Registro de agente contra correo no deseado
Se aplica a: Exchange Server 2013
Los registros de agente graban las acciones realizadas en un mensaje mediante agentes específicos contra correo electrónico no deseado en Microsoft Exchange Server 2013. Únicamente los siguientes agentes pueden escribir información en el registro de agente:
- Agente de filtro de conexión
- Agente de filtro de contenido
- Agente de reglas perimetrales
- Agente de filtro de destinatarios
- Agente de filtro de remitentes
- Agente de Id. de remitente
Nota:
El agente de filtrado de conexiones y el agente de reglas perimetrales no están disponibles en los servidores Buzón de correo.
La información escrita en el registro de agentes depende del agente, del evento SMTP y de la acción realizada en el mensaje.
Puede usar el cmdlet Set-TransportService del Shell de administración de Exchange para realizar todas las tareas de configuración del registro de agente. Las siguientes opciones están disponibles para los registros de agente:
- Habilitar o deshabilitar el registro de agente. El valor predeterminado es habilitado.
- Especificar la ubicación de los archivos de registro de agente. El valor predeterminado es %ExchangeInstallPath%TransportRoles\Logs\Hub\AgentLog.
- Especificar un tamaño máximo para los archivos individuales de registro de agente. El tamaño predeterminado es 10 megabytes (MB).
- Especificar un tamaño máximo para el directorio que contiene los archivos de registro de agente. El tamaño predeterminado es 250 MB.
- Especificar la antigüedad máxima para los archivos de registro de agente. La antigüedad predeterminada es 7 días.
Exchange usa un registro circular para limitar los registros de agente en función del tamaño y la antigüedad del archivo para ayudar a controlar el espacio en disco duro utilizado por los archivos de registro.
Introducción a los agentes de transporte
Los agentes únicamente pueden actuar sobre los mensajes en puntos específicos de la secuencia de comandos SMTP que se usa para transportar los mensajes a través del servicio de transporte en un servidor de buzones de correo o un servidor de transporte perimetral. Estos puntos de acceso de la secuencia de comandos SMTP se denominan Eventos SMTP. Cada agente tiene un valor prioritario que puede asignarse. Sin embargo, los eventos SMTP siempre deben producirse en un orden determinado. Por lo tanto, la prioridad de agentes depende del evento SMTP. Si dos agentes pueden actuar en un mensaje durante el mismo evento SMTP, el agente que tiene mayor prioridad actuará sobre el mensaje en primer lugar.
En la siguiente tabla se enumeran los eventos SMTP en el orden en que suceden y los agentes que escriben la información en el registro de agentes en orden de prioridad (de mayor a menor) para cada evento SMTP.
Eventos SMTP en el orden en que suceden y agentes que escriben la información en el registro de agentes en orden de prioridad para cada evento SMTP
| Evento SMTP | Agente |
|---|---|
| OnConnect | Agente de filtro de conexión |
| OnMailCommand | Agente de filtro de conexión Agente de filtro de remitentes |
| OnRcptCommand | Agente de filtro de conexión Agente de filtro de destinatarios |
| OnEndOfHeaders | Agente de filtro de conexión Agente de Id. de remitente Agente de filtro de remitentes |
| OnEndOfData | Agente de reglas perimetrales Agente de filtrado de contenido |
Nota:
El agente de filtrado de conexiones y el agente de reglas perimetrales no están disponibles en los servidores Buzón de correo.
Para obtener más información sobre los agentes, eventos SMTP y la prioridad de agentes, consulte Agentes de transporte.
Estructura de los archivos de registro de agente
Los registros de agente existen en %ExchangeInstallPath%TransportRoles\Logs\Hub\AgentLog.
La convención de nomenclatura para los archivos de registro del agente es AGENTLOGyyyymmdd-nnnn.log. Los marcadores de posición representan la siguiente información:
- El marcador de posición aaaammdd es la fecha de hora universal coordinada (UTC) en la que se creó el archivo de registro. Marcador de posición aaaa = año, mm = mes y dd = día.
- El marcador de posición nnnn es un número de instancia que comienza en el valor de 1 para cada día.
La información se escribe en el archivo de registro hasta que el tamaño del archivo alcanza su valor máximo especificado y se abre un nuevo archivo de registro que tiene un número de instancia mayor. Este proceso se repite durante el día. El registro circular elimina los archivos de registro más antiguos cuando el directorio de registro de agente alcanza el tamaño máximo especificado o cuando un archivo de registro alcanza la antigüedad máxima especificada.
Los archivos de registro de agentes son archivos de texto que contienen datos en el formato de archivo de valores separados por comas (CSV). Cada archivo de registro de agentes tiene un encabezado que contiene la siguiente información:
- #Software: nombre del software que creó el archivo de registro del agente. Normalmente, el valor es Microsoft Exchange Server.
- #Version: número de versión del software que creó el archivo de registro del agente. Actualmente, el valor es 15.0.0.0.
- #Log-Type: valor de tipo de registro, que es Registro del agente.
- #Date: fecha y hora UTC en que se creó el archivo de registro. La fecha y hora UTC se representa en el formato de fecha y hora ISO 8601: aaaa-mm-ddThh:mm:ss.fffZ, donde aaaa = año, mm = mes, dd = día, T indica el principio del componente de hora, hh = hora, mm = minuto, ss = segundo, fff = fracciones de segundo y Z significa Zulu, que es otra manera de indicar UTC.
- #Fields: nombres de campo delimitados por comas que se usan en los archivos de registro del agente.
Información escrita en el registro de agente
El registro de agentes almacena cada transacción de agentes en una sola línea del registro. La información almacenada en cada línea se organiza por campos. Estos campos se separan con comas. El nombre del campo suele ser lo bastante descriptivo como para determinar el tipo de información que contiene. Sin embargo, algunos campos permanecen en blanco. O el tipo de información almacenada en el campo puede cambiar en función del agente o de la acción que el agente realiza en el mensaje. En la siguiente tabla se describen los campos usados para clasificar cada transacción de agente.
Campos usados para clasificar cada transacción de agente
| Nombre del campo | Descripción |
|---|---|
| Timestamp | Fecha y hora UTC del evento de agente. La fecha y hora UTC se representa en el formato de fecha y hora ISO 8601: aaaa-mm-ddThh:mm:ss.fffZ, donde aaaa = año, mm = mes, dd = día, T indica el principio del componente de hora, hh = hora, mm = minuto, ss = segundo, fff = fracciones de segundo y Z significa Zulu, que es otra manera de indicar UTC. |
| SessionId | Identificador de sesión SMTP exclusivo. Este identificador se representa con un número hexadecimal de 16 dígitos. |
| LocalEndpoint | Dirección IP local y número de puerto que aceptaron el mensaje. Las sesiones SMTP usan normalmente el puerto 25. |
| RemoteEndpoint | Dirección IP y número de puerto del servidor SMTP anterior que se conectaron a este servidor para entregar el mensaje. Cuando el correo Internet fluye a través de un servidor de transporte perimetral en la red perimetral, el valor de RemoteEndpoint en el registro de agente del servidor de buzones de correo será la dirección IP del servidor de transporte perimetral. Aun cuando el mensaje se haya transmitido por SMTP, el número de puerto usado por el servidor de envío será un número aleatorio mayor que 1.024. |
| EnteredOrgFromIP | Dirección IP del servidor SMTP remoto que se conectó en primer lugar a la organización de Exchange para entregar el mensaje. En un servidor de transporte perimetral, el valor de RemoteEndpoint y de EnteredOrgFromIP es el mismo. Los agentes contra correo electrónico no deseado usan la dirección IP en EnteredOrgFromIP para examinar un mensaje. |
| MessageId | Valor del campo de MessageID encabezado. Si este valor está en blanco, el servidor de transporte de Exchange asigna un valor arbitrario, pero solamente si se acepta el mensaje. Después de asignar un valor, el valor de MessageID es constante durante la duración del mensaje. |
| P1FromAddress | Dirección de correo electrónico del remitente especificada en MAIL FROM en el sobre del mensaje. Este valor se usa para transportar el mensaje entre servidores de mensajería SMTP. Este valor sirve como comparación con el valor de P2FromAddresses para saber si la dirección del remitente de la cabecera del mensaje se ha falsificado. |
| P2FromAddresses | Dirección de correo electrónico del remitente especificada en el campo de From encabezado o en el Sender campo de encabezado del encabezado del mensaje. |
| Destinatario | Dirección de correo electrónico de los destinatarios. Aunque el mensaje original puede contener muchos destinatarios, en el registro de agentes sólo se muestra un destinatario por línea. |
| NumRecipients | Número total de destinatarios del mensaje original. |
| Agent | Nombre del agente que ha realizado la acción. Los valores posibles son:
|
| Event | Evento SMTP en el que el agente realizó la acción. El valor de Event depende del agente. Los eventos SMTP disponibles para cada agente se describen en la primera tabla que aparece en este tema. Los posibles valores para el Event son los siguientes:
|
| Action | Acción que el agente realiza en el mensaje. Los posibles valores para la Action son los siguientes:
|
| SmtpResponse | Respuesta SMTP mejorada, tal y como se define en RFC 2034. |
| Reason | Motivo de la acción realizada por el agente. |
| ReasonData | Detalles precisos de la acción realizada por el agente. |
Búsqueda de registros de agente
Puede usar el cmdlet Get-AgentLog y el script Get-AntiSpamFilteringReport.ps1 para buscar los registros de agente.
El script Get-AntiSpamFilteringReport.ps1 se encuentra en %ExchangeInstallPath%Scripts. Debe ejecutar el script en el Shell desde la carpeta de scripts. Para cambiar la ubicación en el Shell a la carpeta de scripts, ejecute el siguiente comando:
Cd $env:ExchangeInstallPath\Scripts
Para ejecutar el script en la carpeta de scripts, use la siguiente sintaxis:
.\Get-AntiSpamFilteringReport.ps1 -report <ReportValue> [<OptionalParameters>]
Para más información sobre el uso del script, ejecute el siguiente comando:
Get-Help -Detailed .\Get-AntiSpamFilteringReport.ps1