Cómo ayudar a proteger la entrega de mensajes cliente SMTP en Exchange 2003

Seleccione idioma Seleccione idioma
Id. de artículo: 823019 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

En este artículo se describe cómo configurar las opciones de seguridad para las conexiones cliente de entrada del Protocolo simple de transferencia de correo (SMTP) con los equipos con Exchange 2003. Esta configuración permite a los usuarios autenticarse y recibir material potencialmente sensible, así como ayudar a evitar que se intercepten el nombre de usuario, la contraseña o el contenido de los mensajes. Puede que haya usuarios que tengan que utilizar el Protocolo de oficina de correos 3 (POP3) o el Protocolo de acceso a mensajes de Internet 4 (IMAP4) para conectar con un equipo con Exchange 2003. Ambos protocolos utilizan SMTP para la entrega de mensajes.

Nota:
En una instalación predeterminada de Exchange 2003, no tiene que configurar opciones adicionales para los clientes POP3 o IMAP4 que se conectan al servidor. En este artículo se describen algunas configuraciones de seguridad predeterminadas y se ofrece información acerca de otras opciones disponibles en Exchange 2003.

Consideraciones

Tenga en cuenta las consideraciones siguientes que se aplican:

Crear un servidor virtual SMTP adicional



Cree un nuevo servidor virtual SMTP que utilizará para las conexiones cliente entrantes.

Control de conexión



El control de conexión restringe las conexiones basadas en dirección IP o en nombre de dominio, incluyendo las búsquedas inversas del Sistema de nombres de dominio (DNS). Las opciones de control de conexión no cifran contraseñas ni datos de mensajes.

Control de acceso



Puede configurar la autenticación básica, la autenticación anónima o la autenticación de Windows integrada (denominada anteriormente NTLM o autenticación de Desafío/Respuesta de Windows NT). Puesto que la autenticación básica envía los nombres de usuario y las contraseñas como texto no cifrado, no es segura. Para habilitar el cifrado de nombres de usuario y contraseñas, utilice la autenticación básica con Seguridad de la capa de transporte (TLS) o utilice la autenticación de Windows integrada. Al igual de Capa de sockets seguros (SSL), TLS cifra los nombres de usuario, las contraseñas y los datos de mensajes. Tenga en cuenta que la autenticación de Windows integrada sólo funciona en aquellos casos en los que el equipo cliente se puede poner en contacto con un controlador de dominio basado en Windows para validar sus credenciales. En la mayoría de las configuraciones de servidor de seguridad, este contacto no se puede realizar. Sin embargo, las implementaciones internas de acceso SMTP (donde la sesión de inicio de sesión no atraviesa Internet) pueden utilizar la autenticación de Windows integrada.

Cifrado



La comunicación con seguridad mejorada cifra la sesión SMTP, incluyendo el nombre de usuario, la contraseña y los datos de mensajes, utilizando cifrado SSL. Es mejor utilizar SSL para todas las conexiones SMTP con Exchange 2003 que atraviesen redes públicas como Internet. Debe instalar un certificado en el servidor virtual SMTP. Puede utilizar una entidad emisora de certificados externa o puede instalar Servicios de Certificate Server en su bosque del servicio de directorios Microsoft Active Directory para instalar un certificado.

Control de retransmisión



De forma predeterminada, cuando crea un servidor virtual SMTP en Exchange 2003, se configura para impedir la retransmisión de mensajes de correo electrónico. Tenga en cuenta que si sus clientes POP3 o IMAP4 no tienen permiso para retransmitir, los usuarios no pueden enviar correo SMTP a dominios externos a través del servidor virtual SMTP. Sin embargo, si permite la retransmisión de mensajes, se puede utilizar a un usuario para propagar mensajes de correo electrónico comercial no solicitado (mensajes de correo electrónico no deseado). Cuando utiliza la configuración de retransmisión predeterminada, sólo los clientes que se autentican pueden retransmitir mensajes a través del servidor virtual SMTP. Para obtener información adicional al respecto, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
319278 CÓMO: Proteger el acceso de clientes del Protocolo de acceso a mensajes de Internet en Exchange 2000

