• Artículo

Exchange Server 2007

Una elaboración de diarios más eficaz en Exchange 2007

David Strome

 

Resumen:

  • Reglas del diario de Exchange Server 2007
  • El nuevo Asistente para diarios
  • ¿Qué contiene un informe de diario?

¿Alguna vez ha tenido que incluir en el diario mensajes de correo electrónico entrantes y salientes de un usuario específico y ha obtenido los mensajes que buscaba junto con los mensajes de los otros 300 buzones que

residen en ese almacén del buzón? Microsoft Exchange Server 2007 soluciona este problema y le proporciona el control granular necesario.

El registro en diario por destinatario, disponible con las Licencias de acceso de cliente (CAL), permite definir quién debe incluirse en el diario. A través de las reglas de diario, ahora puede definir solamente los destinatarios y remitentes que desee incluir en el diario. Puede restringir el enfoque a un solo buzón, o bien ampliarlo para incluir todo el personal de un departamento de ventas, por ejemplo. Y no hace falta que los buzones se encuentren en el mismo servidor, el mismo sitio de Active Directory® ni incluso la misma organización que usa Exchange. A través de la réplica de Active Directory, los cambios se aplican automáticamente a todos los equipos que ejecutan la función de servidor de transporte del concentrador en la organización.

Funcionamiento del registro en diario

En Exchange Server 2003, el registro en diario se implementó en almacenes del buzón individuales en cada servidor físico. Si deseaba incluir en el diario todos los buzones de la organización, debía configurar el registro en diario para cada uno de los almacenes del buzón. Y si deseaba incluir en el diario los mensajes de un único destinatario, debía incluir todos los usuarios del almacén del buzón de ese usuario o bien crear un nuevo almacén del buzón específico para dicho usuario.

El registro en diario de Exchange Server 2007 usa la nueva topología basada en funciones de Exchange. Tal como se indica en la figura 1, los servidores de transporte del concentrador procesan todos los mensajes entrantes y salientes de los servidores de buzones y de mensajería unificada, de otros sistemas de Exchange, de aplicaciones de otros proveedores y de Internet. Todos los servidores de transporte del concentrador contienen un agente de transporte denominado agente de registro en diario, que es el responsable de aplicar las reglas del diario a los mensajes. Dado que el agente de registro en diario está ubicado en los servidores de transporte del concentrador, encuentra y evalúa todos los mensajes antes de que lleguen al destinatario. El agente de registro en diario actúa en el mensaje después de la categorización. De este modo, se garantiza el acceso a todos los atributos de destinatario y remitente del mensaje y permite al agente determinar si el mensaje se envió directamente a un destinatario o si se recibió a través de una expansión de grupos de distribución. Además, también puede saber si el destinatario se encontraba en las líneas Para, CC o CCO de un mensaje con origen en la organización que usa Exchange Server 2007.

Figura 1 Flujo de correo del servidor de transporte del concentrador

Figura 1** Flujo de correo del servidor de transporte del concentrador **(Hacer clic en la imagen para ampliarla)

El agente de registro en diario aplica reglas de diario configuradas por el administrador a los mensajes a medida que éstos pasan por el servidor de transporte del concentrador. Estas reglas determinan si el agente capturará información acerca de un mensaje y la reenvían junto con el mensaje original a un buzón de diario. Estos datos se envían en un mensaje denominado informe de diario.

Con las versiones anteriores de Exchange, era necesario aplicar configuraciones a varios servidores. Sin embargo, cuando se crea una regla de diario en Exchange Server 2007, ese cambio se aplica a todos los servidores de transporte del concentrador en la organización a través de Active Directory. Todos los servidores de transporte del concentrador y, por tanto, todos los agentes de registro en diario leen la misma configuración desde Active Directory. Por consiguiente, esta cobertura global garantiza que todos los agentes de registro en diario aplican la misma configuración de registro en diario.

Al crear o modificar reglas de diario, tenga en cuenta la réplica de Active Directory, ya que una modificación en la configuración debe replicarse en toda la organización y la deben leer los servidores de transporte del concentrador. Este proceso puede tardar varias horas. Para ayudarle a identificar que se ha actualizado la configuración de registro en diario, Exchange registra un evento en el registro de eventos de seguridad de cada servidor.

