Todo el tráfico entre los servidores de transporte perimetral está cifrado mediante TLS con certificados autofirmados que se instalan de forma predeterminada en la instalación de Exchange 2007. El tráfico entre los servidores de transporte de concentradores se autentica mediante la autenticación Kerberos.

Todo el tráfico entre servidores de transporte perimetral y servidores de transporte de concentradores está autenticado y cifrado. El mecanismo subyacente de autenticación y cifrado es TLS mutuo. En lugar de usar la validación X.509, Exchange 2007 usa la confianza directa para autenticar los certificados. Confianza directa significa que el certificado queda validado por su presencia en Active Directory o en el ADAM. Active Directory se considera un mecanismo de almacenamiento de confianza. Si se usa la confianza directa, da igual que el certificado tenga una firma personal o esté firmado por una entidad de certificación. Al suscribir un servidor de transporte perimetral a la organización de Exchange, la suscripción perimetral publica el certificado del servidor de transporte perimetral en Active Directory para que se validen los servidores de transporte de concentradores. El servicio Microsoft Exchange Edgesync actualiza ADAM con el conjunto de certificados de servidor de transporte de concentradores para que se valide el servidor de transporte perimetral.

De forma predeterminada, el tráfico entre los servidores de transporte perimetral en dos organizaciones diferentes está cifrado. La instalación de Exchange 2007 crea un certificado autofirmado y se activa la TLS de forma predeterminada. Esto permite a cualquier sistema de envío cifrar la sesión SMTP entrante para Microsoft Exchange. De forma predeterminada, Exchange 2007 intenta también una TLS para todas las conexiones remotas.

Los métodos de autenticación para el tráfico entre servidores de transporte perimetral y servidores de buzones difiere cuando las funciones del servidor Transporte de concentradores y las funciones del servidor Buzón de correo están ubicados en el mismo equipo. Cuando la entrega de correo es local, se usa la autenticación Kerberos. Cuando la entrega de correo es remota, se usa la autenticación NTLM.

Exchange 2007 admite también la seguridad de dominio. La seguridad de dominio se refiere al conjunto de funcionalidad de Exchange 2007 y Microsoft Office Outlook 2007 que proporciona una alternativa económica a S/MIME u otras soluciones de seguridad a nivel de mensajes en Internet. El objetivo del conjunto de características de seguridad de dominio es proporcionar a los administradores una manera de administrar rutas de mensajes protegidas entre dominios en Internet. Una vez configuradas estas rutas de mensajes protegidas, los mensajes que han viajado correctamente a través de la ruta protegida desde un remitente autenticado se muestran a los usuarios en "Dominio protegido" en la interfaz de Outlook y Outlook Web App. Para obtener más información, consulte Planear la seguridad de dominio.

Muchos agentes pueden ejecutarse en los servidores de transporte de concentradores y los servidores de transporte perimetral. Normalmente, los agentes contra correo electrónico no deseado confían en la información local del equipo en el que se ejecutan los agentes. Por lo tanto, se requiere muy poca comunicación con los equipos remotos. La excepción es el filtrado de destinatarios. Para ello es necesario llamar al ADAM o a Active Directory. Se recomienda ejecutar el filtrado de destinatarios en el servidor de transporte perimetral. En este caso, el directorio ADAM está en el mismo equipo que el servidor de transporte perimetral y no se requiere una comunicación remota. Una vez que se ha instalado y configurado el filtrado de destinatarios en el servidor de transporte de concentradores, el filtrado de destinatarios obtiene acceso a Active Directory.

La función de reputación del remitente de Exchange 2007 usa el agente de análisis de protocolo. Este agente realiza también varias conexiones a servidores proxy externos para determinar las rutas de mensajes entrantes para conexiones sospechosas.

Todas las demás funciones contra correo electrónico no deseado usan datos recopilados, almacenados y a los que se obtiene acceso sólo en el equipo local. Con frecuencia, los datos, tales como la adición de listas seguras o los datos de remitentes para el filtrado de remitentes, se trasladan al directorio de ADAM local mediante el servicio Microsoft Exchange EdgeSync.

El registro en diario y la clasificación de mensajes se ejecutan en servidores de transporte de concentradores y recurren a datos de Active Directory para funcionar.

Para la autenticación HTTP en la que se indica "Negociar", en primer lugar se intenta Kerberos y, a continuación, NTLM.

Para comunicaciones entre nodos, los nodos en clúster se comunican a través de Protocolo de datagramas de usuario (UDP) puerto 3343. Cada nodo del clúster cambia periódicamente los datagramas UDP de unidifusión secuenciados con todos los demás nodos del clúster. El propósito de este cambio es determinar si todos los nodos se están ejecutando correctamente y supervisar el estado de los vínculos de red.