Para crear un nuevo servidor virtual SMTP

  1. Haga clic en Inicio, seleccione Programas y Microsoft Exchange y, a continuación, haga clic en Administrador del sistema.
  2. Expanda sucesivamente Grupos administrativos (si procede), GrupoAdministrativo (si procede), Servidores, nombreDeServidor y Protocolos.
  3. Haga clic con el botón secundario del mouse (ratón) en SMTP, seleccione Nuevo y haga clic en Servidor virtual SMTP.
  4. En el cuadro Nombre, escriba el nombre del servidor virtual y haga clic en Siguiente.
  5. Haga clic en la dirección IP que desee utilizar y, a continuación, haga clic en Finalizar.
  6. Después de crear el servidor virtual SMTP, confirme que el nuevo servidor virtual está utilizando el nombre de dominio completo (FQDN) correcto. Para ello:
    1. Haga clic con el botón secundario del mouse en el servidor virtual SMTP que creó y, a continuación, haga clic en Propiedades.
    2. Haga clic en la ficha Entrega y, a continuación, haga clic en Opciones avanzadas.
    3. Asegúrese de que el nombre de dominio que aparece en el cuadro Nombre de dominio completo coincide con el nombre que sus usuarios escriben cuando configuran el software cliente para entregar correo SMTP. Para confirmar que el nombre de dominio se resuelve correctamente, haga clic en Comprobar DNS.
    4. Haga clic en Aceptar y, después, haga clic de nuevo en Aceptar.
Nota:
Si está configurando un servidor virtual SMTP para clientes que tienen acceso a este servidor virtual SMTP a través de Internet, quizás tenga que configurar servidores DNS externos porque el FQDN del servidor virtual SMTP se debe resolver como una dirección externa de Internet. Para ello, haga clic en Configurar en el cuadro de diálogo Entrega avanzada, haga clic en Agregar y escriba la dirección IP del servidor DNS externo. Para obtener información adicional al respecto, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
326992 Los mensajes de correo SMTP salientes no se envían


Para configurar restricciones de direcciones IP

Para configurar restricciones de direcciones IP:
  1. Haga clic en Inicio, seleccione Programas y Microsoft Exchange y, a continuación, haga clic en Administrador del sistema.
  2. Expanda sucesivamente Grupos administrativos (si procede), GrupoAdministrativo (si procede), Servidores, nombreDeServidor y Protocolos.
  3. Expanda SMTP, haga clic con el botón secundario del mouse en Servidor virtual SMTP predeterminado y, a continuación, haga clic en Propiedades.
  4. Haga clic en la ficha Acceso y, después, haga clic en Conexión.
  5. En el cuadro de diálogo Conexión, haga clic en Sólo los de la lista siguiente.

    Esto indica que sólo las direcciones IP y los dominios incluidos en la lista podrán conectarse al servidor virtual SMTP.
  6. Haga clic en Agregar y realice unos de los pasos siguientes para agregar un único equipo, un grupo de equipos o un dominio, según corresponda a su situación:
    • Para agregar un único equipo, haga clic en Un único equipo, escriba la dirección IP del servidor de mensajería de correo electrónico de su proveedor de servicios Internet (ISP) en el cuadro Dirección IP y haga clic en Aceptar.

      Como alternativa, haga clic en Consultar DNS, escriba un nombre de host y haga clic en Aceptar.
    • Para agregar un grupo de equipos, haga clic en Un grupo de equipos, escriba la dirección de subred y la máscara de subred del grupo en los cuadros correspondientes y, a continuación, haga clic en Aceptar.

      Microsoft recomienda esta opción si su ISP tiene tendencia a cambiar sin avisar la dirección IP de su servidor de mensajería de correo electrónico.
    • Para agregar un dominio, haga clic en Dominio, escriba el nombre de dominio que desea en el cuadro Nombre y haga clic en Aceptar.

