Protección del servidor de Exchange
Última modificación del tema: 2005-05-24
Este tema se centra en las formas en que puede proteger el servidor de Microsoft® Exchange. Puede ayudar a proteger los servidores si realiza las tareas siguientes, que se explican en detalle en las próximas secciones:
- Deshabilitar la retransmisión abierta en todos los servidores virtuales SMTP. Las restricciones de retransmisión predeterminadas impiden que los usuarios no autorizados utilicen su servidor de Exchange para enviar correo a ubicaciones externas. Si su servidor está abierto para la retransmisión, los usuarios no autorizados pueden utilizar su servidor para enviar correo no deseado. Por tanto, otras organizaciones pueden reconocer su servidor como fuente de retransmisión abierta e impedirle que envíe correo legítimo.
- Impedir el acceso anónimo en los servidores virtuales SMTP internos y dedicados para clientes IMAP y POP. Como todos los servidores de Exchange de su organización se autentican entre sí para enviar correo, no es necesario habilitar el acceso anónimo en los servidores virtuales internos del Protocolo simple de transferencia de correo (SMTP). Además, todos los clientes de Protocolo de oficina de correo (POP) y Protocolo de acceso a correo de Internet (IMAP) se autentican con el servidor virtual SMTP, por lo que no se necesita el acceso anónimo en un servidor utilizado exclusivamente por clientes POP e IMAP. Si deshabilita el acceso anónimo en estos servidores, puede impedir que usuarios no autorizados tengan acceso a ellos.
- Restringir los envíos y el acceso de retransmisión en servidores virtuales SMTP internos. En Microsoft Exchange Server 2003 puede restringir aún más el acceso a los servidores virtuales SMTP si utiliza principios de seguridad mediante la Lista de control de acceso discrecional (DACL) estándar de Microsoft Windows® 2000 Server o Windows Server? 2003. Esto le permite conceder permisos explícitos a los usuarios y grupos a los que desee permitir el uso de un servidor virtual SMTP.
Deshabilitación de la retransmisión abierta en todos los servidores virtuales SMTP
Como se explica en Cómo establecer restricciones de retransmisión, es esencial que no permita la retransmisión anónima en los servidores virtuales SMTP. La retransmisión es cuando un usuario utiliza su servidor de Exchange para enviar correo a un dominio externo.
En su configuración predeterminada, Exchange sólo permite que los usuarios autenticados retransmitan correo; es decir, sólo los usuarios autenticados pueden utilizar Exchange para enviar correo a un dominio externo. Si modifica la configuración de retransmisión predeterminada para permitir que usuarios no autenticados realicen la retransmisión, o si permite la retransmisión abierta a un dominio a través de un conector, los usuarios no autorizados pueden utilizar su servidor de Exchange para enviar correo no deseado. Como resultado, se puede incluir a su servidor en listas de bloqueo y, por tanto, impedirle que envíe correo a servidores remotos legítimos. Para impedir que usuarios no autorizados utilicen su servidor de Exchange para retransmitir correo, debe utilizar siempre las restricciones de retransmisión predeterminadas.
Nota
La retransmisión se confunde a menudo con el correo no deseado. El control de la retransmisión no bloquea el correo no deseado. Para obtener más información acerca de cómo controlar el correo electrónico no deseado, consulte Configuración del filtrado y control del correo no deseado.
Para obtener más información acerca de cómo controlar la retransmisión, consulte en Microsoft Knowledge Base el artículo 304897, "XIMS: Microsoft SMTP Servers May Seem to Accept and Relay E-Mail Messages in Third-Party Tests".
Impedir el acceso anónimo en los servidores virtuales SMTP internos y dedicados para clientes IMAP y POP
Para mayor seguridad, puede impedir el acceso anónimo en los servidores virtuales SMTP internos y en cualquier servidor virtual SMTP que esté dedicado a aceptar correo entrante de usuarios remotos de IMAP y POP. Al enviar correo interno, los servidores de Exchange se autentican automáticamente; por tanto, si impide el acceso anónimo en los servidores internos, el flujo de correo no se ve interrumpido y se proporciona una capa adicional de seguridad al servidor virtual SMTP interno.
Del mismo modo, los clientes IMAP y POP se autentican antes de enviar correo a servidores virtuales SMTP. Por tanto, si utiliza servidores virtuales SMTP dedicados para los clientes IMAP y POP, puede configurar estos servidores para que sólo permitan el acceso autenticado. Para impedir el acceso anónimo, en la ficha Acceso de las propiedades del servidor virtual SMTP, haga clic en Autenticación y desactive la casilla de verificación Acceso anónimo. Para obtener instrucciones paso a paso acerca de cómo impedir el acceso anónimo, consulte Cómo configurar controles de acceso y métodos de autenticación.
Importante
No deshabilite el acceso anónimo en los servidores virtuales SMTP cabeza de puente de Internet. Los servidores virtuales SMTP que aceptan correo de Internet deben permitir el acceso anónimo.
Restricción de envíos a listas de distribución y usuarios
En Exchange 2003 es posible restringir qué usuarios pueden enviar mensajes de correo electrónico a un usuario concreto o a una lista de distribución. La restricción de envíos en una lista de distribución impide que remitentes que no sean de confianza, como los usuarios de Internet no autorizados, envíen correo a una lista de distribución que sólo sea de uso interno. Por ejemplo, nadie ajeno a la compañía debe poder tener acceso a la lista de distribución Todos los empleados (mediante simulación o cualquier otro método).
Nota
Las listas de distribución restringidas y las restricciones de envío para los usuarios sólo funcionan en servidores cabeza de puente o puerta de enlace SMTP que ejecuten Exchange Server 2003.
Considere la posibilidad de establecer restricciones en las listas de distribución internas pertenecientes a los empleados a tiempo completo y a otros grupos internos. De esta forma, protege estas listas de distribución frente a la recepción de correo no deseado e impide que los usuarios anónimos envíen correo a estas listas de distribución.
Para obtener instrucciones detalladas acerca de cómo establecer restricciones de envío sobre usuarios y listas de distribución, respectivamente, consulte Cómo establecer restricciones sobre un usuario y Cómo establecer restricciones en un grupo de distribución.
Restricción de los permisos de envío y retransmisión en un servidor virtual SMTP interno
Exchange Server 2003 permite restringir los permisos de envío y retransmisión a un servidor virtual SMTP a un número limitado de usuarios o grupos a través de la Lista de control de acceso discrecional (DACL) estándar de Windows 2000 Server o Windows Server 2003. De esta forma, es posible especificar grupos de usuarios que pueden enviar o retransmitir correo en un servidor virtual.
Restricción de los envíos a un servidor virtual SMTP
La restricción de los envíos a un servidor virtual SMTP es útil si tiene ciertos usuarios a los que desea permitir el envío de correo de Internet en determinados servidores virtuales. Puede conceder sólo a estos usuarios o grupos acceso para enviar correo a estos servidores virtuales SMTP.
Nota
No restrinja envíos en los servidores virtuales SMTP que acepten correo de Internet.
Para obtener instrucciones detalladas, consulte Cómo restringir los envíos a un servidor SMTP basándose en un grupo de seguridad.
Restricción de la retransmisión en un servidor virtual SMTP
La restricción de las retransmisiones en servidores virtuales resulta de gran utilidad si desea permitir que un grupo de usuarios retransmita correo a Internet, pero desea denegar privilegios de retransmisión a un grupo diferente.
Para obtener instrucciones detalladas, consulte Cómo restringir la retransmisión basándose en un grupo de seguridad.