Descripción de filtrado de conexiones
Se aplica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Última modificación del tema: 2016-07-21
El agente de filtro de conexión es un agente contra correo no deseado activado en los ordenadores que ejecutan MicrosoftExchange Server 2010 que tienen instalado el rol de servidor Transporte perimetral. El agente de filtro de conexión depende de la dirección IP del servidor remoto que se está intentando conectar para determinar qué acción hay que ejecutar, si fuere necesario, con un mensaje entrante. La dirección IP remota está disponible para el agente de filtro de conexión como consecuencia de la conexión TCP/IP subyacente que se necesita para la sesión SMTP. Dado que, para ser efectivo, el agente de filtro de conexión debe evaluar la dirección IP del servidor remoto que está enviando el mensaje, normalmente este agente está habilitado en el servidor Transporte perimetral expuesto a Internet. Pero también se puede configurar de forma adicional para ejecutar el agente de filtro de conexión a nivel más profundo en la ruta de acceso del mensaje entrante.
Cuando se configuran agentes contra correo electrónico no deseado en un servidor de transporte perimetral, los agentes actúan sobre los mensajes de forma acumulativa con el fin de reducir el número de mensajes no solicitados que entran en la organización. Para reducir la redundancia y mejorar el rendimiento y la eficacia generales del sistema, es importante comprender el orden en el que los agentes evalúan los mensajes entrantes. Comprender el orden en el que los filtros evalúan los mensajes entrantes ayudará a optimizar la configuración de los servidores de transporte de bordes. Para obtener más información acerca de cómo planear e implementar los agentes contra correo electrónico no deseado, consulte Descripción de la funcionalidad contra correo no deseado y antivirus.
Cuando se habilita el agente de filtro de conexiones, éste es el primer agente contra correo electrónico no deseado que se ejecuta al evaluar un mensaje entrante.
Cuando se envía un mensaje entrante a un servidor de transporte de bordes en el que está habilitado el agente de filtro de conexiones, la dirección IP origen de la conexión SMTP se compara con listas de IP admitidas e IP no admitidas. Si la dirección IP origen está incluida en una lista de IP no admitidas, se cancela la conexión SMTP cuando se procesan todos los encabezados RCPT TO del mensaje.
Nota
Es posible que el momento en el que se cancela una conexión dada dependa de otras configuraciones que se usen contra el correo no deseado. Por ejemplo, se puede especificar qué destinatarios siempre reciben los mensajes de correo electrónico, incluso cuando la dirección IP origen está bloqueada. Asimismo, también se pueden configurar otros agentes que dependan del análisis del contenido del comando DATA. El agente de filtro de conexiones siempre cancela las conexiones bloqueadas de acuerdo con la configuración general contra correo electrónico no deseado.
Si la dirección IP de origen no está incluida en las listas de direcciones IP permitidas o de direcciones IP bloqueadas, el mensaje continúa fluyendo a través de otros agentes contra correo no deseado que estén configurados.
¿Está buscando tareas de administración relacionadas con las funciones antivirus y contra correo no deseado? Consulte Administración de funciones antivirus y contra correo no deseado.
Contenido
Listas de IP admitidas y de IP no admitidas
Configuración del agente de filtro de conexión para servidores Transporte perimetral que no son el primer punto de entrada de SMTP
Prueba de la funcionalidad de las listas de direcciones IP bloqueadas e IP permitidas
Listas de IP admitidas y de IP no admitidas
El agente de filtro de conexión compara la dirección IP del servidor que está enviando un mensaje con cualquiera de los siguientes almacenes de datos de direcciones IP:
Listas de IP admitidas y de IP no admitidas definidas por el administrador
proveedores de listas de direcciones IP bloqueadas
proveedores de lista de IP permitidas
Para obtener más información acerca de los proveedores de listas de IPs no admitidos, consulte "Proveedores de listas de IP no admitidas" más adelante en este tema.
Se debe configurar al menos uno de estos almacenes de datos de direcciones IP, para que el agente de filtro de conexiones sea operativo. Si los almacenes de datos de direcciones IP no contienen las direcciones en las listas de direcciones IP bloqueadas o de direcciones IP permitidas, o bien no tiene configurado ningún proveedor de listas de direcciones IP bloqueadas o listas de direcciones IP permitidas, debería deshabilitar el agente de filtro de conexión.
Listas de IP admitidas y de IP no admitidas definidas por el administrador
Los administradores de servidores de transporte de bordes mantienen listas de direcciones IP que ellos mismos han definido. Puede introducir y eliminar las direcciones IP que quiera admitir o no usando la Exchange Consola de administración (EMC) o el Exchange Shell de administración. Las direcciones IP se pueden agregar individualmente, mediante intervalos de direcciones IP o mediante la dirección IP y la máscara de subred.
