Descripción del firewall de encabezado

  • Artículo

 

Se aplica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Última modificación del tema: 2007-09-13

En Microsoft Exchange Server 2007, el firewall de encabezado es un mecanismo que quita campos de encabezado específicos de los mensajes entrantes y salientes. Los equipos en los que se ejecuta Exchange 2007 y que tienen instalada la función del servidor Transporte de concentradores o Transporte perimetral insertan campos de encabezado X personalizados en el encabezado del mensaje. Un encabezado X es un campo de encabezado definido por el usuario y no oficial que existe en el encabezado del mensaje. Los encabezados X no se mencionan específicamente en RFC 2822, pero el uso de un campo de encabezado no definido que empieza con "X-" se ha convertido en un modo aceptado de agregar campos de encabezados no oficiales a un mensaje. Las aplicaciones de mensajería, como las aplicaciones contra correo electrónico no deseado, antivirus y de servidor de mensajería pueden agregar sus propios encabezados X a un mensaje. Los campos de encabezado X normalmente se conservan, pero los servidores de mensajería y los clientes que no los usan los omiten.

Los campos de encabezado X contienen detalles acerca de las acciones que el servidor de transporte efectúa en el mensaje, como el nivel de confianza contra correo no deseado (SCL), los resultados de filtrado de contenido y el estado del procesamiento de las reglas. Desvelar esta información a fuentes no autorizadas podría suponer un riesgo para la seguridad.

El firewall de encabezado impide la suplantación de estos encabezados X, ya que los quita de los mensajes que entran en la organización de Exchange y provienen de orígenes que no son de confianza. El firewall de encabezado evita que se desvelen dichos encabezados X, ya que los quita de los mensajes salientes que irán a destinos que no son de confianza fuera de la organización de Exchange. Asimismo, el firewall de encabezado evita la suplantación de los encabezados de enrutamiento estándar usados para realizar el seguimiento del historial de enrutamiento de un mensaje.

Encabezados X de organización y encabezados X de bosque personalizados que se usan en Exchange 2007

Los encabezados X de organización comienzan por "X-MS-Exchange-Organization-". Los encabezados X de bosque comienzan por "X-MS-Exchange-Forest-".

En la tabla 1 se describen algunos encabezados X de organización y de bosque que se usan en los mensajes de una organización de Exchange 2007.

Tabla 1   Algunos encabezados X de organización y de bosque que se usan en los mensajes de una organización de Exchange 2007

Encabezado X Descripción

X-MS-Exchange-Forest-RulesExecuted

En este encabezado X se enumeran las reglas de transporte ejecutadas en el mensaje.

X-MS-Exchange-Organization-Antispam-Report

Este encabezado X es un informe de resumen de los resultados del filtro contra correo electrónico no deseado que el agente de filtro de contenido ha aplicado al mensaje.

X-MS-Exchange-Organization-AuthAs

Este encabezado X siempre está presente cuando se ha evaluado la seguridad de un mensaje. Este encabezado X especifica el origen de la autenticación. Los valores posibles son Anonymous, Internal, External o Partner.

X-MS-Exchange-Organization-AuthDomain

Este encabezado X se rellena durante la autenticación segura de dominio. El valor es el nombre de dominio completo (FQDN) del dominio autenticado remotamente.

X-MS-Exchange-Organization-AuthMechanism

Este encabezado X especifica el mecanismo de autenticación para enviar el mensaje. El valor es un número hexadecimal de 2 dígitos.

X-MS-Exchange-Organization-AuthSource

Este encabezado X especifica el FQDN del equipo del servidor que ha evaluado la autenticación del mensaje en nombre de la organización.

X-MS-Exchange-Organization-Journal-Report

Este encabezado X identifica los informes de diario en el transporte. Tan pronto como el mensaje deja el servidor de transporte, el encabezado se convierte en X-MS-Journal-Report.

X-MS-Exchange-Organization-OriginalArrivalTime

Este encabezado X identifica la hora en la que el mensaje entró por primera vez en la organización de Exchange.

