador
Los administradores de servidores de transporte de bordes mantienen listas de direcciones IP que ellos mismos han definido. Se pueden escribir y eliminar direcciones IP que se quieran permitir o bloquear mediante la Consola de administración de Exchange o el Shell de administración de Exchange. Las direcciones IP se pueden agregar individualmente, mediante intervalos de direcciones IP o mediante la dirección IP y la máscara de subred.
Cuando se agrega una dirección IP o un intervalo de direcciones IP, se debe especificar como una dirección de lista de IP admitidas o de IP admitidas. Asimismo, también se puede especificar un período de caducidad para cada entrada de la lista de IP no admitidas que se cree. Cuando se establece un período de caducidad, éste especifica durante cuánto tiempo está activa la entrada de la lista de IP no admitidas. Cuando se llega al final del período de caducidad, se deshabilita la entrada de la lista de de IP no admitidas.
Mediante el uso de listas de IP admitidas y de IP no admitidas definidas por el administrador, se puede configurar el filtrado de conexiones para que sea compatible con las siguientes situaciones:
Excluir direcciones IP de las listas de IP no admitidos de los proveedores de listas de IP no admitidos Puede que sea necesario excluir direcciones IP de las listas de IP no admitidas de los proveedores de listas de IP no admitidas cuando se incluye sin querer a remitentes legítimos en una lista de IP no admitidos de un proveedor de dicha lista. Por ejemplo, se podría incluir involuntariamente a remitentes legítimos en una lista de IP no admitidas cuando se configuró por accidente el servidor SMTP para que actuara como un retransmisor abierto. En esta situación, el remitente probablemente intentará corregir esta configuración errónea y eliminar su dirección IP de la lista de IP no admitidas del proveedor de dicha lista.
Para obtener más información acerca de los proveedores de listas de IPs no admitidos, consulte "Proveedores de listas de IP no admitidas" más adelante en este tema.
Negar el acceso de direcciones IP que son un origen de mensajes de correo electrónico no solicitado pero que no se encuentran en las listas de IP no admitidas de un proveedor de dichas listas En ocasiones se puede recibir una gran cantidad de mensajes no solicitados desde un origen que todavía no haya sido identificado por un servicio de listas de bloqueo en tiempo real al que esté suscrito.
Proveedores de listas de IP no admitidas
Los servicios proveedor de listas de IP no admitidas pueden ayudar a reducir el número de mensajes de correo electrónico no solicitados que entran en la organización.
Nota
Con frecuencia los servicios proveedor de listas de IP no admitidas se conocen como servicios listas de bloqueo en tiempo real (RBL). La Consola de administración de Exchange se refiere a los servicios RBL como servicios proveedor de listas de IP no admitidas. Los términos "servicios RBL" y "servicios proveedor de listas de IP no admitidas" son equivalentes.
Los servicios proveedor de listas de IP no admitidas compilan listas de direcciones IP desde las que se han originado correos no deseados en el pasado. Además, algunos proveedores de listas de IP no admitidas proporcionan listas de direcciones IP para las que el SMTP está configurado para retransmisiones abiertas. También hay servicios proveedor de listas de IP no admitidas que proporcionan listas de direcciones IP compatibles con el acceso telefónico. Los proveedores de servicios Internet (ISP) que proporcionan acceso telefónico a sus clientes, asignan direcciones IP dinámicas a cada sesión de acceso telefónico. Algunos proveedores de servicios Internet bloquean el tráfico SMTP proveniente de cuentas con acceso telefónico. Estos ISP y los intervalos de IP de acceso telefónico del operador normalmente no están incluidos en las listas de IP no admitidas. No obstante, algunos ISP permiten que los clientes envíen tráfico SMTP desde cuentas de acceso telefónico. Los usuarios malintencionados se aprovechan de los ISP que permiten el tráfico SMTP para enviar correo electrónico no deseado desde direcciones IP dinámicas. Cuando la dirección IP se incluye en una lista de IP no admitidas, los usuarios malintencionados inician otra sesión de acceso telefónico y reciben una nueva dirección IP. Con frecuencia, un único proveedor de listas de IP no admitidas puede proporcionar una lista de direcciones IP que cubra todas estas amenazas de correo no deseado.
Se pueden establecer diferentes configuraciones de proveedor de listas de IP no admitidas mediante el uso de la Consola de administración de Exchange o el Shell de administración de Exchange. Cada servicio requiere una configuración separada de proveedor de listas de IP no admitidas en la Consola de administración de Exchange o el Shell de administración de Exchange.
