{"id":229,"date":"2007-11-20T13:33:29","date_gmt":"2007-11-20T16:33:29","guid":{"rendered":"http:\/\/www.radians.com.ar\/blog\/?p=229"},"modified":"2007-11-20T13:33:29","modified_gmt":"2007-11-20T16:33:29","slug":"servidores-exchange-de-transporte-perimetral-en-microsoft-por-kay-unkroth-2da-parte","status":"publish","type":"post","link":"https:\/\/www.radians.com.ar\/blog\/?p=229","title":{"rendered":"Servidores Exchange de transporte perimetral en Microsoft, por Kay Unkroth (2da parte)"},"content":{"rendered":"

Aqui la segunda parte de la nota que publicada el 7 de nov<\/a>. La nota se llama Servidores Exchange de transporte perimetral en Microsoft<\/em><\/strong>, escrita por Kay Unkroth<\/em><\/strong>, como mencione anteriormente fue publicada en la TechNet Magazine del mes de Octubre. Pueden ver la nota original en el sitio oficial, o a continuacion que adjunto la segunda parte de la misma. <\/p>\n

Saludos, espero que les sea de utilidad y les aclare algunos temas como lo hizo conmigo. Roberto Di\u2019Lello. <\/p>\n

— <\/p>\n

Servidores Exchange de transporte perimetral en Microsoft: Segunda parte<\/h3>\n

Con la cantidad de correo electr\u00f3nico no deseado y contenido malintencionado que circula por Internet, \u00bfc\u00f3mo puede ofrecer mensajer\u00eda confiable y segura a los usuarios de su organizaci\u00f3n? Una forma, que ya empec\u00e9 a describir el mes pasado en la primera parte de esta serie, es implementar <\/p>\n

servidores Exchange Server 2007 de transporte perimetral y Forefront Security para Exchange Server en una red perimetral entre Internet y su entorno de producci\u00f3n. <\/p>\n

En esta entrega final, explicar\u00e9 c\u00f3mo analizar agentes de transporte perimetral en acci\u00f3n mediante funciones de registro y seguimiento est\u00e1ndar de Exchange Server 2007. Tambi\u00e9n usar\u00e9 un m\u00e9todo personalizado para volcar todos los objetos de eventos de la canalizaci\u00f3n de transporte en archivos basados en XML. Despu\u00e9s, ilustrar\u00e9 c\u00f3mo aplicar configuraci\u00f3n contra correo electr\u00f3nico no deseado en un laboratorio de pruebas de transporte perimetral seg\u00fan la configuraci\u00f3n que Microsoft usa en su propio entorno de producci\u00f3n corporativo. Por \u00faltimo, terminar\u00e9 con algunos escenarios de prueba interesantes y realistas para ver c\u00f3mo los agentes de transporte perimetral responden a varias situaciones de correo electr\u00f3nico no deseado. <\/p>\n

Para obtener m\u00e1s informaci\u00f3n sobre la instalaci\u00f3n del laboratorio de pruebas de transporte perimetral y la arquitectura general de transporte perimetral, consulte el primer art\u00edculo de esta serie en el ejemplar de octubre de 2007 de TechNet Magazine<\/i>, disponible en technetmagazine.com\/issues\/2007\/10\/Edge<\/a>. <\/p>\n

Hago un uso intensivo de scripts y archivos por lotes para automatizar las tareas de configuraci\u00f3n m\u00e1s importantes. Puede encontrar estos scripts en la descarga de c\u00f3digo que acompa\u00f1a a este art\u00edculo (acuda a technetmagazine.com\/code07.aspx<\/a>). Adem\u00e1s, para obtener informaci\u00f3n detallada de referencia sobre la configuraci\u00f3n de TI de Microsoft respecto a los agentes de transporte perimetral, recomiendo las notas del producto “Transporte perimetral y protecci\u00f3n de mensajer\u00eda en Microsoft\u00ae<\/sup> Exchange Server 2007″, producidas por Microsoft IT Showcase. Puede descargar estas notas del producto de IT Showcase en microsoft.com\/technet\/itshowcase\/content\/edgetransport.mspx<\/a>. <\/p>\n

