Configurar el filtrado de la conexión
Se aplica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Última modificación del tema: 2007-07-06
En este tema, se proporciona información general acerca de cómo configurar el filtrado de conexiones. Para obtener información acerca de configuraciones personalizadas o más avanzadas, vea los vínculos de cada sección de este tema. Para obtener más información acerca del funcionamiento del filtrado de conexiones, vea Filtrado de la conexión (en inglés).
Nota
Desde la perspectiva de los componentes configurables de un equipo con la función del servidor Transporte perimetral instalada, la función de filtrado de conexiones hace referencia a una colección de listas de IP no admitidas, de IP admitidas, de proveedores de IP no admitidas y de proveedores de IP admitidas. El filtrado de conexiones se utiliza para ampliar el servidor.
Para configurar el filtrado de conexiones, hay que seguir estos pasos:
Habilitar los componentes de filtrado de conexiones.
Agregar direcciones IP a las listas de IP admitidas e IP no admitidas.
Configurar los proveedores de listas de IP admitidas e IP no admitidas.
Configurar el filtrado de conexiones para servidores de transporte perimetral que no sean el primer punto de entrada del Protocolo simple de transferencia de correo (SMTP).
Probar la funcionalidad de listas de IP no admitidas y de listas de IP admitidas.
Importante
Los cambios de configuración que se realicen en el filtrado de conexiones mediante la Consola de administración de Exchange o el Shell de administración de Exchange sólo se aplican al equipo local que tenga instalada la función del servidor Transporte perimetral. Si en la organización se están ejecutando varias instancias de la función de dicho servidor, los cambios de configuración del filtrado de conexiones se deben aplicar a cada uno de los equipos.
Habilitación de los componentes del filtrado de conexiones
De forma predeterminada, el filtrado de la conexión se habilita en el servidor de transporte perimetral para los mensajes entrantes que provienen de Internet pero no están autenticados. Estos mensajes se tratan como si fuesen mensajes externos. Para deshabilitar el filtro en configuraciones individuales de equipos mediante la Consola de administración de Exchange o el Shell de administración de Exchange.
Si el filtrado de conexiones se habilita en un equipo, el agente de filtro de conexiones filtra todos los mensajes que llegan a través de los conectores de recepción a dicho equipo. Como ya se ha mencionado antes en este mismo tema, sólo se filtran los mensajes provenientes de orígenes externos. Por origen externo se entiende los orígenes no autenticados. Se consideran como orígenes de Internet anónimos.
Para obtener más información acerca de cómo configurar los conectores de recepción y cómo se determinan las categorías de orígenes de mensajes, vea Conectores de recepción (en inglés).
Es recomendable no filtrar los mensajes de socios de confianza o de su propia organización. Cuando se ejecutan filtros contra correo electrónico no deseado, siempre hay una posibilidad de que se produzcan falsos positivos. Para reducir la posibilidad de tratar de forma errónea mensajes legítimos de correo electrónico, los agentes contra correo electrónico no deseado sólo se deben ejecutar con mensajes provenientes de orígenes que no sean de confianza o sean desconocidos. Puede habilitar y deshabilitar el filtrado de conexiones en mensajes de cualquier origen mediante el Shell de administración de Exchange.
Para obtener más información acerca de cómo habilitar el filtrado de conexiones, vea Cómo habilitar el filtrado de la conexión (en inglés).
Agregar direcciones IP a las listas de IP no admitidas y admitidas
Como se explicó en Filtrado de la conexión (en inglés), las listas de IP no admitidas e IP admitidas son listas definidas por el administrador que especifican direcciones IP e intervalos de direcciones IP sobre las que actúa el filtrado de conexiones. Si una dirección IP de origen coincide con una dirección IP o un intervalo de direcciones IP de la lista de IP no admitidas, el agente de filtro de conexión procesa todos los encabezados RCPT TO: del mensaje y, a continuación, rechaza el mensaje posterior al comando MAIL FROM. Cuando una IP de origen coincide con una dirección IP o un intervalo de direcciones IP de la lista de IP admitidas, el agente de filtro de conexiones envía el mensaje al destinatario, sin que otros agentes contra correo electrónico no deseado realicen ningún otro procesamiento adicional. Para obtener más información acerca de cómo funcionan los agentes contra correo electrónico no deseado y el orden en el que se aplican, vea Funcionalidad contra correo electrónico no deseado y antivirus (en inglés).