      Tenga en cuenta que esta opción requiere una búsqueda DNS inversa en cada conexión entrante. Este requisito puede afectar negativamente al rendimiento del servidor Exchange. Para obtener más información al respecto, consulte la sección Solucionar problemas más adelante en este artículo.

Para configurar el control de acceso

Para configurar el control de acceso:
  1. Haga clic en Inicio, seleccione Programas y Microsoft Exchange y, a continuación, haga clic en Administrador del sistema.
  2. Expanda sucesivamente Grupos administrativos (si procede), GrupoAdministrativo (si procede), Servidores, nombreDeServidor y Protocolos.
  3. Expanda SMTP, haga clic con el botón secundario del mouse en el servidor virtual SMTP y, a continuación, haga clic en Propiedades.
  4. Haga clic en la ficha Acceso y, después, en Autenticación.

    De forma predeterminada, el acceso anónimo está deshabilitado, y la autenticación básica y la autenticación de Windows integrada están habilitadas. Configure el servidor virtual SMTP para utilizar autenticación básica con cifrado TLS o autenticación de Windows integrada y, a continuación, haga clic en Aceptar.
Nota:
También debe habilitar el inicio de sesión utilizando la opción Autenticación de contraseña segura en el software cliente SMTP. Para hacerlo en Microsoft Outlook Express:
  1. Inicie Outlook Express.
  2. En el menú Herramientas, haga clic en Cuentas.
  3. Haga clic en la ficha Correo y, a continuación, haga clic en Propiedades.
  4. Haga clic en la ficha Servidores, haga clic para activar la casilla de verificación Iniciar sesión utilizando Autenticación de contraseña de seguridad, haga clic en Aceptar y, a continuación, haga clic en Cerrar.
    Tenga en cuenta que se cifran el nombre de usuario y la contraseña. No se cifran los datos de los mensajes.

Para configurar el cifrado

Para configurar el cifrado:
  1. Haga clic en Inicio, seleccione Programas y Microsoft Exchange y, a continuación, haga clic en Administrador del sistema.
  2. Expanda sucesivamente Grupos administrativos (si procede), GrupoAdministrativo (si procede), Servidores, nombreDeServidor y Protocolos.
  3. Expanda SMTP, haga clic con el botón secundario del mouse en el servidor virtual SMTP y, a continuación, haga clic en Propiedades.
  4. Haga clic en la ficha Acceso y, después, haga clic en Certificado. Se iniciará el Asistente para certificados de servidor Web.
  5. Haga clic en Siguiente.
  6. Siga las instrucciones de las páginas restantes del asistente para crear un nuevo certificado o para asignar un certificado existente.
Una vez instalado el certificado en el servidor, configure el método de comunicaciones. Para ello:
  1. Haga clic en Inicio, seleccione Programas y Microsoft Exchange y, a continuación, haga clic en Administrador del sistema.
  2. Expanda sucesivamente Grupos administrativos (si procede), GrupoAdministrativo (si procede), Servidores, nombreDeServidor y Protocolos.
  3. Expanda SMTP, haga clic con el botón secundario del mouse en el servidor virtual SMTP y, a continuación, haga clic en Propiedades.
  4. Haga clic en la ficha Acceso y, después, haga clic en Comunicación.
  5. Haga clic para activar la casilla de verificación Requerir canal seguro.
  6. Si el equipo con Exchange 2003 y los clientes admiten el cifrado de 128 bits, haga clic en Requerir cifrado de 128 bits.
  7. Haga clic en Aceptar y, después, haga clic de nuevo en Aceptar.
  8. Detenga y reinicie el servidor virtual SMTP.
Si los clientes están utilizando Outlook Express, configure Outlook Express para utilizar SSL. Para ello:
  1. Inicie Outlook Express.
  2. En el menú Herramientas, haga clic en Cuentas.
  3. Haga clic en la ficha Correo.
  4. Haga doble clic en la cuenta de correo de Exchange Server y, a continuación, haga clic en la ficha Opciones avanzadas.
  5. Bajo Correo saliente (SMTP), haga clic para activar la casilla de verificación El servidor requiere una conexión segura (SSL).
  6. Haga clic en Aceptar y, a continuación, haga clic en Cerrar.