Registro y seguimiento<\/h5>\n

Exchange Server 2007 incluye varias funciones de registro y seguimiento, entre ellas, registro de protocolos, registro de agentes y seguimiento de la canalizaci\u00f3n, que facilitan el diagn\u00f3stico y la soluci\u00f3n de problemas de agentes de transporte. Aunque en este art\u00edculo no me voy a ocupar exactamente de la soluci\u00f3n de problemas de agentes de transporte, la informaci\u00f3n de registro y seguimiento es \u00fatil para examinar c\u00f3mo funcionan los agentes de transporte perimetral. <\/p>\n

Si quiere realizar un seguimiento de informaci\u00f3n acerca de actividades SMTP de env\u00edo y recepci\u00f3n, deber\u00eda habilitar el registro de protocolos para los conectores de env\u00edo y recepci\u00f3n. Con el entorno de pruebas que configur\u00e9 en la primera parte de esta serie (consulte la figura 1), habilit\u00e9 el registro de protocolos por medio del par\u00e1metro siguiente en los cmdlet New-SendConnector y New-ReceiveConnector: <\/p>\n

\"image\"<\/a> <\/p>\n

  <\/p>\n

Puede encontrar los archivos de registro SMTP resultantes de forma predeterminada en subcarpetas bajo %ArchivosDePrograma%\\Microsoft\\Exchange Server\\TransportRoles\\Logs\\ProtocolLog. <\/p>\n

El registro de protocolos es \u00fatil si quiere analizar conversaciones SMTP, aunque los agentes contra correo electr\u00f3nico no deseado no siempre interfieren con la sesi\u00f3n SMTP. Por ejemplo, el agente de filtro de contenido quiz\u00e1s s\u00f3lo marque los mensajes entrantes con un valor de nivel de confianza contra correo no deseado (SCL). Mientras que el valor SCL est\u00e9 por debajo de un umbral especificado (el valor predeterminado es 7), el agente de filtro de contenido no har\u00e1 que el proceso de transporte perimetral rechace el mensaje. Por lo tanto, los progresos de conversaci\u00f3n SMTP no resultan afectados. <\/p>\n

Para analizar las acciones que los agentes contra correo electr\u00f3nico no deseado (filtro de conexi\u00f3n, filtro de contenido, reglas perimetrales, filtro de destinatarios, filtro de remitentes e identificador de remitente) realizan en los mensajes que pasan por la canalizaci\u00f3n de transporte, necesita comprobar los registros de agentes en vez de los registros de protocolos. El registro de agentes se suele habilitar seg\u00fan el par\u00e1metro AgentLogEnabled en el archivo EdgeTransport.exe.config. De forma predeterminada, los registros de agentes se encuentran en la carpeta %ArchivosDePrograma%\\Microsoft\\Exchange Server\\TransportRoles\\Logs\\AgentLog. Puede abrir los registros en Bloc de notas, aunque el cmdlet Get-AgentLog muestra la informaci\u00f3n de registro de agentes de forma m\u00e1s intuitiva en el Shell de administraci\u00f3n de Exchange. <\/p>\n

Otra funci\u00f3n \u00fatil es el seguimiento de la canalizaci\u00f3n, que permite capturar instant\u00e1neas de mensajes de un remitente particular seg\u00fan los mensajes van pasando por la canalizaci\u00f3n de transporte. La idea es relativamente sencilla; el proceso de transporte perimetral crea una instant\u00e1nea de cada mensaje antes y despu\u00e9s de invocar agentes de enrutamiento y recepci\u00f3n SMTP registrados para los eventos OnEndOfHeaders, OnEndofData, OnSubmittedMessage y OnRoutedMessage. Al comparar las instant\u00e1neas de mensajes, puede ver c\u00f3mo los agentes individuales modifican cada mensaje. Por supuesto, es imprescindible que habilite esta valiosa funci\u00f3n en el entorno de pruebas. <\/p>\n