X-MS-Exchange-Organization-Original-Sender

Este encabezado X identifica al remitente original de un mensaje la primera vez que entró en la organización de Exchange.

X-MS-Exchange-Organization-OriginalSize

Este encabezado X identifica el tamaño original de un mensaje la primera vez que entró en la organización de Exchange.

X-MS-Exchange-Organization-Original-Scl

Este encabezado X identifica el SCL original de un mensaje la primera vez que entró en la organización de Exchange.

X-MS-Exchange-Organization-PCL

Este encabezado X identifica el nivel de confianza de protección antiphishing (PCL). Los posibles valores de PCL oscilan entre 1 y 8. Un valor superior indica que se trata de un mensaje sospechoso. Para obtener más información, consulte Marcas de correo electrónico no deseado.

X-MS-Exchange-Organization-Quarantine

Este encabezado X indica que el mensaje se ha puesto en cuarentena en el buzón de cuarentena de correo electrónico no deseado y que se ha enviado una notificación del estado de entrega (DSN). O bien, indica que el administrador ha puesto en cuarentena y ha liberado el mensaje. Este campo de encabezado X evita que el mensaje liberado se vuelva a enviar al buzón de cuarentena de correo electrónico no deseado. Para obtener más información, consulte Cómo recuperar mensajes en cuarentena del buzón de cuarentena de correo electrónico no deseado.

X-MS-Exchange-Organization-SCL

Este encabezado X identifica el SCL del mensaje. Los posibles valores de SCL oscilan entre 0 y 9. Un valor superior indica que se trata de un mensaje sospechoso. El valor especial -1 exime al mensaje del procesamiento que efectúa el agente de filtro de contenido. Para obtener más información, consulte Configurar el filtrado del contenido.

X-MS-Exchange-Organization-SenderIdResult

Este encabezado X contiene los resultados del agente de Id. de remitente. El agente de Id. de remitente usa el marco de directivas de remitente (SPF) para comparar la dirección IP de origen del mensaje con el dominio que se usa en la dirección de correo electrónico del remitente. Los resultados del Id. del remitente se usan para calcular el SCL de un mensaje. Para obtener más información, consulte Id. del remitente.

Firewall de encabezado para los encabezados X de organización y de bosque

Exchange 2007 aplica el firewall de encabezado a los encabezados X de organización y de bosque que existen en los mensajes de las formas siguientes:

  • Los permisos que se pueden utilizar para conservar o quitar encabezados X específicos de los mensajes se asignan a conectores de envío o de recepción.

  • El firewall de encabezado se implementa automáticamente en los encabezados X de los mensajes durante otros tipos de envío de mensajes.

Cómo se aplica el firewall de encabezado a los encabezados X de organización y de bosque de los mensajes

El firewall de encabezado para los encabezados X de organización y de bosque de los mensajes entrantes está formado por dos permisos específicos que se asignan a un conector de recepción configurado en un servidor de transporte perimetral o un servidor de transporte perimetral:

  • Si los permisos se asignan al conector de recepción, el firewall de encabezado no se aplicará al mensaje. Los encabezados X de organización o de bosque del mensaje se conservarán.

  • Si los permisos no se aplican al conector de recepción, el firewall de encabezado se aplicará al mensaje y los encabezados X de organización o de bosque se quitarán del mensaje.

En la tabla 2 se describen los permisos de firewall de encabezado de los encabezados X de organización y de bosque disponibles en un conector de recepción.

Tabla 2   Permisos de firewall de encabezado de los encabezados X de organización y de bosque disponibles en un conector de recepción para mensajes entrantes

Permiso De forma predeterminada, las entidades de seguridad que tienen asignado el permiso Grupo de permisos que tiene como miembros las entidades de seguridad De forma predeterminada, el tipo de uso que asigna los grupos de permisos al conector de recepción Descripción

Ms-Exch-Accept-Headers-Organization

  • Servidores de transporte de concentradores

  • Servidores de transporte perimetral

  • Servidores de Exchange (nota: únicamente en servidores de transporte perimetral)

ExchangeServers

Internal

Este permiso se aplica a los encabezados X de organización. Los encabezados X de organización comienzan por "X-MS-Exchange-Organization-". Si este permiso no se concede, el servidor de recepción quitará todos los encabezados de organización del mensaje.

