Cómo usar la autenticación TLS en Exchange 2007 para enviar y recibir correo de terceros

  • Artículo

 

Se aplica a: Exchange Server 2007 SP3

Última modificación del tema: 2009-09-29

En este tema se describe cómo usar la autenticación TLS (Seguridad de la capa de transporte) junto con Microsoft Exchange Server 2007 para enviar y recibir mensajes de correo con un programa de otro fabricante.

Usando el protocolo TLS, puede ayudar a mejorar la seguridad de la comunicación SMTP en Exchange 2007. TLS es un protocolo estándar que se usa para asegurar las comunicaciones web en Internet o en intranets. TLS permite a los clientes autenticar servidores u, opcionalmente, a los servidores autenticar clientes. También proporciona un canal de seguridad al cifrar las comunicaciones. TLS es la versión más reciente del protocolo Nivel de sockets seguros (SSL).

TSL sobre SMTP ofrece autenticación basada en certificado y ayuda a ofrecer transferencias de datos con seguridad mejorada usando claves de cifrado simétricas. En el cifrado de clave simétrica, también conocido como "secreto compartido", la misma clave se usa para cifrar y descifrar el mensaje. TLS aplica HMAC (código de autenticación de mensajes basado en hash). HMAC usa un algoritmo hash en combinación con una clave secreta compartida para ayudar a asegurar que los datos no se han cambiado durante la transmisión. La clave secreta compartida se adjunta a los datos a los que se aplica código hash. Esto ayuda a mejorar la seguridad del hash porque ambas partes deben tener la misma clave secreta compartida para comprobar que los datos son auténticos.

En versiones anteriores de Exchange, había que configurar TLS manualmente. Además, había que instalar un certificado válido, adecuado para el uso de TLS, en el servidor de Exchange. En Exchange 2007, la instalación crea un certificado autofirmado. De manera predeterminada, TLS está habilitado. Esto permite a cualquier sistema de envío cifrar la sesión SMTP entrante para Exchange. De forma predeterminada, Exchange 2007 intenta también la TLS para todas las conexiones remotas.

Para usar TLS para enviar mensajes de correo a un programa de correo electrónico de otro fabricante, debe configurar el conector de envío. Los conectores de envío se configuran en equipos que ejecutan Exchange 2007 y que tienen instaladas las funciones del servidor Transporte de concentradores o Transporte perimetral. El conector de envío representa una puerta de enlace lógica a través de la que se envían los mensajes salientes.

Para usar TLS para enviar mensajes de correo a un programa de correo electrónico de otro fabricante, debe configurar el conector de recepción. Los conectores de recepción se configuran en equipos con Exchange 2007 que tienen instaladas las funciones del servidor Transporte de concentradores o Transporte perimetral. Los conectores de recepción representan una puerta de enlace lógica a través de la cual se reciben todos los mensajes entrantes.

Para usar TLS para enviar mensajes de correo a un programa de correo de otro fabricante

  1. Inicie la Consola de administración de Exchange.

  2. Siga uno de los siguientes pasos:

    • En un equipo que tiene instalada la función del servidor Transporte perimetral, seleccione Transporte perimetral y, a continuación, haga clic en Conectores de envío.

    • Para crear un conector de envío en la función del servidor Transporte de concentradores, en el árbol de consola, expanda Configuración de la organización, seleccione Transporte de concentradores y, a continuación, haga clic en Conectores de envío.

  3. En el panel de acciones, haga clic en Nuevo conector de envío. Se inicia entonces el asistente para nuevo conector de envío SMTP.

  4. En la página Introducción escriba un nombre con sentido para el conector en el campo Nombre. Este nombre se usa para identificar el conector.

  5. En la lista Seleccionar el uso intencionado de este conector, seleccione Personalizado y haga clic en Siguiente.

  6. En la página Espacio de direcciones, haga clic en Agregar.

  7. En el cuadro de diálogo Espacio de direcciones SMTP, escriba el dominio externo del servidor de correo del otro fabricante. Por ejemplo, escriba *.contoso.com para el dominio contoso.com.

  8. Haga clic en Aceptar y, a continuación, en Siguiente.

  9. En la página Opciones de red, haga clic en Usar registros "MX" de Sistema de nombres de dominio (DNS) para enrutar correo automáticamente y haga clic en Siguiente. O haga clic en Enrutar todo el correo a través del siguiente host inteligente y siga estos pasos:

    1. Haga clic en Agregar.

    2. En el cuadro de diálogo Agregar host inteligente, seleccione Dirección IP o Nombre de dominio completo (FQDN) para especificar cómo ubicar el host inteligente. Si selecciona Dirección IP, introduzca la dirección IP del host inteligente. Si selecciona Nombre de dominio completo (FQDN), introduzca el FQDN del host inteligente. El servidor de envío debe poder resolver el FQDN.

