Descripción de los conectores de envío

 

Se aplica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Última modificación del tema: 2015-03-09

Los conectores de envío se configuran en equipos con Microsoft Exchange Server 2010 que tienen instalado el rol del servidor Transporte de concentradores o el rol de servidor Transporte perimetral. El conector de envío representa una puerta de enlace lógica a través de la que se envían los mensajes salientes. En este tema se proporciona información general sobre los conectores de envío y se explica cómo afecta la configuración de los conectores de envío al procesamiento de los mensajes individuales.

Introducción a los conectores de envío

Los servidores de transporte de Exchange 2010 requieren conectores de envío para entregar los mensajes al siguiente salto en el camino hasta su destino. Un conector de envío controla las conexiones de salida desde el servidor de envío hasta el servidor de recepción o el sistema de correo electrónico de destino. De manera predeterminada, no se crean conectores de envío explícitos cuando se instala la función del servidor Transporte de concentradores o Transporte perimetral. Sin embargo, los conectores de envío implícitos e invisibles que se calculan automáticamente en función de la topología del sitio de Active Directory se usan para enrutar los mensajes internamente entre los servidores Transporte de concentradores. El flujo de correo de un extremo a otro solo es posible una vez que el servidor de transporte perimetral se haya suscrito al sitio de Active Directory mediante el proceso de suscripción perimetral. Otras situaciones, como el servidor Transporte de concentradores expuesto a Internet o un servidor de transporte perimetral sin suscripción, requieren la configuración manual de los conectores para establecer un flujo de correo de un extremo a otro. Para obtener más información, consulte Tareas posteriores a la implementación de un servidor de transporte.

Los conectores de envío que se crean en servidores Transporte de concentradores se almacenan en Active Directory y están disponibles para todos los servidores Transporte de concentradores de la organización. Si se configura un conector de envío para que envíe mensajes a un dominio externo, cualquier servidor Transporte de concentradores de la organización enrutará un mensaje para ese dominio, el mensaje se entregará a un servidor de origen para que ese conector lo retransmita al dominio de destino.

El conector de envío que se usa para enrutar mensajes a un destinatario se selecciona durante la fase de resolución de enrutamiento de una categorización de mensaje. Para obtener más información, consulte Descripción del enrutamiento de mensajes.

Selección del tipo de uso para un conector de envío

Cuando use la Consola de administración de Exchange (EMC) para crear un conector de envío, el asistente para nuevo conector de envío SMTP le pedirá que seleccione un tipo de uso para el conector. El tipo de uso determina los conjuntos de permisos predeterminados que se asignan al conector y otorga estos permisos a las entidades principales de seguridad de confianza. Las entidades de seguridad incluyen usuarios, equipos y grupos de seguridad. Una entidad de seguridad se identifica mediante un identificador de seguridad (SID).

También puede especificar un tipo de uso cuando se crea un conector de envío usando el cmdlet New-SendConnector del Shell de administración de Exchange. Sin embargo, el parámetro Usage no es necesario. Si no se especifica un tipo de uso al ejecutar el cmdlet New-SendConnector, el tipo de uso predeterminado se establece en Personalizado. En la tabla siguiente se describen los tipos de uso de conector de envío y sus configuraciones predeterminadas.

Tipos de uso de conector de envío

Tipo Permisos predeterminados SID al que se otorgan los permisos predeterminados Mecanismo de autenticación de host predeterminado

Personalizado

Ninguno

Ninguno

Ninguno

Interno

  • ms-Exch-Send-Headers-Organization

  • ms-Exch-SMTP-Send-Exch50

  • ms-Exch-Send-Headers-Routing

  • ms-Exch-Send-Headers-Forest

  • Servidores de transporte de concentradores

  • Servidores de transporte perimetral

  • Servidores de Exchange (solo en servidores de transporte de concentradores)

  • Servidores de seguridad externa

  • Grupo de seguridad universal para compatibilidad con versiones anteriores de Exchange

  • Servidores cabeza de puente de Exchange Server 2003 y Exchange 2000 Server

Autenticación del servidor de Exchange

Internet

Ms-Exch-Send-Headers-Routing

Cuenta de usuario anónima

Ninguno

Asociado

Ms-Exch-Send-Headers-Routing

Servidores asociados

No aplicable. Este tipo de uso se selecciona cuando se establece la autenticación de seguridad de nivel de transporte (TLS) mutua con un dominio remoto.