El uso siguiente del cmdlet Set-TransportServer activa el seguimiento de canalizaci\u00f3n para un usuario de prueba. El par\u00e1metro PipelineTracingEnable establecido en $true habilita el seguimiento de la canalizaci\u00f3n. La direcci\u00f3n de correo electr\u00f3nico del usuario de prueba se establece en el par\u00e1metro PipelineTracingSenderAddress: <\/p>\n

\"image\"<\/a> <\/p>\n

Con el seguimiento de canalizaci\u00f3n habilitado, puede encontrar archivos de instant\u00e1neas para cada mensaje del remitente especificado (en este caso, Contoso.User@contoso.com) en la carpeta %ArchivosDePrograma\\Microsoft\\Exchange Server\\TransportRoles\\Logs\\PipelineTracing\\MessageSnapshots. Esta es la carpeta predeterminada. Para cada mensaje, los archivos de instant\u00e1neas se encuentran en un subdirectorio nombrado seg\u00fan un GUID asignado al mensaje. Tenga en cuenta que puede encontrar el mensaje original en un archivo llamado Original.eml y copias del mensaje en archivos .eml que empiezan con SmtpReceive o Routing seg\u00fan los eventos encontrados y los agentes instalados. Para analizar el procesamiento de agentes contra correo electr\u00f3nico no deseado registrados para los eventos de recepci\u00f3n SMTP OnEndofData y OnEndOfHeaders, compruebe los archivos .eml SmtpReceive*. Para analizar el procesamiento de antivirus y otros agentes registrados para los eventos de enrutamiento OnSubmittedMessage y OnRoutedMessage, analice los archivos .eml Routing*. <\/p>\n

Volcado de canalizaci\u00f3n personalizado<\/h5>\n

Las funciones de registro y seguimiento de agente est\u00e1ndar de Exchange Server 2007 satisfacen todas las necesidades de soluci\u00f3n de problemas a pesar de que las funciones est\u00e1ndar no cubren todos los eventos de transporte. Por ejemplo, el seguimiento de canalizaci\u00f3n no puede capturar informaci\u00f3n acerca de OnConnectEvent, OnEhloCommand, OnMailCommand, OnRcptCommand, OnDataCommand ni de eventos de transporte semejantes, porque el host de env\u00edo a\u00fan no ha transferido ning\u00fan mensaje que podr\u00eda escribirse en la carpeta %ArchivosDePrograma%\\Microsoft\\Exchange Server\\TransportRoles\\Logs\\PipelineTracing. Si desea capturar informaci\u00f3n detallada acerca de estos eventos, necesita implementar un agente personalizado que vuelque los datos de evento en archivos del sistema de archivos. <\/p>\n

Como vimos en mi art\u00edculo anterior, no es complicado crear agentes personalizados, as\u00ed que no he podido resistir la tentaci\u00f3n de crear un agente de recepci\u00f3n SMTP y un agente de enrutamiento para volcar todos los objetos de evento de la canalizaci\u00f3n de transporte en archivos XML. Encontrar\u00e1 un proyecto correspondiente de Microsoft Visual Studio\u00ae<\/sup> 2005 llamado PipelineXMLDump en la descarga disponible para este art\u00edculo. Los dos archivos importantes son DumpAgents.cs, que implementa las f\u00e1bricas de agente y los agentes, y XMLDump.cs, que implementa una clase auxiliar para escribir los campos de objetos de origen y argumento de eventos por medio de m\u00e9todos System.Re- flection en archivos XML. Si compila el c\u00f3digo fuente y copia el archivo PipelineXMLDump.dll resultante en una carpeta llamada C:\\PipelineXMLDump en el servidor de prueba de transporte perimetral, puede registrar y habilitar los agentes personalizados con los scripts RegisterPipelineXMLDump.ps1 y EnableDumpAgents.ps1. Los scripts est\u00e1n incluidos en la carpeta de proyecto PipelineXMLDump de la descarga. Por supuesto, mis agentes personalizados tienen \u00fanicamente prop\u00f3sitos ilustrativos, no se han probado lo suficiente y no se deben instalar nunca en un servidor de producci\u00f3n. La responsabilidad del uso de estos agentes queda por entero con el usuario. <\/p>\n