    3. Cuando haya terminado, haga clic en Aceptar.

    4. Para agregar más hosts inteligentes, haga clic en Agregar y repita los pasos b y c.

    5. Para editar la configuración de un host inteligente, seleccione el host inteligente y, a continuación, haga clic en Editar.

    6. Para quitar un host inteligente existente, seleccione el host inteligente y, a continuación, haga clic en Icono Quitar.

    7. Cuando haya terminado, haga clic en Siguiente.

    8. En la página Configuración de seguridad de host inteligente, seleccione Autenticación básica sobre TLS y, a continuación, haga clic en Siguiente.

  10. De forma predeterminada, el servidor de transporte de concentradores en el que se está trabajando aparece en la lista como servidor de origen en la página Servidor de origen. Para agregar un servidor de origen, haga clic en Agregar. En el cuadro de diálogo Seleccionar servidores de transporte de concentradores y suscripciones perimetrales, seleccione los servidores de transporte de concentradores o los servidores de transporte perimetral suscritos que se usarán como servidor de origen para enviar mensajes al espacio de direcciones que proporcionó en el paso 7. La lista de servidores de origen puede contener todos los servidores de transporte de concentradores o todos los servidores de transporte perimetral, pero no una mezcla de ambos. Cuando termine de agregar servidores de origen adicionales, haga clic en Aceptar.

    Para agregar más servidores de origen, haga clic en Agregar y repita este paso.

    Para quitar un servidor de origen existente, seleccione el servidor de origen y, a continuación, haga clic en Icono Quitar.

    Cuando haya terminado, haga clic en Siguiente.

  11. En la página Nuevo conector, revise el resumen de configuración del conector. Si desea modificar la configuración, haga clic en Atrás. Para crear un conector de envío mediante las opciones del resumen de configuración, haga clic en Nuevo.

  12. En la página Finalización, haga clic en Finalizar.

  13. Algunos programas de otros fabricantes, como Gentoo Linux, no precisan más configuración. Pruebe la conexión. Si la conexión no se puede completar, siga estos pasos:

    1. En el panel de trabajo, haga clic con el botón secundario en el conector que ha creado y, a continuación, haga clic en Propiedades.

    2. En la ficha Red, active Habilitar la seguridad de dominio (Autenticación TLS mutua) y haga clic en Aceptar.

    3. Cierre la Consola de administración de Exchange.

    4. Reinicie el servicio de transporte de Microsoft Exchange.

Para usar TLS para recibir mensajes de correo de un programa de correo de otro fabricante

  1. Inicie la Consola de administración de Exchange.

  2. Siga uno de los siguientes pasos:

    1. En un equipo que tiene instalada la función del servidor Transporte perimetral, seleccione Transporte perimetral y, a continuación, en el panel de trabajos, haga clic en la ficha Conectores de recepción.

    2. Para crear un conector de recepción en una función del servidor Transporte de concentradores, en el árbol de consola, expanda Configuración del servidor y seleccione Transporte de concentradores. En el panel de resultados, seleccione el servidor en el que desea crear el conector y, a continuación, haga clic en la ficha Conectores de recepción.

  3. En el panel de acciones, haga clic en Nuevo conector de recepción. Se inicia el Asistente para nuevo conector de recepción SMTP.

  4. En la página Introducción, escriba un nombre con sentido para el conector en el campo Nombre. Este nombre se usa para identificar el conector.

  5. En la lista Seleccionar el uso intencionado de este conector, seleccione Personalizado y haga clic en Siguiente.

  6. En la página Configuración de red local, haga clic en Agregar.

  7. En el cuadro de diálogo Agregar enlace de conector de recepción, seleccione una de las siguientes opciones:

    • **Usar todas las direcciones IP disponibles en este servidor  **Si selecciona esta opción, el conector escucha las conexiones de todas las direcciones IP asignadas a los adaptadores de red del servidor local.

    • Especificar una dirección IP   Si selecciona esta opción, debe escribir una dirección IP que se asigne a un adaptador de red del servidor local. El conector escucha únicamente las conexiones de la dirección IP que proporcione.

      Nota

      Debe especificar una dirección IP local que sea válida para el servidor de transporte de concentradores o para el servidor de transporte perimetral donde el conector de recepción esté ubicado. Si especifica una dirección IP local no válida, puede que el servicio de transporte de Microsoft Exchange no consiga iniciarse cuando se reinicie el servicio.

  8. En la página Configuración de red local, en el campo Puerto, escriba un número de puerto y haga clic en Aceptar. Para agregar varias direcciones IP locales a este conector, haga clic en Agregar y repita este paso. Para cambiar una entrada previa, selecciónela y haga clic en Editar. Para quitar una entrada existente, seleccione la entrada y haga clic en Icono Quitar.

  9. En la página Configuración de red local, vaya al campo Especificar el FQDN que proporcionará este conector en respuesta a HELO o EHLO y escriba el nombre indicado en la respuesta al verbo SMTP HELO o EHLO. Si deja este campo en blanco, se agregará de manera automática el nombre de dominio completo (FQDN) del servidor de transporte de concentradores o del servidor de transporte perimetral cuando se cree el conector. Haga clic en Siguiente.