Ms-Exch-Accept-Headers-Forest

  • Servidores de transporte de concentradores

  • Servidores de transporte perimetral

  • Servidores de Exchange (nota: únicamente en servidores de transporte perimetral)

ExchangeServers

Internal

Este permiso se aplica a los encabezados X de bosque. Los encabezados X de bosque comienzan por "X-MS-Exchange-Forest-". Si este permiso no se concede, el servidor de recepción quitará todos los encabezados de bosque del mensaje.

Si desea aplicar un firewall de encabezado a los encabezados X de organización y de bosque en una situación en la que el conector de recepción esté personalizado, use uno de los métodos siguientes:

  • Cree un conector de recepción nuevo y seleccione un tipo de uso que no sea Internal. El tipo de uso del conector de recepción sólo se puede configurar cuando se crea el conector. Para obtener más información, consulte Cómo crear un conector de recepción nuevo.

  • Modifique un conector de recepción que ya exista y quite el grupo de permisos ExchangeServers. Para obtener más información, consulte Cómo modificar la configuración de un conector de recepción.

  • Use el cmdlet Remove-ADPermission para quitar los permisos Ms-Exch-Accept-Headers-Organization y Ms-Exch-Accept-Headers-Forest de una entidad de seguridad que esté configurada en el conector de recepción. Este método no funciona si se ha asignado el permiso a la entidad de seguridad mediante un grupo de permisos. No se pueden modificar los permisos asignados o la pertenencia a un grupo de un grupo de permisos. Para obtener más información, consulte Remove-ADPermission.

  • Use el cmdlet Add-ADPermission para denegar los permisos Ms-Exch-Accept-Headers-Organization y Ms-Exch-Accept-Headers-Forest a una entidad de seguridad que esté configurada en el conector de recepción. Para obtener más información, consulte Add-ADPermission.

Cómo se aplica el firewall de encabezado a los encabezados X de organización y de bosque de los mensajes salientes

El firewall de encabezado para los encabezados X de organización y de bosque de los mensajes salientes está formado por dos permisos específicos que se asignan a un conector de envío configurado en un servidor de transporte perimetral o un servidor de transporte perimetral:

  • Si los permisos se asignan al conector de envío, el firewall de encabezado no se aplicará al mensaje. Los encabezados X de organización o de bosque del mensaje se conservarán.

  • Si los permisos no se aplican al conector de envío, el firewall de encabezado se aplicará al mensaje y los encabezados X de organización y de bosque se quitarán del mensaje.

En la tabla 3 se describen los permisos de firewall de encabezado de los encabezados X de organización y de bosque disponibles en un conector de envío.

Tabla 3   Permisos de firewall de encabezado de los encabezados X de organización y de bosque disponibles en un conector de envío para mensajes salientes

Permiso De forma predeterminada, las entidades de seguridad que tienen asignado el permiso De forma predeterminada, el tipo de uso que asigna las entidades de seguridad al conector de envío Descripción

Ms-Exch-Send-Headers-Organization

  • Servidores de transporte de concentradores

  • Servidores de transporte perimetral

  • Servidores de Exchange (nota: únicamente en servidores de transporte perimetral)

  • Servidores protegidos externamente

  • Grupo de seguridad universal para compatibilidad con versiones anteriores de Exchange

  • Servidores cabeza de puente de Exchange Server 2003 y Exchange 2000 Server

Internal

Este permiso se aplica a los encabezados X de organización. Los encabezados X de organización comienzan por "X-MS-Exchange-Organization-". Si este permiso no se concede, el servidor de envío quitará todos los encabezados de organización del mensaje.