Cuando se agrega una dirección IP o un intervalo de direcciones IP, debe especificarse como una dirección de lista de direcciones IP permitidas o de direcciones IP bloqueadas. Asimismo, también se puede establecer un período de expiración para cada entrada de la lista de direcciones IP bloqueadas que se cree. Cuando se establece un período de expiración, éste especifica durante cuánto tiempo está activa la entrada de la lista de direcciones IP bloqueadas. Cuando se llega al final del período de expiración, se deshabilita la entrada de la lista de direcciones IP bloqueadas.
Mediante el uso de listas de IP admitidas y de IP no admitidas definidas por el administrador, se puede configurar el filtrado de conexiones para que sea compatible con las siguientes situaciones:
Para eximir las direcciones IP de las listas de proveedores de listas de direcciones IP no admitidas
Es posible que tenga que quitar direcciones IP de las listas de direcciones IP bloqueadas de un proveedor, en el caso de que, por error, haya puesto algún remitente legítimo en una lista de direcciones IP bloqueadas proporcionada por un proveedor. Por ejemplo, se podría incluir involuntariamente a remitentes legítimos en una lista de IP no admitidas cuando se configuró por accidente el servidor SMTP para que actuara como un retransmisor abierto. En esta situación, el remitente probablemente intentará corregir esta configuración errónea y eliminar su dirección IP de la lista de direcciones IP bloqueadas del proveedor.
Para obtener más información acerca de los proveedores de listas de IPs no admitidos, consulte "Proveedores de listas de IP no admitidas" más adelante en este tema.
Para denegar el acceso a las direcciones IP que son origen de mensajes de correo electrónico no solicitado pero que no están en las listas de direcciones IP no admitidas de los proveedores
A veces, es posible que reciba una gran cantidad de mensajes no solicitados de un origen que todavía no ha sido identificado por un servicio de lista de bloqueo en tiempo real al cual se haya suscrito.
Proveedores de listas de IP no admitidas
Los servicios del proveedor de listas de IP no admitidas pueden ayudar a reducir el número de mensajes de correo electrónico no solicitados que entran en la organización.
Nota
Con frecuencia, los servicios proveedores de listas de direcciones IP bloqueadas se conocen como servicios de listas de bloqueo en tiempo real o RBL. La Consola de administración de Exchange se refiere a los servicios de listas de bloqueo en tiempo real como servicios proveedores de listas de direcciones IP bloqueadas. Los términos servicio de listas de bloqueo en tiempo real y servicio proveedor de listas de direcciones IP bloqueadas son equivalentes.
Los servicios proveedor de listas de IP no admitidas compilan listas de direcciones IP desde las que se han originado correos no deseados en el pasado. Además, algunos proveedores de listas de IP no admitidas proporcionan listas de direcciones IP para las que el SMTP está configurado para retransmisiones abiertas. También hay servicios proveedor de listas de IP no admitidas que proporcionan listas de direcciones IP compatibles con el acceso telefónico. Los proveedores de acceso a Internet (ISP) que proporcionan acceso telefónico a sus clientes asignan direcciones IP dinámicas a cada sesión de acceso telefónico. Algunos proveedores de servicios Internet bloquean el tráfico SMTP proveniente de cuentas con acceso telefónico. Por lo general, estos ISP y los intervalos de IP de acceso telefónico del operador no están incluidos en las listas de direcciones IP bloqueadas. No obstante, algunos ISP permiten que los clientes envíen tráfico SMTP desde cuentas de acceso telefónico. Los usuarios malintencionados se aprovechan de los ISP que permiten el tráfico SMTP para enviar correo electrónico no deseado desde direcciones IP dinámicas. Cuando la dirección IP se incluye en una lista de IP no admitidas, los usuarios malintencionados inician otra sesión de acceso telefónico y reciben una nueva dirección IP. Con frecuencia, un único proveedor de listas de IP no admitidas puede proporcionar una lista de direcciones IP que cubra todas estas amenazas de correo no deseado.
Se pueden establecer diferentes configuraciones de proveedor de listas de direcciones IP bloqueadas mediante el uso de la Consola de administración de Exchange o el Shell. Cada servicio requiere una configuración de proveedor de listas de direcciones IP bloqueadas propia en la Consola de administración o el Shell.
Cuando se configura el agente de filtro de conexiones para que use un proveedor de listas de IPs no admitidos, éste consulta al servicio proveedor de listas de IP no admitidas para determinar si existe una coincidencia con las direcciones IP de las conexiones, antes de aceptar que el mensaje entre en la organización.
