Configuración del filtrado y control del correo no deseado

  • Artículo

 

Última modificación del tema: 2006-03-15

El control del correo no deseado es un desafío, pero hay algunos métodos que puede utilizar para reducir este tipo de correo:

  • Utilizar las características de filtrado de Exchange 2003.   Microsoft® Exchange Server 2003 ofrece filtrado de la conexión, de destinatarios y de remitentes para reducir el volumen de correo no deseado que se envía a los usuarios de su organización.
  • Educar a sus usuarios para que no respondan o reenvíen correo no deseado.   Pida a sus usuarios que no hagan clic en ningún vínculo "quitar" incluido en el mensaje porque los vínculos suelen utilizarse para comprobar direcciones.

En Exchange Server 2003 puede configurar y habilitar el filtrado en los servidores virtuales SMTP para restringir el acceso al servidor virtual. El filtrado se configura en el Administrador del sistema de Exchange, bajo Configuración global, en Propiedades de Entrega de mensajes. Aunque configure el filtrado de forma global, debe habilitarlo en cada servidor virtual individual.

Utilice el filtrado de las maneras siguientes para bloquear los mensajes de correo electrónico entrantes enviados a su servidor virtual SMTP:

  • Filtrar conexión le permite bloquear los mensajes enviados a su organización según la dirección del Protocolo Internet (IP) del servidor SMTP de conexión. Puede configurar listas globales de aceptación para las direcciones IP cuyos mensajes desea aceptar siempre y listas globales de rechazo para las direcciones IP cuyos mensajes desea rechazar siempre. También puede suscribirse a un proveedor de listas de bloqueo y comprobar que la dirección IP de conexión no figura en su lista de direcciones IP bloqueadas.

    Nota

    Si desea impedir que una determinada dirección IP envíe correo a sus servidores virtuales SMTP, puede agregar estas direcciones IP mediante el botón Conexión de la ficha Acceso en las propiedades del servidor virtual SMTP. Debe configurar estas restricciones en los servidores virtuales SMTP de puerta de enlace.

  • Filtro de destinatarios le permite bloquear los mensajes enviados a la dirección de un destinatario específico dentro de su organización.

  • Filtrado del remitente le permite bloquear los mensajes enviados por un remitente específico. Si su organización recibe repetidamente correo no deseado de las mismas direcciones de envío, puede bloquear estos remitentes para que no puedan enviar correo a su organización.

Filtrado de la conexión

Exchange Server 2003 admite el filtrado de la conexión basado en listas de bloqueo. El filtrado de la conexión aprovecha servicios externos que enumeran fuentes conocidas de correo no deseado, cuentas de usuario de acceso telefónico y servidores que tienen abierta la retransmisión (según las direcciones IP). El filtrado de la conexión complementa otros productos de filtrado de contenido de terceros. Esta característica permite comprobar una dirección IP entrante en una lista de un proveedor de listas de bloqueo según las categorías que desee filtrar. Además, es posible utilizar varios filtros de conexión y establecer prioridades en el orden en que se aplicará cada filtro.

Mediante el filtrado de conexión, es posible realizar también lo siguiente:

  • Configurar listas globales de aceptación y rechazo.   Una lista global de aceptación es una lista de direcciones IP cuyo correo siempre se aceptará. Una lista global de rechazo es una lista de direcciones IP cuyo correo siempre se rechazará. Puede utilizar las listas globales de aceptación y de rechazo con o sin utilizar un proveedor de servicios de listas de bloqueo.
  • Configurar la dirección de un destinatario como una excepción a todas las reglas de filtrado de la conexión.   Cuando se envía correo a esta dirección, se acepta automáticamente, incluso aunque el remitente aparezca en una lista de bloqueo.