DumpAgents.cs muestra c\u00f3mo implementar todos los controladores de eventos de enrutamiento y recepci\u00f3n SMTP compatibles con la canalizaci\u00f3n de transporte. Este puede ser un buen punto de partida si quiere implementar sus propios agentes personalizados. Mis agentes de volcado escriben archivos XML en subcarpetas bajo %ArchivosDePrograma%\\Microsoft\\Exchange Server\\TransportRoles\\Logs\\PipelineXMLDump que corresponden al identificador de la sesi\u00f3n SMTP (agente de recepci\u00f3n SMTP) o al identificador del mensaje (agente de enrutamiento). La figura 2 presenta un ejemplo de informaci\u00f3n de argumento de eventos transmitida al agente de recepci\u00f3n SMTP en el controlador OnConnectEvent. El ejemplo revela el extremo IP local (puerto y direcci\u00f3n IP) que acept\u00f3 una solicitud de conexi\u00f3n entrante.\"image\"<\/a> <\/p>\n

  <\/p>\n

  <\/p>\n

  <\/p>\n

  <\/p>\n

  <\/p>\n

  <\/p>\n

  <\/p>\n

  <\/p>\n

  <\/p>\n

  <\/p>\n

Preparaci\u00f3n de las pruebas<\/h5>\n

Ya hemos visto suficiente teor\u00eda acerca del registro, el seguimiento y el volcado. Prepar\u00e9monos para la ejecuci\u00f3n de algunas pruebas que muestran agentes contra correo electr\u00f3nico no deseado en acci\u00f3n. El siguiente es un resumen breve que refleja la configuraci\u00f3n de TI de Microsoft de la forma m\u00e1s precisa posible en su entorno de pruebas. Como mencion\u00e9 anteriormente, hay informaci\u00f3n de referencia disponible en las notas del producto “Transporte perimetral y protecci\u00f3n de mensajer\u00eda en Microsoft Exchange Server 2007”. <\/p>\n

Empiece por desactivar el agente de reescritura de direcciones de la bandeja de entrada, el agente de filtro de datos adjuntos y el agente de reescritura de direcciones de la bandeja de salida mediante la ejecuci\u00f3n del script EDGE01_disable_agents.ps1 de la descarga. La reescritura de direcciones no es necesaria, porque los destinatarios usan las mismas direcciones de correo electr\u00f3nico interna y externamente. No uso el agente de filtro de datos adjuntos porque hay funciones de filtrado de datos adjuntos superiores en Forefront Security. <\/p>\n

El entorno de pruebas no est\u00e1 conectado a Internet. Esto dificulta la comprobaci\u00f3n del agente de filtro de conexi\u00f3n. Para remediar el problema, puede crear una lista de direcciones IP bloqueadas en el host de Internet mediante la ejecuci\u00f3n del archivo INTERNET01_create_IP_block_list.bat. Aseg\u00farese de que tiene instaladas las herramientas de soporte de Windows\u00ae<\/sup>, ya que incluyen la herramienta de l\u00ednea de comandos DNS (dnscmd.exe). De lo contrario, tendr\u00e1 que emplear tiempo creando los registros DNS manualmente con la consola DNS. <\/p>\n

Ahora puede configurar el agente de filtro de conexi\u00f3n mediante la ejecuci\u00f3n del script EDGE01_add_block_list_provider.ps1. Este script agrega un proveedor de la lista de direcciones IP bloqueadas para ip-bl.consolidatedmessenger.com. Esta es la lista de direcciones IP bloqueadas de Consolidated Messenger, ya creado en el entorno de pruebas con la ejecuci\u00f3n del archivo INTERNET01_create_IP_block_list.bat en el host de Internet, como mencionamos anteriormente. La configuraci\u00f3n de TI de Microsoft usa tambi\u00e9n la lista de direcciones IP bloqueadas y la lista de direcciones IP permitidas, pero estas funciones no requieren configuraci\u00f3n manual. Es importante tener en cuenta que la configuraci\u00f3n de TI de Microsoft no usa proveedores de la lista de direcciones IP permitidas. <\/p>\n