Antes de que el agente de filtro de conexiones se ponga en contacto con dicho proveedor para comprobar una dirección IP, ésta se compara primero con las listas de IP no admitidas e IP admitidas definidas por el administrador. Si la dirección IP no existe en ninguna de estas dos listas, el agente de filtro de conexión consulta al proveedor de listas de direcciones IP bloqueadas de acuerdo con la clasificación de prioridad que se haya asignado a cada proveedor. Si la dirección IP aparece en la lista de IP no admitidas de un proveedor, el servidor de transporte de bordes espera y analiza el encabezado RCPT TO, responde al sistema que lo ha enviado con un error SMTP 550 y cierra la conexión. Si la dirección IP no aparece en las listas de direcciones IP bloqueadas de ninguno de los proveedores, el siguiente agente de la cadena contra correo no deseado procesa la conexión. Para obtener más información acerca del orden en que los agentes contra correo no deseado y antivirus predeterminados filtran los mensajes entrantes de Internet, consulte Descripción de la funcionalidad contra correo no deseado y antivirus.
Cuando se usa el agente de filtro de conexión, es recomendable usar uno o varios proveedores de listas de direcciones IP bloqueadas para administrar el acceso a la organización. En la mayoría de las organizaciones, el hecho de utilizar una lista de bloqueo definida por el administrador para mantener su propia lista de direcciones IP bloqueadas no sólo lleva mucho tiempo, sino que puede no resultar posible desde el punto de vista de los recursos humanos. Por consiguiente, es recomendable usar un proveedor externo de listas de direcciones IP bloqueadas, cuyo único objetivo es mantener dichas listas.
No obstante, el uso de un proveedor de listas de IP no admitidas puede tener algunas desventajas. Debido a que el agente de filtro de conexiones debe consultar una entidad externa para cada dirección IP desconocida, los períodos de interrupción de la actividad o los retrasos en el servicio proveedor de listas de IP no admitidas pueden provocar retrasos en el procesamiento de mensajes en el servidor de transporte de bordes. En casos extremos, estos períodos de interrupción o retrasos podrían causar un cuello de botella en el flujo del correo del servidor de transporte de bordes.
La otra desventaja de usar un servicio proveedor de listas de IP no admitidas externo es que en ocasiones se incluye por error a remitentes legítimos en las listas de IP no admitidas de los proveedores de listas de IP no admitidas. Por ejemplo, es posible que se agreguen remitentes legítimos a las listas de direcciones IP bloqueadas que administra un proveedor debido a que el servidor SMTP se ha configurado erróneamente y de forma accidental para actuar como una retransmisión abierta.
En cada servicio proveedor de listas de direcciones IP bloqueadas que se configure, se puede personalizar el error SMTP 550 que se devuelve al remitente cuando la dirección IP de éste coincide con un servicio proveedor de listas de direcciones IP bloqueadas y, por consiguiente, el agente de filtro de conexión la bloquea. Es recomendable personalizar el error SMTP 550 para localizar el servicio proveedor de listas de direcciones IP bloqueadas que ha identificado al remitente como una dirección IP bloqueada. Esta práctica recomendada permite que los remitentes legítimos se pongan en contacto con el servicio proveedor de listas de direcciones IP bloqueadas para que se les elimine de la lista de direcciones IP bloqueadas de dicho servicio.
Los distintos servicios proveedores de listas de direcciones IP bloqueadas pueden devolver códigos diferentes si la dirección IP de un servidor remoto que envía un mensaje coincide con una dirección IP de la lista de direcciones IP bloqueadas del servicio proveedor. La mayoría de los servicios proveedores de listas de direcciones IP no admitidas devuelven uno de los siguientes tipos de datos: máscara de bits o valor absoluto. Entre estos tipos de datos, puede haber varios valores que indican el tipo de lista en la que se encuentra la dirección IP enviada.
Ejemplo de máscara de bits
En esta sección, se muestra un ejemplo de los códigos de estado que devuelven la mayoría de los proveedores de listas de bloqueo. Para obtener más detalles acerca de los códigos de estado que devuelve el proveedor, consulte la documentación de ese proveedor en concreto.
Para los tipos de datos de máscara de bits, el servicio proveedor de listas de direcciones IP bloqueadas devuelve un código de estado 127.0.0.x, donde el entero x es cualquiera de los valores que se muestran en la siguiente tabla.
