Descripción de los conectores de recepción
Se aplica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Última modificación del tema: 2016-11-28
Los conectores de recepción se configuran en equipos con Microsoft Exchange Server 2010 que tienen instalado el rol del servidor Transporte de concentradores o el rol de servidor Transporte perimetral. Los conectores de recepción representan una puerta de enlace lógica a través de la cual se reciben todos los mensajes entrantes. Este tema ofrece una introducción a los conectores de recepción y al modo en que la configuración de éstos afecta al procesamiento de mensajes individuales.
Introducción a los conectores de recepción
Los servidores de transporte de Exchange 2010 necesitan conectores de recepción para recibir los mensajes de Internet, de clientes de correo electrónico y de otros servidores de correo electrónico. Los conectores de recepción controlan las conexiones entrantes a la organización de Exchange. De forma predeterminada, los conectores de recepción necesarios para el flujo de correo interno se crean automáticamente cuando está instalada la función del servidor Transporte de concentradores. El conector de recepción que puede recibir correo de Internet y de los servidores Transporte de concentradores se crea automáticamente cuando se instala el rol de servidor Transporte perimetral. Sin embargo, el flujo completo de correo solo se consigue después de que el servidor Transporte perimetral se suscribe al sitio de Active Directory mediante el proceso de suscripción perimetral. Otros escenarios, como el servidor de transporte de concentradores expuesto a Internet o un servidor de transporte perimetral sin suscripción, requieren la configuración de un conector manual para establecer un flujo de correo de un extremo a otro.
En Exchange 2010, el conector de recepción se denomina escucha de recepción. Esto significa que el conector escucha las conexiones entrantes que coinciden con la configuración del conector de recepción. Un conector de recepción escucha las conexiones que se reciben a través de una determinada dirección IP local y un determinado puerto, así como desde un intervalo de direcciones IP especificado. Se crean conectores de recepción cuando se desea controlar los servidores que reciben mensajes de una determinada dirección IP o de un determinado intervalo de direcciones IP, y se desean configurar propiedades de conectores especiales para los mensajes que se reciben de una dirección IP determinada; por ejemplo, mayor tamaño de mensajes, más destinatarios por mensaje o más conexiones entrantes.
Los conectores de recepción se aplican a un único servidor y determinan cómo ese servidor en concreto escucha las conexiones. Cuando se crea un conector de recepción en un servidor Transporte de concentradores, el conector de recepción se almacena en Active Directory como objeto secundario del servidor en el que se creó. Cuando se crea un conector de recepción en un servidor de transporte perimetral, el conector se almacena en Active Directory Lightweight Directory Services (AD LDS).
Si necesita conectores de recepción adicionales para escenarios concretos, puede crearlos mediante la Consola de administración de Exchange (EMC) o el Shell de administración de Exchange. Cada conector de recepción debe usar una combinación exclusiva de enlaces de dirección IP, asignaciones de número de puerto e intervalos de dirección IP remotos desde los que se puede aceptar correo para este conector.
Conectores de recepción predeterminados creados durante la instalación
Algunos conectores de recepción se crean de manera predeterminada cuando se instalan el rol del servidor Transporte de concentradores o el rol de servidor Transporte perimetral.
Conectores de recepción predeterminados creados en el servidor de transporte de concentradores
Cuando se instala el rol del servidor Transporte de concentradores, se crean dos conectores de recepción. Para realizar una operación habitual, no se necesitan conectores de recepción adicionales y, en la mayoría de los casos, no es necesario modificar la configuración de los conectores de recepción predeterminados. El tipo de uso y la configuración de estos conectores se describen en la tabla que aparece a continuación.
Configuración predeterminada del conector de recepción en los servidores de transporte de concentradores
| Tipo de uso y nombre del conector | Configuración |
|---|---|
Nombre del servidor del cliente Este conector de recepción acepta conexiones SMTP procedentes de todos los clientes que no son MAPI; como por ejemplo, POP e IMAP. |
|
Nombre del servidor predeterminado Este conector de recepción acepta conexiones de otros servidores de transporte de concentradores y de cualquier servidor de transporte perimetral que tenga en el equipo. |
|
Nota
Todo conector de recepción que cumpla la función de aceptar conexiones de servidores de transporte perimetral u otros servidores de transporte de concentradores debe tener asignado el método de autenticación del servidor de Exchange. El método de autenticación de Exchange es el método de autenticación predeterminado cuando crea un nuevo conector de recepción que tiene el tipo de uso Interno.