Ms-Exch-Send-Headers-Forest

  • Servidores de transporte de concentradores

  • Servidores de transporte perimetral

  • Servidores de Exchange (nota: únicamente en servidores de transporte perimetral)

  • Servidores protegidos externamente

  • Grupo de seguridad universal para compatibilidad con versiones anteriores de Exchange

  • Servidores cabeza de puente de Exchange 2003 y Exchange 2000

Internal

Este permiso se aplica a los encabezados X de bosque. Los encabezados X de bosque comienzan por "X-MS-Exchange-Forest-". Si este permiso no se concede, el servidor de envío quitará todos los encabezados de bosque del mensaje.

Si desea aplicar un firewall de encabezado a los encabezados X de organización y de bosque en una situación en la que conector de envío esté personalizado, use uno de los métodos siguientes:

  • Cree un conector de envío nuevo y seleccione un tipo de uso que no sea Internal o Partner. El tipo de uso del conector de envío sólo se puede configurar cuando se crea el conector. Para obtener más información, consulte Cómo crear un nuevo conector de envío.

  • Quite una entidad de seguridad que asigne el permiso Ms-Exch-Send-Headers-Organization y el permiso Ms-Exch-Send-Headers-Forest del conector. Para obtener más información, consulte Cómo modificar la configuración de un conector de envío.

  • Use el cmdlet Remove-ADPermission para quitar los permisos Ms-Exch-Send-Headers-Organization y Ms-Exch-Send-Headers-Forest de una de las entidades de seguridad configuradas en el conector de envío. Para obtener más información, consulte Remove-ADPermission.

  • Use el cmdlet Add-ADPermission para denegar los permisos Ms-Exch-Send-Headers-Organization y Ms-Exch-Send-Headers-Forest a una de las entidades de seguridad configuradas en el conector de envío. Para obtener más información, consulte Add-ADPermission.

Cómo se aplica el firewall de encabezado a los encabezados X de organización y de bosque de otros orígenes de mensajes

Los mensajes pueden entrar en la canalización de transporte de Exchange 2007 de un servidor de transporte perimetral o un servidor de transporte perimetral sin usar los conectores de envío ni los de recepción. El firewall de encabezado para los encabezados X de organización y de bosque se aplica a los mensajes que provienen de estos otros orígenes de mensajes tal como se describe en la lista siguiente:

  • Directorio de recogida   Los administradores o las aplicaciones usan el directorio de recogida para enviar archivos de mensaje. El firewall de encabezado para los encabezados X de organización y de bosque se aplica siempre a los archivos de mensaje del directorio de recogida. Para obtener más información acerca del directorio de recogida, consulte Administrar el directorio de recogida.

  • Directorio de reproducción   El directorio de reproducción se usa para volver a enviar los mensajes que no se han exportado desde las colas de mensajes de Exchange 2007. El campo de encabezado X-CreatedBy: controla cómo se aplica el firewall de encabezado para los encabezados X de organización y de bosque en el archivo de mensaje:

    • Si el valor de este campo de encabezado es MSExchange12, no se aplicará el firewall de encabezado al mensaje.

    • Si el valor de X-CreatedBy: no es MSExchange12, se aplicará el firewall de encabezado.

    • Si el campo de encabezado X-CreatedBy: no existe en el archivo de mensaje, se aplicará el firewall de encabezado.

    Para obtener más información acerca del directorio de reproducción, consulte Administrar el directorio de reproducción.

  • Directorio de entrega   Los conectores externos de los servidores de transporte perimetral usan el directorio de entrega para enviar mensajes a servidores de mensajería que no usan el protocolo simple de transferencia de correo (SMTP) para transferir mensajes. El firewall de encabezado para los encabezados X de organización y de bosque se aplica siempre a los archivos de mensaje antes de ponerlos en el directorio de entrega. Para obtener más información acerca de los conectores externos, consulte Conectores externos.