  10. En la página Configuración de red remota, escriba la dirección IP y el intervalo de dirección IP de los programas de otros fabricantes desde los que el conector aceptará conexiones entrantes. Para agregar la dirección IP remota o intervalos de IP remota, use uno de los métodos siguientes:

    • Para introducir una dirección IP o subred sin una máscara de subred o para especificar una máscara de subred usando la notación de Enrutamiento de interdominios sin clases (CIDR), haga clic en Agregar o en la flecha desplegable que aparece al lado de Agregar y seleccione Dirección IP. En el cuadro de diálogo Agregar direcciones IP de servidores remotos, introduzca la dirección IP usando uno de los siguientes métodos:

      Dirección IP sin una máscara de subred   Por ejemplo, 192.168.1.0. Si no especifica una máscara de subred usando notación CIDR, se asumirá la máscara de subred predeterminada de la clase.

      Dirección IP que usa la notación CIDR**   Por ejemplo: 192.168.1.0/24**.

    • Para introducir una dirección IP o una subred junto con una máscara de subred en notación decimal con puntos, haga clic en la flecha desplegable que aparece al lado de Agregar y seleccione IP y máscara. En el cuadro de diálogo Agregar servidores remotos: IP y máscara, escriba la dirección IP y la máscara de subred usando la siguiente sintaxis:

      Dirección IP  Por ejemplo, escriba 192.168.1.0.

      Máscara de subred   Por ejemplo, escriba 255.255.255.0.

    • Para especificar un intervalo de dirección IP usando la primera dirección IP y la última dirección IP en el intervalo, haga clic en la flecha desplegable que aparece al lado de Agregar y seleccione Intervalo IP. En el cuadro de diálogo Agregar servidores remotos: Intervalo IP, escriba la dirección IP usando la siguiente sintaxis:

      Dirección de inicio  Por ejemplo, escriba 192.168.1.1.

      Dirección final   Por ejemplo, escriba 192.168.255.255.

      Como no puede especificar una máscara de subred, se supondrá que es la máscara de subred predeterminada de la clase.

    Cuando haya terminado, haga clic en Aceptar. Para agregar varios intervalos de redes remotas a este conector, haga clic en Agregar y repita este paso. Para modificar una entrada anterior, seleccione la entrada y haga clic en Editar. Para quitar una entrada existente, seleccione la entrada y haga clic en Icono Quitar.

  11. Cuando haya terminado, haga clic en Siguiente.

  12. En la página Conector nuevo, revise el resumen de configuración del conector. Si desea modificar la configuración, haga clic en Atrás. Para crear el conector de recepción mediante la configuración del resumen de configuración, haga clic en Nuevo.

  13. En la página Finalización, haga clic en Finalizar.

  14. En el panel de trabajo, haga clic con el botón secundario en el conector que ha creado y, a continuación, haga clic en Propiedades.

  15. En Autenticación, active Habilitar la seguridad de dominio (Autenticación TLS mutua) si alguna de las condiciones siguientes es verdadera:

    • El servidor de envío y de recepción usan un certificado público de un emisor de certificados de confianza.

    • El servidor de envío y de recepción usan un certificado emitido automáticamente con el certificado raíz de cada uno instalado como el certificado raíz de confianza.

  16. En Grupos de permisos, haga clic para activar la casilla Usuarios anónimos y, a continuación, haga clic en Aceptar.

  17. Cierre la Consola de administración de Exchange.

  18. Inicie el Shell de administración de Exchange.

  19. Ejecute el cmdlet siguiente:

    Set-ReceiveConnector  -identity  <ReceiveConnectorIdParameter> -RequireTLS $true -AuthenticationMechanism TLS

  20. Si una de las condiciones siguientes es verdadera:

    • El servidor de envío y de recepción usan un certificado público de un emisor de certificados de confianza.

    • El servidor de envío y de recepción usan un certificado emitido automáticamente con el certificado raíz de cada uno instalado como el certificado raíz de confianza.

    Ejecute el cmdlet siguiente:

    Set-TransportConfig -TLSReceiveDomainSecureList <remotedomain>.com, <remotedomain>.net

  21. Reinicie el servicio de transporte de Microsoft Exchange.

Más información

Para obtener más información acerca de los conectores de envío, consulte los temas Conectores de envío y Cómo crear un nuevo conector de envío:

Para obtener más información acerca de los conectores de recepción, consulte los temas Conectores de recepción y Cómo crear un conector de recepción nuevo:

Para obtener más información acerca del cmdlet Set-ReceiveConnector, consulte Set-ReceiveConnector.

Para obtener más información acerca del cmdlet Set-TransportConfig, consulte Set-TransportConfig.

Para obtener más información sobre el uso del protocolo TLS junto con Exchange 2007, consulte los temas siguientes: