Comportamiento de retransmisión de SMTP en Windows 2000, Windows XP y Exchange Server

Seleccione idioma Seleccione idioma
Id. de artículo: 304897 - Ver los productos a los que se aplica este artículo
Este artículo se publicó anteriormente con el número E304897
Expandir todo | Contraer todo

En esta página

INTRODUCCIÓN

La retransmisión del Protocolo simple de transferencia de correo (SMTP, Simple Mail Transfer Protocol) de Microsoft es una característica que permite que un cliente SMTP use un servidor SMTP para reenviar mensajes de correo electrónico a un dominio remoto. Como se describe en las secciones 2.1 y 3.7 del documento Solicitud de comentarios (RFC) 282, SMTP fue diseñado con la capacidad para retransmitir los mensajes de correo electrónico.

Sin embargo, si la retransmisión no se controla, un usuario malintencionado podría utilizarla para enviar mensajes de correo electrónico no solicitado de forma masiva. Un host sin controlar se conoce como host de "retransmisión abierta". Mediante el envío de estos mensajes de correo electrónico no solicitado por parte del host intermedio, el usuario malintencionado oculta su identidad. Esto también puede provocar un uso excesivo de los recursos en el host de retransmisión e impedir que éste envíe los mensajes de correo electrónico válidos. En particular, un usuario malintencionado que envíe mensajes de correo electrónico no solicitado puede enviar un único mensaje a muchos destinatarios sin utilizar su propio ancho de banda.

De forma predeterminada, los productos de Microsoft que se enumeran en la sección "La información de este artículo se refiere a:" no están configurados para permitir la retransmisión abierta.

Más información

Cuando utiliza algunas herramientas de otros fabricantes para probar la retransmisión en los servidores SMTP, puede parecer que el servidor SMTP falla la prueba y que el producto SMTP de Microsoft está abierto para la retransmisión, aunque no sea así. Esto se debe a que el servidor SMTP puede no rechazar inmediatamente el mensaje de correo electrónico. En su lugar, procesa el mensaje de correo electrónico y, a continuación, envía un informe de no entrega (NDR). Para obtener más información sobre la respuesta del servidor SMTP en la retransmisión, vea la sección Respuesta del servidor SMTP en la retransmisión. Para obtener más información sobre cómo probar la retransmisión en un servidor SMTP, vea la sección Pruebas de retransmisión.

Todas las direcciones TO o FROM de una conversación del protocolo SMTP contienen dos partes: la parte local y la parte del dominio. Si la parte del dominio, es decir, la que va inmediatamente después del signo (@), no se especifica, se supone que el mensaje de correo electrónico es local. Algunos productos SMTP de Microsoft anexan el dominio local porque algunos usuarios configuran sus clientes SMTP para que utilicen sólo un nombre de usuario como dirección de correo electrónico. Al agregar el dominio local predeterminado, el servidor de Microsoft puede agregar lo que probablemente pueda ser el dominio local con el fin de reducir el costo de soporte.

Este comportamiento se produce porque los productos SMTP de Microsoft no efectúan una búsqueda de directorio antes de aceptar mensajes de correo electrónico SMTP para su entrega. Los productos SMTP de Microsoft sólo pueden comprobar el dominio del destinatario para averiguar si es un dominio local o un dominio permitido explícitamente. Si el dominio del destinatario no es local ni un dominio permitido, el servidor SMTP responde con un mensaje de error similar al siguiente:
550 5.7.1 Retransmisión prohibida
Todo lo que se necesita para evitar la retransmisión es la comprobación de que la parte de dominio de la dirección TO es local. La comprobación del directorio del servidor de correo para averiguar si el destinatario es válido es opcional pero no necesaria. Si un servidor de correo acepta un mensaje y más tarde decide que no puede entregarlo, debe generar un informe de no entrega (NDR). Los productos SMTP de Microsoft cumplen este requisito.

Nota:
Microsoft Exchange Server 2003 puede realizar búsquedas de directorio durante la conversación del protocolo SMTP. Esta característica puede estar habilitada en el Administrador del sistema. Para obtener más información acerca del filtrado de destinatarios en Exchange Server 2003, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:
823866 Cómo configurar el filtrado de conexiones para usar Listas de bloqueo en tiempo real (RBL) y cómo configurar el filtrado de destinatarios en Exchange 2003

Realizar una búsqueda de directorio durante la conversación de protocolo SMTP puede ser útil para comprobar las direcciones. Por consiguiente, recomendamos que active la funcionalidad de TarpitTime que se describe en el artículo de Knowledge Base siguiente:
842851 Hay una actualización de software que ayuda a impedir la enumeración de direcciones de correo electrónico de Exchange Server 2003
Importante
Si debe realizar búsquedas de directorio durante la conversación del protocolo SMTP, puede escribir un receptor de eventos de protocolo SMTP de Microsoft Windows 2000. Para obtener más información, visite el siguiente sitio Web de sucesos de servidor SMTP del SDK de la plataforma MSDN:
http://msdn.microsoft.com/library/en-us/smtpevt/html/0e0c3b0d-5b08-42b5-8312-59a9f3cd8fd9.asp?frame=true

Respuesta del servidor SMTP para retransmitir

La respuesta recomendada conforme con el RFC es similar a la siguiente:
550 5.1.1 nombreDeUsuario@nombreDeDominio.tld... Usuario desconocido
En los productos que se muestran en la sección "Esta información se refiere a:", Microsoft decidió no realizar búsquedas de directorio durante la conversación del protocolo SMTP por las razones siguientes:
  • Si el servidor SMTP devuelve un error 5xx a un usuario malintencionado que intenta enviar mensajes de correo electrónico no solicitado de forma masiva, el usuario malintencionado sabrá al instante qué direcciones son reales. Si el usuario malintencionado envía un diccionario de nombres mediante el protocolo SMTP, puede recopilar fácilmente una lista de direcciones de correo electrónico válidas. Esto también puede suponer un riesgo para los usuarios locales porque los nombres de cuentas de usuario a menudo son los mismos que las direcciones de correo electrónico.
  • Un usuario malintencionado puede utilizar la dirección FROM para obtener acceso no autorizado a un sistema y, a continuación, utilizar el servidor de la víctima y enviar informes NDR al destinatario. Este ataque, conocido como simulación, sólo afecta a este servidor con tantos datos como el atacante puede enviarle. Es decir, si el usuario malintencionado desea enviar 1 megabyte (MB) de datos a un tercero, debe emplear 1 MB de su propio ancho de banda para enviar 1 MB de datos al servidor SMTP. Normalmente, tales usuarios malintencionados intentan enviar 1 MB de datos, pero provocan que decenas o cientos de MB de datos se dirijan a una víctima o un conjunto de víctimas a través de Internet.
  • Si se efectúa una búsqueda de directorio durante la conversación de protocolo SMTP, ésta puede ser mucho más lenta. Cuando se publicó este artículo, Microsoft estaba trabajando bajo la premisa de que el servidor SMTP debe operar tan rápido como sea posible para impedir el bloqueo de los mensajes SMTP en Internet o en los clientes SMTP de escritorio. A veces, el directorio también puede no estar disponible o se puede requerir la retransmisión de un dominio determinado, pero es posible que una copia del directorio no esté disponible. Este comportamiento puede aparecer en un entorno de host del proveedor de servicios Internet (ISP).

Cómo probar la retransmisión

Puede probar un servidor SMTP para determinar si está configurado para retransmitir mensajes de correo electrónico. En los ejemplos siguientes, el servidor SMTP no acepta las pruebas de retransmisión 1 a 5 y son rechazadas inmediatamente. El servidor STMP acepta las pruebas 6 y 7, pero el mensaje de correo electrónico no se retransmite y el servidor genera finalmente un mensaje de no entrega.

Para hacer las pruebas de retransmisión siguientes, inicie primero una sesión de Telnet y conéctese al puerto 25 en el servidor SMTP:
  1. Inicie un símbolo del sistema.
  2. Escriba telnet nombreDeServidor 25, donde nombreDeServidor es el nombre del servidor SMTP o la dirección IP, y 25 es el número de puerto; a continuación, presione ENTRAR.
  3. Escriba EHLO y presione ENTRAR.

Prueba de retransmisión 1

Ésta es la prueba estándar de la retransmisión SMTP. No se debe permitir que un cliente SMTP retransmita de este modo a menos que el administrador lo haya permitido expresamente o que el cliente se autentique primero. Para hacer esta prueba, siga estos pasos:
  1. En el símbolo de la sesión de Telnet, escriba RSET.

    La sesión de telnet responde con texto similar al siguiente:
    250 2.0.0 Restableciendo
  2. Escriba MAIL FROM:nombreDeUsuario@nombreDeDominio.tld, donde nombreDeUsuario es el nombre del usuario, nombreDeDominio es el nombre del dominio y tld es el dominio del nivel superior, como .com o .net.

    La sesión de telnet responde con texto similar al siguiente:
    250 2.1.0 nombreDeUsuario@nombreDeDominio.tld...Remitente correcto
  3. Escriba RCPT TO:nombreDeDestinatario@nombreDeDominio.tld, donde nombreDeDestinatario es la dirección de correo electrónico del destinatario.