  • Controlador de almacenamiento   El controlador de almacenamiento existe en los servidores de transporte perimetral para transportar mensajes a los buzones de los servidores de buzones o desde dichos buzones. Para los mensajes salientes que se crean y envían desde los buzones, siempre se aplica el firewall de encabezado a los encabezados X de organización y de bosque. Para los mensajes entrantes, se aplica de manera selectiva el firewall de encabezado para los encabezados X de organización y de bosque. El firewall de encabezado no bloquea los encabezados X que se especifican en la lista siguiente en el caso de los mensajes entrantes en destinatarios de buzón:

    • X-MS-Exchange-Organization-SCL

    • X-MS-Exchange-Organization-AuthDomain

    • X-MS-Exchange-Organization-AuthMechanism

    • X-MS-Exchange-Organization-AuthSource

    • X-MS-Exchange-Organization-AuthAs

    • X-MS-Exchange-Organization-OriginalArrivalTime

    • X-MS-Exchange-Organization-OriginalSize

    Para obtener más información acerca del controlador de almacenamiento, consulte Arquitectura de transporte.

  • Mensajes DSN   El firewall de encabezado para encabezados X de organización y de bosque se aplica siempre al mensaje original o al encabezado del mensaje original que se adjunta al mensaje DSN. Para obtener más información acerca de los mensajes DSN, consulte Administrar notificaciones del estado de entrega.

  • Envío de agente   El firewall de encabezado para encabezados X de organización y de bosque no se aplica a los mensajes que envían los agentes.

Firewall de encabezado para encabezados de enrutamiento

Los encabezados de enrutamiento son campos con encabezado SMTP estándar que están definidos en RFC 2821 y RFC 2822. Los encabezados de enrutamiento marcan un mensaje con información acerca de los diversos servidores de mensajería utilizados para entregar el mensaje al destinatario. En la lista siguiente se describen los encabezados de enrutamiento disponibles:

  • Recibido:   Cada servidor de mensajería que ha aceptado y reenviado el mensaje al destinatario agrega otra instancia de este campo de encabezado al encabezado del mensaje. Normalmente, el encabezado Received: incluye el nombre del servidor de mensajería y una marca de tiempo con la fecha.

  • Reenviado-*:   Los campos de encabezado de reenvío son de tipo informativo y se pueden utilizar para determinar si un usuario ha reenviado un mensaje. Están disponibles los siguientes campos de encabezado de reenvío: Resent-Date:, Resent-From:, Resent-Sender:, Resent-To:, Resent-Cc:, Resent-Bcc: y Resent-Message-ID:.

    Los campos de reenvío se usan para que el mensaje se muestre al destinatario como si el remitente original lo hubiese enviado directamente. El destinatario puede ver el encabezado del mensaje para saber quién ha reenviado el mensaje.

Los encabezados de enrutamiento que se insertan en los mensajes se pueden utilizar para mostrar equivocadamente la ruta de enrutamiento que ha seguido el mensaje para llegar al destinatario. Exchange 2007 usa dos formas diferentes de aplicar el firewall de encabezado a los encabezados de enrutamiento que existen en los mensajes:

  • Los permisos se asignan a conectores de envío o de recepción que se pueden usar para conservar o quitar encabezados de enrutamiento de los mensajes.

  • El firewall de encabezado se implementa automáticamente en los encabezados de enrutamiento de los mensajes durante otros tipos de envío de mensajes.

Cómo se aplica el firewall de encabezado a los encabezados de enrutamiento de los mensajes entrantes

Los conectores de recepción tienen el permiso Ms-Exch-Accept-Headers-Routing que se usa para aceptar o rechazar cualquier encabezado de enrutamiento que exista en un mensaje entrante:

  • Si se concede este permiso, se conservarán todos los encabezados de enrutamiento del mensaje entrante.

  • Si no se concede este permiso, se quitarán todos los encabezados de enrutamiento del mensaje entrante.

En la tabla 4 se describe la aplicación predeterminada del permiso Ms-Exch-Accept-Headers-Routing en un conector de recepción.