Conector de recepción predeterminado creado en un servidor de transporte perimetral
Durante la instalación se crea un conector de recepción. Este conector de recepción se configura para aceptar comunicaciones SMTP de todos los intervalos de dirección IP y se enlaza a todas las direcciones IP del servidor local. Se configura para que tenga el tipo de uso Internet y así el conector acepta conexiones anónimas. En una instalación típica, no se requieren conectores de recepción adicionales. Si usa EdgeSync, no es necesario que modifique la configuración porque el proceso de suscripción perimetral configura los permisos y los mecanismos de autenticación de forma automática. Las sesiones anónimas y las sesiones autenticadas tienen otorgados distintos conjuntos de permisos.
Si no usa EdgeSync, le recomendamos modificar la configuración de este conector de recepción y crear un conector de recepción adicional de tipo de uso Interno. Para completar la configuración del conector de recepción, siga estos pasos:
Modifique la configuración del conector de recepción predeterminado Establezca los enlaces de red local solo para la dirección IP del adaptador de red que tiene acceso a Internet.
Cree un conector de recepción Seleccione el tipo de uso Interno para el conector. Establezca los enlaces de red local solo para la dirección IP del adaptador de red que tiene acceso a la organización. Establezca la configuración de red remota para recibir correo desde las direcciones IP remotas asignadas a los servidores de transporte de concentradores.
Nota
Todo conector de recepción que cumpla la función de aceptar conexiones de servidores de transporte perimetral u otros servidores Transporte de concentradores debe tener asignado el método de autenticación del servidor de Exchange. El método de autenticación de Exchange es el método de autenticación predeterminado cuando se crea un conector de recepción que tiene el tipo de uso Interno.
Determine si desea la autenticación básica Si desea admitir la autenticación básica, cree una cuenta de usuario local y otorgue todos los permisos necesarios mediante el cmdlet Add-ADPermission.
Para obtener más información, consulte Configurar el flujo de correo entre un servidor Transporte perimetral y servidores Transporte de concentradores sin usar EdgeSync.
Tipos de uso de los conectores de recepción
El tipo de uso determina la configuración de seguridad predeterminada para el conector.
La configuración de seguridad para un conector de recepción especifica los permisos que se conceden a las sesiones que se conectan al conector de recepción y a los mecanismos de autenticación admitidos.
Cuando se usa la EMC para configurar un conector de recepción, el Asistente para nuevo conector de recepción SMTP nuevo le solicita que seleccione el tipo de uso para el conector. Existen dos métodos diferentes para especificar el tipo de uso:
Use el parámetro Usage con el valor deseado; por ejemplo, Usage
Custom. Existen otros parámetros necesarios basados en el tipo de uso especificado. Si no especifica los parámetros necesarios en el comando New-ReceiveConnector, el comando dará un error.Use el parámetro del modificador para establecer el tipo de uso deseado; por ejemplo, Custom. Existen otros parámetros necesarios basados en el tipo de uso especificado. Si no especifica los parámetros necesarios en el comando New-ReceiveConnector, se le solicitarán los valores de los parámetros que faltan para que el comando pueda continuar.
Grupos de permisos
Un grupo de permisos es un conjunto predefinido de permisos que se concede a entidades de seguridad conocidas y se asigna a un conector de recepción. Entre las entidades de seguridad se incluye a usuarios, equipos y grupos de seguridad. Una entidad de seguridad se identifica mediante un identificador de seguridad (SID). Los grupos de permisos solo están disponibles para los conectores de recepción. El uso de los grupos de permisos simplifica la configuración de permisos en los conectores de recepción. La propiedad PermissionGroups define los grupos o los roles que pueden enviar mensajes al conector de recepción y los permisos que se asignan a aquellos grupos. El conjunto de grupos de permisos está predefinido en Exchange 2010. Esto significa que no se pueden crear grupos de permisos adicionales. Además, tampoco se pueden modificar los miembros de un grupo de permisos ni los permisos asociados.
La tabla siguiente muestra una lista con los grupos de permisos disponibles, e identifica los principios de seguridad y los permisos que se otorgan al configurar dicho grupo de permisos para un conector de recepción.
Grupos de permisos del conector de recepción
| Nombre del grupo de permisos | Entidades de seguridad asociadas (SID) | Permisos concedidos |
|---|---|---|
Anónimos |
Cuenta de usuario anónima |
|
ExchangeUsers |
Cuentas de usuario autenticadas |
|
ExchangeServers |
|
|
ExchangeLegacyServers |
Grupo de seguridad Legacy Interop de Exchange |
|
Socio |
Cuenta de servidor asociado |
|
Tipos de uso de los conectores de recepción
El tipo de uso determina los grupos de permisos predeterminados que están asignados al conector de recepción y los mecanismos de autenticación predeterminado que están disponible para la autenticación de la sesión. Un conector de recepción siempre responde ante una solicitud de un remitente para usar TLS. La tabla siguiente describe los tipos de uso disponibles y los parámetros predeterminados.
Tipos de uso de los conectores de recepción
| Tipo de uso | Grupos de permisos predeterminados | Mecanismo de autenticación predeterminada |
|---|---|---|
Cliente (no disponible en servidores de transporte perimetral) |
ExchangeUsers |
TLS Autenticación básica más TLS Autenticación integrada de Windows |
Personalizado |
Ninguna |
Ninguno |
Interno |
ExchangeServers ExchangeLegacyServers (este grupo de permisos no está disponible en servidores de transporte perimetral). |
Autenticación del servidor de Exchange |
Internet |
AnonymousUsers Asociado |
Ninguno o seguridad externa |
Asociado |
Asociado |
No aplicable Este tipo de uso se selecciona cuando se establece TLS mutuo con un dominio remoto. |
Los permisos del conector de recepción y los mecanismos de autenticación se explican más adelante, en este tema.
Situaciones de uso del conector de recepción
Cada tipo de uso es adecuado para un determinado caso de conexión. Seleccione el tipo de uso que tiene la configuración predeterminada más parecida a la configuración que desee. Puede modificar los permisos utilizando los cmdlets Add-ADPermission y Remove-ADPermission. Si desea obtener más información, consulte los siguientes temas:
En la tabla siguiente se relacionan los escenarios de conexión más comunes y el tipo de uso para cada escenario.
Escenarios de uso del conector de recepción
| Situaciones de conector | Tipo de uso | Comentario |
|---|---|---|
Servidor de transporte perimetral que recibe correo electrónico desde Internet |
Internet |
Cuando se instala el rol de servidor Transporte perimetral, se crea automáticamente un conector de recepción que está configurado para aceptar correo electrónico procedente de todos los dominios. |
Servidor de transporte de concentradores que recibe correo electrónico procedente de Internet |
Internet |
Esta no es una configuración recomendada. Para obtener más información, consulte Configurar el flujo de correo de Internet directamente a través de un servidor de transporte de concentradores. |
Servidor de transporte perimetral que recibe correo electrónico procedente del servidor cabeza de puente de Exchange Server 2003 |
Interno |
En este escenario, el servidor cabeza de puente de Exchange 2003 está configurado para usar el servidor de transporte perimetral como host inteligente para un conector de envío. |
Servidor de transporte de concentradores que recibe envíos de correo electrónico de una aplicación cliente que usa POP3 o IMAP4 |
Cliente |
El conector de recepción se crea automáticamente en cada servidor de transporte de concentradores cuando se instala la función. De manera predeterminada, el conector de recepción está configurado para recibir correo electrónico a través del puerto TCP 587. |
El servidor de transporte de concentradores que recibe correo electrónico procedente de un servidor de transporte de concentradores |
Interno |
No es necesario configurar los conectores de recepción entre los servidores de transporte de concentradores de una misma organización. Este tipo de uso se puede usar para configurar un conector de recepción entre bosques. |
Servidor de transporte de concentradores que recibe correo electrónico procedente de un servidor cabeza de puente de Exchange 2003 |
Interno |
Ésta es una configuración opcional. El transporte entre Exchange 2010 y las versiones anteriores de Exchange se realiza mediante conectores de grupo de enrutamiento de dos direcciones. Si se crean conectores SMTP para grupos de enrutamiento de Exchange 2003, también debe haber un conector de grupo de enrutamiento. Para obtener más información, consulte Crear conectores para grupos de enrutamiento adicionales de Exchange 2010 a Exchange 2003. |
El servidor de transporte perimetral que recibe correo electrónico procedente de un servidor de transporte de concentradores |
Interno |
Cuando se instala el rol de servidor Transporte perimetral, se crea automáticamente un conector de recepción que está configurado para aceptar correo electrónico procedente de todos los dominios. Puede crear otro conector y configurarlo para que solo reciba correo electrónico procedente de la organización de Exchange. |
El conector de recepción entre bosques para un servidor de transporte de concentradores de un bosque que recibe correo electrónico procedente de un servidor de transporte de concentradores en un segundo bosque. |
Personalizado |
Para ver los pasos detallados de la configuración, consulte Configurar conectores entre bosques. |
Conector de recepción entre bosques para un servidor de transporte de concentradores de un bosque que recibe correo electrónico procedente de un servidor de cabeza de puente de Exchange 2003 en un segundo bosque |
Personalizado |
Para ver los pasos detallados de la configuración, consulte Configurar conectores entre bosques. |
Servidor de transporte de concentradores que recibe correo electrónico procedente de un agente de transferencia de mensajes (MTA) de terceros |
Interno |
Especifique el intervalo de direcciones IP desde la que se aceptarán los mensajes y establezca como mecanismo de autenticación, bien Autenticación básica, bien Seguridad externa. |
Servidor de transporte perimetral que recibe correo electrónico de un MTA de terceros |
Personalizado |
Use el cmdlet Add-ADPermission para establecer los derechos extendidos. Especifique el intervalo de direcciones IP desde el que se aceptarán mensajes y defina el mecanismo de autenticación como Autenticación básica. También puede seleccionar el tipo de uso interno y definir Seguridad interna como método de autenticación. No es necesario configurar permisos adicionales, si se selecciona esta opción. |
El servidor de transporte perimetral que recibe correo electrónico procedente de un dominio de retransmisión externo |
Personalizado |
El servidor de transporte perimetral puede aceptar correo electrónico de un dominio de retransmisión externo y después retransmitirlo al dominio del destinatario de destino. Especifique el intervalo de direcciones IP desde el cual se aceptarán mensajes, defina el mecanismo de autenticación correspondiente y use el cmdlet Add-ADPermission para definir los derechos extendidos. |
El servidor de transporte perimetral que recibe correo electrónico desde un dominio con el que se ha establecido una autenticación TLS mutua |
Asociado |
La autenticación TLS mutua funciona correctamente solo si se cumplen las siguientes condiciones:
Para obtener más información, consulte Set-ReceiveConnector. |
Servidor de transporte perimetral que recibe conexiones procedentes de un servidor de Microsoft Exchange Hosted Services |
Personalizado |
El servidor de Exchange Hosted Services puede funcionar como servidor autoritativo externo. Para usar el mecanismo de autenticación de seguridad externa, use el cmdlet Set-ReceiveConnector a fin de establecer el parámetro PermissionGroup para |
El servidor Transporte de concentradores que recibe conexiones de un servidor de Exchange Hosted Services. |
Personalizado |
El servidor de Exchange Hosted Services puede funcionar como servidor autoritativo externo. Para usar el mecanismo de autenticación protegido de forma externa, use el cmdlet Set-ReceiveConnector para establecer el parámetro PermissionGroup para |
Permisos de conectores de recepción
Los permisos de conectores de recepción se asignan a entidades de seguridad cuando se especifican los grupos de permisos para el conector. Cuando una entidad de seguridad establece una sesión con un conector de recepción, los permisos del conector de recepción determinan si la sesión se acepta y cómo se procesan los mensajes recibidos. En la siguiente tabla se describen los permisos que se pueden asignar en un conector de recepción para las entidades de seguridad. Puede establecer permisos de conector de recepción mediante la EMC, o con el parámetro PermissionGroups con el cmdlet Set-ReceiveConnector en el Shell. Para modificar los permisos predeterminados de un conector de recepción, también puede usar el cmdlet Add-ADPermission.
Permisos del conector de recepción
| Permiso del conector de recepción | Descripción |
|---|---|
ms-Exch-SMTP-Submit |
Es necesario que se conceda este permiso a la sesión, o será incapaz de enviar mensajes a este conector de recepción. Si una sesión no tiene este permiso, los comandos MAIL FROM y AUTH darán un error. |
ms-Exch-SMTP-Accept-Any-Recipient |
Este permiso permite a la sesión retransmitir mensajes a través de este conector. Si no se concede este permiso, solo se aceptarán en este conector los mensajes dirigidos a destinatarios incluidos en los dominios aceptados. |
ms-Exch-SMTP-Accept-Any-Sender |
Con este permiso, la sesión puede omitir la comprobación de suplantación de la dirección del remitente. |
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender |
Este permiso permite a los remitentes que tienen direcciones de correo electrónico en dominios con autorización establecer una sesión para este conector de recepción. |
ms-Exch-SMTP-Accept-Authentication-Flag |
Este permiso permite a los servidores de Exchange 2003 enviar mensajes de remitentes internos. Exchange 2010 reconocerá los mensajes como internos. El remitente puede declarar el mensaje como "de confianza". Los mensajes que entran en su sistema de Exchange a través de envíos anónimos se retransmitirán a través de la organización de Exchange con esta marca en estado "no fiable". |
ms-Exch-Accept-Headers-Routing |
Este permiso permite que la sesión envíe un mensaje que tiene todos los encabezados de recepción intactos. Si no se concede este permiso, el servidor elimina todos los encabezados recibidos. |
ms-Exch-Accept-Headers-Organization |
Este permiso permite que la sesión envíe un mensaje que tiene todos los encabezados de organización intactos. Todos los encabezados de organización empiezan por X-MS-Exchange-Organization-. Si no se concede este permiso, el servidor de recepción elimina todos los encabezados de la organización. |
ms-Exch-Accept-Headers-Forest |
Este permiso permite que la sesión envíe un mensaje que tiene todos los encabezados de bosque intactos. Todos los encabezados de bosque comienzan con X-MS-Exchange-Forest-. Si no se concede este permiso, el servidor de recepción elimina todos los encabezados del bosque. |
ms-Exch-Accept-Exch50 |
Este permiso permite que la sesión envíe un mensaje que contenga el comando XEXCH50. Este comando es necesario para la interoperabilidad con Exchange 2003. El comando XEXCH50 brinda datos tales como el nivel de confianza de correo no deseado (SCL) del mensaje. |
ms-Exch-Bypass-Message-Size-Limit |
Este permiso permite que la sesión envíe un mensaje que supera la restricción para tamaño de mensaje configurada para el conector. |
Ms-Exch-Bypass-Anti-Spam |
Este permiso permite que la sesión omita el filtrado contra correo electrónico no deseado. |
Configuración de la red local
En la EMC, se usa la configuración de la red local para que un conector de recepción especifique la dirección IP y el puerto a través del cual el servidor de transporte acepta las conexiones. En el Shell, use el parámetro Bindings para especificar la dirección IP local y el puerto del servidor de transporte mediante el cuál el conector de recepción acepta las conexiones. Esta configuración enlaza al conector de recepción con un determinado adaptador de red y un determinado puerto TCP del servidor de transporte.
Como opción predeterminada, un conector de recepción está configurado para usar todos los adaptadores de red disponibles y el puerto TCP 25. Si un servidor de transporte tiene varios adaptadores de red, es posible que desee enlazar un conector de recepción a un determinado adaptador de la red, o aceptar conexiones por medio de un puerto alternativo. Por ejemplo, puede que desee configurar un conector de recepción en el servidor de transporte perimetral para que acepte conexiones anónimas a través del adaptador de red externo. Es posible configurar un segundo conector de recepción para que acepte conexiones solo de servidores concentradores de transporte a través del adaptador de red interno.
Nota
Si selecciona vincular un conector de recepción a una dirección IP local determinada, esa dirección IP debe ser válida para el servidor de transporte de concentradores o para el servidor de transporte perimetral en el que se encuentra el conector de recepción. Si especifica una dirección IP local no válida, puede que el servicio de transporte de Microsoft Exchange no consiga iniciarse cuando se reinicie el servicio. En lugar de vincular el conector de recepción a una dirección IP determinada, puede vincular el conector de recepción a todas las direcciones IP disponibles en el servidor de transporte de concentradores o en el servidor de transporte perimetral.
Especifique la dirección IP en el adaptador de red al configurar los enlaces del conector de recepción. Si el conector de recepción está configurado para aceptar conexiones a través de un puerto distinto del predeterminado, el cliente o el servidor de envío tienen que configurarse para realizar envíos a ese puerto y a cualquier cortafuegos que haya entre el remitente del mensaje, y el servidor de recepción tiene que permitir el tráfico de la red a través de ese puerto.
La página Configuración de red local del Asistente para nuevo conector de recepción SMTP de la EMC, incluye una opción para Especificar el FQDN que proporcionará este conector en respuesta a HELO o EHLO. En el Shell, esta propiedad se establece mediante el parámetro Fqdn con el cmdlet Set-ReceiveConnector. Una vez establecida una sesión SMTP, se inicia una conversación del protocolo SMTP entre un servidor de envío de correo electrónico y un servidor de recepción de correo electrónico. El servidor o el cliente de correo electrónico envía los comandos SMTP EHLO o HELO y su FQDN al servidor de recepción. Como respuesta, el servidor de recepción envía un código de operación satisfactoria y proporciona su propio FQDN. En Exchange 2010, se puede personalizar el FQDN que proporciona el servidor de recepción si se configura esta propiedad en un conector de recepción. El valor de FQDN se mostrará a los servidores de mensajería conectados cuando se requiera un nombre de servidor de destino, como en los siguientes ejemplos:
En el banner SMTP predeterminado del conector de recepción.