Nota

Si se selecciona, para un conector de envío, la resolución de entrega de Sistema de nombres de dominio (DNS) en lugar de un host inteligente, no se configurará ningún mecanismo de autenticación de host inteligente.

Los permisos de conector de envío y los mecanismos de autenticación de host inteligente se tratan detalladamente más adelante en este tema.

Escenarios de uso de conector de envío

Cada tipo de uso es adecuado para un escenario de conexión específico. Seleccione el tipo de mensaje cuya configuración predeterminada sea más adecuada para la configuración que desea. Puede modificar permisos usando los cmdlets Add-ADPermission y Remove-ADPermission. Para obtener más información al respecto, consulte los siguientes temas (en inglés):

En la tabla siguiente se relacionan los escenarios de conexión más comunes y el tipo de uso para cada escenario.

Escenarios de uso de los conectores

Escenario de conector Tipo de uso Comentario

Servidor de transporte perimetral que envía correo electrónico a Internet

Internet

Cuando se suscribe el servidor de transporte perimetral a la organización de Exchange, se crea automáticamente un conector de envío configurado para enviar correo electrónico a todos los dominios.

Servidor de transporte de concentradores que envía correo electrónico a Internet

Internet

Esta no es una configuración recomendada.

Un servidor de transporte perimetral suscrito que envía correo electrónico a un servidor de transporte de concentradores

Interno

Este conector lo crea automáticamente el proceso de suscripción perimetral.

Servidor de transporte perimetral que envía correo electrónico a un servidor cabeza de puente de Exchange 2003

Interno

El servidor cabeza de puente de Exchange 2003 está configurado como host inteligente para un conector de envío.

Servidor de transporte perimetral que envía correo electrónico a un servidor de transporte de concentradores

Personalizado

Cuando no se use el proceso de suscripción perimetral, debe crearse un conector manual. Use el cmdlet Add-ADPermission para establecer los derechos extendidos. Establezca el mecanismo de autenticación como Autenticación básica o Con seguridad externa.

Conector de envío entre bosques para un servidor Transporte de concentradores de un bosque que envía correo electrónico a un servidor de transporte de concentradores de Exchange 2010 o de Exchange 2007 de un segundo bosque

Personalizado

Para ver los pasos detallados de la configuración, consulte Configurar conectores entre bosques.

Conector de envío entre bosques para un servidor de transporte de concentradores de un bosque que envía correo electrónico a un servidor cabeza de puente de Exchange 2003 de un segundo bosque

Personalizado

Para ver los pasos detallados de la configuración, consulte Configurar conectores entre bosques.

Servidor de transporte de concentradores que envía correo electrónico a un host inteligente de otro fabricante

Personalizado

Use el cmdlet Add-ADPermission para establecer los derechos extendidos. Enrute todos los mensajes a un host inteligente y establezca el mecanismo de autenticación en Autenticación básica o Con seguridad externa.

Servidor de transporte perimetral que envía correo electrónico a un host inteligente de otro fabricante

Personalizado

Use el cmdlet Add-ADPermission para establecer los derechos extendidos. Enrute todos los mensajes a un host inteligente y establezca el mecanismo de autenticación en Autenticación básica o Con seguridad externa.

Servidor de transporte perimetral que envía correo electrónico a un dominio de retransmisión externo

Personalizado

El servidor de transporte perimetral puede aceptar correo electrónico para un dominio de retransmisión externo y a continuación retransmitir los mensajes al sistema de correo electrónico autorizado para ese dominio. Enrute todos los mensajes a un host inteligente, establezca el mecanismo de autenticación adecuado y use el cmdlet Add-ADPermission para establecer los derechos extendidos.

Servidor de transporte perimetral que envía correo electrónico a un dominio para el que se ha establecido la autenticación TLS mutua

Asociado

La autenticación TLS mutua solamente funciona de forma correcta cuando son ciertas las siguientes condiciones:

  • El valor del parámetro DomainSecureEnabled debe ser $true.

