Cómo configurar los servidores de aplicaciones para transmitir a través de Exchange 2007

  • Artículo

 

Se aplica a: Exchange Server 2007 SP3

Última modificación del tema: 2009-08-14

En algunos entornos, debe permitir que un servidor de aplicaciones retransmita mensajes de correo a través del servidor de Microsoft Exchange. Es posible que tenga que hacer esto si tiene un servidor de SharePoint, una aplicación CRM como Dynamics o un sitio web que envía mensajes de correo a los clientes o empleados.

Configurar las aplicaciones para que transmitan satisfactoriamente a través de un servidor de Exchange evita que se produzca el mensaje de error "550 5.7.1 No se pudo retransmitir".

Puede usar uno de los métodos siguientes para permitir que un servidor de aplicaciones transmita a través de Exchange 2007.

  • Permitir que todos los equipos puedan autenticar a los usuarios de Exchange 2007 para transmitir mensajes.

  • Crear un conector de recepción personalizado para los equipos que no pueden autenticar a los usuarios de Exchange 2007.

Cómo permitir que los equipos puedan autenticar automáticamente a los usuarios de Exchange para transmitir mensajes

De manera predeterminada, Exchange 2007 está configurado para aceptar y transmitir correo sólo desde los hosts que pueden autenticar a los usuarios de Exchange. Tanto los conectores "Predeterminado" como "Cliente" están configurados de esta manera. La autenticación es el método más sencillo para permitir que los usuarios envíen mensajes y es el preferido en muchos casos.

El grupo "ExchangeUsers" permite a los usuarios autenticados enviar y transmitir mensajes. Estos permisos se conceden con el grupo ExchangeUsers del modo siguiente:

  • NT AUTHORITY\Authenticated Users {ms-Exch-SMTP-Submit}

  • NT AUTHORITY\Authenticated Users {ms-Exch-Accept-Headers-Routing}

  • NT AUTHORITY\Authenticated Users {ms-Exch-Bypass-Anti-Spam}

  • NT AUTHORITY\Authenticated Users {ms-Exch-SMTP-Accept-Any-Recipient}

La lista de control de acceso del sistema (SACL) que controla la transmisión es ms-Exch-SMTP-Accept-Any-Recipient.

Cómo crear un conector de recepción personalizado para los equipos que no pueden autenticar a los usuarios de Exchange.

Para los equipos que no pueden autenticar a los usuarios de Exchange 2007, puede crear un nuevo conector de recepción. El conector de recepción personalizado se parece a un escucha de protocolos y se usa para autenticar usuarios con Exchange. El ejemplo más común de esto es un servidor de aplicaciones que debe transmitir mensajes a través de Exchange. Debe crear un nuevo conector de recepción porque deseará incluir las direcciones IP remotas que va a permitir.

Para crear un conector de recepción personalizado

  1. Abra la Consola de administración de Exchange. Siga uno de los siguientes pasos:

    • En un equipo que tenga instalada la función del servidor Transporte perimetral, seleccione Transporte perimetral y, a continuación, haga clic en Conectores de recepción.

    • Para crear un conector de recepción en una función del servidor Transporte de concentradores, expanda Configuración del servidor y en el árbol de la consola, seleccione Transporte de concentradores. En el panel de resultados, seleccione el servidor en el que desea crear el conector y, a continuación, haga clic en la ficha Conectores de recepción.

  2. En el panel de acciones, haga clic en Nuevo conector de recepción. Se inicia el Asistente para nuevo conector de recepción SMTP.

  3. En la página Introducción, escriba un nombre con sentido para el conector en el campo Nombre. Este nombre se usa para identificar el conector.

  4. En el campo Seleccionar el uso intencionado de este conector, seleccione Personalizado para crear un conector personalizado para conectar con sistemas en los que no se ejecute Exchange.

  5. Haga clic en Siguiente.

  6. En la página Configuración de red remota, escriba la dirección IP y el intervalo de dirección IP de los servidores remotos desde los que el conector aceptará conexiones entrantes. Para agregar la dirección IP remota o intervalos de IP remota, use uno de los métodos siguientes:

    • Para escribir una dirección IP o subred sin una máscara de subred o para especificar una máscara de subred usando la notación de Enrutamiento de interdominios sin clases (CIDR), haga clic en Agregar o en la flecha que aparece al lado de Agregar y seleccione Dirección IP.

    • En el cuadro de diálogo Agregar direcciones IP de servidores remotos, introduzca la dirección IP usando uno de los siguientes métodos:

      Escriba una dirección IP sin máscara de subred. Por ejemplo, escriba 192.168.1.0. Si no especifica una máscara de subred usando notación CIDR, se asumirá la máscara de subred predeterminada de la clase.

