Recepción de conectores en Exchange Server

Los servidores exchange usan conectores de recepción para controlar las conexiones SMTP entrantes desde:

  • Servidores de mensajería que son externos a la organización de Exchange.

  • Servicios en la canalización de transporte en el servidor de Exchange local o en servidores remotos de Exchange.

  • Clientes de correo electrónico que deban usar SMTP autenticado para enviar mensajes.

Puede crear conectores de recepción en el servicio de transporte en servidores de buzones de correo, en el servicio de Transporte de front-end en servidores de buzones de correo y en servidores de transporte perimetral. De forma predeterminada, los conectores de recepción necesarios para el flujo de correo entrante se crean automáticamente al instalar un servidor de buzones de Exchange y al suscribir un servidor de transporte perimetral a su organización de Exchange.

Un conector de recepción está asociado con el servidor de buzones de correo o el servidor de transporte perimetral donde se crea, y determina cómo escucha ese servidor específico las conexiones SMTP. En los servidores de buzones de correo, el conector de recepción se almacena en Active Directory como un objeto secundario del servidor. En los servidores de transporte perimetral, el conector de recepción se almacena en Servicios de directorio ligero de Active Directory (AD LDS).

Estas son las configuraciones importantes en los conectores de recepción:

  • Enlaces de adaptador local: configure la combinación de direcciones IP locales y puertos TCP que usa el conector de recepción para aceptar conexiones.

  • Configuración de red remota: configure las direcciones IP de origen a las que escucha el conector de recepción para las conexiones.

  • Tipo de uso: configure los grupos de permisos predeterminados y los mecanismos de autenticación de host inteligente para el conector de recepción.

  • Grupos de permisos: configure quién puede usar el conector de recepción y los permisos que reciben.

Un conector de recepción escucha las conexiones entrantes que coinciden con la configuración del conector. Cada conector de recepción en el servidor de Exchange usa una combinación única de enlaces de direcciones IP locales, puertos TCP e intervalos de direcciones IP remotas que definen si y cómo se aceptan conexiones desde clientes o servidores SMTP.

Aunque los conectores de recepción predeterminados son adecuados en la mayoría de los casos, puede crear conectores de recepción personalizados para escenarios específicos. Por ejemplo:

  • Para aplicar propiedades especiales a un origen de correo electrónico, por ejemplo, un tamaño máximo de mensaje más grande, más destinatarios por mensaje o más conexiones entrantes simultáneas.

  • Para aceptar correo cifrado mediante un certificado TLS específico.

En los servidores de buzones de correo, puede crear y administrar conectores de recepción en el Centro de administración de Exchange (CEF) o en el Shell de administración de Exchange. En los servidores de transporte perimetral, solo puede usar el Shell de administración de Exchange.

Recepción de cambios en el conector en Exchange Server

Estos son los cambios notables en los conectores de recepción en Exchange 2016 y Exchange 2019 en comparación con Exchange 2010:

  • El parámetro TlsCertificateName permite especificar el emisor del certificado y el firmante del certificado. Esto permite minimizar el riesgo de certificados fraudulentos.

  • El parámetro TransportRole permite distinguir entre los conectores front-end (acceso de cliente) y back-end en los servidores de buzones de correo.

Conectores de recepción predeterminados creados durante la instalación

Algunos conectores de recepción se crean de forma predeterminada al instalar Exchange. De forma predeterminada, estos conectores están habilitados y el registro de protocolo está deshabilitado para la mayoría de ellos. Para obtener más información sobre el registro de protocolo en los conectores de recepción, vea Registro de protocolos.

Conectores de recepción predeterminados en el servicio de Transporte de front-end en servidores de buzones de correo

La función principal de los conectores de recepción en el servicio de Transporte de front-end es aceptar las conexiones SMTP anónimas y autenticadas en la organización de Exchange. El valor de la propiedad TransportRole para estos conectores es FrontendTransport. Las retransmisiones de servicio de transporte front-end o los servidores proxy de estas conexiones al servicio de transporte para la categorización y el enrutamiento al destino final.

Los conectores de recepción predeterminados que se crean en el servicio de Transporte de front-end en servidores de buzones de correo se describen en la tabla siguiente.