  • El valor del parámetro DNSRoutingEnabled debe ser $true.

  • El valor del parámetro IgnoreStartTLS debe ser $false.

Para obtener más información, consulte Set-SendConnector (en inglés).

Permisos de conector de envío

Asigne permisos de conector de envío a una entidad de seguridad. Cuando una entidad de seguridad establece una sesión con un conector de envío, los permisos del conector de envío determinan los tipos de información de encabezado que pueden enviarse con el mensaje de correo electrónico. Si un mensaje de correo electrónico incluye información de encabezado no permitida por los permisos del conector de envío, esos encabezados se eliminan del mensaje al enviarlo. En la tabla siguiente se describen los permisos que pueden asignarse en un conector de envío a las entidades principales de seguridad. No puede establecer permisos de conector de envío mediante la EMC. Para modificar los permisos predeterminados para un conector de envío, debe usar el cmdlet Add-ADPermission en el Shell de administración de Exchange.

Permisos de conector de envío

Permiso de conector de envío Descripción

ms-Exch-Send-Exch50

Este permiso permite a la sesión enviar un mensaje que contenga el comando EXCH50. Si no se otorga este permiso y se envía un mensaje que contiene el comando EXCH50, el servidor envía el mensaje pero no incluye el comando EXCH50.

Ms-Exch-Send-Headers-Routing

Este permiso permite a la sesión enviar un mensaje que tenga todos los encabezados recibidos intactos. Si no se concede el permiso, el servidor quita todos los encabezados recibidos.

Ms-Exch-Send-Headers-Organization

Este permiso permite a la sesión enviar un mensaje que tenga todos los encabezados de organización intactos. Todos los encabezados de organización empiezan por X-MS-Exchange-Organization-. Si no se concede el permiso, el servidor de envío quita todos los encabezados de organización.

Ms-Exch-Send-Headers-Forest

Este permiso permite a la sesión enviar un mensaje que tenga todos los encabezados de bosque intactos. Todos los encabezados de bosque comienzan con X-MS-Exchange-Forest-. Si no se concede el permiso, el servidor de envío quita todos los encabezados de bosque.

Espacios de direcciones y ámbito del conector

El espacio de direcciones de un conector de envío especifica los dominios de destinatario a los que el conector de envío enrutará el correo electrónico. En los conectores de envío que estén configurados en servidores de transporte de concentradores, se pueden especificar espacios de direcciones SMTP o no SMTP. En los conectores de envío que estén configurados en servidores de transporte perimetral, solo se pueden especificar espacios de direcciones SMTP. Si usa un tipo de espacio de direcciones que no es SMTP, debe usar un host inteligente para enrutar el correo electrónico.

Nota

Aunque puede configurar espacios de direcciones que no son SMTP en un conector de envío de un servidor de transporte de concentradores, el conector de envío usa SMTP como mecanismo de transporte para enviar mensajes a otros servidores de mensajería. Los conectores de agente de entrega y los conectores externos de servidores de transporte de concentradores se usan para enviar mensajes a servidores de mensajería local que no usan SMTP, como servidores de puerta de enlace de fax de terceros. Para obtener más información, consulte Descripción de los agentes de entrega y Descripción de los conectores externos.

En la tabla siguiente se enumeran las entradas válidas para el espacio de direcciones SMTP de un conector de envío.

Entradas válidas para el espacio de direcciones SMTP de un conector de envío

Entrada de espacio de direcciones El conector de envío enruta el correo a:

*

Todos los dominios que no tienen una entrada de espacio de direcciones explícita en otra entrada de conector de envío, o bien que no son un subdominio incluido de un espacio de direcciones en otro conector de envío.

Contoso.com

Todos los destinatarios con direcciones de correo electrónico en el dominio Contoso.com.

*.Contoso.com

Todos los destinatarios con direcciones de correo electrónico en el dominio Contoso.com o cualquier subdominio de Contoso.com. En la EMC, seleccione Incluir todos los subdominios para establecer esta configuración.

