• Artículo

Error de prueba de retransmisión abierta del servidor SMTP

[Este tema tiene como objetivo tratar un problema específico localizado por la herramienta Exchange Server Analyzer. Deberá aplicarlo únicamente a sistemas en los que se haya ejecutado la herramienta Exchange Server Analyzer y que experimenten ese problema específico. La herramienta Exchange Server Analyzer, disponible para descargarla de forma gratuita, recopila de forma remota datos de configuración de cada servidor en la topología y analiza automáticamente los datos. El informe resultante detalla problemas de configuración importantes, posibles problemas y configuración de producto no predeterminada. Siguiendo estas recomendaciones, puede obtener un mejor rendimiento, escalabilidad, confiabilidad y tiempo de actividad. Para obtener más información acerca de la herramienta o para descargar las últimas versiones, consulte "Herramientas de análisis de Microsoft Exchange" en https://go.microsoft.com/fwlink/?linkid=34707.]  

Última modificación del tema: 2010-06-29

En un servidor en el que se ejecute Microsoft Exchange Server 2003 o una versión anterior, la herramienta Best Practices Analyzer de Microsoft® Exchange Server intenta retransmitir un mensaje a través de un servidor SMTP (Protocolo simple de transferencia de correo) mediante la realización de las siguientes tareas:

  • Abre una conexión de socket en el servidor SMTP. Si la herramienta recibe un código de respuesta de 220, se considera que este paso se ha completado correctamente.
  • Transmisión del verbo de comando SMTP EHLO. Si la herramienta recibe una serie de códigos de respuesta de 250, se considera que este paso se ha completado correctamente. Esta serie de códigos de respuesta incluye 250-X-LINK2STATE y 250-XEXCH50.
  • Transmisión del verbo de comando MAIL FROM: ExBPA-OpenRelayTest@Fabrikam.com. Si la herramienta recibe un código de respuesta de 250, se considera que este paso se ha completado correctamente.
  • Transmisión del verbo de comando RCPT TO: ExBPA-OpenRelayTest@Fabrikam.com. Si la herramienta recibe un código de respuesta de 250, se considera que este paso se ha completado correctamente.

La herramienta también consulta la clase de Instrumental de administración de Microsoft Windows® (WMI) Win32_OperatingSystem para determinar el valor de la clave OSProductSuite. El valor de esta clave corresponde a una versión específica de un sistema operativo Windows Server. Si la herramienta completa correctamente todos los pasos en un equipo con Exchange Server que forme parte de una instalación de Microsoft Small Business Server 2000 o Microsoft Windows Small Business Server 2003, se muestra un error.

En un servidor en el que se ejecuta Exchange Server 2007 o una versión posterior, la herramienta determina si la opción Usuarios anónimos está seleccionada en la pestaña Grupos de permisos del Conector de recepción. Asimismo, la herramienta determina si al usuario NT AUTHORITY\ANONYMOUS LOGON se le ha concedido el derecho Ms-Exch-SMTP-Accept-Any-Recipient en el Conector de recepción. Si la herramienta determina que Exchange Server no tiene esta configuración, se muestra un mensaje de error. El error indica que este servidor está configurado como una retransmisión abierta.

Notas

  • No se recomienda permitir la retransmisión abierta. La retransmisión abierta ocurre cuando un servidor de correo electrónico permite que los mensajes de correo electrónico se retransmitan a través del sistema sin ejercer ninguna restricción ni control sobre el correo electrónico retransmitido.
  • Si, por alguna razón, la organización de Exchange usa un dominio SMTP llamado Fabrikam.com, es posible que aparezca este error. En este caso, es posible que pueda hacer caso omiso de este error de forma segura. El dominio Fabrikam.com es propiedad de Microsoft Corporation y se utiliza con fines de aprendizaje y documentación.

La retransmisión no es intrínsecamente perjudicial, ya que SMTP se diseñó para este fin. (Para obtener más información, consulte las secciones 2.1 y 3.7 del documento RFC 2821, en http://ietf.org/). Sin embargo, puede descontrolarse. Un host no controlado se conoce como host de retransmisión abierta. Si no se controla, un usuario malintencionado podría usar potencialmente la retransmisión para realizar una distribución masiva de correo electrónico comercial no solicitado (no deseado o UCE). Al rechazar estos mensajes de correo electrónico no solicitados de un host intermedio, el usuario malintencionado intenta enmascarar su identidad. Esto también afecta a los recursos del host de retransmisión y puede impedirle que envíe mensajes de correo electrónico válidos. En concreto, la mayoría de los usuarios que envían dichos mensajes de correo electrónico no solicitados pueden enviar un solo mensaje a un gran número de destinatarios sin usar su propio ancho de banda.