Exchange Server 2007 asegura que un informe de diario nunca se pierde debido a un buzón de diario no disponible, independientemente de que esté lleno, mal configurado o esté desconectado. (Esto es de especial utilidad a la hora de satisfacer los distintos requisitos y disposiciones legales, ya que la pérdida de mensajes puede causar un incumplimiento.) Si un informe de diario no se puede entregar a un buzón de diario, el informe permanece en la cola del servidor de transporte del concentrador hasta que el buzón de diario se encuentre disponible. Dado que esto puede ocasionar un rápido crecimiento de las colas, debe controlar la disponibilidad del buzón de diario para asegurarse de que funciona correctamente. Si un buzón de diario permanece no disponible durante un período prolongado, puede configurar uno alternativo para recibir los informes que se encuentran en la cola.

Qué incluir en el diario

Antes de comenzar a crear reglas de diario, debe tener una idea clara de lo que desea hacer y qué tipos de datos desea incluir en el diario. Al especificar un usuario en una regla de diario, puede seleccionar usuarios específicos para el registro en diario. Por ejemplo, estos usuarios pueden estar sujetos a requisitos de disposiciones legales, o bien pueden estar implicados en un proceso legal que requiere que los mensajes de correo electrónico y otras comunicaciones se recopilen como pruebas.

Además de especificar los destinatarios que se deben incluir en el diario, con las opciones Internos, Externos o Global, también puede determinar el alcance de los mensajes que se incluirán en el diario. La opción Internos tiene como objetivo sólo los mensajes de la organización, la opción Externos tiene como objetivo sólo los mensajes en los que el remitente o uno de los destinatarios son externos y la opción Global tiene como objetivo tanto los mensajes internos como los externos. (Tenga en cuenta que la opción Global incluye en el diario todos los mensajes que atraviesan el servidor de transporte del concentrador, incluso los que ya se han procesado mediante las reglas con los alcances Internos y Externos).

Exchange Server 2007 admite la mensajería unificada, de modo que puede configurar Exchange para que recopile el correo electrónico, el correo de voz y los faxes de la bandeja de entrada de un usuario. Esto significa que, además, puede incluir en el diario todos estos datos o bien excluir datos específicos.

Si ejecuta Exchange Server 2007 con licencias de acceso de cliente (CAL) estándar, aún puede usar el registro en diario de almacenes por buzón. Sin embargo, si desea usar las nuevas funciones de registro en diario por destinatario, deberá actualizar a las CAL empresariales de Exchange Server 2007.

Dónde colocar el buzón de diario

Cuando haya decidido los elementos que se deben incluir en el diario, debe decidir dónde enviar los informes de diario. Si cuenta con varios sitios, deberá tener en cuenta la topología de red actual o planeada a la hora de decidir dónde colocar los buzones de diario. Según el tamaño de la organización y el número de buzones, el registro en diario puede tener como resultado un importante número de informes repetitivos.

Sin embargo, no es necesario limitarse a los buzones de Exchange. Puede enviar informes de diario a cualquier dirección SMTP válida. Esta dirección puede dirigirse a servicios alojados de Exchange, a una solución de archivado de otro proveedor o cualquier combinación de ambos mediante un grupo de distribución. No obstante, tenga en cuenta que hay implicaciones de seguridad específicas relacionadas con el destino al que envía los informes de diario.

Independientemente de dónde decide colocar el buzón de diario, deberá crear un objeto de destinatario para éste en Active Directory. Éste puede ser un buzón de Exchange Server 2007, un contacto con capacidad de correo que redirija el correo a los servicios alojados de Exchange o a una solución de archivado de otro proveedor o bien una lista de distribución que contenga tanto buzones como contactos.

¿Qué contiene un informe de diario?

Cuando un agente de registro en diario incluye un mensaje en el diario, intenta capturar la mayor cantidad posible de detalles sobre el mensaje original en un informe de diario. A continuación, este informe se envía al buzón de diario. La información es muy importante a la hora de determinar la intención del mensaje, los destinatarios y los remitentes. Por ejemplo, el lugar en que se identifican los destinatarios (directamente en el campo Para, en el campo CC o simplemente como parte de una lista de distribución) puede ayudar a determinar cómo interviene el destinatario en la discusión del mensaje. El mensaje original se incluye como datos adjuntos. Las capturas de pantalla de la figura 2 muestran un informe de diario que indica que un mensaje enviado a david@contoso.com se ha reenviado a christine@contoso.com y otro informe de diario que indica que un mensaje enviado al grupo de distribución Sales_Group@contoso.com se ha expandido y el destinatario lukas@contoso.com, que es miembro del grupo de distribución Sales Group, ha recibido el mensaje. Ambos informes contienen el mensaje original como datos adjuntos, muestran que el remitente original ha sido brian@contoso.com y tienen el asunto "Sales forecast".