Valores y códigos de estado de los tipos de datos de máscara de bits
| Valor | Código de estado |
|---|---|
1 |
La dirección IP está en una lista de direcciones IP bloqueadas. |
2 |
El servidor SMTP está configurado para actuar como una retransmisión abierta. |
4 |
La dirección IP admite una dirección IP de marcado. |
Para los tipos de valores absolutos, el servicio proveedor de listas de direcciones IP bloqueadas devuelve respuestas explícitas basadas en la causa del bloqueo de la dirección IP. La siguiente tabla muestra algunos ejemplos de valores absolutos y las respuestas explícitas.
Valores y códigos de estado de los tipos de datos de valores absolutos
| Valor | Respuesta explícita |
|---|---|
127.0.0.2 |
La dirección IP es un origen directo de correo no deseado. |
127.0.0.4 |
La dirección IP envía correos masivos. |
127.0.0.5 |
Se sabe que el servidor remoto que envía el mensaje admite retransmisiones abiertas multifase. |
Proveedores de listas de IP admitidas
También se pueden administrar los mensajes entrantes mediante el uso de servicios proveedor de listas de IP admitidas que proporcionan dichas listas, que en el sector del software, en ocasiones, se conocen como listas de direcciones IP seguras o listas blancas. Los proveedores de listas de IP admitidas mantienen listas de direcciones IP sobre las que se tiene certeza de que no están relacionadas con ninguna actividad de correo electrónico no deseado. Cuando un proveedor de listas de direcciones IP permitidas devuelve una coincidencia de dirección IP permitida que indica que la dirección IP del remitente procede muy probablemente de un remitente reputado o seguro, el agente de filtro de conexión retransmite el mensaje al siguiente agente de la cadena contra correo no deseado.
Volver arriba
Configuración del agente de filtro de conexión para servidores Transporte perimetral que no son el primer punto de entrada de SMTP
En algunas organizaciones, el rol de servidor Transporte perimetral está instalado en equipos que no procesan las solicitudes de SMTP directamente en Internet. En este caso, el servidor Transporte perimetral está detrás de otro servidor SMTP de aplicaciones que procesa los mensajes entrantes directamente desde Internet. En tal caso, el agente de filtro de conexiones debe ser capaz de extraer la correcta dirección IP de origen del mensaje. Para extraer y evaluar la dirección IP de origen, el agente de filtro de conexiones debe analizar los encabezados de recepción del mensaje y compararlos con el servidor SMTP conocido en la red perimetral.
Cuando recibe un mensaje, un servidor SMTP que cumple con RFC actualiza el encabezado de recepción del mensaje con el nombre de dominio y la dirección IP del remitente. De esta forma, en cada servidor SMTP que haya entre el remitente de origen y el servidor Transporte perimetral, el servidor SMTP agrega una entrada adicional del encabezado de recepción.
Cuando configure la red perimetral para admitir Exchange 2010, debe especificar todas las direcciones IP de los servicores SMTP de la red perimetral. EdgeSync se encarga de replicar los datos de las direcciones IP en los servidores Transporte perimetral. Cuando el equipo que ejecuta el agente de filtro de conexión recibe un mensaje, se da por hecho que la dirección IP de origen es aquella dirección IP del encabezado de recepción que no coincide con ninguna dirección IP de un servidor SMTP de su red perimetral.
Debe especificar todos los servidores SMTP internos en el objeto de configuración de transporte del bosque de Active Directory antes de ejecutar el filtrado de conexiones. Para especificar los servidores SMTP internos, utilice el parámetro InternalSMTPServers en el cmdlet Set-TransportConfig.
Volver arriba
Prueba de la funcionalidad de las listas de direcciones IP bloqueadas e IP permitidas
Una vez que se ha configurado un servicio proveedor de listas de direcciones IP bloqueadas o un servicio proveedor de listas de direcciones IP permitidas, asegúrese de que el filtrado de conexión está configurado correctamente para ese servicio en particular. La mayoría de los servicios proveedores de listas de direcciones IP bloqueadas o IP permitidas proporcionan direcciones IP de prueba que se pueden usar para probar sus servicios. Cuando se realiza una prueba de un servicio proveedor de listas de direcciones IP bloqueadas o de un servicio proveedor de listas de direcciones IP permitidas, el agente de filtro de conexión emite una consulta DNS (Sistema de nombres de dominio) basada en una dirección IP de la lista de bloqueo en tiempo real, que debería proporcionar una respuesta específica. Para obtener más información acerca de cómo probar direcciones IP en un servicio proveedor de listas de direcciones IP no admitidas o IP admitidas, consulte Test-IPAllowListProvider y Test-IPBlockListProvider.
Volver arriba
© 2010 Microsoft Corporation. Reservados todos los derechos.