Nombre Descripción Registro de protocolos Puerto TCP Enlaces de dirección IP local Intervalos de direcciones IP Mecanismos de autenticación Grupos de permisos
NombreDeServidor de front-end <de> cliente Acepta conexiones desde clientes SMTP autenticados. Ninguno 587 Todas las direcciones IPv4 e IPv6 disponibles (0.0.0.0 y [::]:) {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (todas las direcciones IPv4 e IPv6) TLS
BasicAuth
BasicAuthRequireTLS
Integrated
ExchangeUsers
Nombre del servidor de front-end <> predeterminado Acepta conexiones anónimas desde servidores SMTP externos. Este es el punto de entrada de mensajería común en la organización de Exchange. Detallado 25 Todas las direcciones IPv4 e IPv6 disponibles (0.0.0.0 y [::]:) {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (todas las direcciones IPv4 e IPv6) TLS
BasicAuth
BasicAuthRequireTLS
ExchangeServer
Integrated
AnonymousUsers
ExchangeLegacyServers
ExchangeServers
Nombre del servidor de front-end del proxy de salida <> Acepta conexiones autenticadas desde el servicio de transporte en servidores de buzones de correo. Las conexiones se cifran con el certificado autofirmado del servidor de Exchange.
Este conector solo se usa si el conector de envío está configurado para usar el servidor proxy de salida. Para obtener más información, vea Configure Send connectors to proxy outbound mail.
Ninguno 717 Todas las direcciones IPv4 e IPv6 disponibles (0.0.0.0 y [::]:) {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (todas las direcciones IPv4 e IPv6) TLS
BasicAuth
BasicAuthRequireTLS
ExchangeServer
Integrated
ExchangeServers

Conectores de recepción predeterminados en el servicio de transporte en servidores de buzones de correo

La función principal de los conectores de recepción en el servicio de transporte es aceptar conexiones SMTP autenticadas y cifradas de otros servicios de transporte en el servidor de buzones de correo local o en servidores remotos de buzones de correo de la organización. El valor de la propiedad TransportRole en estos conectores es HubTransport. Los clientes no se conectan directamente a estos conectores.

Los conectores de recepción predeterminados que se crean en el servicio de transporte en servidores de buzones de correo se describen en la tabla siguiente.

Nombre Descripción Registro de protocolos Puerto TCP Enlaces de dirección IP local Intervalos de direcciones IP Mecanismos de autenticación Grupos de permisos
Nombre del servidor proxy< de> cliente Acepta conexiones de cliente autenticadas que son redirigidas mediante proxy desde el servicio de Transporte de front-end. Ninguno 465 Todas las direcciones IPv4 e IPv6 disponibles (0.0.0.0 y [::]:) {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (todas las direcciones IPv4 e IPv6) TLS
BasicAuth
BasicAuthRequireTLS
ExchangeServer
Integrated
ExchangeServers
ExchangeUsers
NombreDeServidor> predeterminado< Acepta conexiones autenticadas desde:
  • El servicio de Transporte de front-end en los servidores de buzones de correo locales o remotos
  • El servicio de transporte en los servidores de buzones de correo remotos
  • El servicio de transporte de buzones en los servidores de buzones de correo locales o remotos
  • Servidores de transporte perimetral

Las conexiones se cifran con el certificado autofirmado del servidor de Exchange.

Ninguno 2525 Todas las direcciones IPv4 e IPv6 disponibles (0.0.0.0 y [::]:) {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (todas las direcciones IPv4 e IPv6) TLS
BasicAuth
ExchangeServer
Integrated
ExchangeLegacyServers
ExchangeServers
ExchangeUsers

Conectores de recepción predeterminados en el servicio de transporte en servidores de transporte perimetral

La función principal del conector de recepción en servidores de transporte perimetral es aceptar correo de Internet. La suscripción del servidor de transporte perimetral para la organización de Exchange configura automáticamente los permisos de conector y los mecanismos de autenticación que son necesarios para el flujo de correo de Internet a y desde la organización. Para obtener más información, vea Servidores de transporte perimetral.

El conector de recepción predeterminado que se crea en el servicio de transporte en los servidores de transporte perimetral se describe en la tabla siguiente.

Nombre Descripción Registro de protocolos Puerto TCP Enlaces de dirección IP local Intervalos de direcciones IP Mecanismos de autenticación Grupos de permisos
ServerName del conector <de recepción interno predeterminado> Acepta conexiones anónimas desde servidores SMTP externos. Ninguno 25 Todas las direcciones IPv4 disponibles (0.0.0.0) {0.0.0.0-255.255.255.255} (todas las direcciones IPv4) TLS
ExchangeServer
AnonymousUsers
ExchangeServers
Partners

Conectores de recepción implícitos en el servicio de entrega de transporte de buzones en servidores de buzones de correo

Además de que los conectores de recepción se crean durante la instalación de servidores de Exchange, hay un conector de recepción implícito especial en el servicio de entrega de transporte de buzones en los servidores de buzones. Este conector de recepción implícito está automáticamente disponible, es invisible y no requiere administración. La función principal de este conector es aceptar el correo desde el servicio de transporte en el servidor de buzones de correo local o en los servidores remotos de buzones de correo de la organización.

El conector de recepción implícito que existe en el servicio de entrega de transporte de buzones en los servidores de buzones de correo se describe en la tabla siguiente.

Nombre Descripción Registro de protocolos Puerto TCP Enlaces de dirección IP local Intervalos de direcciones IP Mecanismos de autenticación Grupos de permisos
Conector de recepción de entrega de buzones de correo Acepta conexiones autenticadas desde el servicio de transporte en los servidores de buzones de correo locales o remotos. Ninguno 475 Todas las direcciones IPv4 e IPv6 disponibles (0.0.0.0 y [::]:) {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (todas las direcciones IPv4 e IPv6) ExchangeServer ExchangeServers

Enlaces de direcciones locales del conector de recepción

Los enlaces de direcciones locales restringen el conector de recepción para escuchar las conexiones SMTP en una dirección IP local (adaptador de red) y puerto TCP específicos. Normalmente, la combinación de dirección IP local y puerto TCP es única para cada conector de recepción en un servidor. Pero varios conectores de recepción en un servidor pueden tener las mismas direcciones IP locales y puertos TCP si los intervalos de direcciones IP remotas son diferentes. Para obtener más información, vea la sección Direcciones remotas del conector de recepción.

De forma predeterminada, un conector de recepción escucha las conexiones en todas las direcciones IPv4 e IPv6 locales disponibles (0.0.0.0 y [::]:). Si el servidor tiene varios adaptadores de red, puede configurar los conectores de recepción para que solo acepten conexiones desde direcciones IP que estén configuradas para un adaptador de red específico. Por ejemplo, en un servidor de Exchange con conexión a Internet, puede tener un conector de recepción que esté enlazado a la dirección IP del adaptador de red externo para escuchar conexiones anónimas de Internet. Puede tener un conector de recepción independiente que esté enlazado a la dirección IP del adaptador de red interno para escuchar conexiones autenticadas de servidores de Exchange internos.

Nota:

Si enlaza un conector de recepción a una dirección IP específica, asegúrese de que la dirección está configurada en un adaptador de red local. Si especifica una dirección IP local no válida, es posible que el servicio de transporte de Microsoft Exchange no consiga iniciarse cuando se reinicie el servidor o el servicio.

En el CEF, se usa el campo Enlaces de adaptador de red para configurar los enlaces de direcciones locales en el Asistente para nuevo conector de recepción o en la pestaña Ámbito en las propiedades de los conectores de recepción existentes. En el Shell de administración de Exchange, se usa el parámetro Bindings en los cmdletsNew-ReceiveConnector y Set-ReceiveConnector . Dependiendo del tipo de uso que seleccione, es posible que no pueda configurar los enlaces de dirección local al crear el conector de recepción, pero se pueden modificar después de crear el conector de recepción. Los tipos de uso afectados se identifican en la sección Tipos de uso del conector de recepción.

Direcciones remotas del conector de recepción

Las direcciones remotas definen desde dónde recibe las conexiones SMTP el conector de recepción. De forma predeterminada, los conectores de recepción escuchan las conexiones desde todas las direcciones IPv4 e IPv6 (0.0.0.0-255.255.255.255 y ::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff). Si crea un conector de recepción personalizado para recibir correo desde un origen específico, configure el conector para escuchar solo las conexiones desde la dirección IP o los intervalos de direcciones específicas.