A continuaci\u00f3n, configure el agente de filtro de destinatarios mediante la ejecuci\u00f3n del script EDGE01_recipient_filter.ps1 para bloquear mensajes a destinatarios inexistentes, as\u00ed como mensajes a buzones y listas de distribuci\u00f3n global que son s\u00f3lo para uso interno o de salida. <\/p>\n

El agente de filtro de remitentes necesita tambi\u00e9n una actualizaci\u00f3n de la configuraci\u00f3n. La configuraci\u00f3n de TI de Microsoft usa filtrado de remitentes como medida contra ataques de inundaci\u00f3n de correo desde direcciones de remitente espec\u00edficas y para bloquear ciertos servidores de la lista y or\u00edgenes semejantes que no se consideran relevantes para el negocio. Adem\u00e1s, la configuraci\u00f3n de TI de Microsoft usa filtrado de remitentes para bloquear mensajes con informaci\u00f3n de remitente no v\u00e1lida o ausente. Apliquemos esta configuraci\u00f3n al entorno de pruebas con la ejecuci\u00f3n del script EDGE01_sender_filter.ps1 en el servidor del transporte perimetral. <\/p>\n

Necesita tambi\u00e9n configurar registros de marco de directivas de remitente (SPF) en DNS, si quiere reflejar la configuraci\u00f3n de TI de Microsoft. Para generar un registro SPF que confirme la autoridad de su servidor de transporte perimetral para mensajes de su dominio, adventure-works.com, puede usar el Asistente para el registro SPF de identificador de remitentes de Microsoft disponible en microsoft.com\/mscorp\/safety\/content\/technologies\/senderid\/wizard<\/a>. Pru\u00e9belo y especifique un nombre de dominio de Internet existente. En el entorno de pruebas, puede ejecutar el archivo INTERNET01_create_SPF_record.bat en el host de Internet. <\/p>\n

Ya est\u00e1. No hace falta configurar par\u00e1metros adicionales, porque la mayor parte de los agentes incluyen una configuraci\u00f3n predeterminada razonable. Para realizar una comprobaci\u00f3n r\u00e1pida de la configuraci\u00f3n predeterminada m\u00e1s importante para los agentes de reglas perimetrales, identificador de remitente, an\u00e1lisis de protocolo y filtro de contenido, ejecute el script EDGE01_check_defaults.ps1 en el servidor de transporte perimetral. <\/p>\n

Agentes de transporte perimetral en acci\u00f3n<\/h5>\n

Ahora, pongamos los agentes de transporte perimetral a trabajar en algunos escenarios realistas de mensajer\u00eda. Para enviar mensajes de prueba al servidor de transporte perimetral, uso el servicio POP3 y SMTP incluido en Windows Server 2003 y Outlook\u00ae<\/sup> Express como cliente de mensajer\u00eda, con la configuraci\u00f3n predeterminada gran parte del tiempo, pero con el registro habilitado. <\/p>\n

Pero primero, una advertencia: no siga ninguno de estos pasos ni ejecute los scripts descritos en esta secci\u00f3n si su entorno de pruebas tiene alguna conexi\u00f3n a sistemas de producci\u00f3n o a Internet. Una vez m\u00e1s, la responsabilidad es suya. <\/p>\n

El primer agente que voy a probar es el agente de filtro de conexi\u00f3n. Merece ser el primero, porque es el agente que trabaja m\u00e1s duro en un servidor de transporte perimetral. En Microsoft, el agente de filtro de conexi\u00f3n bloquea aproximadamente el 88 por ciento de todos los env\u00edos de mensajes de Internet. De 13 millones de intentos de env\u00edo en un d\u00eda normal, s\u00f3lo alrededor de 1,5 millones son de remitentes leg\u00edtimos. <\/p>\n

As\u00ed que enviemos un mensaje de correo electr\u00f3nico como Fabrikam.User@Fabrikam.com a Administrator@adventure-works.com. Si las cosas funcionan apropiadamente, el administrador no recibir\u00e1 el mensaje. En su lugar, Fabrikam.User recibir\u00e1 una notificaci\u00f3n de estado de entrega (DSN) para indicar que la entrega no se ha realizado. Fabrikam.User comprueba que la direcci\u00f3n de correo electr\u00f3nico es correcta, env\u00eda de nuevo el mensaje y, una vez m\u00e1s, Fabrikam.User recibe una DSN. Entonces, Fabrikam.User se pone en contacto con el departamento de soporte t\u00e9cnico y notifica el problema. No es el primer usuario que tiene este problema. De hecho, ning\u00fan usuario de Fabrikam se puede comunicar con Adventure Works. Algo ha sucedido. El problema es urgente. Para resolverlo r\u00e1pidamente, compruebe los registros SMTP en la carpeta %systemroot%\\system32\\Logfiles\\SMTPSVC1 de INTERNET01 y, como muestra el texto rojo en la figura 3<\/a>, ah\u00ed est\u00e1. <\/p>\n

El error 550 indica que Consolidated Messenger puso la direcci\u00f3n IP de su host de Internet en una lista de direcciones IP bloqueadas. Bueno. Entonces, se pone en contacto con Consolidated Messenger para que modifiquen la lista. Pero resulta que es m\u00e1s f\u00e1cil entrar en la lista de direcciones IP bloqueadas de Consolidated Messenger que salir. Se tardar\u00e1 d\u00edas, si no semanas, en solucionar el problema. <\/p>\n

Necesita ayuda m\u00e1s r\u00e1pidamente, as\u00ed que se pone en contacto con Adventure Works a trav\u00e9s de la direcci\u00f3n de correo electr\u00f3nico cmipbl@adventure-works.com. Env\u00eda un mensaje de correo electr\u00f3nico como Fabrikam.Admin@Fabrikam.com, describe la situaci\u00f3n y solicita el desbloqueo de la direcci\u00f3n IP de Internet de su host (en este caso, 192.168.1.100). Despu\u00e9s de comprobar su identidad, Adventure Works desbloquea la direcci\u00f3n mediante el uso del comando siguiente para conceder una excepci\u00f3n temporal que expira autom\u00e1ticamente a los 30 d\u00edas: <\/p>\n

\"image\"<\/a> <\/p>\n

Treinta d\u00edas deber\u00edan ser suficientes para arreglar las cosas con Consolidated Messenger, y Adventure Works no necesita emplear tiempo en el mantenimiento manual de la excepci\u00f3n. Al conceder excepciones de expiraci\u00f3n autom\u00e1tica, Adventure Works conserva al m\u00ednimo la carga administrativa asociada con el mantenimiento de listas de direcciones IP permitidas. <\/p>\n

Remitentes seguros<\/h5>\n

Ahora, probemos el reconocimiento de remitentes seguros del filtrado de contenido, una funci\u00f3n nueva e interesante que aumenta la precisi\u00f3n del filtrado de correo electr\u00f3nico no deseado. EdgeSync propaga informaci\u00f3n de remitentes seguros del entorno interno en formato con hash y cifrado a los servidores de transporte perimetral. El agente de filtro de contenido usa esta informaci\u00f3n durante el proceso de filtrado para tomar decisiones con fundamento. S\u00f3lo necesita obtener la informaci\u00f3n de remitentes seguros (es decir, la lista de remitentes seguros, la lista de destinatarios seguros, la lista de remitentes bloqueados y los contactos externos) en Active Directory\u00ae<\/sup> con el cmdlet Update-SafeList y la r\u00e9plica de la informaci\u00f3n al servidor de transporte perimetral mediante el cmdlet Start-EdgeSynchronization. El departamento de TI de Microsoft ejecuta el cmdlet Update-SafeList con una frecuencia programada fuera de horas punta. En nuestro entorno de pruebas, es suficiente ejecutar un script correspondiente (HUB-MBX-01_update_safelist.ps1) de forma manual. <\/p>\n

Primero, preparemos el entorno de pruebas con la ejecuci\u00f3n del script EDGE01_clean_up.ps1 en el servidor de transporte perimetral para quitar la entrada de la lista de direcciones IP permitidas creada anteriormente. Esto es necesario porque el agente de filtro de contenido no se aplica a mensajes de or\u00edgenes que est\u00e1n en esta lista. A continuaci\u00f3n, quite la entrada de la lista de direcciones IP bloqueadas correspondiente a 100.1.168.192.ip-bl.consolidatedmessenger.com de la lista de bloqueo de Consolidated Messenger mediante la ejecuci\u00f3n del archivo INTERNET01_clean_up.bat en el host de Internet. De otro modo, el host simulado de Internet no podr\u00e1 enviar los mensajes, como ya demostramos. <\/p>\n

Finalmente, env\u00ede un mensaje que el agente de filtro de contenido seguramente considerar\u00e1 correo no deseado. Esto es complicado, porque el agente de filtro de contenido usa el umbral de rechazo SCL predeterminado para entregar la mayor\u00eda de los mensajes a los usuarios y reducir al m\u00ednimo falsos positivos. Sin embargo, despu\u00e9s de algunas pruebas, encontr\u00e9 un mensaje que incrementa la clasificaci\u00f3n de SCL hasta el nivel de rechazo. Para enviar el mensaje como Contoso.User@Contoso.com, ejecute el script INTERNET01_contoso_msg.vbs en el host de Internet. <\/p>\n

Mi script usa una conexi\u00f3n SMTP an\u00f3nima para enviar el mensaje al servicio SMTP en INTERNET01. Para que funcione, necesita configurar el servicio SMTP para retransmitir mensajes a usuarios an\u00f3nimos. En Administrador de IIS, abra las propiedades para el servidor virtual SMTP predeterminado. En la ficha Acceso, haga clic en el bot\u00f3n Retransmisi\u00f3n y seleccione Todo menos la lista siguiente. Hablar\u00e9 de las implicaciones de esta configuraci\u00f3n en un momento. <\/p>\n

Cuando ejecute el script para enviar este mensaje, Contoso.User recibir\u00e1 una DSN que indica que la entrega produjo un error con el c\u00f3digo de diagn\u00f3stico: smtp;550 5.7.1, correspondiente a mensajes rechazados por restricciones de contenido. Tambi\u00e9n puede ver esta respuesta en el registro SMTP del host de Internet, y si ejecuta el comando Get-AgentLog | Select-Object -Last 1 en el servidor de transporte perimetral para mostrar la \u00faltima entrada del registro de agentes, podr\u00e1 ver que el mensaje se rechaz\u00f3 porque su clasificaci\u00f3n de SCL era 7, como muestra la figura 4. <\/p>\n

\"image\"<\/a> <\/p>\n

Ahora, Contoso.User no es remitente de correo no deseado. Es lamentable que su mensaje no se aceptara en este caso, pero Contoso.User se puede comunicar generalmente con destinatarios en Adventure Works. As\u00ed que Contoso.User informa al administrador en otro mensaje de correo electr\u00f3nico que su mensaje original se bloque\u00f3 por error. El administrador conoce a Contoso.User y, para garantizar que los filtros de correo no deseado no bloquean sus mensajes en el futuro, el administrador incluye a Contoso.User en la lista de remitentes seguros. Para hacer esto en Office Outlook 2007, haga clic con el bot\u00f3n secundario en un mensaje recibido de Contoso.User, seleccione Correo electr\u00f3nico no deseado y haga clic en Agregar el remitente a la lista de remitentes seguros. <\/p>\n

Con el intervalo usual, el cmdlet Update-SafeList se ejecuta para actualizar la informaci\u00f3n de la lista de remitentes seguros en Active Directory y, despu\u00e9s de la sincronizaci\u00f3n perimetral siguiente, Contoso.User se podr\u00e1 comunicar con el administrador sin falsos positivos. Para simular este procedimiento, ejecute el script HUB-MBX-01_update_safelist.ps1. <\/p>\n