Funcionamiento de las reglas de filtrado de la conexión

Cuando crea una regla de filtrado de la conexión, SMTP utiliza esta regla para realizar una consulta DNS en una lista proporcionada por un servicio de listas de bloqueo de terceros. El filtro de conexión compara las direcciones IP entrantes con las de la lista de bloqueo proporcionada por terceros. El proveedor de listas de bloqueo emite una de las dos respuestas siguientes:

  • no se encuentra el host   Indica que la dirección IP no se encuentra en su lista de bloqueo.
  • 127.0.0. x   Un código de estado de respuesta que indica que se ha encontrado una dirección IP coincidente en la lista de no admitidos. El valor x puede variar dependiendo del proveedor de listas de bloqueo.

Si la dirección IP entrante se encuentra en la lista de bloqueo, SMTP devuelve un error 5.x.x como respuesta al comando RCPT TO. (El comando RCPT TO es el comando SMTP que emite el servidor de conexión para identificar al destinatario del mensaje).

Es posible personalizar la respuesta que se devuelve al remitente. Además, como los proveedores de listas de bloqueo normalmente incluyen distintas categorías, puede especificar los casos que desee rechazar. La mayoría de los proveedores de listas de bloqueo distinguen entre tres categorías diferentes de infractores:

  • Fuentes de correo no deseado   Estas listas se generan mediante la exploración de mensajes de correo comercial no solicitado y la incorporación de sus direcciones de origen a las listas.
  • Servidores que se sabe que tienen abierta la retransmisión   Para crear estas listas se identifican los servidores SMTP con retransmisión abierta en Internet. La causa más común para la existencia de un servidor con retransmisión abierta es un error de configuración cometido por el administrador del sistema.
  • Listas de usuarios de acceso telefónico   Estas listas se crean a partir de otras ya existentes de los proveedores de servicios Internet (ISP) que incluyen las direcciones IP con acceso telefónico, o a partir de la inspección de direcciones que indican una posible conexión telefónica.

Cómo buscan los proveedores de listas de bloqueo las direcciones IP infractoras

Después de configurar el filtro de la conexión, cuando se envía un mensaje de correo electrónico a su organización, Exchange se pone en contacto con el proveedor de listas de bloqueo. El proveedor comprueba si existe un registro A (host) en su DNS. Exchange solicita esta información en un formato específico. Por ejemplo, si la dirección de conexión es 192.168.5.1 y la organización del proveedor de listas de bloqueo es contoso.org, Exchange consulta la existencia del registro siguiente:

<reverse IP address of the connecting server>.<dns name for the block list organization> IN A 127. 0.0.x

que, en este caso, es:

1.5.168.192..contoso.org

Si esta dirección IP se encuentra en la lista del proveedor, éste devuelve un código de estado 127.0.0.x que indica la existencia de una dirección IP infractora y el tipo de infracción cometida. Todos los proveedores de listas de bloqueo devuelven un código de respuesta 127.0.0.x, donde la x indica el tipo de infracción. El valor x varía dependiendo del proveedor de listas de bloqueo.

Descripción de los códigos de respuesta del proveedor de listas de bloqueo

Como se mencionó anteriormente, si un proveedor de listas de bloqueo encuentra una coincidencia, el proveedor siempre devuelve un código de estado de 127.0.0.x. El código de estado puede ser un código devuelto explícito o una máscara de bits, que es un código devuelto multifuncional. Si el proveedor de listas de bloqueo devuelve un valor, puede especificar los valores que se desean tener en cuenta para realizar el filtrado. Sin embargo, si el proveedor de listas de bloqueo devuelve una máscara de bits, es necesario conocer el funcionamiento de una máscara de bits para poder especificar las coincidencias que se desean filtrar.

Una máscara de bits es un método utilizado para comprobar que se ha establecido un bit concreto para una entrada. Una máscara de bits se diferencia de una máscara tradicional en que comprueba un valor de bit específico, al contrario que una máscara de subred, que comprueba un intervalo de valores. Veamos el ejemplo siguiente.