--

Este espacio de direcciones solo se usa en conectores de envío configurados en servidores de transporte perimetral para el envío de mensajes a los servidores de transporte de concentradores. Al usar este espacio de direcciones, todos los mensajes destinados a los dominios aceptados se enrutarán a través de este conector.

Durante la resolución del enrutamiento, se selecciona un conector de envío al que se enruta el correo electrónico para su entrega en el espacio de direcciones de destino. Se selecciona el conector de envío cuyo espacio de direcciones coincide en mayor medida con la dirección de correo electrónico del destinatario. Por ejemplo, un mensaje de correo electrónico dirigido a Recipient@marketing.contoso.com se enrutaría mediante el conector configurado para usar el espacio de direcciones *.Contoso.com. Cuando se configura un conector de envío para un espacio de direcciones en particular, el correo electrónico que se envía a ese espacio de direcciones se enruta siempre a través de ese conector. Además, los valores de configuración de ese conector se aplican siempre al correo electrónico enviado a ese espacio de direcciones.

Puede usar el ámbito de un conector de envío para controlar la visibilidad de dicho conector en la organización de Exchange. De manera predeterminada, todos los conectores de envío que cree pueden usarse en todos los servidores de transporte de concentradores de la organización de Exchange. Sin embargo, puede limitar el ámbito de cualquier conector de envío para que solo lo puedan usar otros servidores de transporte de concentradores que existan en el mismo sitio de Active Directory.

En Exchange 2010, la sintaxis completa para especificar un espacio de direcciones es la siguiente:

<AddressSpaceType>:<AddressSpace>;<AddressSpaceCost>

Para especificar el ámbito del conector de envío, puede usar los métodos siguientes:

  • En la EMC, use la propiedad Conector de envío con ámbito de la página Espacio de direcciones del Asistente para nuevo conector de envío SMTP, o de la ficha Espacio de direcciones de las propiedades de un conector de envío existente.

    Si se selecciona Conector de envío con ámbito, el conector solo podrá ser usado por servidores de transporte de concentradores del mismo sitio de Active Directory. Si no se selecciona Conector de envío en el ámbito, el conector podrá ser usado por todos los servidores Transporte de concentradores de la organización de Exchange.

  • En el Shell, use el parámetro IsScopedConnector del cmdlet New-SendConnector o del cmdlet Set-SendConnector.

    Cuando el valor de este parámetro es $true, el conector solamente puede ser usado por los servidores Transporte de concentradores en el mismo sitio de Active Directory. Cuando el valor de este parámetro es $false, todos los servidores de transporte de concentradores pueden usar el conector en la organización de Exchange.

Configuración de red

Puede establecer conectores de envío de modo que entreguen el correo electrónico usando la resolución de direcciones DNS o enrutando el correo electrónico a un host inteligente.

Uso de DNS para enrutar correo electrónico

Cuando se establece el conector de envío para que use registros de recursos DNS MX para enrutar correo automáticamente, el cliente DNS del servidor de origen debe poder resolver registros DNS públicos. De forma predeterminada, para la resolución de nombres se usa el servidor DNS configurado en el adaptador de red interno del servidor de origen. Puede configurar un servidor DNS específico para usarlo en las búsquedas DNS internas y externas mediante la EMC para modificar la configuración de DNS en las propiedades del servidor de Exchange. También puede usar el Shell para configurar los parámetros del cmdlet Set-TransportServer .

Si configura un servidor DNS específico en el servidor de transporte que va a usar para las búsquedas DNS externas, debe seleccionar Usar la configuración de búsqueda DNS externa del servidor de transporte en la página Configuración de red del Asistente para crear un nuevo conector de envío SMTP o, en el Shell, en el cmdlet Set-TransportServer, establecer el parámetro UseExternalDNSServersEnabled en $true. El parámetro DnsRoutingEnabled del conector de envío debe establecerse también en $true.