Asegúrese de que no permite la retransmisión anónima en sus servidores virtuales SMTP expuestos a Internet. En su configuración predeterminada, Exchange sólo permite que los usuarios autenticados retransmitan correo. Sólo los usuarios autenticados pueden utilizar Exchange para enviar correo a un dominio externo. Si modifica la configuración de retransmisión predeterminada para permitir que los usuarios no autenticados realicen retransmisiones, o permite la retransmisión abierta a un dominio a través de un conector, los usuarios no autorizados o los gusanos malintencionados pueden usar el servidor de Exchange para enviar correo no deseado. Es posible que su servidor esté en la lista de servidores bloqueados y se le impida enviar correo a servidores remotos legítimos. Para impedir que los usuarios no autorizados utilicen su servidor de Exchange para retransmitir correo, utilice, como mínimo, las restricciones de retransmisión predeterminadas.

Si tiene razones legítimas para la retransmisión, siga las directrices para asegurarse de que se preserva la seguridad en su implementación. Principalmente, puede hacerlo si mantiene todas las configuraciones predeterminadas de denegación, agrega sólo las direcciones IP de las que acepta correo retransmitido y deshabilita el acceso a los usuarios no autenticados.

Revise la forma en que se utilizan las cuentas internas (Administrador local) y otros usuarios en sus servidores de puerta de enlace. Es poco probable que utilice las cuentas internas para cualquier clase de retransmisión. Probablemente, las retransmisiones las realiza un conjunto de usuarios o equipos conocidos. Es recomendable que restrinja los derechos de retransmisión a usuarios y equipos explícitos o a una dirección IP.

Configurar un permiso explícito para retransmitir será una ayuda adicional para fortalecer su servidor. Los usuarios malintencionados pueden utilizar un ataque de fuerza bruta para intentar obtener las contraseñas de las cuentas internas o de las cuentas de usuario que encuentren en Internet para usar su servidor como proxy de correo no deseado. Por lo tanto, no se recomienda la configuración predeterminada que permite la retransmisión a cualquier equipo autenticado para los equipos a los que se puede tener acceso desde Internet. Es recomendable que deshabilite esta configuración.

Los siguientes procedimientos explican la forma de deshabilitar la retransmisión anónima en función de si el servidor virtual SMTP está expuesto a Internet. Como se ha mencionado anteriormente en este artículo, sólo debería habilitar cualquier forma de retransmisión anónima en los casos en que su organización comprenda y acepte el riesgo para la seguridad. Las referencias que encontrará al final de este artículo proporcionan más información acerca de cómo utilizar la retransmisión.

Si no se puede tener acceso a un servidor virtual SMTP desde Internet, es recomendable que restablezca las configuraciones de retransmisión a sus valores predeterminados. Como resultado, los servidores virtuales SMTP sólo permitirán la retransmisión interna desde equipos autenticados.

En el caso de servidores virtuales SMTP a los que se pueda tener acceso desde Internet, se recomienda una protección adicional para las configuraciones de retransmisión predeterminadas, de modo que sólo puedan retransmitir los usuarios y equipos con permiso explícito.

Si ha comprobado que Exchange está configurado para bloquear la retransmisión y sigue recibiendo este error en la Herramienta Exchange Server Analyzer, compruebe que ningún proceso o servidor proxy, como el servidor de seguridad, el software antivirus o de detección de correo no deseado, permite la retransmisión anónima.

Para restablecer las configuraciones de retransmisión anónima a sus valores predeterminados en servidores virtuales SMTP internos

  1. Abra el Administrador del sistema de Exchange.

  2. En el árbol de consola, expanda sucesivamente Servidores, el servidor que desee, Protocolos y, a continuación, SMTP.

  3. Haga clic con el botón secundario en el servidor virtual SMTP en el que desee aplicar las restricciones de retransmisión y, a continuación, haga clic en Propiedades.

  4. En <Servidor virtual SMTP> Propiedades, haga clic en la ficha Acceso y, a continuación, seleccione Retransmitir.

  5. En Restricciones de retransmisión, bajo Seleccione el equipo que puede retransmitir a través de este servidor virtual, seleccione Sólo la lista que aparece a continuación, active la casilla Permitir la retransmisión a todos los equipos autenticados correctamente, independientemente de la lista siguiente y, a continuación, haga clic en Aceptar.