Para cada coincidencia encontrada en su lista de bloqueo, suponga que el proveedor de listas de bloqueo devuelve los códigos de estado que se muestran en la siguiente tabla.

Ejemplos de códigos de estado de la lista de bloqueo

Categoría Código de estado devuelto

Fuente conocida de correo no deseado

127.0.0.3

Cuenta de usuario de acceso telefónico

127.0.0.2

Servidor de retransmisión conocido

127.0.0.4

Sin embargo, si una dirección IP está incluida en dos listas, el proveedor de listas de bloqueo agrega los valores del último octeto. Por tanto, si una dirección IP se encuentra en la lista de servidores de retransmisión conocidos y de fuentes conocidas de correo no deseado, el proveedor de listas de bloqueo devuelve un código de estado de 127.0.0.7, donde 7 representa los valores combinados del último octeto devuelto para las fuentes conocidas de correo comercial no solicitado y el código de estado de los servidores de retransmisión conocidos.

Si desea filtrar teniendo en cuenta sólo las fuentes conocidas de correo comercial no solicitado, introduzca un valor de máscara de bits de 0.0.0.3; la lista de bloqueo realizará el filtrado en relación a cualquiera de los posibles valores que, en este caso, son 127.0.0.3, 127.0.0.5, 127.0.0.7 y 127.0.0.9.

En la siguiente tabla se enumeran los valores de máscara de bits asociados a cada uno de los ejemplos de códigos de estado.

Ejemplos de códigos de estado de la lista de bloqueo y los valores correspondientes de máscara de bits

Categoría Código de estado devuelto Valor de la máscara de bits

Fuente conocida de correo no deseado

127.0.0.3

0.0.0.3

Cuenta de usuario de acceso telefónico

127.0.0.2

0.0.0.2

Servidor de retransmisión conocido

127.0.0.4

0.0.0.4

Servidor de retransmisión conocido y cuenta de usuario de acceso telefónico

127.0.0.6

0.0.0.6

En la última categoría de esta tabla ("Servidor de retransmisión conocido y cuenta de usuario de acceso telefónico"), la máscara de bits 0.0.0.6 devuelve una coincidencia para una dirección IP sólo si aparece a la vez en las listas de cuentas de usuario de acceso telefónico y de servidores de retransmisión conocidos. No devuelve ninguna coincidencia si la dirección IP sólo aparece en una de las dos listas. No puede utilizar una máscara de bits para comprobar una única coincidencia en varias listas.

Nota

Una máscara se comprueba sólo con respecto a un único valor. Si establece un valor de máscara de bits que se devuelve cuando una dirección IP aparece en dos listas, la máscara sólo coincidirá con las direcciones IP que aparezcan en ambas listas. Si desea comprobar una dirección IP en cualquiera de las dos listas, introduzca los códigos de estado para estas configuraciones.

Especificación de excepciones para la regla de filtrado de la conexión

Es posible permitir la entrega de mensajes a destinatarios concretos, independientemente de que aparezcan o no en la lista de bloqueo. Esta excepción es útil si desea permitir que organizaciones legítimas se comuniquen con sus administradores poniéndose en contacto con la cuenta del administrador de correo. Por ejemplo, si una compañía legítima ha configurado sin percatarse de ello un servidor para permitir la retransmisión abierta, se bloquearán los mensajes de correo electrónico enviados por esta compañía a cualquiera de sus usuarios. Sin embargo, si ha configurado el filtrado de la conexión para permitir la entrega de mensajes en la cuenta del administrador de correo de su organización, el administrador de la compañía bloqueada puede enviar correo al administrador de correo de su organización para comunicar su situación o preguntar por qué se rechazó su correo.

Habilitación del filtrado de la conexión

Para habilitar el filtrado de la conexión, siga estos pasos:

  1. Cree el filtro de conexión mediante la ficha Filtrar conexión del cuadro de diálogo Propiedades de Entrega de mensajes. Para obtener instrucciones detalladas, consulte Cómo crear una filtro de destinatarios.
  2. Aplique el filtro en el nivel del servidor virtual SMTP. Para obtener instrucciones detalladas, consulte Cómo aplicar un filtro de destinatarios a un servidor virtual SMTP.