Tabla 4   Aplicación predeterminada del permiso Ms-Exch-Accept-Headers-Routing en un conector de recepción

De forma predeterminada, las entidades de seguridad que tienen asignado el permiso Grupo de permisos que tiene como miembros las entidades de seguridad De forma predeterminada, el tipo de uso que asigna los grupos de permisos al conector de recepción

Cuenta de usuario anónima

Anonymous

Internet

Cuentas de usuario autenticadas

ExchangeUsers

Client (no disponible en servidores de transporte perimetral)

  • Servidores de transporte de concentradores

  • Servidores de transporte perimetral

  • Servidores de Exchange (únicamente en servidores de transporte perimetral)

  • Servidores protegidos externamente

ExchangeServers

Internal

Grupo de seguridad para compatibilidad con versiones anteriores de Exchange

ExchangeLegacyServers

Internal

Cuenta de servidor asociado

Partner

  • Internet

  • Partner

El permiso Ms-Exch-Accept-Headers-Routing se asigna a todos los tipos de uso salvo a Custom. Si desea aplicar el firewall de encabezado a todos los encabezados de enrutamiento en un escenario en el que haya un conector de recepción personalizado, siga los pasos que se indican a continuación:

  1. Ejecute una de las acciones siguientes:

    • Cree un conector de recepción nuevo y seleccione el tipo de uso Custom. No asigne ningún grupo de permisos al conector de recepción. No se pueden modificar los permisos asignados o la pertenencia a un grupo de un grupo de permisos.

    • Modifique un conector de recepción que ya exista y establezca el parámetro PermissionGroups en el valor None.

  2. Use el cmdlet Add-ADPermission para agregar las entidades de seguridad adecuadas necesarias en el conector de recepción. Asegúrese de que no haya ninguna entidad de seguridad que tenga asignado el permiso Ms-Exch-Accept-Headers-Routing. Si es preciso, use el cmdlet Add-ADPermission para denegar el permiso Ms-Exch-Accept-Headers-Routing a la entidad de seguridad que desee configurar para usar el conector de recepción.

Para obtener más información, consulte los temas siguientes:

Cómo se aplica el firewall de encabezado a los encabezados de enrutamiento de los mensajes salientes

Los conectores de envío tienen el permiso Ms-Exch-Send-Headers-Routing que se usa para permitir o quitar cualquier encabezado de enrutamiento que exista en un mensaje saliente:

  • Si se concede este permiso, se conservarán todos los encabezados de enrutamiento del mensaje saliente.

  • Si no se concede este permiso, se quitarán todos los encabezados de enrutamiento del mensaje saliente.

En la tabla 5 se describe la aplicación predeterminada del permiso Ms-Exch-Send-Headers-Routing en un conector de envío.

Tabla 5   Aplicación predeterminada del permiso Ms-Exch-Send-Headers-Routing en un conector de envío

De forma predeterminada, las entidades de seguridad que tienen asignado el permiso De forma predeterminada, el tipo de uso que asigna las entidades de seguridad al conector de envío

  • Servidores de transporte de concentradores

  • Servidores de transporte perimetral

  • Servidores de Exchange (nota: únicamente en servidores de transporte perimetral)

  • Servidores protegidos externamente

  • Grupo de seguridad universal para compatibilidad con versiones anteriores de Exchange

  • Servidores cabeza de puente de Exchange 2003 y Exchange 2000

Internal

Cuenta de usuario anónima

Internet

Servidores asociados

Partner

El permiso Ms-Exch-Send-Headers-Routing se asigna a todos los tipos de uso salvo a Custom. Si desea aplicar el firewall de encabezado a todos los encabezados de enrutamiento en un escenario en el que haya un conector de envío personalizado, utilice uno de los métodos siguientes:

  • Cree un conector de envío nuevo y seleccione el tipo de uso Custom. El tipo de uso del conector de envío sólo se puede configurar cuando se crea el conector. Para obtener más información, consulte Cómo crear un nuevo conector de envío.

  • Quite una entidad de seguridad que asigne el permiso Ms-Exch-Send-Headers-Routing desde el conector. Para obtener más información, consulte Cómo modificar la configuración de un conector de envío.