En el campo de encabezado
Received:más reciente en el mensaje entrante cuando el mensaje entra en el servidor de transporte de concentradores o en el servidor de transporte perimetralDurante la autenticación TLS
Nota
No modifique el valor FQDN en el conector de recepción predeterminado denominado <Nombre de servidor predeterminado> que se crea automáticamente en los servidores de transporte de concentradores. Si tiene varios servidores de transporte de concentradores en su organización de Exchange y cambia el valor de FQDN en el conector de recepción <Nombre de servidor predeterminado>, el flujo de correo interno entre los servidores de transporte de concentradores no se realizará correctamente.
Configuración de red remota
En la EMC, se usa la configuración de la red remota para que un conector de recepción especifique los intervalos de dirección IP desde los que el conector de recepción acepta las conexiones. En el Shell, se usa el parámetro RemoteIPRanges para especificar los intervalos de dirección IP desde los que el conector de recepción acepta las conexiones. De forma predeterminada, los conectores de recepción se crean en los servidores de transporte de concentradores o en los servidores de transporte perimetral que permiten conexiones desde 0.0.0.0-255.255.255.255 o desde cualquier dirección IP.
Nota
En Exchange 2010, el intervalo de direcciones IPv6 0000:0000:0000:0000:0000:0000:0.0.0.0–ffff:ffff:ffff:ffff:ffff:ffff:255.255.255.255 también existe en los conectores de recepción predeterminados en un servidor Transporte de concentradores.
Si está configurando el conector de recepción para un escenario concreto, establezca la configuración de la red remota solo con las direcciones IP de los servidores que pueden recibir los permisos y las opciones de configuración para el conector de recepción. Varios conectores de recepción pueden tener intervalos de direcciones IP remotas que se superpongan siempre que un intervalo se superponga completamente a otro. Cuando los intervalos de direcciones IP remotas se superponen, se usa el intervalo de dirección IP remota que coincida de forma más específica con la dirección IP del servidor de conexión.
La dirección IP o el intervalo de direcciones IP para los servidores remotos desde los que el conector de recepción aceptará conexiones de entrada se introduce en uno de los siguientes formatos:
Dirección IP 192.168.1.1
Intervalo de direcciones IP 192.168.1.10-192.168.1.20
Dirección IP junto con la máscara de subred 192.168.1.0(255.255.255.0)
Notación de dirección IP junto con la máscara de subred que usa Classless Interdomain Routing (CIDR) 192.168.1.0/24
Configuración de la autenticación del conector de recepción
En la EMC, se usa la configuración de autenticación de un conector de recepción para especificar los mecanismos de autenticación admitidos por el servidor de transporte de Exchange 2010. En el Shell, se usa el parámetro AuthMechanisms para especificar los mecanismos de autenticación admitidos. Puede configurar más de un mecanismo de autenticación para un conector de recepción. Para informarse acerca de los mecanismos de autenticación que se configuran de forma automática para cada tipo de uso, consulte la tabla titulada " Tipos de uso de los conectores de recepción" que aparece más arriba. En la siguiente tabla se enumeran los mecanismos de autenticación disponibles para un conector de recepción.
Mecanismos de autenticación del conector de recepción
| Mecanismo de autenticación | Descripción |
|---|---|
Ninguno |
Sin autenticación. |
TLS |
Advertise STARTTLS. Necesita de la disponibilidad de un certificado de servidor para ofrecer TLS. |
Integrado |
NTLM y Kerberos (autenticación de Windows integrada). |
BasicAuth |
Autenticación básica. Precisa de un inicio de sesión autenticado. |
BasicAuthRequireTLS |
Autenticación básica por TLS. Precisa de un certificado de servidor. |
ExchangeServer |
Autenticación del servidor de Exchange (API de servicios de seguridad genéricos [GSSAPI] y GSSAPI mutuo). |
ExternalAuthoritative |
La conexión se considera externamente asegurada mediante un mecanismo de seguridad que es externo a Exchange. La conexión puede ser una asociación de protocolo de seguridad de Internet (IPsec) o una red privada virtual (VPN). Como alternativa, los servidores pueden residir en una red controlada físicamente y de confianza. El método de autenticación de |
Propiedades adicionales del conector de recepción
La configuración de propiedades para un conector de recepción define cómo se recibe el correo electrónico a través de ese conector. No todas las propiedades se encuentran disponibles en la EMC. Si desea obtener más información acerca de las propiedades que se pueden configurar con el Shell, consulte Set-ReceiveConnector.