Cada uno de estos pasos se detalla en las próximas secciones.

Configurar el filtrado de la conexión

Para configurar el filtrado de la conexión, realice las tareas siguientes:

  • Cree listas globales de aceptación y rechazo.
  • Cree las reglas de filtrado de la conexión.
  • Cree excepciones para las reglas de filtrado de la conexión.

Para obtener instrucciones detalladas sobre cómo crear listas globales de aceptación y rechazo, consulte los temas siguientes:

Para obtener instrucciones detalladas sobre cómo crear excepciones para las reglas de filtrado de la conexión, consulte el tema siguiente:

Aplicar el filtro de conexión a los servidores virtuales SMTP adecuados

Después de crear el filtro de conexión y cualquier excepción al mismo, debe aplicarlo a los servidores virtuales SMTP adecuados. Normalmente, el filtro de conexión se aplica a los servidores virtuales SMTP que existen en los servidores de puerta de enlace que aceptan mensajes de correo entrantes de Internet. El procedimiento siguiente permite aplicar un filtro de conexión a un servidor virtual SMTP.

Para obtener instrucciones detalladas, consulte Cómo aplicar un filtro de conexión a un servidor virtual SMTP.

Filtrado de destinatarios

Con el filtrado de destinatarios puede filtrar los mensajes que se envían a destinatarios inexistentes en su organización o puede agregar determinadas direcciones de destinatarios que suelen ser objetivo de los creadores de correo no deseado.

Habilitación del filtrado de destinatarios

Para habilitar el filtrado de destinatarios, siga los pasos siguientes:

  1. Cree el filtro de destinatarios mediante la ficha Filtro de destinatarios del cuadro de diálogo Propiedades de Entrega de mensajes.
  2. Aplique el filtro en el nivel del servidor virtual SMTP.

Cada uno de estos pasos se detalla en las próximas secciones.

Filtrado de remitentes

El filtrado de remitentes funciona de la misma forma en Exchange Server 2003 que en Exchange 2000 Server; le permite filtrar los mensajes enviados por un remitente determinado. Puede bloquear los mensajes enviados por cualquier usuario de un dominio o por un remitente específico.

Habilitación del filtrado de remitentes

Para habilitar el filtrado de remitentes, siga los pasos siguientes:

  1. Cree el filtro de remitentes mediante la ficha Filtrado del remitente del cuadro de diálogo Propiedades de Entrega de mensajes, en Configuración global.
  2. Aplique el filtro en el nivel del servidor virtual SMTP.

Descripción de cómo se aplican las restricciones de IP y los filtros habilitados

Exchange 2003 acepta los siguientes filtros y restricciones de IP:

  • Filtrado de la conexión
  • Filtrado de destinatarios
  • Filtrado de remitentes
  • Restricciones de IP según un servidor virtual

Aunque los filtrados de la conexión, de destinatarios y de remitentes se configuran todos en Propiedades de Entrega de mensajes, es necesario habilitarlos en los servidores virtuales SMTP individuales. Por el contrario, las restricciones de IP se configuran directamente en cada servidor virtual SMTP.

En esta sección se muestra el orden en que se comprueban las restricciones de IP y los filtros durante una sesión SMTP, una vez que se han configurado y habilitado.