Figura 2 Informes de diario que muestran un destinatario de reenvío y un destinatario del grupo de distribución expandido

Figura 2** Informes de diario que muestran un destinatario de reenvío y un destinatario del grupo de distribución expandido **(Hacer clic en la imagen para ampliarla)

Exchange sólo clasifica información que sabe que es correcta. La información que no se puede determinar automáticamente se coloca en los campos adecuados en el informe de diario. En la figura 2 se describen los campos que se incluyen en el cuerpo del informe de diario.

Todo sobre la seguridad

De manera predeterminada, toda la comunicación entre los equipos que ejecutan Exchange Server 2007 en la misma organización que usa Exchange se cifra. Este cifrado incluye los informes de diario. Exchange Server realiza una serie de tareas para ayudar a disminuir el riesgo de que se manipulen los informes de diario:

  • En la organización que usa Exchange 2007, se usan vínculos seguros entre los servidores de transporte del concentrador y los servidores de buzones.
  • Los informes de diario se envían como "Microsoft Exchange" de parte del remitente del mensaje original.
  • Las sesiones entre el servidor de transporte del concentrador y el servidor de buzones se autentican.
  • Cuando se envían informes de diario entre los servidores de transporte del concentrador y los servidores de buzones en la misma organización que usa Exchange 2007, sólo se aceptan conexiones autenticadas.

Al crear un buzón de diario, deberá garantizar su seguridad ya que el buzón contiene mensajes entrantes y salientes de los destinatarios de la organización. Es posible que algunos mensajes formen parte de un proceso legal o que estén sujetos a requisitos de disposiciones legales, y existen distintas leyes que exigen que los mensajes no se puedan manipular antes de que se envíen a una autoridad de investigación. Para aumentar la seguridad del buzón de diario, deberá configurarlo para que acepte solamente mensajes del remitente de Microsoft Exchange y deberá exigir que todos los mensajes enviados al buzón de diario sean enviados por remitentes autenticados. La figura 3 muestra las restricciones de entrega de mensajes configuradas en un buzón de diario. También puede usar el siguiente comando de Shell de administración de Exchange para configurar estas restricciones de entrega de mensajes:

Set-Mailbox <Journal Mailbox Name>
-AcceptMessagesOnlyFrom "Microsoft Exchange" -RequireSenderAuthenticationEnabled $True

Figura 3 Restricciones de entrega de mensajes

Figura 3** Restricciones de entrega de mensajes **(Hacer clic en la imagen para ampliarla)

Si envía informes de diario a un buzón de diario externo a la organización que usa Exchange Server 2007, deberá cifrar manualmente la conexión entre los equipos con Exchange Server 2007 y el servidor de recepción y garantizar la seguridad de ésta. Para ello, puede requerir el uso de la seguridad de la capa de transporte (TLS) entre los dos sistemas, requerir la autenticación en el sistema de recepción, aceptar en el sistema de recepción solamente mensajes procedentes de la dirección SMTP del destinatario de Microsoft Exchange (esta dirección SMTP será similar a Exchange_UMUnique GUID@contoso.com) y configurar el contacto de Active Directory que se usa para reenviar mensajes para que acepte mensajes solamente del destinatario de Microsoft Exchange.

Implementación de las reglas de diario

Dejemos de hablar e implementemos algunas reglas. Las reglas de diario del agente de registro en diario se pueden configurar en el Shell de administración de Exchange o en la Consola de administración de Exchange. Cada una puede usarse para configurar los parámetros del destinatario, del alcance y del buzón de diario. De forma predeterminada, las reglas de diario se habilitan en el momento de su creación. El valor que especifique para la dirección de correo electrónico del diario debe ser un objeto de destinatario existente en la organización que usa Exchange Server 2007. Este objeto de destinatario puede ser un buzón, un grupo de distribución, un grupo de distribución dinámico o un contacto que envía correo a una dirección SMTP.

Si se usa la Consola de administración de Exchange, el Asistente para crear nueva regla de diario le mostrará los pasos para crear nuevas reglas de diario. En la sección Configuración de la organización, seleccione la función de servidor de transporte del concentrador. A continuación, en el panel Acción, haga clic en Nueva regla del diario. Aquí, indique los valores del nombre de la regla, la dirección de correo electrónico de diario y el alcance. No es necesario especificar un valor para el campo Destinatario si desea que la regla de diario incluya en el diario los mensajes de todos los destinatarios de la organización. Durante su creación, también puede elegir si desea que la regla de diario se pueda deshabilitar. En la figura 4 se muestra un ejemplo de configuración que incluirá en el diario todos los mensajes entrantes y salientes de brian@contoso.com. Los mensajes del diario se envían a un buzón de diario denominado Buzón de cumplimiento.