Cuando se configura el agente de filtro de conexiones para que use un proveedor de listas de IPs no admitidos, éste consulta al servicio proveedor de listas de IP no admitidas para determinar si existe una coincidencia con las direcciones IP de las conexiones, antes de aceptar que el mensaje entre en la organización.
Antes de que el agente de filtro de conexiones se ponga en contacto con dicho proveedor para comprobar una dirección IP, ésta se compara primero con las listas de IP no admitidas e IP admitidas definidas por el administrador. Si la dirección IP no existe en ninguna de estas dos listas, el agente de filtro de conexiones consulta los servicios proveedor de listas de IP no admitidas de acuerdo con la clasificación de prioridad que tenga asignado cada proveedor. Si la dirección IP aparece en la lista de IP no admitidas de un proveedor, el servidor de transporte de bordes espera y analiza el encabezado RCPT TO, responde al sistema que lo ha enviado con un error SMTP 550 y cierra la conexión. Si la dirección IP no aparece en las listas de IP no admitidas de ninguno de los proveedores, el siguiente agente de la cadena contra correo electrónico no deseado procesa la conexión. Para obtener más información acerca del orden en que los agentes contra correo no deseado y antivirus predeterminados filtran los mensajes entrantes de Internet, consulte Funcionalidad contra correo electrónico no deseado y antivirus.
Cuando usa el agente de filtro de conexión, es recomendable usar uno o más proveedores de listas de IP no admitidas para administrar el acceso a la organización. Utilizar una lista de bloqueo definida por el administrador para mantener su propia lista de IP no admitidas lleva mucho tiempo y puede que no resulte posible desde el punto de vista de los recursos humanos en la mayoría de las organizaciones. Por tanto, es muy recomendable usar un servicio proveedor de listas de IP no admitidas externo, cuyo único objetivo es mantener dichas listas.
No obstante, el uso de un proveedor de listas de IP no admitidas puede tener algunas desventajas. Debido a que el agente de filtro de conexiones debe consultar una entidad externa para cada dirección IP desconocida, los períodos de interrupción de la actividad o los retrasos en el servicio proveedor de listas de IP no admitidas pueden provocar retrasos en el procesamiento de mensajes en el servidor de transporte de bordes. En casos extremos, estos períodos de interrupción o retrasos podrían causar un cuello de botella en el flujo del correo del servidor de transporte de bordes.
La otra desventaja de usar un servicio proveedor de listas de IP no admitidas externo es que en ocasiones se incluye por error a remitentes legítimos en las listas de IP no admitidas de los proveedores de listas de IP no admitidas. Se pueden agregar remitentes legítimos a listas de IP no admitidas que mantengan un proveedor de listas de IP no admitidas como resultado de un error de configuración de SMTP, donde la configuración involuntaria del servidor SMTP para que actuara como una retransmisión abierta es un ejemplo del error de configuración.
Proveedores de listas de IP admitidas
También se pueden administrar los mensajes entrantes mediante el uso de servicios proveedor de listas de IP admitidas que proporcionan dichas listas, que en ocasiones se conocen como listas seguras de IP o listas "blancas" en el sector del software. Los proveedores de listas de IP admitidas mantienen listas de direcciones IP sobre las que se tiene certeza de que no están relacionadas con ninguna actividad de correo electrónico no deseado. Cuando un proveedor de listas de IP admitidas devuelve una coincidencia de de IP admitidas, que indica que la dirección IP del remitente es más que probable que sea de un remitente reputado o "seguro", el agente de filtro de conexiones retransmite el mensaje al siguiente agente de la cadena contra correo electrónico no deseado.
Para obtener información acerca de cómo configurar proveedores de listas de IP admitidas, consulte Configurar el filtrado de la conexión (en inglés).
Información adicional
Para obtener más información acerca de cómo configurar el filtrado de conexiones mediante la Consola de administración de Exchange, consulte los siguientes temas:
Cómo agregar direcciones IP a la lista de IP admitidas y a la lista de IP no admitidas
Cómo configurar los proveedores de listas de IP admitidas e IP no admitidas
Para obtener más información acerca de cómo configurar el filtrado de conexiones mediante el Shell de administración de Exchange, consulte Cmdlets del agente de filtro de conexiones.