Uso de un conector de recepción para la retransmisión anónima
Si no se restringe, la retransmisión anónima en los servidores de mensajería SMTP de Internet representa un riesgo de seguridad grave que podrían aprovechar los emisores de correo comercial no deseado, o "spammers", para ocultar el origen de sus mensajes. Por lo tanto, se aplican restricciones a los servidores de mensajería con acceso a Internet para impedir la retransmisión a destinos no autorizados.
En Exchange 2010, la retransmisión se controla generalmente mediante el uso de dominios aceptados. Los dominios aceptados se configuran en el servidor de transporte perimetral o en el servidor de transporte de concentradores. Además, los dominios aceptados se clasifican como dominios de retransmisión interna o dominios de retransmisión externa. Para obtener más información acerca de los dominios aceptados, consulte Descripción de los dominios aceptados.
También se puede restringir la retransmisión anónima en función del origen de los mensajes entrantes. Este método es útil cuando una aplicación o servidor de mensajería no autenticado debe usar un servidor de transporte de concentradores o un servidor de transporte perimetral como servidor de retransmisión.
Cuando se crea el conector de recepción configurado para permitir la retransmisión anónima, se deben aplicar las siguientes restricciones al conector de recepción:
Configuración de red local Se debe restringir el conector de recepción para que escuche únicamente en el adaptador de red apropiado del servidor de transporte de concentradores o del servidor de transporte perimetral.
Configuración de red remota Se debe restringir el conector de recepción para que acepte únicamente conexiones de los servidores especificados. Esta restricción es necesaria porque el conector de recepción está configurado para aceptar retransmisiones de usuarios anónimos. La restricción de los servidores de origen por dirección IP es la única medida de protección que se permite en este conector de recepción.
Para conceder el permiso de retransmisión a usuarios anónimos en el conector de recepción, puede usar cualquiera de las estrategias que se describen en las siguientes secciones. Todas las estrategias tiene ventajas y desventajas. Para obtener instrucciones detalladas de ambas opciones, consulte Permitir la retransmisión anónima en un conector de recepción.
Concesión del permiso de retransmisión a conexiones anónimas
Esta estrategia incluye las tareas siguientes:
Crear un conector de recepción con tipo de uso establecido en
Custom.Agregar el grupo de permisos anónimo al conector de recepción.
Asignar el permiso de retransmisión a la entidad de seguridad de inicio de sesión anónimo en el conector de recepción.
El grupo de permisos anónimo concede los siguientes permisos a la entidad de seguridad de inicio de sesión anónimo en el conector de recepción:
Ms-Exch-Accept-Headers-Routing
Ms-Exch-SMTP-Accept-Any-Sender
Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
Ms-Exch-SMTP-Submit
No obstante, para permitir la retransmisión anónima en este conector de recepción, también se debe conceder el siguiente permiso a la entidad de seguridad de inicio de sesión anónimo en el conector de recepción:
- Ms-Exch-SMTP-Accept-Any-Recipient
La ventaja de esta estrategia es que concede los permisos mínimos necesarios para la retransmisión a las direcciones IP remotas especificadas.
Las desventajas de esta estrategia son las siguientes:
Se requieren pasos de configuración adicionales para conceder los permisos necesarios.
Los mensajes que se originan en las direcciones IP especificadas se tratan como mensajes anónimos. Por lo tanto, los mensajes no omiten las comprobaciones contra correo electrónico no deseado ni las comprobaciones de límite de tamaño de los mensajes, y no se pueden resolver remitentes anónimos. El proceso de resolver remitentes anónimos fuerza un intento de hacer coincidir la dirección de correo electrónico del remitente anónimo con el correspondiente nombre para mostrar que figura en la lista global de direcciones (LGD).
Configuración del conector de recepción como protegido externamente
Esta estrategia incluye las tareas siguientes:
Crear un conector de recepción con tipo de uso establecido en
Custom.Agregar el grupo de permisos ExchangeServers al conector de recepción.