Figura 4 Asistente para crear nueva regla de diario

Figura 4** Asistente para crear nueva regla de diario **(Hacer clic en la imagen para ampliarla)

En el Shell de administración de Exchange, puede usar los seis cmdlet siguientes para administrar el agente de registro en diario:

  • New-JournalRule
  • Set-JournalRule
  • Get-JournalRule
  • Remove-JournalRule
  • Enable-JournalRule
  • Disable-JournalRule

El cmdlet New-JournalRule permite crear una nueva regla de diario. Los criterios básicos para la creación de una nueva regla de diario de esta manera son los mismos que cuando se usa el asistente. Debe especificar valores para los parámetros Name, Scope y JournalEmailAddress. De nuevo, es necesario especificar un valor para el campo Destinatario si desea que la regla de diario incluya en el diario los mensajes de todos los destinatarios de la organización. Además, si al crear la regla de diario desea que ésta se deshabilite, deberá especificar un valor de $False en el parámetro Enabled. Para crear una nueva regla de diario con la misma configuración que la indicada en la figura 4, use el comando siguiente:

New-JournalRule 
-Name "Brian Smith Journal Rule" 
-Recipient brian@contoso.com 
-JournalEmailAddress "Compliance Mailbox" 
-Scope Global

El cmdlet Get-JournalRule se usa para ver una lista de todas las reglas de diario que haya creado. Si ejecuta este cmdlet solo, aparecerá una lista resumida de todas las reglas de diario configuradas en la organización y los parámetros de configuración. Si desea ver toda la información disponible sobre una regla de diario, puede canalizar el cmdlet Get-JournalRule al cmdlet Format-List. La canalización envía los resultados de un cmdlet al siguiente cmdlet, de modo que este último pueda realizar un procesamiento adicional en los resultados. Por ejemplo, el cmdlet Format-List muestra todos los resultados que recibe. Para ver toda la información disponible sobre la regla de diario creada anteriormente, puede usar el comando siguiente:

Get-JournalRule -Identity "Brian Smith Journal Rule" | Format-List

Para habilitar o deshabilitar una regla de diario, use los cmdlets Enable-JournalRule y Disable-JournalRule. Al usar estos cmdlets, deberá especificar el nombre de la regla de diario en el parámetro Identity. Por ejemplo, para deshabilitar la regla de diario que se acaba de crear, use el comando siguiente:

Disable-JournalRule -Identity "Brian Smith Journal Rule"

El cmdlet Set-JournalRule permite modificar una regla de diario existente. El nombre de la regla de diario se usa con el parámetro Identity para notificar al agente de registro en diario sobre la regla que se está modificando. A continuación, debe especificar los parámetros Recipient, JournalEmailAddress, Scope o cualquier combinación de éstos junto con el nuevo valor. Por ejemplo, para modificar el valor almacenado en el parámetro JournalEmailAddress para la regla que se ha creado, use el comando siguiente:

Set-JournalRule -Identity "Brian Smith Journal Rule" -JournalEmailAddress "Seattle Users Compliance Mailbox"

Por último, puede usar el cmdlet Remove-JournalRule para quitar una regla de diario existente. Debe especificar el nombre de la regla de diario mediante el parámetro Identity. Para eliminar la regla de diario de ejemplo, use el comando siguiente:

Remove-JournalRule "Brian Smith Journal Rule"

A continuación, el Shell de administración de Exchange le solicitará confirmación de la eliminación de la regla de diario. Un último consejo: con casi todos los cmdlets, puede omitir la etiqueta del parámetro Identity y, simplemente, especificar el valor del parámetro.

David Strome es escritor técnico del grupo Exchange User Education en Microsoft desde hace poco más de un año. Antes de unirse a Microsoft en Redmond, WA, David pasó aproximadamente diez años diseñando, implementando y administrando instalaciones de Exchange Server en distintas empresas en British Columbia, Canadá. Puede ponerse en contacto con él en la dirección dstrome@microsoft.com.

© 2008 Microsoft Corporation and CMP Media, LLC. Reservados todos los derechos; queda prohibida la reproducción parcial o total sin previa autorización.