Envío de conectores en Exchange Server
Exchange usa Send connectors for outbound SMTP connections from source Exchange servers to destination email servers (Enviar conectores para conexiones SMTP salientes desde servidores exchange de origen a servidores de correo electrónico de destino). El conector de envío que se usa para redirigir mensajes a un destinatario se selecciona durante la fase de resolución de enrutamiento de una categorización de mensaje. Para obtener más información, vea Enrutamiento de correo.
Puede crear conectores de envío en el servicio de transporte en servidores de buzones y en servidores de transporte perimetral. Los conectores de envío se almacenan en Active Directory y (de forma predeterminada) son visibles para todos los servidores de buzones de correo de la organización.
Importante
De forma predeterminada, no existe ningún conector de envío para el flujo de correo externo al instalar Exchange. Para habilitar el flujo de correo saliente de Internet, debe crear un conector de envío o suscribir un servidor de transporte perimetral a su organización de Exchange. Para obtener más información, vea Crear un conector de envío para enviar correo a los servidores de transporte de Internet y Edge.
No es necesario configurar conectores de envío para enviar correo entre servidores de Exchange en el mismo bosque de Active Directory. Los conectores de envío implícitos e invisibles que son plenamente conscientes de la topología de servidores de Exchange están disponibles para el envío de correo a los servidores de Exchange internos. Estos conectores se describen en la sección Conectores de envío implícitos.
Estas son las configuraciones importantes en los conectores de envío:
Tipo de uso
Configuración de red: configure cómo el conector de envío enruta el correo mediante DNS o reenvía automáticamente todo el correo a un host inteligente.
Espacios de direcciones: configure los dominios de destino de los que es responsable el conector de envío.
Ámbito: configura la visibilidad del conector de envío a otros servidores de Exchange de la organización.
Servidores de origen: configure los servidores de Exchange en los que se hospeda el conector de envío. El correo que debe ser entregado mediante el conector de envío se redirige a uno de los servidores de origen.
En los servidores de buzones de correo, puede crear y administrar conectores de envío en el Centro de administración de Exchange o en el Shell de administración de Exchange. En los servidores de transporte perimetral, solo puede usar el Shell de administración de Exchange.
Envío de cambios del conector en Exchange Server
Estos son los cambios notables en Enviar conectores en Exchange 2016 o Exchange 2019 en comparación con Exchange 2010:
Puede configurar los conectores de envío para redirigir o redirigir mediante proxy el correo saliente a través del servicio de Transporte de front-end. Para obtener más información, vea Configure Send connectors to proxy outbound mail.
El parámetro IsCoexistenceConnector ya no está disponible.
El parámetro LinkedReceiveConnector ya no está disponible.
El tamaño de mensaje máximo predeterminado se aumenta a 35 MB (aproximadamente 25 MB debido a la codificación Base64). Para obtener más información, vea Tamaño del mensaje y límites de destinatarios en Exchange Server.
El parámetro TlsCertificateName permite especificar el emisor del certificado y el firmante del certificado. Esto permite minimizar el riesgo de certificados fraudulentos.
Conectores de envío implícitos
Aunque no se crean conectores de envío durante la instalación de servidores de Exchange, existe un conector de envío implícito especial denominado conector de envío dentro de la organización. Este conector de envío implícito está automáticamente disponible, es invisible y no requiere administración. El conector de envío interno de la organización existe en los servicios de transporte para enviar correo, bien internamente entre los servicios en el servidor de Exchange local o para los servicios en los servidores de Exchange remotos de la organización. Por ejemplo:
Servicio de Transporte de front-end al servicio de transporte.
Servicio de transporte al servicio de transporte en otros servidores.
Servicio de transporte a los servidores de transporte perimetral suscritos.
Servicio de transporte al servicio de entrega de transporte de buzones.
Servicio de envío de transporte de buzones de correo al servicio de transporte.
Para obtener más información, vea Mail flow and the transport pipeline.
Tipos de uso del conector de envío
Para los conectores de envío, el tipo de uso es básicamente una etiqueta descriptiva que identifica para qué se usa el conector de envío. Todos los valores de tipo de uso reciben los mismos permisos.
El tipo de uso del conector solo se puede especificar cuando se crean conectores de envío. Cuando se usa el CEF, debe seleccionar un valor Tipo. Pero cuando se usa el cmdlet New-SendConnector en el Shell de administración de Exchange, el tipo de uso no es necesario (ya sea mediante -Usage <UsageType> o -<UsageType>).
Especificar un tipo de uso configura un tamaño de mensaje máximo predeterminado, que se puede cambiar después de crear el conector.