Aunque las aplicaciones o los clientes WebDav se pueden conectar al servidor de buzón mediante 80/TCP o 443/TCP, en la mayoría de los casos la aplicación o clientes se conectan al servidor de acceso de cliente. A continuación, el servidor de acceso de cliente se conecta al servidor de buzones a través de 80/TCP o 443/TCP.

La ruta de datos en clúster mostrada en la tabla "Rutas de datos de servidores de buzones" de esta sección usa RPC dinámico (TCP) para comunicar el estado y la activa del clúster entre los diferentes nodos de clúster. El servicio de clúster (ClusSvc.exe) usa también UDP/3343 y puertos TCP superiores asignados aleatoriamente para comunicarse entre nodos de clústeres.

El servidor de acceso de cliente se comunica con el servidor de buzones a través de muchos puertos. Con algunas excepciones, estos puertos se determinan mediante el servicio de llamada a procedimiento remoto (RPC) y no son fijos. Es posible especificar el intervalo de puertos dinámicos usados por el servicio RPC. Para obtener más información acerca de cómo restringir el intervalo de puertos dinámicos usados en el servicio RPC, consulte el artículo 154596 de Microsoft Knowledge Base, Cómo configurar la asignación dinámica de puertos RPC para trabajar con firewall.

Importante:
No se admiten configuraciones en las que se agrega un firewall entre servidores de acceso de cliente y servidores de buzón que se encuentran en el mismo sitio de Active Directory.

Importante:

No se admiten configuraciones en las que un servidor de acceso de cliente se instala en una red perimetral. El servidor de acceso de cliente debe ser miembro de un dominio de Active Directory y la cuenta del equipo servidor de acceso de cliente debe pertenecer al grupo de seguridad de Active Directory de los servidores de Exchange. Este grupo de seguridad tiene acceso de lectura y escritura a todos los servidores de Exchange de la organización. La comunicación interna de la organización entre el servidor de acceso de cliente y los servidores de buzones tiene lugar a través del servicio RPC. Es por estos requisitos por lo que no se admite la instalación de un servidor de acceso de cliente en una red perimetral.

Para la autenticación HTTP en la que se indica "Negociar", en primer lugar se intenta Kerberos y, a continuación, se intenta NTLM.

Cuando un servidor de acceso de cliente de Exchange 2007 se comunica con un servidor de buzones que ejecuta Exchange 2003, se recomienda usar Kerberos y desactivar la autenticación NTLM y la autenticación básica. Asimismo, se recomienda configurar Outlook Web Access para usar autenticaciones basadas en formularios con un certificado de confianza. Para que los clientes de Exchange ActiveSync se comuniquen a través del servidor de acceso de cliente de Exchange 2007 con el servidor back-end de Exchange 2003, la autenticación de Windows integrada debe estar habilitada en el directorio virtual Microsoft-Server-ActiveSync del servidor back-end de Exchange 2003. Para usar el Administrador del sistema de Exchange en un servidor que ejecuta Exchange 2003 para administrar la autenticación en un directorio virtual de Exchange 2003, descargue e instale la revisión a la que se hace referencia en el artículo 937301 de Microsoft Knowledge Base, El id. de evento 1036 está registrado en un servidor de Exchange 2007 que ejecuta la función CAS cuando los dispositivos móviles se conectan al servidor de Exchange 2007 para obtener acceso a los buzones de un servidor back-end de Exchange 2003.

Cuando cree un objeto de puerta de enlace IP de mensajería unificada (UM) en Active Directory, debe definir la dirección IP de la puerta de enlace IP física o IP PBX (central de conmutación). Cuando defina la dirección IP en el objeto de puerta de enlace IP de mensajería unificada, la dirección IP se agregará a una lista de puertas de enlace IP válidas con las que puede comunicarse el servidor de mensajería unificada. Cuando se crea la puerta de enlace IP de mensajería unificada, ésta se asocia con un plan de marcado de mensajería unificada. La asociación de la puerta de enlace IP de mensajería unificada con un plan de marcado permite a los servidores de mensajería unificada asociados con el plan de marcado usar la autenticación basada en IP para comunicarse con la puerta de enlace IP. Si la puerta de enlace IP de mensajería unificada no se ha creado o si no está configurada para usar la dirección IP correcta, se produce un error de autenticación y los servidores de mensajería unificada no aceptan conexiones desde esa dirección IP de la puerta de enlace IP.

Para obtener la versión original de la versión de fabricación (RTM) de Exchange 2007, un servidor de mensajería unificada puede conectarse a un puerto 5060/TCP (no seguro) o a un puerto 5061/TCP (seguro) pero no a ambos.

Para obtener más información, consulte Descripción de la seguridad de la mensajería unificada VoIP y Descripción de protocolos, puertos y servicios de mensajería unificada.