Para configurar el permiso explícito de retransmisión en los servidores virtuales SMTP de Exchange Server 2003 expuestos a Internet

  1. Abra el Administrador del sistema de Exchange.

  2. En el árbol de consola, expanda sucesivamente Servidores, el servidor que desee, Protocolos y, a continuación, SMTP.

  3. Haga clic con el botón secundario en el servidor virtual SMTP en el que desea aplicar las restricciones de retransmisión y, a continuación, haga clic en Propiedades.

  4. En <Servidor virtual SMTP> Propiedades, haga clic en la ficha Acceso y, a continuación, seleccione Retransmitir.

  5. En Restricciones de retransmisión, desactive la casilla Permitir la retransmisión a todos los equipos autenticados correctamente, independientemente de la lista siguiente y, a continuación, haga clic en Usuarios para especificar el subconjunto de usuarios a los que desee conceder el permiso de retransmisión en este servidor virtual SMTP.

  6. En Permisos para enviar y retransmitir, para quitar un usuario o grupo, selecciónelo y, luego, haga clic en Quitar.

  7. Para agregar un grupo o usuario, haga clic en Agregar y, luego, seleccione los usuarios o el grupo para los que desea especificar los permisos. Seleccione una de las siguientes opciones:

    • En Microsoft Windows Server™ 2003, en Seleccione los usuarios, equipos o grupos, bajo Escriba el nombre de objeto a seleccionar, escriba el nombre del usuario o del grupo. Si desea buscar el usuario o el grupo, haga clic en Avanzadas, busque el nombre del usuario o grupo y, a continuación, haga clic en Comprobar nombres para validar la entrada.
      tipSugerencia:
      Haga clic en el vínculo ejemplos para ver los formatos aceptables para las entradas.
    • En Windows 2000 Server, en Seleccione los usuarios, equipos o grupos, seleccione el grupo o el usuario al que desee conceder permisos de envío y, a continuación, haga clic en Agregar.

  8. Haga clic en Aceptar para volver al cuadro de diálogo Permisos para enviar y retransmitir.

  9. Bajo Lista de nombres de grupo o usuario, seleccione el grupo que acaba de agregar.

  10. Si es necesario, bajo el grupo seleccionado en Permisos para <grupo seleccionado>, situado junto a Permiso de envío, active la casilla situada bajo Permitir para permitir al usuario o grupo seleccionado enviar correo a través de este servidor virtual SMTP.

  11. Junto a Permisos de retransmisión, active la casilla situada bajo Permitir, para permitir que el objeto seleccionado realice retransmisiones a través de este servidor virtual SMTP, o active la casilla situada bajo Rechazar para impedir que el objeto seleccionado realice retransmisiones a través de este servidor virtual.

    Nota

    Si desea permitir permisos de retransmisión debe deshabilitar los permisos de envío.

  12. Haga clic en Aceptar.

Para configurar permisos de retransmisión en los servidores virtuales SMTP de Exchange 2000 Server expuestos a Internet

  1. Abra el Administrador del sistema de Exchange.

  2. En el árbol de consola, expanda sucesivamente Servidores, el servidor que desee, Protocolos y, a continuación, SMTP.

  3. Haga clic con el botón secundario en el servidor virtual SMTP en el que desea aplicar las restricciones de retransmisión y, a continuación, haga clic en Propiedades.

  4. En <Servidor virtual SMTP> Propiedades, haga clic en la ficha Acceso y, a continuación, seleccione Retransmitir.

  5. En Restricciones de retransmisión, bajo Seleccione el equipo que puede retransmitir a través de este servidor virtual, seleccione Sólo la lista que aparece a continuación.

  6. Haga clic en Agregar para agregar un equipo, un grupo de equipos o un nombre de dominio SMTP y, luego, haga clic en Aceptar. Repita este paso para cada entrada adicional que desee agregar.

  7. Active la casilla Permitir la retransmisión a todos los equipos autenticados correctamente, independientemente de la lista anterior y, a continuación, haga clic dos veces en Aceptar.

Para obtener más información acerca de la retransmisión de mensajes y la seguridad, consulte las siguientes guías en la biblioteca técnica de Exchange Server 2003:

Para obtener más información acerca de cómo probar y proteger el comportamiento de retransmisión abierta en el entorno de Exchange y Microsoft Windows, consulte el artículo 304897, "Comportamiento de retransmisión de SMTP en Windows 2000, Windows XP y Exchange Server".