Agregación de listas seguras

Se aplica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Última modificación del tema: 2008-01-22

En Microsoft Exchange Server 2007, el término agregación de listas seguras hace referencia a un conjunto de funciones contra correo electrónico no deseado que se comparte entre Microsoft Office Outlook y Exchange. Estas funciones recogen datos de las listas de destinatarios seguros o de las listas de remitentes seguros contra correo electrónico no deseado, ponen en contacto los datos que los usuarios de Outlook configuran, dejan dichos datos a disposición de los agentes contra correo electrónico no deseado del equipo que tiene instalada la función del servidor Transporte perimetral. La agregación de listas seguras puede ayudar a reducir los casos de falsos positivos que genera el filtrado contra correo electrónico no deseado que lleva a cabo el servidor de transporte perimetral.

Si un administrador de Exchange habilita y configura correctamente la agregación de listas seguras, el agente de filtro de contenido pasa los mensajes de correo electrónico seguros al buzón de la empresa sin que se realice ningún otro procesamiento adicional. El agente de filtro de contenido identifica como seguros los mensajes de correo electrónico que los usuarios de Outlook reciben de los contactos en que han confiado o que han agregado a las listas de destinatarios seguros o de remitentes seguros de Outlook. Un Outlook contacto es una persona, de dentro o fuera de la organización del usuario, de la que el usuario puede guardar distinta información, como correo electrónico, direcciones, números de teléfono y de fax, y direcciones URL de páginas web.

La agregación de listas seguras puede ayudar a reducir los casos de falsos positivos que genera el filtrado contra correo electrónico no deseado que lleva a cabo el servidor de transporte perimetral. Un falso positivo es un resultado positivo de una prueba o un filtro que está en el asunto o en el cuerpo de datos y que no posee el atributo para el que se realiza el filtro o la prueba. En el contexto del filtrado de correo electrónico no deseado, un falso positivo se produce cuando un filtro de correo electrónico no deseado identifica de forma incorrecta un mensaje de un remitente legítimo como correo electrónico no deseado.

En las organizaciones que filtran cientos de miles de mensajes de Internet a diario, hasta un porcentaje pequeño de falsos positivos significa que es posible que los usuarios no reciban muchos mensajes que se han identificado incorrectamente como correo electrónico no deseado y, por consiguiente, se han puesto en cuarentena o se han eliminado.

Es probable que la agregación de listas seguras sea el modo más eficaz de reducir los falsos positivos. Tanto Outlook 2003 como la próxima versión de Outlook, que se incluye en Office 2007, permiten a los usuarios crear listas de remitentes seguros. Las listas de remitentes seguros especifican una lista de nombres de dominio y direcciones de correo electrónico de la que el usuario de Outlook desea recibir mensajes. De manera predeterminada, el filtro de correo electrónico no deseado considera seguras las direcciones de correo electrónico de los contactos de Outlook y la lista global de direcciones de Exchange Server. Sin embargo, los contactos no se agregan realmente a esta lista a menos que les envíe mensajes mientras está activada la casilla Agregar automáticamente mis destinatarios a la lista de remitentes seguros. Así mismo, Outlook agrega todos los contactos externos a los que el usuario envía correo a la lista de remitentes seguros.

Información almacenada en la recopilación de listas seguras del usuario de Outlook

Una recopilación de listas seguras es la combinación de datos de la lista de remitentes seguros, la lista de destinatarios seguros, la lista de remitentes bloqueados y los contactos externos. Estos datos se almacenan en Outlook y en el buzón de Exchange.

Los siguientes tipos de información se almacenan en una recopilación de listas seguras del usuario de Outlook:

• Remitentes y destinatarios seguros   El origen: el encabezado del mensaje indica un remitente. El destino: campo del mensaje de correo electrónico que indica un destinatario. Tanto los remitentes seguros como los destinatarios seguros se representan mediante direcciones SMTP (Protocolo simple de transferencia de correo) completas, como masato@contoso.com. Los usuarios de Outlook pueden agregar remitentes y destinatarios a sus listas seguras.

• Dominio seguro   El dominio es la parte de una dirección SMTP que va detrás del símbolo @. Por ejemplo, contoso.com es el dominio de la dirección masato@contoso.com. Los usuarios de Outlook pueden agregar dominios de remitente a sus listas seguras.

  Importante

  El Service Pack 1 (SP1) de Microsoft Exchange Server 2007 aporta una funcionalidad con la que podrá especificar si incluir los datos del dominio seguro para los agentes contra el correo electrónico no deseado en el servidor de transporte perimetral mediante la utilización del cmdlet Update-SafeList. En la mayoría de los casos, no le recomendamos que incluya dominios ya que los usuarios podrían incluir dominios de Proveedores de servicios Internet (ISP) grandes y así proporcionar direcciones de forma no intencionada que podrían usar o suplantar las personas que envían correos masivos.

• Contactos externos   En la agregación de listas seguras se pueden incluir dos tipos de contactos externos. El primer tipo de contacto externo incluye los contactos a los que los usuarios de Outlook han enviado correo. Esta clase de contacto se agrega a la lista de remitentes seguros sólo si un usuario de Outlook selecciona la opción correspondiente de la configuración de correo electrónico no solicitado de Outlook 2003 o Exchange 2007.