  • Use el cmdlet Remove-ADPermission para quitar el permiso Ms-Exch-Send-Headers-Routing de una de las entidades de seguridad configuradas en el conector de envío. Para obtener más información, consulte Remove-ADPermission.

  • Use el cmdlet Add-ADPermission para denegar el permiso Ms-Exch-Send-Headers-Routing a una de las entidades de seguridad configuradas en el conector de envío. Para obtener más información, consulte Add-ADPermission.

Cómo se aplica el firewall de encabezado a los encabezados de enrutamiento de otros orígenes de mensajes

Los mensajes pueden entrar en la canalización de transporte de Exchange 2007 de un servidor de transporte perimetral o un servidor de transporte perimetral sin usar los conectores de envío ni los de recepción. El firewall de encabezado para los encabezados de enrutamiento se aplica a los otros orígenes de mensajes descritos en la lista siguiente:

  • Directorio de recogida   Los administradores o las aplicaciones usan el directorio de recogida para enviar archivos de mensaje. El firewall de encabezado para encabezados de enrutamiento se aplica siempre a los archivos de mensaje del directorio de recogida. Para obtener más información acerca del directorio de recogida, consulte Administrar el directorio de recogida.

  • Controlador de almacenamiento   El controlador de almacenamiento existe en los servidores de transporte perimetral para transportar mensajes a los buzones de los servidores de buzones o desde dichos buzones. El firewall de encabezado para encabezados de enrutamiento se aplica siempre a todos los mensajes que se envían desde los buzones de los servidores de buzones. El firewall de encabezado para los encabezados de enrutamiento no se aplica a los mensajes entrantes que se van a entregar a los destinatarios. Para obtener más información acerca del controlador de almacenamiento, consulte Arquitectura de transporte.

  • Mensajes DSN   El firewall de encabezado para encabezados de enrutamiento se aplica siempre al mensaje original o al encabezado del mensaje original que se adjunta al mensaje DSN. Para obtener más información acerca de los mensajes DSN, consulte Administrar notificaciones del estado de entrega.

  • Directorio de reproducción, directorio de almacenamiento y envío de agente   El firewall de encabezado no se aplica a los mensajes enviados por el directorio de reproducción, el directorio de almacenamiento o los agentes.

El firewall de encabezado y las versiones anteriores de Exchange Server

Exchange 2003 y las versiones anteriores de Exchange Server no usan los encabezados X de organización ni de bosque. Exchange 2007 trata las versiones anteriores de Exchange Server como orígenes de mensajes que no son de confianza. El firewall de encabezado se aplica a todos los encabezados X de organización y de bosque de los mensajes que provienen de servidores que ejecutan versiones anteriores de Exchange Server. El firewall de encabezado para los encabezados X de organización y de bosque se aplica también a los mensajes que se entregan a servidores que ejecutan versiones anteriores de Exchange Server que existen en la organización de Exchange.

Las versiones anteriores de Exchange Server usan el verbo de propietario X-EXCH50 para transmitir información acerca de los mensajes y destinatarios que no se pueden incluir en el mensaje de correo electrónico. La información se transmite como el objeto binario grande EXCH50. El objeto binario grande EXCH50 es una colección de datos binarios que se almacenan como un único objeto. Exch50 contiene datos como el SCL, información acerca de la reescritura de direcciones y otras propiedades MAPI que no tienen representación MIME. X-EXCH50 es un verbo de propietario del Protocolo simple de transferencia de correo extendido (ESMTP), por lo que los datos de Exch50 no se pueden propagar mediante un servidor que no tenga Exchange Server instalado. Para obtener más información, consulte Planeación de la coexistencia.

Los conectores de grupo de enrutamiento entre servidores que tengan Exchange Server 2007 o Exchange Server 2003 instalado se configuran automáticamente de manera que admitan el envío y recepción de datos de Exch50. Los conectores de envío y de recepción tienen permisos que habilitan el comando Exch50.