Varios conectores de recepción en el servidor pueden tener intervalos de direcciones IP remotas que se superpongan, siempre que un intervalo IP se superponga completamente a otro. Cuando los intervalos de direcciones IP remotas se superponen, se usa el que coincida de forma más específica con la dirección IP del servidor de conexión.

Por ejemplo, considere los siguientes conectores de recepción en el servicio de Transporte de front-end en el servidor denominado Exchange01:

  • Nombre del conector: Exchange01 de front-end de cliente

    • Enlaces de adaptador de red: todos los IPv4 disponibles en el puerto 25.

    • Configuración de red remota: 0.0.0.0-255.255.255.255

  • Nombre del conector: Conector personalizado A

    • Enlaces de adaptador de red: todos los IPv4 disponibles en el puerto 25.

    • Configuración de red remota: 192.168.1.0-192.168.1.255

  • Nombre del conector: Conector personalizado B

    • Enlaces de adaptador de red: todos los IPv4 disponibles en el puerto 25.

    • Configuración de red remota: 192.168.1.75

El conector personalizado B acepta las conexiones SMTP de 192.168.1.75 porque ese conector tiene la coincidencia de dirección IP más específica.

El conector personalizado A acepta las conexiones SMTP de 192.168.1.100 porque ese conector tiene la coincidencia de dirección IP más específica.

En el CEF, se usa el campo Configuración de red remota para configurar las direcciones IP remotas en el Asistente para nuevo conector de recepción o en la pestaña Ámbito en las propiedades de los conectores de recepción existentes. En el Shell de administración de Exchange, se usa el parámetro RemoteIPRanges en los cmdlets New-ReceiveConnector y Set-ReceiveConnector .

Tipos de uso del conector de recepción

El tipo de uso determina la configuración de seguridad predeterminada para el conector de recepción. El tipo de uso especifica quién está autorizado a usar el conector, los permisos que obtiene y los métodos de autenticación que se admiten.

Cuando se usa el CEF para crear conectores de recepción, el asistente le pide que seleccione el valor Tipo para el conector. Cuando se usa el cmdlet New-ReceiveConnector en el Shell de administración de Exchange, se usa el parámetro Usage con uno de los valores disponibles (por ejemplo, -Usage Custom), o el modificador designado para el tipo de uso (por ejemplo, -Custom).

El tipo de uso del conector solo se puede especificar cuando se crean conectores de recepción. Después de crear un conector, puede modificar los mecanismos de autenticación disponibles y los grupos de permisos en el CEF, o mediante el cmdlet Set-ReceiveConnector en el Shell de administración de Exchange.

Los tipos de uso disponibles se describen en la tabla siguiente.

Tipo de uso Grupos de permisos asignados Mecanismos de autenticación disponibles Comentarios
Client Usuarios de Exchange (ExchangeUsers) Seguridad de la capa de transporte (TLS)
Autenticación básica (BasicAuth)
Ofrecer autenticación básica solo después de iniciar TLS (BasicAuthRequireTLS)
Autenticación de Windows integrada (Integrated)
Usada por los clientes POP3 e IMAP4 que necesitan enviar mensajes de correo electrónico mediante SMTP autenticado.
Al crear un conector de recepción de este tipo de uso en el CEF o en el Shell de administración de Exchange, no se pueden seleccionar los enlaces de direcciones IP locales o el puerto TCP. De forma predeterminada, este tipo de uso se enlaza a todas las direcciones IPv4 e IPv6 locales en el puerto TCP 587. Puede cambiar estos enlaces tras crear el conector.
Este tipo de uso no está disponible en los servidores de transporte perimetral.
Personalizado Ninguno seleccionado (None) Seguridad de la capa de transporte (TLS) Se usa en escenarios entre bosques, para recibir correo de servidores de mensajería de terceros y para la retransmisión externa.
Después de crear un conector de recepción de este tipo de uso, debe agregar grupos de permisos en el CEF o en el Shell de administración de Exchange.
Interno Servidores de Exchange heredados (ExchangeLegacyServers)
Servidores exchange (ExchangeServers)
Seguridad de la capa de transporte (TLS)
autenticación Exchange Server (ExchangeServers)
Se usa en escenarios entre bosques, para recibir correo de versiones anteriores de Exchange, para recibir correo de servidores de mensajería de terceros o bien en servidores de transporte perimetral para recibir el correo saliente de la organización interna de Exchange.
Al crear un conector de recepción de este tipo de uso en el CEF o en el Shell de administración de Exchange, no se pueden seleccionar los enlaces de direcciones IP locales o el puerto TCP. De forma predeterminada, el conector se enlaza a todas las direcciones IPv4 e IPv6 locales en el puerto TCP 25. Puede cambiar estos enlaces tras crear el conector.
El ExchangeLegacyServers grupo de permisos no está disponible en los servidores de transporte perimetral.
Internet Usuarios anónimos (AnonymousUsers) Seguridad de la capa de transporte (TLS) Se usa para recibir correo de Internet.
Al crear un conector de recepción de este tipo de uso en el CEF o en el Shell de administración de Exchange, no se pueden seleccionar las direcciones IP remotas. De forma predeterminada, el conector acepta conexiones remotas de todas las direcciones IPv4 (0.0.0.0-255.255.255.255). Puede cambiar estos enlaces tras crear el conector.
Partner Asociados (Partners) Seguridad de la capa de transporte (TLS) Se usa para configurar la comunicación segura con un asociado externo (autenticación Mutual TLS, también conocida como dominio seguro).