      Escriba una dirección IP usando la notación CIDR. Por ejemplo, escriba 192.168.1.0/24.

    • Para escribir una dirección IP o una subred junto con una máscara de subred en notación decimal con puntos, haga clic en la flecha que aparece al lado de Agregar y seleccione IP y máscara. En el cuadro de diálogo Agregar servidores remotos: IP y máscara, introduzca la dirección IP y la máscara de subred usando la siguiente sintaxis:

      Dirección IP   Por ejemplo, escriba 192.168.1.0.

      Máscara de subred   Por ejemplo, escriba 255.255.255.0.

    • Para especificar un intervalo de dirección IP usando la primera dirección IP y la última dirección IP en el intervalo, haga clic en la flecha que aparece al lado de Agregar y seleccione Intervalo IP. En el cuadro de diálogo Agregar servidores remotos: Intervalo IP, escriba la dirección IP y la máscara de subred usando la siguiente sintaxis:

      Dirección de inicio   Por ejemplo, escriba 192.168.1.1.

      Dirección final   Por ejemplo, escriba 192.168.255.255.

      Como no puede especificar una máscara de subred, se supondrá que es la máscara de subred predeterminada de la clase.

  7. Cuando haya terminado, haga clic en Aceptar y después en Siguiente.

  8. En la página Conector nuevo, revise el resumen de configuración del conector. Si desea modificar la configuración, haga clic en Atrás. Para crear el conector de recepción mediante la configuración del resumen de configuración, haga clic en Nuevo.

  9. En la página Finalización, haga clic en Finalizar.

Crear un conector con protección externa para el conector de recepción personalizado

Crear un conector con protección externa para el nuevo conector de recepción es la opción preferida en la mayoría de las situaciones en las que una aplicación enviará mensajes a usuarios internos y transmitirá mensajes a Internet.

Para poder crear este conector, debe habilitar el grupo de permisos de servidores de Exchange.

Nota

Debe seguir estos pasos en el orden en que se presentan.

Para crear un conector con seguridad externa para el conector de recepción personalizado

  1. Haga clic en el nuevo conector, haga clic en Propiedades, en Grupos de permisos y después seleccione Servidores Exchange.

  2. Haga clic en Autenticación y, a continuación, active la casilla Protegido de forma externa.

Cuando configure este valor, se le concederán varios derechos incluido el derecho a "enviar en nombre de los usuarios" en su organización, el derecho a ResolveP2 (hacer como si los mensajes procedieran de dentro de la organización en lugar de ser anónimos). Esta configuración también le permite omitir el filtro de correo no deseado y los límites de tamaño. Los permisos Protegido externamente son como siguen:

  • MS Exchange\Externally Secured Servers {ms-Exch-SMTP-Accept-Authoritative-Domain}

  • MS Exchange\Externally Secured Servers {ms-Exch-Bypass-Anti-Spam}

  • MS Exchange\Externally Secured Servers {ms-Exch-Bypass-Message-Size-Limit}

  • MS Exchange\Externally Secured Servers {ms-Exch-SMTP-Accept-Exch50}

  • MS Exchange\Externally Secured Servers {ms-Exch-Accept-Headers-Routing}

  • MS Exchange\Externally Secured Servers {ms-Exch-SMTP-Submit}

  • MS Exchange\Externally Secured Servers {ms-Exch-SMTP-Accept-Any-Recipient}

  • MS Exchange\Externally Secured Servers {ms-Exch-SMTP-Accept-Authentication-Flag}

  • MS Exchange\Externally Secured Servers {ms-Exch-SMTP-Accept-Any-Sender}

Cómo conceder permisos anónimos al conector de recepción personalizado

Esta opción concede la cantidad mínima de permisos requeridos para la aplicación que envía. Con el conector de recepción personalizado creado anteriormente, puede conceder el permiso ms-Exch-SMTP-Accept-Any-Recipient a la cuenta anónima.

Para conceder permisos anónimos al conector de recepción personalizado

  1. Haga clic en el nuevo conector, haga clic en Propiedades, en Grupos de permisos y después seleccione Usuarios anónimos.

    Esto concede los permisos más comunes a la cuenta anónima. Pero no concede el permiso de transmisión. Este paso debe hacerse a través del shell de Exchange.

  2. Haga clic en Inicio, Todos los programas, Microsoft Exchange Server 2007 y, a continuación, en Shell de administración de Exchange.

  3. En el símbolo del sistema, escriba lo siguiente y, a continuación, pulse INTRO:

    Get-ReceiveConnector "CRM Application" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "ms-Exch-SMTP-Accept-Any-Recipient"