Los valores de tipo de uso disponibles se describen en la tabla siguiente.
| Tipo de uso | Tamaño máximo de mensaje | Comentarios |
|---|---|---|
| Personalizado | 35 MB | Ninguno |
| Interno | ilimitado | Al crear un conector de envío de este tipo de uso en el CEF, no se puede seleccionar Registro MX asociado con el dominio del destinatario. Después de crear el conector, puede ir a la pestaña Entrega en las propiedades del conector de envío y seleccionar Registro MX asociado con el dominio del destinatario. Esta misma restricción no existe en el Shell de administración de Exchange. Puede usar el modificador Interno y establecer DNSRoutingEnabled $true en en el cmdlet New-SendConnector . |
| Internet | 35 MB | Ninguno |
| Partner | 35 MB | Al crear un conector de envío de este tipo de uso en el CEF, no se puede seleccionar Redirigir correo mediante hosts inteligentes o un mecanismo de autenticación de host inteligente. Después de crear el conector, puede ir a la pestaña Entrega en las propiedades del conector de envío y seleccionar Redirigir correo mediante hosts inteligentes y el mecanismo de autenticación de host inteligente. Esta misma restricción no existe en el Shell de administración de Exchange. Puede usar el modificador Partner y establecer DNSRoutingEnabled $false en y usar los parámetros SmartHosts y SmartHostAuthMechanism en el cmdlet New-SendConnector . |
Configuración de red del conector de envío
Cada conector de envío debe configurarse con una de estas opciones:
Usar DNS para redirigir el correo.
Usar uno o más host inteligentes para redirigir el correo.
Usar DNS para redirigir el correo
Cuando se selecciona la resolución DNS para entregar el correo, el servidor de Exchange de origen para el conector de envío debe ser capaz de resolver los registros MX para los espacios de direcciones que están configurados en el conector. Según la naturaleza del conector y de cuántos adaptadores de red haya en el servidor, el conector de envío puede requerir el acceso a un servidor DNS interno o un servidor DNS externo (público). Puede configurar el servidor para que use servidores DNS específicos para las búsquedas DNS internas y externas:
En el EAC en servidor de servidores>>, seleccione el servidor y haga clic en el
>Pestaña Búsquedas dns.En el Shell de administración de Exchange, use los parámetros ExternalDNS* e InternalDNS* en el cmdlet Set-TransportService .
Si ya configuró el servidor de Exchange con la configuración DNS independiente para usar en las búsquedas DNS internas y externas, y el conector de envío redirige el correo a un espacio de direcciones externo, debe configurar el conector de envío para usar el servidor DNS externo:
En el CEF, seleccione Usar la configuración de búsquedas DNS externas en los servidores con funciones de transporte (en el Asistente para nuevo conector de envío o en la pestaña Entrega en las propiedades de los conectores existentes).
En el Shell de administración de Exchange, use el parámetro UseExternalDNSServersEnabled en los cmdlets New-SendConnector y Set-SendConnector .
Usar host inteligentes para redirigir el correo
Al redirigir el correo a través de un host inteligente, el conector de envío reenvía el correo al host inteligente y el host inteligente es responsable de redirigir el correo al siguiente salto en su camino hacia el destino final. Un uso común del enrutamiento de host inteligente es enviar el correo saliente a través de un servicio o dispositivo contra correo electrónico no deseado.
Los hosts inteligentes que se van a usar para el conector de envío se identifican mediante una dirección IP individual (por ejemplo, 10.1.1.1), un nombre de dominio completo (FQDN) (por ejemplo, spamservice.contoso.com) o combinaciones de ambos tipos de valores. Si usa un FQDN, el servidor de Exchange de origen para el conector de envío debe ser capaz de resolver el FQDN (que puede ser un registro MX o un registro D) mediante DNS.
Una parte importante del enrutamiento de host inteligente es el mecanismo de autenticación que usa el host inteligente. Los mecanismos de autenticación disponibles se describen en la tabla siguiente.
| Mecanismo de autenticación | Descripción |
|---|---|
Ninguno (None) |
Sin autenticación. Por ejemplo, cuando el acceso al host inteligente está restringido por la dirección IP de origen. |
Autenticación básica (BasicAuth) |
Autenticación básica. Requiere un nombre de usuario y una contraseña. El nombre de usuario y la contraseña se envían en texto no cifrado. |
Ofrecer autenticación básica solo después de iniciar TLS (BasicAuthRequireTLS) |
Autenticación básica cifrada con TLS. Esto requiere un certificado de servidor en el host inteligente que contiene el FQDN exacto del host inteligente que se define en el conector de envío. El conector de envío intenta establecer la sesión TLS enviando el comando STARTTLS al host inteligente y solo realiza la autenticación básica una vez establecida la sesión TLS. También se requiere un certificado de cliente para dar soporte a la autenticación TLS mutua. |
autenticación Exchange Server (ExchangeServer) |
Autenticación de interfaz de programación de aplicaciones de servicios de seguridad genéricos (GSSAPI) y GSSAPI mutuo. |
Protegido externamente (ExternalAuthoritative) |
Se considera que la conexión se protege mediante un mecanismo de seguridad que no pertenece a Exchange. La conexión puede ser una asociación de protocolo de seguridad de Internet (IPsec) o una red privada virtual (VPN). Como alternativa, los servidores pueden residir en una red de confianza, controlada de forma física. |
Espacios de direcciones del conector de envío
El espacio de direcciones especifica los dominios de destino que son atendidos por el conector de envío. El correo se redirige a través de un conector de envío en función del dominio de la dirección de correo del destinatario.