  El segundo tipo de contacto externo incluye los contactos de Outlook de los usuarios. Los usuarios pueden agregar o importar estos contactos en Outlook. Esta clase de contacto se agrega a la lista de remitentes seguros sólo si un usuario de Outlook selecciona la opción correspondiente de la configuración de filtro de correo electrónico no solicitado de Outlook 2003 o Outlook 2007.

Cómo usa Exchange la recopilación de listas seguras

La recopilación de listas seguras se almacena en el servidor de buzón del usuario. En la versión RTM de Microsoft Exchange Server 2007, un usuario puede tener hasta 1.024 entradas únicas en una colección segura. En Microsoft Exchange Server 2007 Service Pack 1 (SP1), el límite es de 3.072 entradas únicas.

En las versiones anteriores de Exchange Server, el servidor de buzón del usuario obtenía acceso a la recopilación de listas seguras durante el filtrado de correo electrónico no deseado para permitir el paso del correo electrónico de los remitentes de la lista de remitentes seguros.

En Exchange 2007, la recopilación de listas de seguridad se almacena en el buzón del usuario, pero se puede llevar al servicio de directorios de Active Directory, donde la recopilación de listas de seguridad se almacena en cada objeto del usuario. Cuando la recopilación de listas de seguridad se almacena en el objeto del usuario de Active Directory, la recopilación de listas de seguridad se agrega a la funcionalidad contra el correo electrónico no deseado de Exchange 2007 y se optimiza para minimizar el almacenamiento y la replicación, con el fin de que el servidor de transporte perimetral pueda procesar la agregación de listas seguras. El agente de filtro de contenido del servidor de transporte perimetral puede obtener acceso a la recopilación de listas seguras de cada destinatario. El servicio Microsoft Exchange EdgeSync replica la recopilación de listas seguras en la instancia de Active Directory Application Mode (ADAM) del servidor de transporte perimetral.

Hash en las entradas de la colección de listas seguras

Merece la pena destacar que las entradas de la recopilación de listas seguras se cifran mediante hash (SHA-256) unidireccionalmente antes de que se almacenen como conjuntos de matrices en los atributos de objeto de dos usuarios, msExchangeSafeSenderHash y msExchangeSafeRecipientHash, como objeto binario grande. Si los datos se cifran mediante hash, se crea una salida de longitud fija, que también es probable que sea única. Para cifrar las entradas de la colección de listas seguras mediante hash, se crea un hash de 4 bytes. Cuando se recibe un mensaje de Internet, Exchange Server cifra mediante hash la dirección del remitente y la compara con los hashes que están almacenados a nombre del usuario de Outlook al que se envió el mensaje. Si algún hash entrante coincide, el mensaje omite el filtrado de contenido.

El cifrado unidireccional mediante hash de las entradas de la recopilación de listas seguras realiza las siguientes funciones importantes:

• Reduce el espacio de almacenamiento y replicación   La mayor parte de las veces, el cifrado mediante hash reduce el tamaño de los datos que se cifran. Por tanto, para guardar y transmitir una versión cifrada mediante hash de una entrada de la recopilación de listas seguras hace falta menos espacio y el tiempo de replicación se reduce. Por ejemplo, un usuario que tiene doscientas entradas en su recopilación de listas seguras crearía alrededor de 800 bytes de datos cifrados mediante hash que se almacenan y replican en Active Directory.

• Representa las recopilaciones de listas seguras de usuarios que no usan los usuarios malintencionados   Dado que no es posible hacer ingeniería inversa de los valores con hash unidireccional en la dirección SMTP ni en el dominio originales, las recopilaciones de listas seguras no generan direcciones de correo electrónico que puedan usar usuarios malintencionados que podrían poder en peligro algún servidor de transporte perimetral.

Habilitación de la agregación de listas seguras

La agregación de listas seguras se puede habilitar ejecutando el cmdlet Exchange del Shell de administración de Update-SafeList en el buzón de un usuario. El cmdlet Update-SafeList lee la recopilación de listas seguras del buzón del usuario, cifra mediante hash todas las entradas, ordena las entradas para facilitar la búsqueda y convierte el hash en un atributo binario. Por último, el cmdlet Update-SafeList compara el atributo binario que se creó con cualquier valor almacenado en el atributo. Si los dos valores son idénticos, el cmdlet Update-SafeList no actualiza el valor del atributo del usuario con los datos de la agregación de listas seguras. Si los dos valores del atributo son diferentes, el cmdlet Update-SafeList actualiza el valor de la agregación de listas seguras. El fin de esta lógica, en la que los valores binarios se comparan antes de las actualizaciones, es reducir considerablemente el uso de los recursos en la replicación de Active Directory. Las actualizaciones periódicas garantizan que la agregación de las listas seguras más actualizadas es la que está en Active Directory. Para obtener más información acerca de cómo configurar el cmdlet Update-Safelist para ejecutar actualizaciones periódicas, consulte Cómo configurar la agregación de listas seguras.

Para que los datos de la agregación de listas seguras de Active Directory estén disponibles en los servidores de transporte perimetral de la red perimetral, se debe instalar y configurar el servicio Microsoft Exchange EdgeSync con el fin de que los datos de la agregación de listas seguras se repliquen en ADAM.

Para obtener más información

Para obtener más información al respecto, consulte los siguientes temas:

• Cómo configurar la agregación de listas seguras

• Uso de una suscripción perimetral para llenar ADAM con datos de Active Directory