Protección contra la falsificación de direcciones

  • Artículo

 

Última modificación del tema: 2006-03-20

Una técnica común que utilizan los emisores de correo no deseado consiste en configurar la línea De de un mensaje de correo electrónico de manera que se oculte la identidad del remitente. Si bien SMTP no requiere la comprobación de la identidad de un remitente, Exchange 2003 ofrece las siguientes funciones para ayudar a minimizar la falsificación de direcciones.

Configuración de autenticación predeterminada

De manera predeterminada, Exchange 2003 no resuelve la dirección de correo electrónico de un remitente a menos que éste utilice un programa cliente como Outlook o Outlook Web Access para autenticarse en un servidor de Exchange. Cuando Exchange recibe un mensaje de un cliente autenticado, comprueba si el remitente figura en la lista global de direcciones (GAL) y, en caso afirmativo, resuelve el nombre para mostrar del usuario (en la línea De) del mensaje. Si el mensaje original se envió sin autenticación, Exchange 2003 marcará el mensaje como no autenticado en su punto de origen y transferirá dicha información de un servidor a otro. En este caso, la dirección del remitente no se resuelve en el nombre para mostrar de la GAL (por ejemplo, Tomás Barco); en su lugar, se muestra al destinatario en su formato SMTP (por ejemplo, tomas@contoso.com). Debe educar a sus usuarios para que sospechen de los mensajes que dicen provenir de otros usuarios de su organización pero que no se resuelven en el nombre para mostrar que figura en la GAL.

Sin embargo, Exchange 2000 resuelve los nombres de los mensajes enviados de forma anónima. Por eso, si va a actualizarse desde Exchange 2000, se recomienda que actualice los servidores de puerta de enlace a Exchange 2003 antes de actualizar los servidores de buzones y otros servidores de Exchange. De manera alternativa, puede impedir que los servidores Exchange 2000 resuelvan correo anónimo, puede realizar el procedimiento Cómo impedir que Exchange 2000 resuelva los nombres de los mensajes anónimos de correo electrónico.

Configuración de autenticación entre bosques

Si su organización contiene varios bosques, puede configurar confianzas entre los bosques de manera que los servidores cabeza de puente de SMTP requieran la autenticación.

Nota

Las aplicaciones de flujo de trabajo pueden enviar correo de forma anónima; por tanto, antes de configurar la autenticación en su organización, evalúe detenidamente las necesidades de las aplicaciones de flujo de trabajo.

Para obtener información sobre cómo configurar la autenticación entre bosques, consulte “Características del flujo de mensajes y transporte” en Novedades en Exchange Server 2003.

Configuración de acceso anónimo

Aunque Exchange 2003 ofrece la posibilidad de que los usuarios del cliente reconozcan correo falsificado, debe desactivar el acceso anónimo SMTP en todos los servidores internos de Exchange. La desactivación del acceso anónimo ayuda a asegurar que sólo los usuarios autenticados pueden enviar mensajes dentro de la organización. Además, al solicitar la autenticación se obliga a que los programas cliente como Outlook Express y Outlook con RPC a través de HTTP se autentiquen antes de enviar correo.

Búsquedas inversas del Sistema de nombres de dominio

Si recibe mensajes directamente desde otros dominios de Internet, puede configurar el servidor virtual SMTP para que realice una búsqueda inversa del Sistema de nombres de dominio (DNS) en los mensajes de correo electrónico entrantes. Esto comprueba que la dirección del Protocolo Internet (IP) y el nombre completo de dominio (FQDN) del servidor de correo del remitente corresponde al nombre de dominio que figura en el mensaje. Sin embargo, tenga en cuenta las siguientes limitaciones para las búsquedas DNS inversas:

  • La dirección IP del remitente quizás no esté en el registro de búsqueda DNS inversa o puede que el servidor emisor tenga varios nombres para la misma dirección IP y no todos ellos estén disponibles en el registro de búsqueda DNS inversa.
  • Las búsquedas DNS inversas suponen una carga adicional para el servidor de Exchange.
  • Las búsquedas DNS inversas requieren que el servidor de Exchange pueda ponerse en contacto con las zonas de búsqueda inversa para el dominio remitente.
  • La realización de búsquedas DNS inversas en cada mensaje puede provocar una disminución considerable del rendimiento debido a la mayor latencia.

Nota

Para obtener más información sobre cómo utilizar la búsqueda DNS inversa, consulte en Microsoft Knowledge Base el artículo 319356, "HOW TO: Prevent Unsolicited Commercial E-Mail in Exchange 2000 Server".