Para obtener más información al respecto, consulte los siguientes temas (en inglés):

Uso de un host inteligente para enrutar correo electrónico

Si selecciona el tipo de uso interno para el conector de envío, deberá especificar un host inteligente. Cuando enrute correo a través de un host inteligente, el host inteligente controla la entrega al siguiente salto del destino de entrega. Puede usar una dirección IP o el nombre de dominio completo (FQDN) del host inteligente para especificar la identidad de host inteligente. La identidad del host inteligente puede ser un nombre de dominio completo (FQDN) de un servidor de host inteligente, un registro de MX o un registro de recurso A (de dirección). Si se configura un FQDN como identidad del host inteligente, el servidor de origen para el conector de envío debe poder usar la resolución de nombre DNS para buscar el servidor de host inteligente.

El host inteligente para un conector de envío con el tipo de uso Internet puede ser un servidor hospedado por el proveedor de servicios Internet. El host inteligente para un conector de envío con los tipos de uso personalizado o interno puede ser otro servidor de correo electrónico de la organización o un servidor de correo electrónico de un dominio remoto.

Configuración de seguridad del host inteligente

Cuando enrute correo a través de un host inteligente, debe especificar la forma en la que el servidor de origen autenticará el equipo host inteligente. No es posible solicitar configuraciones de seguridad para un conector de envío a menos que se especifique un host inteligente de destino. Por ejemplo, un conector orientado a Internet no puede configurarse para que requiera TLS.

En la tabla siguiente se muestra el mecanismo de autenticación de host inteligente que se puede configurar para un conector de envío.

Mecanismos de autenticación del host inteligente

Configuración de seguridad Descripción

Ninguno

Se permite el acceso anónimo.

Autenticación básica

La autenticación básica requiere que se proporcione un nombre de usuario y una contraseña. La autenticación básica envía credenciales en texto no cifrado. Todos los hosts inteligentes con los que se esté autenticando este conector de envío deben aceptar el mismo nombre de usuario y la misma contraseña.

Autenticación básica sobre TLS

Seleccione TLS para cifrar la transmisión de las credenciales. El servidor de recepción debe tener un certificado de servidor. El FQDN exacto del servidor de host inteligente, el registro MX o el registro A que se define en el conector de envío como la identidad del host inteligente debe existir también en el certificado de servidor. El conector de envío intentará establecer la sesión TLS enviando el verbo STARTTLS al servidor de destino y solamente realizará la autenticación básica una vez establecida la sesión TLS. También se requiere un certificado de cliente para dar soporte a la autenticación TLS mutua.

Autenticación del servidor de Exchange

Autenticación del servidor de Exchange [API de servicios de seguridad genéricos (GSSAPI) y GSSAPI mutuo]

Con protección externa (por ejemplo, IPsec)

La conexión de red se protege usando un método externo al servidor de Exchange.

Servidor de origen

Debe seleccionar al menos un servidor de origen para un conector de envío. El servidor de origen es el servidor de transporte al que se enrutan los mensajes para entregarlos mediante el conector de envío seleccionado. Puede establecer más de un servidor de origen en un conector de envío configurado para la organización de Exchange. Cuando especifique más de un servidor de origen, debe proporcionar equilibrio de carga y redundancia en caso de error en un servidor. Los servidores de origen asociados con los conectores de envío configurados para la organización de Exchange pueden ser servidores Transporte de concentradores o servidores de transporte perimetral suscritos.

FQDN

La ficha General de las propiedades del conector de envío de la EMC incluye la opción Especificar el FQDN que proporcionará este conector en respuesta a HELO o EHLO. En el Shell, esta propiedad se establece mediante el parámetro Fqdn con el cmdlet Set-SendConnector. Una vez establecida una sesión SMTP, se inicia una conversación del protocolo SMTP entre un servidor de envío de correo electrónico y un servidor de recepción de correo electrónico. El servidor o el cliente de correo electrónico envía los comandos SMTP EHLO o HELO y su FQDN al servidor de recepción. Como respuesta, el servidor de recepción envía un código de operación satisfactoria y proporciona su propio FQDN. En Exchange 2010, se puede personalizar el FQDN que proporciona el servidor de envío si se configura esta propiedad en un conector de envío. El valor del parámetro Fqdn se mostrará a los servidores de mensajería conectados cuando se requiera un nombre de servidor de origen, como en los ejemplos siguientes:

  • En el campo de encabezado Recibido: más reciente del mensaje que se agrega al mensaje utilizando el siguiente servidor de mensajería de saltos, después de que el mensaje deje el servidor de transporte de concentradores o el servidor de transporte perimetral

  • Durante la autenticación TLS

Si el conector de envío se configura en un servidor de transporte de concentradores que también tiene el rol de servidor Buzón de correo instalado, no se usará ninguno de los valores que especifique para el parámetro Fqdn. En su lugar, siempre se usará el FQDN del servidor que se muestra mediante el cmdlet Get-ExchangeServer.