    La sesión de telnet responde con texto similar al siguiente:
    550 5.7.1 no puede retransmitir a nombreDeDestinatario@ nombreDeDominio.tld

Prueba de retransmisión 2

Esta prueba es casi igual que la prueba 1, pero el remitente es un usuario local en lugar de un usuario de un dominio remoto. Puesto que las direcciones FROM generalmente se utilizan para obtener acceso no autorizado a un sistema, el servidor no debe retransmitir el mensaje de correo electrónico. Para hacer esta prueba, siga estos pasos:
  1. En el símbolo de la sesión de Telnet, escriba RSET.

    La sesión de telnet responde con texto similar al siguiente:
    250 2.0.0 Restableciendo
  2. Escriba MAIL FROM:usuarioLocal, donde usuarioLocal es un nombre de correo electrónico local para una cuenta de usuario en el dominio, y, a continuación, presione ENTRAR.

    La sesión de telnet responde con texto similar al siguiente:
    250 2.1.0 usuarioLocal@nombreDeDominio.tld...Remitente correcto
  3. Escriba RCPT TO:nombreDeDestinatario@nombreDeDominiotld

    La sesión de telnet responde con texto similar al siguiente:
    550 5.7.1 no puede retransmitir a nombreDeDestinatario@ nombreDeDominio.tld

Prueba de retransmisión 3

Esta prueba es de una dirección de sobre FROM en blanco o NULL. Los NDR y otras notificaciones tienen una dirección de sobre FROM NULL. Sin embargo, no se deben retransmitir las notificaciones a menos que el dominio en la dirección TO sea local. Para hacer esta prueba, siga estos pasos:
  1. En el símbolo de la sesión de Telnet, escriba RSET.

    La sesión de telnet responde con texto similar al siguiente:
    250 2.0.0 Restableciendo
  2. Escriba MAIL FROM:<> y, a continuación, presione ENTRAR.

    La sesión de telnet responde con texto similar al siguiente:
    250 2.1.0 <%gt;....Remitente correcto
  3. Escriba RCPT TO:nombreDeDestinatario@nombreDeDominiotld

    La sesión de telnet responde con texto similar al siguiente:
    550 5.7.1 no puede retransmitir a nombreDeDestinatario@ nombreDeDominio.tld

Prueba de retransmisión 4

Esta prueba es igual que la prueba 2, pero el dominio local se agrega explícitamente a la dirección de correo electrónico. Un servidor SMTP que esté cerrado para retransmisión no debe retransmitir este mensaje de correo electrónico. Para hacer esta prueba, siga estos pasos:
  1. En el símbolo de la sesión de Telnet, escriba RSET.

    La sesión de telnet responde con texto similar al siguiente:
    250 2.0.0 Restableciendo
  2. Escriba MAIL FROM:nombreDeUsuario@nombreDeDominio.tld, donde nombreDeDominio es el nombre del dominio local y, a continuación, presione ENTRAR.

    La sesión de telnet responde con texto similar al siguiente:
    250 2.1.0 nombreDeUsuario@nombreDeDominio.tld...Remitente correcto
  3. Escriba RCPT TO:nombreDeUsuario@nombreDeDominio.tld y, a continuación, presione ENTRAR.

    La sesión de telnet responde con texto similar al siguiente:
    550 5.7.1 no puede retransmitir a nombreDeUsuario@nombreDeDominio.tld

Prueba de retransmisión 5

Esta prueba también es igual que la prueba 2, pero se utiliza la dirección IP del servidor en lugar del nombre de dominio. Aunque este formato de dirección está aceptado de forma general, el servidor no debe aceptar la retransmisión a un dominio remoto. En otras pruebas en las que se utilice "localhost" o el nombre del Sistema de nombres de dominio (DNS) del servidor en la dirección FROM, el servidor no debe retransmitir mensajes de correo electrónico que utilicen este enfoque. Para hacer esta prueba, siga estos pasos:
  1. En el símbolo de la sesión de Telnet, escriba RSET.

    La sesión de telnet responde con texto similar al siguiente:
    250 2.0.0 Restableciendo
  2. Escriba MAIL FROM:nombreDeUsuario@10.10.10.10 y, a continuación, presione ENTRAR.

    La sesión de telnet responde con texto similar al siguiente:
    250 2.1.0 nombreDeUsuario@10.10.10.10.... Remitente correcto
  3. Escriba RCPT TO:nombreDeUsuario@nombreDeDominio.tld y, a continuación, presione ENTRAR.