Mecanismos de autenticación del conector de recepción

Los mecanismos de autenticación especifican la configuración de inicio de sesión y cifrado que se usa para las conexiones SMTP entrantes. Puede configurar múltiples mecanismos de autenticación para un conector de recepción. En el CEF, los mecanismos de autenticación están disponibles en la pestaña Seguridad en las propiedades del conector de recepción. En el Shell de administración de Exchange, los grupos de permisos están disponibles en el parámetro AuthMechanisms en los cmdlets New-ReceiveConnector y Set-ReceiveConnector .

Los mecanismos de autenticación disponibles se describen en la tabla siguiente.

Mecanismo de autenticación Descripción
Ninguno seleccionado (None) Sin autenticación.
Seguridad de la capa de transporte (TLS) (TLS) Anunciar STARTTLS en la respuesta EHLO. Las conexiones con cifrado TLS requieren un certificado de servidor que incluya el nombre que el conector de recepción anuncia en la respuesta EHLO. Para obtener más información, vea Modificar el banner SMTP en Conectores de recepción. Otros servidores de Exchange en la organización confían en el certificado autofirmado del servidor, pero los clientes y servidores externos normalmente usan un certificado de confianza de terceros.
Autenticación básica (BasicAuth) Autenticación básica (texto sin cifrar).
Ofrecer autenticación básica solo después de iniciar TLS (BasicAuthRequireTLS) Autenticación básica cifrada con TLS.
Autenticación de Windows integrada (Integrated) Autenticación NTLM y Kerberos.
autenticación Exchange Server (ExchangeServer) Autenticación de interfaz de programación de aplicaciones de servicios de seguridad genéricos (GSSAPI) y GSSAPI mutuo.
Protegido externamente (ExternalAuthoritative) Se considera que la conexión se protege mediante un mecanismo de seguridad que no pertenece a Exchange. La conexión puede ser una asociación de protocolo de seguridad de Internet (IPsec) o una red privada virtual (VPN). Como alternativa, los servidores pueden residir en una red de confianza, controlada de forma física.
Este mecanismo de autenticación requiere el grupo de ExchangeServers permisos. Esta combinación de un mecanismo de autenticación y un grupo de seguridad permite la resolución de direcciones de correo de remitentes anónimas para los mensajes recibidos a través del conector.

Grupos de permisos del conector de recepción

Un grupo de permisos es un conjunto predefinido de permisos que se concede a entidades de seguridad conocidas y se asigna a un conector de recepción. Las entidades de seguridad incluyen cuentas de usuario, cuentas de equipo y grupos de seguridad (objetos que se pueden identificar por un identificador de seguridad o SID que pueden tener permisos asignados). Los grupos de permisos definen quién puede usar el conector de recepción y los permisos que obtienen. No se pueden crear grupos de permisos, ni modificar los miembros del grupo de permisos o los permisos predeterminados del grupo de permisos.

En el CEF, los grupos de permisos están disponibles en la pestaña Seguridad en las propiedades del conector de recepción. En el Shell de administración de Exchange, los grupos de permisos están disponibles en el parámetro PermissionGroups en los cmdlets New-ReceiveConnector y Set-ReceiveConnector .