Para los servidores que tienen instalados tanto el rol del servidor Transporte de concentradores como el rol de servidor Buzón de correo, la única forma de quitar el nombre del servidor de los encabezados Recibido: del mensaje saliente es usar el cmdlet Remove-ADPermission para quitar el permiso Ms-Exch-Send-Headers-Routing de las entidades de seguridad que usa el conector. Esta acción quita todos los encabezados Recibido: del mensaje, cuando el mensaje deje el servidor de transporte de concentradores. Se recomienda no quitar los encabezados Recibido: de los mensajes internos, ya que los encabezados Recibido: se usan para el cálculo del número máximo de saltos. Para obtener más información acerca del cmdlet Remove-ADPermission y del cmdlet Get-ExchangeServer, consulte los siguientes temas:

Nuevas características de Exchange 2010 Service Pack 1

En Service Pack 1 (SP1) para Exchange Server 2010, se han agregado nuevas funciones a los conectores de envío. En esta sección se proporciona información general acerca de estas nuevas características.

Compatibilidad con la degradación de errores de conexión

Es posible que tenga conectores de envío dedicados que son responsables de trasmitir mensajes a través de canales de comunicación bien definidos de los cuales se espera que estén siempre disponibles, tales como un conector de envío dedicado para enviar mensajes a Microsoft Office 365 o a uno de sus socios a través de un canal privado. En dichas conexiones, no se espera que haya muchos de los errores típicos que suelen ocurrir en destinos comunes de Internet. En este escenario, es posible que desea tratar a los errores de comunicación como transitorio en comparación con la emisión de informes de no entrega (NDR). Con Exchange 2010 SP1, puede configurar un conector de envío para degradar la autenticación y nombrar los errores de resolución, que normalmente darían como resultado un NDR, a errores transitorios. En estos casos, Exchange intentará entregar de nuevo en lugar de emitir un NDR.

La degradación de errores de conexión a través de conexiones fiables permite solucionar problemas sin que afectar a los usuarios.

Importante

Esta característica debe habilitarse únicamente para conectores de envío que transmitan mensajes a través de redes fiables y bien definidas. No debe habilitar esta característica para los conectores de envío a Internet.

Para configurar esta característica, use el parámetro ErrorPolicies del cmdlet Set-SendConnector. Puede elegir si desea degradar los errores de autenticación, los errores de DNS o ambos para cualquier conector de envío. Para obtener más información acerca de la configuración de esta propiedad, consulte Set-SendConnector.

Compatibilidad con la validación de dominios de TLS

Exchange 2010 SP1 proporciona compatibilidad con la validación de dominios de conexiones TLS salientes. La validación del dominio es una función de seguridad adicional que reduce el riesgo de que usuarios maliciosos suplanten el servidor de recepción. Al habilitar la validación de dominio en un conector de envío, el servidor de transporte realiza las siguientes comprobaciones de seguridad en la conexión saliente:

  • El canal de comunicación se cifra mediante TLS.

  • Se valida el certificado del servidor de recepción y se realizan las comprobaciones de la lista de revocación.

  • El servidor de transporte comprueba que el FQDN en el certificado del servidor de recepción coincida con el dominio configurado en las propiedades del conecto de envío.

Al habilitar la validación de dominios en un conector de envío, también debe especificar el nombre de dominio con el que se debe realizar la validación. Ambas propiedades pueden configurarse mediante el parámetro TlsAuthLevel y TlsDomain del cmdlet Set-SendConnector. Para obtener más información acerca de la configuración de esta característica, consulte Set-SendConnector.

 © 2010 Microsoft Corporation. Reservados todos los derechos.