Nota
Sólo se admite el uso de direcciones del protocolo de Internet Versión 6 (IPv6) e intervalos de direcciones IP si Microsoft Exchange Server 2007 Service Pack 1 (SP1) está instalado en un equipo que ejecute Windows Server 2008, IPv6 y IPv4 están habilitados en dicho equipo y la red es compatible con ambas versiones de dirección IP. Si Exchange 2007 SP1 está instalado en esta configuración, todas las funciones de servidor pueden enviar y recibir datos de dispositivos, servidores y clientes que utilicen direcciones IPv6. Una instalación predeterminada de Windows Server 2008 permite la compatibilidad con IPv4 e IPv6. Si Exchange 2007 SP1 está instalado en Windows Server 2003, no se admiten las direcciones IPv6. Para obtener más información acerca de la compatibilidad de Exchange 2007 SP1 con direcciones IPv6, consulte Compatibilidad con IPv6 en Exchange 2007 SP1 y SP2.
Para obtener más información acerca de cómo agregar direcciones IP a las listas de IP no admitidas e IP admitdas, vea Cómo agregar direcciones IP a la lista de IP admitidas y a la lista de IP no admitidas (en inglés).
Configuración de los proveedores de listas de IP no admitidas e IP admitidas.
Los servicios proveedores de las listas de IP no admitidas e IPa admitidas pueden ayudar a reducir el número de correos electrónicos no deseados y aumentar el procesamiento general de mensajes en el servidor de transporte perimetral. Debería pensar en la posibilidad de configurar varios servicios de proveedores de listas de IP no admitidas e IP admitidas.
Nota
En ocasiones, los servicios de proveedor de listas de IP no admitidas se conocen como servicios de listas de bloqueo en tiempo real (RBL). Los servicios de proveedor de listas de IP admitidas se denominan en ocasiones servicios de listas seguras.
En cada servicio proveedor de la lista de IP no admitidas que se configure, se puede personalizar el error SMTP 550 que se devuelve al remitente cuando su dirección IP coincide con la de un servicio proveedor de la lista de IP no admitidas; el agente de filtro de conexiones la bloquea posteriormente. Es recomendable personalizar el error SMTP 550 para identificar el servicio proveedor de la lista de IP no admitidas que ha identificado el remitente como una dirección IP bloqueada. Esta práctica recomendada permite que los remitentes legítimos se pongan en contacto con el servicio proveedor de la lista de IP no admitidas para que se les elimine de la lista de IP no admitidas de ese servicio.
Se puede hacer que diferentes servicios proveedores de listas de IP no admitidas devuelvan códigos diferentes, cuando la dirección IP de un servidor remoto que está enviando un mensaje coincida con una dirección IP de la lista de IP no admitidas del servicio proveedor de la lista de IP no admitidas. La mayoría de los servicios proveedores de la lista de IP no admitidas devuelven uno de los siguientes tipos de datos: máscara de bits o valor absoluto. Entre estos tipos de datos, puede haber varios valores que indican el tipo de lista en la que se encuentra la dirección IP enviada.
Ejemplo de máscara de bits
En esta sección, se muestra un ejemplo de los códigos de estado que devuelven la mayoría de los proveedores de listas de bloqueo. Vea la documentación del proveedor específico para conocer los códigos de estado que devuelve.
Para los tipos de datos de máscara de bits, el servicio proveedor de la lista de IP no admitidas devuelve un código de estado 127.0.0.x, donde el entero x es cualquiera de los valores que se muestran en la siguiente tabla.
Valores y códigos de estados de los tipos de datos de máscara de bits
| Valor | Código de estado |
|---|---|
1 |
La dirección IP está en una lista de IP no admitidas. |
2 |
El servidor SMTP está configurado para actuar como una retransmisión abierta. |
4 |
La dirección IP admite una dirección IP de marcado. |
Para los tipos de valores absolutos, el servicio de proveedor de listas de IP no admitidas devuelve respuestas explicitas basadas en la causa del bloqueo de la dirección IP. La siguiente tabla muestra algunos ejemplos de valores absolutos y las respuestas explícitas.