Agregar el mecanismo de autenticación
ExternalAuthoritativeal conector de recepción.
El grupo de permisos ExchangeServers es necesario cuando se selecciona el mecanismo de autenticación ExternalAuthoritative. Esta combinación del método de autenticación y el grupo de permisos concede los siguientes permisos a cualquier conexión entrante que se permita en el conector de recepción:
Ms-Exch-Accept-Headers-Routing
Ms-Exch-SMTP-Accept-Any-Sender
Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
Ms-Exch-SMTP-Submit
Ms-Exch-Accept-Exch50
Ms-Exch-Bypass-Anti-Spam
Ms-Exch-Bypass-Message-Size-Limit
Ms-Exch-SMTP-Accept-Any-Recipient
Ms-Exch-SMTP-Accept-Authentication-Flag
Las ventajas de esta estrategia son las siguientes:
Configuración sencilla
Los mensajes que se originan en las direcciones IP especificadas se tratan como mensajes autenticados. Los mensajes omiten las comprobaciones contra correo electrónico no deseado y las comprobaciones de límite de tamaño de los mensajes, y pueden resolver remitentes anónimos.
La desventaja de esta estrategia es que las direcciones IP remotas se consideran completamente confiables. Los permisos que se conceden a las direcciones IP remotas permiten que el servidor de mensajería remoto envíe mensajes como si provinieran de remitentes internos dentro de la organización de Exchange.
Nuevas características de Exchange 2010 Service Pack 1
En Service Pack 1 (SP1) para Exchange Server 2010, se han agregado nuevas funciones a los conectores de recepción. En esta sección se proporciona información general acerca de estas nuevas características.
Control de saltos de línea independientes
Cuando un servidor de correo electrónico establece una sesión SMTP, emite comandos SMTP para enviar mensajes. Después de especificar la información de remitente y destinatario, el servidor de envío transmite el contenido del mensaje mediante el comando DATA. El contenido transmitido después de emitir el comando DATA se conoce como flujo de datos. El flujo de datos termina con una secuencia especial de caracteres: un retorno de carro, seguido de un punto y otro retorno de carro.
Los caracteres de salto de línea que no se encuentran justo después de un carácter de retorno de carro se conocen como caracteres de salto de línea independientes. Los saltos de línea independientes no se admiten en las comunicaciones SMTP. Aunque es posible que un mensaje que contenga un salto de línea independiente se envíe correctamente, dicho mensaje no cumple las reglas del protocolo SMTP y puede provocar problemas en los servidores de mensajería.
En Exchange 2010 SP1, puede configurar los conectores de recepción para rechazar los mensajes que contengan saltos de línea independientes en su flujo de datos. Este comportamiento se controla mediante el parámetro BareLineFeedRejectionEnabled del cmdlet Set-ReceiveConnector. De forma predeterminada, esta opción está deshabilitada para conservar la compatibilidad con versiones anteriores. Para obtener más información acerca de la configuración de este parámetro, consulte Set-ReceiveConnector.
Funcionalidad de protección ampliada
Windows ofrece un enlace de canal para proteger la autenticación NTLM de ataques de retransmisión de autenticación por medio de canales cifrados. En Exchange 2010, todos los servicios que presta Exchange se han actualizado para ser compatibles con la protección ampliada para autenticación. Para que esta característica sea compatible en Transporte, se actualizaron los conectores de recepción. Puede permitir, solicitar o deshabilitar la Protección ampliada para autenticación en sus conectores de recepción.
Use el parámetro ExtendedProtectionPolicy y ExtendedProtectionTlsTerminatedAtProxy del cmdlet Set-ReceiveConnector para controlar cómo administran los servidores de transporte la protección ampliada. Puede configurar un conector de recepción para permitir o requerir la protección ampliada. Al configurar un conector de recepción para requerir la protección ampliada, se rechazarán las conexiones entrantes de hosts que no admitan esta característica. Para conservar la compatibilidad con versiones anteriores, la protección ampliada está deshabilitada de forma predeterminada. Para obtener más información acerca de la configuración de la protección ampliada en los conectores de recepción, consulte Set-ReceiveConnector.
Para obtener más información acerca de la protección ampliada, consulte lo siguiente:
Artículo 973811 de Microsoft Knowledge Base, Aviso de seguridad de Microsoft: Protección ampliada para la autenticación.
Tema de MSDN Library Autenticación integrada de Windows con protección ampliada (en inglés)
© 2010 Microsoft Corporation. Reservados todos los derechos.