    La sesión de telnet responde con texto similar al siguiente:
    550 5.7.1 no puede retransmitir a nombreDeUsuario@nombreDeDominio.tld

Prueba de retransmisión 6

Esta prueba es específica para antiguos servidores basados en UNIX que enrutan los mensajes de correo electrónico anexando el dominio local y cambiando el símbolo del signo (@) por el símbolo de porcentaje (%). A continuación, el servidor retransmite el correo. Puesto que un símbolo de porcentaje (%) es un carácter válido en la parte local de la dirección de correo electrónico, el servidor SMTP puede aceptar el mensaje y, a continuación, enviar un NDR si la búsqueda de directorio falla. Los productos SMTP de Microsoft no son vulnerables a esta clase de retransmisión porque el mensaje no se reenvía y se genera un NDR. Para hacer esta prueba, siga estos pasos:
  1. En el símbolo de la sesión de Telnet, escriba RSET.

    La sesión de telnet responde con texto similar al siguiente:
    250 2.0.0 Restableciendo
  2. Escriba MAIL FROM:nombreDeUsuario y, a continuación, presione ENTRAR.

    La sesión de telnet responde con texto similar al siguiente:
    nombreDeUsuario@nombreDeDominio.tld...Remitente correcto
  3. Escriba RCPT TO:nombreDeUsuario%nombreDeDominio.tld y, a continuación, presione ENTRAR.

    La sesión de telnet responde con texto similar al siguiente:
    250 2.1.5 nombreDeDominio%nombreDeDominio.tld@nombreDeDominio.tldnombreDeUsuario@nombreDeDominio.tld
    Nota:
    El dominio local se anexa al dominio del destinatario en la dirección de correo electrónico.

Prueba de retransmisión 7

Esta prueba es una variación de la prueba de retransmisión 6. Puesto que el carácter de comillas (") es válido en la parte local de la dirección de correo electrónico, el servidor SMTP acepta el mensaje y, a continuación, envía un NDR si la búsqueda de directorio falla. Los productos SMTP de Microsoft no son vulnerables a esta clase de retransmisión porque el mensaje no se reenvía y se genera un NDR. Para hacer esta prueba, siga estos pasos:
  1. En el símbolo de la sesión de Telnet, escriba RSET.

    La sesión de telnet responde con texto similar al siguiente:
    250 2.0.0 Restableciendo
  2. Escriba MAIL FROM:nombreDeUsuario y, a continuación, presione ENTRAR.

    La sesión de telnet responde con texto similar al siguiente:
    nombreDeUsuario@nombreDeDominio.tld...Remitente correcto
  3. Escriba RCPT TO:nombreDeUsuario@nombreDeDominio.tld" y, a continuación, presione ENTRAR.

    La sesión de telnet responde con texto similar al siguiente:
    "nombreDeUsuario@nombreDeDominio.tld"@nombreDeDominio.tld
    Nota:
    El dominio local se anexa al dominio del destinatario en la dirección de correo electrónico.

Cómo saber si un servidor SMTP está cerrado para las pruebas de retransmisión 6 y 7

Cuando ejecuta las pruebas de retransmisión 6 y 7 en un equipo de Exchange 2000, generan un mensaje para un destinatario que no se resuelve y el buzón que se especifica en el Administrador del sistema de Exchange recibe mensajes de no entrega (NDR). Puede configurar el buzón para los destinatarios no resueltos en las propiedades del servidor virtual SMTP predeterminado en la ficha Mensajes, en el cuadro Reenviar a este host el correo con destinatarios sin resolver, en el Administrador del sistema de Exchange.

Los NDR son la evidencia de que los mensajes de correo electrónico no se retransmiten.

Referencias

Para obtener más información sobre qué hacer si usa Exchange Server 5.5 y desea configurar su servidor para que no sea de retransmisión abierta, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
196626 Restringir el enrutamiento en el servicio de correo de Internet
Para obtener más información acerca de cómo impedir la retransmisión en Windows 2000, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
310356 Cómo impedir la retransmisión de correo en el servidor SMTP de IIS 5.0 en Windows 2000
Existen pruebas comunes que puede utilizar para probar la retransmisión de los servidores SMTP. Por ejemplo, puede utilizar los siguientes sitios Web y herramientas de terceros: Microsoft proporciona información de contacto con otros proveedores para ayudarle a encontrar soporte técnico. Esta información de contacto puede cambiar sin previo aviso. Microsoft no ofrece ninguna garantía con respecto a la exactitud de esta información de contacto con otros proveedores.

Los productos de terceros que se analizan en este artículo están fabricados por compañías independientes de Microsoft. Microsoft no otorga ninguna garantía, implícita o de otro tipo, con respecto al rendimiento o la confiabilidad de estos productos.

Propiedades

Id. de artículo: 304897 - Última revisión: lunes, 20 de noviembre de 2006 - Versión: 10.0
La información de este artículo se refiere a:
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Exchange 2000 Enterprise Server
  • Microsoft Exchange Server 5.5 Standard Edition
  • Microsoft Exchange Server 5.0 Standard Edition
Palabras clave: 
kbhowto kbwinservnetwork kbnetwork KB304897

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com