Valores y códigos de estados de los tipos de datos de valores absolutos
| Valor | Respuesta explícita |
|---|---|
127.0.0.2 |
La dirección IP es un origen directo de correo electrónico no deseado. |
127.0.0.4 |
La dirección IP envía correos masivos. |
127.0.0.5 |
Se sabe que el servidor remoto que envía el mensaje admite retransmisiones abiertas multifases. |
Para obtener más información acerca de cómo configurar proveedores de listas de IP no admitidas e IP admitidas, vea Cómo configurar los proveedores de listas de IP admitidas e IP no admitidas (en inglés).
Configuración del agente de filtrado de conexiones para servidores de transporte perimetral que no son el primer punto de entrada de SMTP
En algunas organizaciones, la función del servidor Transporte perimetral está instalada en equipos que no procesan las solicitudes de SMTP directamente en Internet. En este caso, el servidor de transporte perimetral está detrás de otro servidor SMTP de aplicaciones que procesa los mensajes entrantes directamente desde Internet. el agente de filtro de conexiones debe ser capaz de extraer la dirección IP de origen del mensaje. Para extraer y evaluar la dirección IP de origen, el agente de filtro de conexiones debe analizar los encabezados de recepción del mensaje y compararlos con el servidor SMTP conocido en la red perimetral.
Cuando recibe un mensaje, un servidor SMTP que cumple con RFC actualiza el encabezado de recepción del mensaje con el nombre de dominio y la dirección IP del remitente. De esta forma, en cada servidor SMTP que haya entre el remitente de origen y el servidor de transporte perimetral, el servidor SMTP agrega una entrada adicional del encabezado de recepción.
Cuando se configura la red perimetral para admitir Microsoft Exchange Server 2007, se deben especificar todas las direcciones IP de los servidores SMTP de la red perimetral. EdgeSync se encarga de replicar los datos de las direcciones IP en el servidor de transporte perimetral. Cuando el equipo que ejecuta el agente de filtro de conexiones recibe un mensaje, se da por hecho que la dirección IP de origen es la dirección IP del encabezado de recepción que no coincide con una dirección IP de un servidor SMTP de su red perimetral.
Debe especificar todos los servidores SMTP internos en el objeto de configuración de transporte del bosque de Active Directory antes de ejecutar el filtrado de conexiones. Para especificar los servidores SMTP internos, utilice el parámetro InternalSMTPServers en el cmdlet Set-TransportConfig.
Prueba de la funcionalidad de las listas de IP no admitidas e IP admitidas
Una vez que se ha configurado un servicio de proveedor de listas de IP no admitidas o IP admitdas, asegúrese de que el filtrado de conexiones está configurado correctamente para ese servicio en particular. La mayoría de los servicios proveedores de las listas de IP no admitidas o IP admitidas proporcionan direcciones IP de prueba que se pueden usar para probar sus servicios. Cuando se realiza una prueba de un servicio de proveedor de listas de IP no admitidas o IP admitidas, el agente de filtro de conexiones realiza una consulta DNS (Sistema de nombres de dominio) basada en una dirección IP de la lista de bloqueo en tiempo real (RBL), que debería proporcionar una respuesta específica. Para obtener más información acerca de los servicios RBL, vea Filtrado de la conexión (en inglés). Para obtener más información acerca de cómo probar direcciones IP en relación a un servicio proveedor de las listas de IP no admitidas o IP admitidas, vea Test-IPAllowListProvider y Test-IPBlockListProvider (en inglés).
Información adicional
Para obtener más información acerca de cómo configurar el filtrado de conexiones mediante la Consola de administración de Exchange, vea los siguientes temas (en inglés):
Cómo agregar direcciones IP a la lista de IP admitidas y a la lista de IP no admitidas
Cómo configurar los proveedores de listas de IP admitidas e IP no admitidas
Para obtener más información acerca de cómo configurar el filtrado de conexiones mediante el Shell de administración de Exchange, vea los siguientes temas (en inglés):