Los valores de espacio de direcciones SMTP disponibles se describen en la tabla siguiente.
| Espacio de direcciones | Explicación |
|---|---|
* |
El conector de envío redirige el correo a los destinatarios de todos los dominios. |
Dominio (por ejemplo, contoso.com) |
El conector de envío redirige el correo a los destinatarios en el dominio especificado, pero no en ningún subdominio. |
Dominio y subdominios (por ejemplo, *.contoso.com) |
El conector de envío redirige el correo a los destinatarios en el dominio especificado, y en todos los subdominios. |
-- |
El conector de envío redirige el correo a los destinatarios de todos los dominios aceptados en la organización de Exchange. Este valor solo está disponible en los conectores de envío de servidores de transporte perimetral que envían a organización de Exchange interna. |
Un espacio de direcciones también tiene valores Tipo y Coste que se pueden configurar.
En los servidores de transporte perimetral, el valor De tipo debe ser SMTP. En los servidores de buzones de correo, también puede usar tipos de espacio de direcciones no SMTP, como X400 o cualquier otra cadena de texto. Las direcciones X.400 deben ser compatibles con RFC 1685 (por ejemplo, o=MySite;p=MyOrg;a=adatum;c=us), pero otros valores type aceptan cualquier valor de texto para el espacio de direcciones. Si se especifica un tipo de espacio de direcciones no SMTP, el conector de envío debe usar el enrutamiento de host inteligente y se usa SMTP para enviar mensajes al host inteligente. Los conectores de agente de entrega y los conectores externos envían mensajes no SMTP a servidores no SMTP sin usar SMTP. Para obtener más información, consulte Delivery Agents and Delivery Agent Connectors and Foreign Connectors.
El valor Coste en el espacio de direcciones se usa para la optimización del flujo de correo y la tolerancia a errores cuando se configura el mismo espacio de direcciones en varios conectores de envío en servidores de origen diferentes. Un valor de prioridad más bajo indica un conector de envío preferido.
El conector de envío que se usa para redirigir mensajes a un destinatario se selecciona durante la fase de resolución de enrutamiento de una categorización de mensaje. Se selecciona el conector de envío cuyo espacio de direcciones coincide en mayor medida con la dirección de correo del destinatario y cuyo valor de prioridad es el más bajo.
Por ejemplo, supongamos que el destinatario es julia@marketing.contoso.com. Si se configura un conector de envío para *.contoso.com, el mensaje se redirige a través de ese conector. Si no se configura ningún conector de envío para *.contoso.com, el mensaje se redirige a través del conector que está configurado para *. Si se configuran varios conectores de envío en el mismo sitio de Active Directory para *.contoso.com, se selecciona el conector con el valor de prioridad inferior.
Ámbito del conector de envío
Los servidores de origen de un conector de envío determinan el servidor de Exchange de destino para el correo que debe redirigirse a través del conector de envío. El ámbito del conector de envío controla la visibilidad de dicho conector en la organización de Exchange.
De forma predeterminada, los conectores de envío son visibles para todos los servidores de Exchange en todo el bosque de Active Directory, y se usan en las decisiones de enrutamiento. Pero se puede limitar el ámbito de un conector de envío para que solo sea visible para otros servidores de Exchange en el mismo sitio de Active Directory. El conector de envío es invisible para los servidores de Exchange en otros sitios de Active Directory y no se usa en sus decisiones de enrutamiento. Se dice que un conector de envío restringido de esta manera tiene ámbito.
Para configurar conectores de envío de ámbito en el CEF, seleccione Conector de envío en el ámbito en la sección Espacio de direcciones del Asistente para nuevo conector de envío o en la pestaña Ámbito en las propiedades de los conectores de envío existentes. En el Shell de administración de Exchange, se usa el parámetro IsScopedConnector en los cmdlets New-SendConnector y Set-SendConnector .