Para configurar la retransmisión

Para configurar la retransmisión:
  1. Haga clic en Inicio, seleccione Programas y Microsoft Exchange y, a continuación, haga clic en Administrador del sistema.
  2. Expanda sucesivamente Grupos administrativos (si procede), GrupoAdministrativo (si procede), Servidores, nombreDeServidor y Protocolos.
  3. Expanda SMTP, haga clic con el botón secundario del mouse en el servidor virtual SMTP y, a continuación, haga clic en Propiedades.
  4. Haga clic en la ficha Acceso y, después, haga clic en Retransmisión.

    La configuración predeterminada permite que los clientes autenticados retransmitan mensajes. Normalmente, esta configuración es suficiente para que sólo los clientes que tengan las credenciales correctas puedan retransmitir mensajes a través del servidor virtual SMTP. También puede restringir los permisos de retransmisión a direcciones IP únicas, intervalos de direcciones IP o sufijos DNS.
  5. Haga clic en Aceptar.

Para probar si el servidor virtual SMTP que configuró funciona correctamente

Para probar si el servidor virtual SMTP que configuró funciona correctamente:
  • Para confirmar que las restricciones IP funcionan correctamente, utilice un cliente POP3 y un cliente IMAP4 para intentar conectarse al servidor desde una dirección IP excluida. Si las restricciones IP están configuradas correctamente, recibirá un mensaje que le notifica que se ha rechazado una conexión al servidor.
  • Para comprobar el cifrado de autenticación:
    1. Ejecute Monitor de red en el equipo con Exchange 2003 y utilice la configuración de autenticación predeterminada para iniciar una sesión SMTP desde el cliente mientras captura el tráfico que procede del equipo con Exchange 2003.
    2. Examine la sesión SMTP y observe los paquetes del cliente al servidor en el puerto 25 (0019h).

      Observe que el nombre de inicio de sesión y la contraseña del usuario se envían como texto no cifrado.
    3. Quite la compatibilidad con la autenticación básica, configure el cliente para requerir Autenticación de contraseña segura, inicie otra sesión SMTP desde el cliente y, a continuación, capture el tráfico en Monitor de red.

      Ahora se cifran la cuenta de usuario y la contraseña.
  • Para probar el cifrado SSL:
    1. Agregue un certificado, configure las opciones para requerir un canal con seguridad mejorada en el servidor virtual SMTP y, a continuación, configure el cliente para utilizar SSL.
    2. Inicie una captura de Monitor de red y, a continuación, inicie una sesión de recopilación de correo SMTP desde el cliente.
    3. Detenga la captura y examine los paquetes que se enviaron.

      Observe que todos los paquetes del cliente al servidor cuyo destino es el puerto 25 (0019h) están cifrados.
    Nota:
    Si no ha habilitado el cifrado en la recopilación de correo POP3 o IMAP4, todavía puede ver algunos paquetes no cifrados del cliente destinados al puerto 110 (006Eh) o al puerto 143 (008Fh).
  • Para probar si las restricciones de retransmisión funcionan correctamente, envíe correo desde una dirección IP excluida a un dominio externo. Recibirá un mensaje de error que indica que el servidor no pudo realizar la retransmisión para la dirección del destinatario.

Solucionar problemas

Cualquier restricción basada en una búsqueda DNS puede afectar negativamente al rendimiento del equipo con Exchange 2003. Puesto que el servidor realiza una búsqueda DNS inversa en cada conexión de entrada, debe haber disponible una zona de búsqueda DNS inversa y el host emisor debe estar registrado en esa zona.

Referencias

Para obtener más información acerca de Exchange Server 2003, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/exchange/library

Propiedades

Id. de artículo: 823019 - Última revisión: lunes, 26 de noviembre de 2007 - Versión: 1.3
La información de este artículo se refiere a:
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
Palabras clave: 
kbhowto KB823019

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com