En la tabla 6 se describen los permisos que permiten el comando Exch50 en un conector de recepción para mensajes entrantes. Si no se concede uno de estos permisos y se envía un mensaje que contiene el comando Exch50, el servidor acepta el mensaje pero no incluye el comando Exch50.

Tabla 6   Permisos que permiten el comando Exch50 en un conector de recepción para mensajes entrantes

Permiso De forma predeterminada, las entidades de seguridad que tienen asignado el permiso Grupo de permisos que tiene como miembros las entidades de seguridad De forma predeterminada, el tipo de uso que asigna los grupos de permisos al conector de recepción

Ms-Exch-Accept-Exch50

  • Servidores de transporte de concentradores

  • Servidores de transporte perimetral

  • Servidores de Exchange (nota: únicamente en servidores de transporte perimetral)

  • Servidores protegidos externamente

ExchangeServers

Internal

Ms-Exch-Accept-Exch50

Grupo de seguridad para compatibilidad con versiones anteriores de Exchange

ExchangeLegacyServers

Internal

Si desea bloquear el comando Exch50 en un escenario en el que haya un conector de recepción personalizado, use uno de los métodos siguientes:

  • Cree un conector de recepción nuevo y seleccione un tipo de uso que no sea Internal. El tipo de uso del conector de recepción sólo se puede configurar cuando se crea el conector. Para obtener más información, consulte Cómo crear un conector de recepción nuevo.

  • Modifique un conector de recepción que ya exista y quite el grupo de permisos ExchangeServers. Para obtener más información, consulte Cómo modificar la configuración de un conector de recepción.

  • Use el cmdlet Remove-ADPermission para quitar el permiso Ms-Exch-Accept-Exch50 de una entidad de seguridad configurada en el conector de recepción. Este método no funciona si se ha asignado el permiso a la entidad de seguridad mediante un grupo de permisos. No se pueden modificar los permisos asignados o la pertenencia a un grupo de un grupo de permisos. Para obtener más información, consulte Remove-ADPermission.

  • Use el cmdlet Add-ADPermission para denegar el permiso Ms-Exch-Accept-Exch50 a una entidad de seguridad configurada en el conector de recepción. Para obtener más información, consulte Add-ADPermission.

En la tabla 7 se describe el permiso que permite el comando Exch50 en un conector de envío para mensajes salientes. Si no se concede este permiso y se envía un mensaje que contiene el comando Exch50, el servidor envía el mensaje pero no incluye el comando Exch50.

Tabla 7   Permiso que permite el comando Exch50 en un conector de envío para mensajes salientes

Permiso De forma predeterminada, las entidades de seguridad que tienen asignado el permiso De forma predeterminada, el tipo de uso que asigna las entidades de seguridad al conector de envío

Ms-Exch-Send-Exch50

  • Servidores de transporte de concentradores

  • Servidores de transporte perimetral

  • Servidores de Exchange (nota: únicamente en servidores de transporte perimetral)

  • Servidores protegidos externamente

  • Grupo de seguridad universal para compatibilidad con versiones anteriores de Exchange

  • Servidores cabeza de puente de Exchange 2003 y Exchange 2000

Internal

Si desea bloquear el comando Exch50 en un escenario en el que haya un conector de envío personalizado, puede usar uno de los métodos siguientes:

  • Cree un conector de envío nuevo y seleccione un tipo de uso que no sea Internal. El tipo de uso del conector de envío sólo se puede configurar cuando se crea el conector. Para obtener más información, consulte Cómo crear un nuevo conector de envío.

  • Quite una entidad de seguridad que asigne el permiso Ms-Exch-Send-Exch50 desde el conector.

  • Use el cmdlet Remove-ADPermission para quitar el permiso Ms-Exch-Send-Exch50 de una de las entidades de seguridad configuradas en el conector de envío. Para obtener más información, consulte Remove-ADPermission.

  • Use el cmdlet Add-ADPermission para denegar el permiso Ms-Exch-Send-Exch50 a una de las entidades de seguridad configuradas en el conector de envío. Para obtener más información, consulte Add-ADPermission.