Permisos del conector de envío
Cuando el conector de envío establece una conexión con el servidor de correo electrónico de destino, los permisos del conector de envío determinan los tipos de encabezados que se pueden enviar en los mensajes. Si un mensaje incluye encabezados que no están permitidos por los permisos, se quitan esos encabezados de los mensajes.
Los permisos se asignan a los conectores de envío por medio de entidades de seguridad conocidas. Las entidades de seguridad incluyen cuentas de usuario, cuentas de equipo y grupos de seguridad (objetos que se pueden identificar por un identificador de seguridad o SID que pueden tener permisos asignados). De forma predeterminada, se asignan las mismas entidades de seguridad con los mismos permisos en todos los conectores de envío, independientemente del tipo de uso que seleccionó al crear el conector. Para modificar los permisos predeterminados para un conector de envío, debe usar los cmdlets Add-ADPermission y Remove-ADPermission en el Shell de administración de Exchange.
Los permisos disponibles del conector de envío se describen en la tabla siguiente.
| Permiso | Asignado a | Descripción |
|---|---|---|
ms-Exch-Send-Headers-Forest |
<Domain>\Exchange Servers MS Exchange\Edge Transport Servers MS Exchange\Hub Transport Servers |
Controla la conservación de los encabezados de bosque de Exchange en los mensajes. Los nombres de encabezado de bosque empiezan por X-MS-Exchange-Forest-. Si no se concede este permiso, se quitarán todos los encabezados de bosque de los mensajes. |
ms-Exch-Send-Headers-Organization |
<Domain>\Exchange Servers MS Exchange\Edge Transport Servers MS Exchange\Hub Transport Servers |
Controla la conservación de los encabezados de la organización de Exchange en los mensajes. Los nombres de encabezado de organización empiezan por X-MS-Exchange-Organization-. Si no se concede este permiso, se quitarán todos los encabezados de organización de los mensajes. |
ms-Exch-Send-Headers-Routing |
NT AUTHORITY\ANONYMOUS LOGON <Domain>\Exchange Servers MS Exchange\Edge Transport Servers MS Exchange\Externally Secured Servers MS Exchange\Hub Transport Servers MS Exchange\Legacy Exchange Servers MS Exchange\Partner Servers |
Controla la conservación de los encabezados RECEIVED en los mensajes. Si no se concede este permiso, se quitarán todos los encabezados recibidos de los mensajes. |
ms-Exch-SMTP-Send-Exch50 |
<Domain>\Exchange Servers MS Exchange\Edge Transport Servers MS Exchange\Externally Secured Servers MS Exchange\Hub Transport Servers MS Exchange\Legacy Exchange Servers |
Permite que el servidor de Exchange de origen envíe comandos XEXCH50 en el conector de envío. El objeto binario grande (BLOB) X-EXCH50 se usó en versiones anteriores de Exchange (Exchange 2003 y versiones anteriores) para almacenar datos de Exchange en mensajes (por ejemplo, el nivel de confianza contra correo no deseado o SCL). Si no se concede este permiso y los mensajes contienen el BLOB X-EXCH50, el servidor de Exchange envía el mensaje sin el BLOB X-EXCH50. |
ms-Exch-SMTP-Send-XShadow |
<Domain>\Exchange Servers MS Exchange\Edge Transport Servers MS Exchange\Hub Transport Servers |
Este permiso está reservado para uso interno de Microsoft y se presenta aquí solo con fines de referencia. |
Nota: Los nombres de permisos que contienen forman ms-Exch-Send-Headers- parte de la característica de firewall de encabezado . Para obtener más información, vea Firewall de encabezado.
Procedimientos de permiso del conector de envío
Para ver los permisos asignados a las entidades de seguridad en un conector de envío, use la siguiente sintaxis en el Shell de administración de Exchange:
Get-ADPermission -Identity <SendConnector> [-User <SecurityPrincipal>] | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights
Por ejemplo, para ver los permisos asignados a todas las entidades de seguridad en el conector de envío denominado "To Fabrikam.com", ejecute el siguiente comando:
Get-ADPermission -Identity "To Fabrikam.com" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights
Para ver los permisos asignados solo a la entidad NT AUTHORITY\ANONYMOUS LOGON de seguridad en el conector send denominado To Fabrikam, ejecute el siguiente comando:
Get-ADPermission -Identity "To Fabrikam.com" -User "NT AUTHORITY\ANONYMOUS LOGON" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights
Para agregar permisos a una entidad de seguridad en un conector de envío, use la sintaxis siguiente:
Add-ADPermission -Identity <SendConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...
Para quitar permisos de una entidad de seguridad en un conector de envío, use la sintaxis siguiente:
Remove-ADPermission -Identity <SendConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...