Los grupos de permisos disponibles se describen en la tabla siguiente.

Grupo de permisos Entidades de seguridad asociadas Permisos concedidos
Usuarios anónimos (Anonymous) NT AUTHORITY\ANONYMOUS LOGON ms-Exch-Accept-Headers-Routing
ms-Exch-SMTP-Accept-Any-Sender
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
ms-Exch-SMTP-Submit
Usuarios de Exchange (ExchangeUsers) NT AUTHORITY\Authenticated Users ms-Exch-Accept-Headers-Routing
ms-Exch-Bypass-Anti-Spam
ms-Exch-SMTP-Accept-Any-Recipient
ms-Exch-SMTP-Submit
Servidores exchange (ExchangeServers) <Domain>\Exchange Servers
MS Exchange\Edge Transport Servers
MS Exchange\Hub Transport Servers
Nota: Estas entidades de seguridad también tienen otros permisos internos asignados. Para obtener más información, vea el final de la sección Permisos del conector de recepción.
ms-Exch-Accept-Headers-Forest
ms-Exch-Accept-Headers-Organization
ms-Exch-Accept-Headers-Routing
ms-Exch-Bypass-Anti-Spam
ms-Exch-Bypass-Message-Size-Limit
ms-Exch-SMTP-Accept-Any-Recipient
ms-Exch-SMTP-Accept-Any-Sender
ms-Exch-SMTP-Accept-Authentication-Flag
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
ms-Exch-SMTP-Accept-Exch50
ms-Exch-SMTP-Submit
Servidores exchange (ExchangeServers) MS Exchange\Externally Secured Servers ms-Exch-Accept-Headers-Routing
ms-Exch-Bypass-Anti-Spam
ms-Exch-Bypass-Message-Size-Limit
s-Exch-SMTP-Accept-Any-Recipient
ms-Exch-SMTP-Accept-Any-Sender
ms-Exch-SMTP-Accept-Authentication-Flag
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
ms-Exch-SMTP-Accept-Exch50
ms-Exch-SMTP-Submit
Servidores de Exchange heredados (ExchangeLegacyServers) <Domain>\ExchangeLegacyInterop ms-Exch-Accept-Headers-Routing
ms-Exch-Bypass-Anti-Spam
ms-Exch-Bypass-Message-Size-Limit
ms-Exch-SMTP-Accept-Any-Recipient
ms-Exch-SMTP-Accept-Any-Sender
ms-Exch-SMTP-Accept-Authentication-Flag
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
ms-Exch-SMTP-Accept-Exch50
ms-Exch-SMTP-Submit
Asociados (Partner) MS Exchange\Partner Servers ms-Exch-Accept-Headers-Routing
ms-Exch-SMTP-Submit

Los permisos se explican en la sección Permisos del conector de recepción más adelante en este tema.

Permisos del conector de recepción

Normalmente, se aplican permisos a los conectores de recepción mediante el uso de grupos de permisos. Pero se pueden configurar permisos granulares en un conector de recepción mediante los cmdlets Add-ADPermission y Remove-ADPermission.

Los permisos del conector de recepción se asignan a entidades de seguridad mediante los grupos de permisos para el conector. Cuando un servidor o cliente SMTP establece una conexión con un conector de recepción, los permisos del conector de recepción determinan si la conexión se acepta y cómo se procesan los mensajes.

Los permisos disponibles del conector de recepción se describen en la tabla siguiente.

