Descripción de la reputación del remitente
Se aplica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Última modificación del tema: 2010-07-07
La reputación del remitente es una funcionalidad contra correo no deseado que se habilita en equipos que tienen instalado el rol de servidor Transporte perimetral de MicrosoftExchange Server 2010, con el fin de bloquear mensajes según distintas características del remitente. La reputación del remitente depende de datos conservados acerca del remitente para determinar qué acción se realizará con el mensaje entrante, en caso de tener que realizar alguna.
Cuando se configuran agentes contra correo electrónico no deseado en un servidor de transporte de bordes, los agentes actúan sobre los mensajes de forma acumulativa con el fin de reducir el número de mensajes no solicitados que entran en la organización. Para obtener más información acerca de cómo planear e implementar los agentes contra correo electrónico no deseado, vea Descripción de la funcionalidad contra correo no deseado y antivirus (en inglés).
¿Está buscando tareas de administración relacionadas con la administración de servidores de transporte? Consulte Administración de servidores de transporte.
Contenido
Cálculo del nivel de reputación del remitente
Uso de SRL
Cómo habilitar y configurar la detección de servidores proxy abiertos
Establecimiento del umbral de bloqueo de SRL
Cálculo del nivel de reputación del remitente
El nivel de reputación del remitente (SRL) se calcula a partir de las siguientes estadísticas:
Análisis de HELO/EHLO Los comandos SMTP HELO y EHLO están pensados para proporcionar el nombre de dominio, como, por ejemplo, Contoso.com, o la dirección IP, del servidor SMTP remitente al servidor SMTP receptor. Los usuarios malintencionado que envían correo electrónico no deseado, con frecuencia falsifican la instrucción HELO/EHLO de diferentes formas. Por ejemplo, escriben una dirección IP que no coincide con la dirección IP desde la que se originó la conexión. Se sabe que las personas que envían correo electrónico no deseado están admitidas localmente en el servidor receptor de la instrucción HELO para intentar aparentar que los dominios se encuentran en la organización. En otros casos, los spammers cambian el dominio que se pasa a la instrucción HELO. El comportamiento típico de un usuario legítimo puede ser usar un conjunto de dominios diferente, pero relativamente constante, en las instrucciones HELO.
Así pues, el análisis de la instrucción HELO/EHLO por remitente puede indicar que éste tiene probabilidades de ser una persona que envía correo electrónico no deseado. Por ejemplo, un remitente que proporciona muchas instrucciones HELO/EHLO únicas diferentes en un período de tiempo específico, tiene muchas probabilidades de ser alguien que envía correo electrónico no deseado. Los remitentes que constantemente proporcionan a la instrucción HELO una dirección IP que no coincide con la dirección IP de origen que ha determinado el agente de filtro de conexiones también tienen más probabilidades de ser spammers, al igual que los remitentes remotos que siempre proporcionan a la instrucción HELO un nombre de dominio local que se halla en la misma organización que el servidor Transporte perimetral.
Búsqueda de DNS inversa La reputación del remitente también comprueba que la dirección IP de origen, desde la que el remitente transmitió el mensaje, coincide con el nombre de dominio registrado que el remitente envía en el comando SMTP HELO o EHLO.
La reputación del remitente realiza una consulta inversa de DNS al enviar la dirección IP de origen a DNS. El resultado que devuelve DNS es el nombre de dominio que está registrado mediante el uso de la autoridad de nombres de dominio para esa dirección IP. La reputación del remitente compara el nombre de dominio que devuelve DNS con el nombre de dominio que el remitente envió en el comando SMTP HELO/EHLO. Si los nombres de dominio no coinciden, es probable que el remitente esté enviando correo no deseado, por lo que la clasificación SRL general del remitente se ajusta al alza.
El agente de Id. del remitente realiza una tarea similar, pero el éxito de este agente depende de los remitentes legítimos para actualizar su infraestructura de DNS e identificar a todos los servidores SMTP que envían correo electrónico en la organización. Al realizar una búsqueda inversa de DNS, se puede ayudar a identificar a posibles personas que envían correo electrónico no deseado.
Análisis de clasificaciones SCL de los mensajes de un remitente en particular Cuando el agente de filtro de contenido procesa un mensaje, le asigna una clasificación de nivel de confianza de correo no deseado (SCL). La clasificación SCL es un número del 0 al 9. Una clasificación SCL alta indica que un mensaje tiene más probabilidades de ser un correo no deseado. Los datos de cada remitente y las clasificaciones que obtienen sus mensajes se guardan para que la reputación del remitente los analice. La reputación del remitente calcula estadísticas para un remitente de acuerdo a la relación entre todos los mensajes de ese remitente que han obtenido una clasificación SCL baja en el pasado y todos los mensajes de ese remitente que han obtenido una clasificación SCL alta en el pasado. Asimismo, se aplica a la clasificación SRL general el número de mensajes con una clasificación SCL alta que ese remitente ha enviado el último día.