  1. Un cliente SMTP intenta conectarse al servidor virtual SMTP.
  2. La dirección IP del cliente de conexión se comprueba con las restricciones de IP del servidor virtual SMTP (configurado en el botón Conexión en la ficha Acceso de Propiedades del servidor virtual SMTP):
    • Si la dirección IP de conexión se encuentra en la lista de IP restringidas, la conexión se cancela inmediatamente.
    • Si la dirección IP de conexión no se encuentra en la lista de IP restringidas, se acepta la conexión.
  3. El cliente SMTP emite un comando EHLO o HELO.
  4. El cliente SMTP emite un comando MAIL FROM: similar al siguiente:
    MAIL FROM: ted@contoso.com
  5. La dirección IP del cliente SMTP se comprueba en la lista global de aceptación (configurada en el Administrador del sistema de Exchange, en la ficha Filtrar conexión del cuadro de diálogo Propiedades de Entrega de mensajes).
    • Si la dirección IP de conexión se encuentra en la lista global de aceptación, no se comprobará la lista global de rechazo. El proceso omite el paso 6 y continúa en el paso 7.
    • Si la dirección IP de conexión no se encuentra en la lista global de aceptación, se realizarán los pasos 6 y 7.
  6. La dirección IP del cliente SMTP se comprueba en la lista global de rechazo (configurada en el Administrador del sistema de Exchange, en la ficha Filtrar conexión del cuadro de diálogo Propiedades de Entrega de mensajes).
    • Si la dirección IP del cliente SMTP se encuentra en la lista global de rechazo, se cancelará la conexión.
    • Si la dirección IP del cliente SMTP no se encuentra en la lista global de rechazo, la sesión continuará.
  7. El filtrado del remitente comprueba el remitente especificado en el comando MAIL FROM con su lista de remitentes bloqueados (configurada en el Administrador del sistema de Exchange, en la ficha Filtrado del remitente del cuadro de diálogo Propiedades de Entrega de mensajes).
    • Si el remitente aparece en la lista de remitentes bloqueados, se realizará una de las dos acciones siguientes, dependiendo de la configuración del filtrado de remitentes:
      - Si el filtrado del remitente se ha configurado para cancelar la conexión, ésta se cancelará.
      - Si el filtrado del remitente se ha configurado para aceptar mensajes sin notificar al remitente, la sesión continuará; sin embargo, el correo se envía al directorio Badmail y no se entrega a su destinatario.
    • Si el remitente no aparece en la lista de filtrado de remitentes, el servidor virtual SMTP emite una respuesta similar a la siguiente:
      250 2.1.0 ted@contoso.com...Sender OK
  8. El servidor SMTP de conexión emite un comando RCPT TO similar al siguiente:
    RCPT TO: kim@example.com
  9. Las reglas de filtrado de la conexión comprueban la dirección IP de conexión con las listas de bloqueo suministradas por los proveedores de servicios de listas de bloqueo.
    • Si la dirección IP del cliente SMTP está incluida en la lista de aceptación, no se tendrán en cuenta las reglas del filtro de conexión. El proceso continúa en el paso 10.
    • El filtrado de la conexión comprueba la lista de bloqueo de cada proveedor de servicios en el orden que se haya configurado. Si el filtrado de la conexión encuentra una coincidencia en la lista de bloqueo de un proveedor, el servidor virtual SMTP devolverá un código de error y enviará el mensaje de error personalizado que se haya configurado para la regla de filtrado de la conexión. Si se encuentra una coincidencia, no se comprobará ninguna otra lista de los proveedores de servicios.
    • Si la dirección IP del cliente SMTP no se encuentra en la lista de bloqueo del proveedor de servicios de listas de bloqueo, la sesión continuará.
  10. El filtrado de la conexión comprueba si el destinatario se encuentra en la lista de excepción del filtro de la conexión.
    • Si el destinatario está en esta lista, se acepta la comunicación y no se aplica ninguna otra comprobación en el comando RCPT TO. El proceso omite los pasos 11 y 12, y continúa en el paso 13.
    • Si el destinatario no aparece en la lista de excepción, se comprobará el destinatario con otros filtros.
  11. Si el destinatario no aparece en la lista de excepción configurada en el filtro de la conexión, el destinatario se comprueba con todos los destinatarios bloqueados que se hayan configurado en el filtrado de destinatarios.
    • Si se trata de un destinatario bloqueado, el servidor virtual SMTP devolverá un error de destinatario no válido.
    • Si no se trata de un destinatario bloqueado, la sesión continuará.
  12. Si el destinatario no es un destinatario bloqueado, se comprobará Active Directory para asegurarse de que dicho destinatario existe en Active Directory.
    • Si el destinatario no es un destinatario válido que exista en Active Directory, el servidor virtual SMTP devolverá un error de destinatario no válido.
    • Si se trata de un destinatario válido que existe en Active Directory, la sesión continuará.
  13. Los pasos 10 al 12 se aplican a cada uno de los destinatarios adicionales especificados en un comando RCPT TO.
  14. El servidor de conexión emite entonces un comando DATA similar al siguiente:
    DATA
    Para: Kim Akers
    De: ted@contoso.com<Ted Bremer>
    Asunto: Mensaje de correo
  15. A continuación, el filtrado de remitentes comprueba que la dirección De no coincida con un remitente bloqueado.
    • Si el remitente especificado en el comando DATA es un remitente bloqueado, se producirá una de las dos acciones siguientes:
      - Si el filtrado del remitente se ha configurado para cancelar la conexión, el servidor virtual SMTP devolverá un error 5.1.0 de "acceso denegado al remitente" y cancelará la conexión.
      - Si el filtrado del remitente se ha configurado para aceptar mensajes sin notificar al remitente, la sesión continuará; sin embargo, el correo se envía al directorio Badmail y no se entrega a su destinatario.
    • Si el remitente especificado en el comando DATA no es un remitente bloqueado, se aceptará el mensaje y se podrá en cola para su entrega.