Permiso del conector de recepción Descripción
ms-Exch-Accept-Headers-Forest Controla la conservación de los encabezados de bosque de Exchange en los mensajes. Los nombres de encabezado de bosque empiezan por X-MS-Exchange-Forest-. Si no se concede este permiso, se quitarán todos los encabezados de bosque de los mensajes.
ms-Exch-Accept-Headers-Organization Controla la conservación de los encabezados de la organización de Exchange en los mensajes. Los nombres de encabezado de organización empiezan por X-MS-Exchange-Organization-. Si no se concede este permiso, se quitarán todos los encabezados de organización de los mensajes.
ms-Exch-Accept-Headers-Routing Controla la conservación de los encabezados Received y Resent-* en los mensajes. Si no se concede este permiso, se quitarán todos estos encabezados de los mensajes.
ms-Exch-Bypass-Anti-Spam Permite a los clientes o servidores SMTP eludir el filtrado contra correo electrónico no deseado.
ms-Exch-Bypass-Message-Size-Limit Permite a los clientes o servidores SMTP enviar mensajes que superen el tamaño máximo de mensaje que está configurado para el conector de recepción.
ms-Exch-SMTP-Accept-Any-Recipient Permite a los clientes o servidores SMTP retransmitir mensajes a través del conector de recepción. Si no se concede este permiso, solo se aceptarán en el conector de recepción los mensajes enviados a destinatarios incluidos en los dominios aceptados que están configurados para la organización de Exchange.
ms-Exch-SMTP-Accept-Any-Sender Permite a los clientes o servidores SMTP evitar la comprobación de suplantación de direcciones del remitente que normalmente requiere que la dirección de correo del remitente esté un dominio aceptado que esté configurado para la organización de Exchange.
ms-Exch-SMTP-Accept-Authentication-Flag Controla si los mensajes de los clientes o servidores SMTP se tratan como autenticados. Si no se concede este permiso, los mensajes procedentes de estas fuentes se identifican como externos (no autenticados). Esta configuración es importante para los grupos de distribución que están configurados para aceptar correo solo de destinatarios internos (por ejemplo, el valor del parámetro RequireSenderAuthenticationEnabled para el grupo es $true).
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender Permite el acceso al conector de recepción a los remitentes que tienen direcciones de correo en dominios autoritarios que están configurados para la organización de Exchange.
ms-Exch-SMTP-Accept-Exch50 Permite a los clientes o servidores SMTP enviar comandos XEXCH50 en el conector de recepción. El objeto binario grande (BLOB) X-EXCH50 se usó en versiones anteriores de Exchange (Exchange 2003 y versiones anteriores) para almacenar datos de Exchange en mensajes (por ejemplo, el nivel de confianza contra correo no deseado o SCL).
ms-Exch-SMTP-Submit Este permiso es necesario para enviar mensajes a los conectores de recepción. Si no se concede este permiso, los comandos MAIL FROM y AUTH producirán un error.

Notas:

  • Además de los permisos documentados, hay permisos asignados a todas las entidades de seguridad del grupo de permisos de servidores exchange (ExchangeServers) excepto MS Exchange\Externally Secured Servers. Estos permisos están reservados para uso interno de Microsoft y se presentan aquí solo con fines de referencia.

    • ms-Exch-SMTP-Accept-Xattr

    • ms-Exch-SMTP-Accept-XProxyFrom

    • ms-Exch-SMTP-Accept-XSessionParams

    • ms-Exch-SMTP-Accept-XShadow

    • ms-Exch-SMTP-Accept-XSysProbe

    • ms-Exch-SMTP-Send-XMessageContext-ADRecipientCache

    • ms-Exch-SMTP-Send-XMessageContext-ExtendedProperties

    • ms-Exch-SMTP-Send-XMessageContext-FastIndex

  • Los nombres de permisos que contienen forman ms-Exch-Accept-Headers- parte de la característica de firewall de encabezado . Para obtener más información, vea Firewall de encabezado.

Procedimientos de permiso del conector de recepción

Para ver los permisos asignados a las entidades de seguridad en un conector de recepción, use la siguiente sintaxis en el Shell de administración de Exchange:

Get-ADPermission -Identity <ReceiveConnector> [-User <SecurityPrincipal>] | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Por ejemplo, para ver los permisos asignados a todas las entidades de seguridad en el conector de recepción denominado "Client Frontend Mailbox01", ejecute el siguiente comando:

Get-ADPermission -Identity "Client Frontend Mailbox01" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Para ver los permisos asignados solo a la entidad NT AUTHORITY\Authenticated Users de seguridad en el conector de recepción denominado Default Mailbox01, ejecute el siguiente comando:

Get-ADPermission -Identity "Default Mailbox01" -User "NT AUTHORITY\Authenticated Users" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Para agregar permisos a una entidad de seguridad en un conector de recepción, use la sintaxis siguiente:

Add-ADPermission -Identity <ReceiveConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...

Para quitar permisos de una entidad de seguridad en un conector de recepción, use la sintaxis siguiente:

Remove-ADPermission -Identity <ReceiveConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...