Prueba de proxy abierto del remitente Un proxy abierto es un servidor proxy que acepta solicitudes de conexión de cualquiera, desde cualquier lugar, y reenvía el tráfico tal y como se origina en los hosts locales. Los servidores proxy retransmiten tráfico TCP a través de hosts de servidores de seguridad para proporcionar a las aplicaciones de usuario un acceso transparente a través del firewall. Debido a que los protocolos proxy son ligeros e independientes de los protocolos de las aplicaciones de usuario, hay muchos servicios que los pueden usar. También se pueden utilizar para compartir una sola conexión a Internet entre diferentes hosts y normalmente se configuran para que sólo los puedan atravesar los hosts de confianza en el interior del firewall.
Los proxies existen a causa de una de las siguientes condiciones:
Errores de configuración accidentales
Programas troyanos malintencionados. Un programa Troyano es un programa que se enmascara como otro programa común para intentar recibir información.
Si el registro es insuficiente, con frecuencia los proxies abiertos constituyen la vía perfecta para que los usuarios malintencionados oculten su identidad verdadera e inicien ataques por denegación de servicio (DoS) o envíen correo no deseado. Dado que cada vez hay más servidores proxy configurados como abiertos de forma predeterminada, los proxies abiertos son cada vez más habituales. Además, los usuarios malintencionados pueden usar varios proxies abiertos para ocultar la dirección IP de origen.
Si la reputación del remitente realiza una prueba de proxy abierto, lo hace mediante la aplicación de formato a una solicitud SMTP para intentar volver a conectarse al servidor de transporte de bordes desde el proxy abierto. Si se recibe una solicitud SMTP desde el proxy, la reputación del remitente comprueba que el proxy es un proxy abierto y actualiza la estadística de prueba de proxy abierto para ese remitente.
La reputación del remitente examina todas las estadísticas y calcula el SRL de cada remitente. El SRL es un número comprendido entre 0 y 9 que predice la probabilidad de que un remitente específico sea alguien que envía correo electrónico no deseado o un usuario malintencionado. Un valor de 0 indica que no es probable que el remitente envíe correo no deseado, mientras que un valor de 9 indica que sí es probable.
Se puede configurar un umbral de bloqueo del 0 al 9, en el que la reputación del remitente emite una solicitud al agente de filtro de remitentes y, por lo tanto, bloquea al remitente para que no pueda enviar el mensaje a la organización. Cuando se bloquea a un remitente, éste se agrega a la lista Remitentes bloqueados durante un período de tiempo que se puede configurar. La forma en la que se tratan los mensajes depende de la configuración del agente de filtro de remitentes. Las siguientes acciones son las opciones que se pueden elegir para tratar los mensajes bloqueados:
Rechazar
Eliminar y archivar
Aceptar y marcar como remitente bloqueado
Si un remitente está incluido en la lista de IP bloqueadas o en el Servicio de reputación de IP de Microsoft, la reputación del remitente emite una solicitud inmediata al agente de filtro de remitentes para que bloquee al remitente. Para aprovechar esta funcionalidad, se debe habilitar y configurar el servicio de actualización contra correo no deseado de Microsoft Exchange.
De forma predeterminada, el servidor Transporte perimetral establece una clasificación de 0 para los remitentes que no se han analizado. Cuando un remitente ha enviado 20 o más mensajes, la reputación del remitente calcula un SRL basado en las estadísticas descritas anteriormente en este tema.
Volver al principio
Uso de SRL
La reputación del remitente actúa sobre los mensajes en dos fases de la sesión SMTP:
En el comando MAIL FROM: SMTP La reputación del remitente sólo actúa sobre un mensaje si está bloqueado o si los agentes de filtro de conexiones, filtro de remitentes, filtro de destinatarios o Id. del remitente han actuado sobre él anteriormente. En este caso, la reputación del remitente recupera la clasificación SRL actual del remitente a partir del perfil de éste, que está almacenado en la base de datos del servidor Transporte perimetral. Cuando se recupera y evalúa esta clasificación, la configuración del servidor de transporte de bordes dicta el comportamiento que tiene lugar en una conexión particular de acuerdo con el umbral de bloqueo.