Identificación de correo falsificado

Puede educar a sus usuarios sobre la forma de identificar el correo falsificado. A diferencia de Exchange 2000, en su configuración predeterminada Exchange 2003 no resuelve los mensajes de correo anónimos en sus nombres para mostrar. Por tanto, cuando se envía correo desde una dirección falsa, Exchange 2003 no resuelve la dirección de correo electrónico del remitente en su nombre para mostrar que figura en la lista global de direcciones.

Para comprender cómo impide Exchange 2003 la falsificación, suponga que tiene un usuario interno llamado Ted Bremer y que envía correo internamente desde su dominio ejemplo.com. El mensaje de correo muestra su dirección de envío como Ted Bremer, que es el nombre para mostrar configurado en Active Directory para ted@ejemplo.com. (Esto se debe a que cuando Ted Bremer envía correo, es un usuario autenticado). Exchange comprueba entonces que Ted Bremer tiene permisos "enviar como" según sus credenciales y resuelve su dirección de correo electrónico a su nombre para mostrar de Active Directory. La falsificación se produce cuando un usuario no autorizado se hace pasar por Ted falsificando esta dirección y envía correo a otro usuario de su dominio.

Exchange 2003 no resuelve las direcciones de correo electrónico que se originan externamente Por tanto, cuando un usuario anónimo intenta enviar correo falsificando la identidad de Ted, Exchange no resuelve la dirección de envío que figura en la línea De a su nombre para mostrar. En su lugar, en la línea De del mensaje de correo aparecerá ted@ejemplo.com. Si sus usuarios entienden esta diferencia, podrán al menos identificar el correo falsificado.

Sin embargo, los servidores de Exchange 2000 resuelven el correo anónimo de manera predeterminada. Si su organización contiene servidores de Exchange 2000, y resuelven un mensaje de correo anónimo y lo envían a un servidor de Exchange 2003, la dirección se resolverá en su nombre para mostrar que figura en la GAL. Para impedirlo, configure los servidores de Exchange 2000 para que no resuelvan el correo anónimo.

Para obtener instrucciones detalladas, consulte Cómo comprobar que Exchage 2003 está configurado para que no resuelva correo anónimo y Cómo configurar Exchange 2000 para que no resuelva direcciones de correo electrónico externas.