Tras el comando SMTP "fin de datos" Se emite el comando SMTP fin de transferencia de datos (_EOD) cuando se han enviado todos los datos reales del mensaje. En este punto de la sesión SMTP, muchos de los agentes contra correo electrónico no deseado ya han procesado el mensaje. Como resultado del procesamiento contra el correo electrónico no deseado, se actualizan las estadísticas de las que depende la reputación del remitente. De esta forma, la reputación del remitente tiene datos para calcular o recalcular una clasificación SRL para el remitente.
Para obtener más información, consulte Configurar las propiedades de la reputación del remitente.
Volver al principio
Cómo habilitar y configurar la detección de servidores proxy abiertos
La reputación de remitente evalúa varias características de remitente para calcular un SRL. Entre las características que evalúa la reputación de remitente se encuentran los resultados de una prueba de servidores proxy abiertos. Con frecuencia, los emisores de correo no deseado enrutan mensajes a través de servidores proxy abiertos en Internet. Al hacer esto, los spammers pueden enviar mensajes que parecen proceder de otro servidor distinto al suyo.
Cuando la reputación de remitente calcula un SRL, intenta conectar con la dirección IP de origen del remitente mediante varios protocolos proxy comunes, como son SOCKS4, SOCKS5, HTTP, Telnet, Cisco y Wingate. La reputación de remitente da formato a una solicitud específica del protocolo en un intento de volverse a conectar al servidor Transporte perimetral desde el servidor proxy abierto y usando una solicitud SMTP. Si se recibe una solicitud SMTP desde el servidor proxy, la reputación de remitente comprueba que el servidor proxy es un servidor proxy abierto y ajusta la clasificación de SRL de acuerdo con este resultado. De forma predeterminada, la detección de los servidores proxy abiertos está habilitada en la reputación de remitente.
Para obtener más información acerca de cómo habilitar la detección de servidores proxy abiertos, consulte Configurar las propiedades de la reputación del remitente.
Para obtener más información acerca de cómo configurar la detección de servidores proxy abiertos, consulte Configurar el acceso saliente para la detección de servidores proxy abiertos para la reputación del remitente.
Volver al principio
Establecimiento del umbral de bloqueo de SRL
El SRL es un número comprendido entre 0 y 9 que predice la probabilidad de que un remitente específico sea alguien que envía correo electrónico no deseado o un usuario malintencionado. Debe establecer un umbral para bloquear al remitente mediante SRL. El umbral de bloqueo de SRL define el valor de SRL que se debe superar para que la reputación de remitente bloquee a un remitente. De forma predeterminada, el SRL se establece en 7. Es recomendable supervisar la efectividad del agente en el nivel predeterminado. Es posible que pueda ajustar el valor para satisfacer las necesidades de la organización. Si establece otros agentes contra correo no deseado de forma agresiva, quizás pueda establecer un umbral SRL para la reputación de remitente superior al que habría establecido, si el resto de agentes contra correo no deseado no estuvieran configurados de forma tan agresiva. Para obtener más información acerca de cómo ajustar las configuraciones contra correo no deseado para que funcionen conjuntamente para reducir el correo no deseado, vea Descripción de la funcionalidad contra correo no deseado y antivirus (en inglés).
Si se supera el umbral de bloqueo de SRL en un remitente particular, la reputación de remitente lo agrega a la lista de direcciones de IP bloqueadas del agente de filtro de conexiones. A veces, los spammers envían lotes de correo no deseado desde un único remitente. En esta situación, si la reputación de remitente calcula un SRL que supera el umbral de bloqueo de SRL, el remitente se agrega a la lista de remitentes bloqueados por un intervalo de tiempo que se puede configurar. La duración predeterminada es de 24 horas. Transcurridas estas 24 horas, se quita al remitente de la lista de remitentes bloqueados para que pueda volver a enviar mensajes.
Cuando se agrega un remitente a la lista de direcciones IP bloqueadas, la reputación de remitente elimina el perfil de dicho remitente. La reputación de remitente elimina el perfil porque el perfil existente del remitente bloqueado indica que el SRL del remitente supera el umbral de bloqueo de SRL. Esto provocaría que el remitente bloqueado se agregara de nuevo a la lista de direcciones IP bloqueadas tan pronto como terminara el tiempo de bloqueo del remitente.
Para obtener más información, consulte Configurar las propiedades de la reputación del remitente.
Volver al principio
© 2010 Microsoft Corporation. Reservados todos los derechos.