Ahora ejecute el script INTERNET01_contoso_msg.vbs para enviar el mensaje de Contoso.User otra vez. Compruebe despu\u00e9s el registro de agentes en el servidor de transporte perimetral con el comando Get-AgentLog | Select-Object -Last 1 y, bajo ReasonData, podr\u00e1 ver que el filtrado de contenido qued\u00f3 eludido. Se acabaron los falsos positivos para Contoso.User. <\/p>\n

Ataques de correo electr\u00f3nico no deseado<\/h5>\n

Para concluir las pruebas, tir\u00e9moslo todo por la borda. Como sin duda habr\u00e1 advertido, configur\u00e9 el host de Internet durante la prueba anterior como rel\u00e9 abierto, que abre la puerta a remitentes de correo no deseado. As\u00ed que ahora veamos lo que sucede si Spam.Sender@cohovineyards.com advierte esta configuraci\u00f3n deficiente y abusa del host para enviar miles de mensajes de correo no deseado a Adventure Works. El script INTERNET01_spam_msg.vbs s\u00f3lo env\u00eda un mensaje de correo no deseado, pero puede editar el script y cambiar el valor max_loop para generar m\u00e1s. <\/p>\n

Para simular un ataque de correo no deseado, envi\u00e9 1.000 mensajes a mi host para la transmisi\u00f3n al servidor de transporte perimetral. El servicio SMTP limita el n\u00famero de mensajes por conexi\u00f3n de salida a 20, as\u00ed que llev\u00f3 alg\u00fan tiempo transmitir un n\u00famero suficiente de mensajes de correo no deseado para que el agente de an\u00e1lisis de protocolo del servidor de transporte perimetral entrara en acci\u00f3n. <\/p>\n

El agente de an\u00e1lisis de protocolo ayuda al agente de filtro de conexi\u00f3n con el mantenimiento autom\u00e1tico de las entradas de la lista de direcciones IP bloqueadas en base al an\u00e1lisis de protocolo SMTP y a las actualizaciones de reputaci\u00f3n IP de Microsoft Update. En este caso, el an\u00e1lisis del protocolo SMTP atrap\u00f3 los mensajes de correo electr\u00f3nico no deseado. El agente de an\u00e1lisis de protocolo realiza un seguimiento de la clasificaci\u00f3n de SCL de cada mensaje para calcular un valor SCL medio que usa para determinar el nivel de reputaci\u00f3n de un remitente (SRL). Seg\u00fan iban llegando cada vez m\u00e1s mensajes ileg\u00edtimos durante mi campa\u00f1a simulada de correo no deseado, el SRL del host de Internet fue aumentando hasta superar el umbral de bloqueo SRL. Como resultado, el host acab\u00f3 en la lista de direcciones IP bloqueadas durante 24 horas. Se acab\u00f3 el correo electr\u00f3nico no deseado de este host. Sucedi\u00f3 autom\u00e1ticamente. No fue necesaria la intervenci\u00f3n del administrador. <\/p>\n

La figura 5 muestra la entrada resultante de la lista de direcciones IP bloqueadas y los cambios correspondientes en el tratamiento de los mensajes. Antes del bloqueo del host, el servidor de transporte perimetral rechazaba cada mensaje de correo no deseado durante el evento OnEndOfData porque el agente de filtro de contenido respond\u00eda a cada mensaje seg\u00fan el umbral de SCL (vea la figura 4<\/a> como referencia). El mensaje se envi\u00f3, pero no se entreg\u00f3 correctamente. Tras el bloqueo del host, la conexi\u00f3n qued\u00f3 rechazada durante el evento OnMailCommand por parte del agente de filtro de conexi\u00f3n. Los mensajes ya no se env\u00edan. Ahorra ancho de banda de la red y recursos de procesamiento para desconectar a remitentes de correo no deseado antes de la entrega de los mensajes. <\/p>\n

\"image\"<\/a> <\/p>\n

  <\/p>\n

  <\/p>\n

  <\/p>\n

  <\/p>\n

  <\/p>\n

  <\/p>\n

  <\/p>\n

  <\/p>\n

  <\/p>\n

M\u00e1s pruebas<\/h5>\n

Por supuesto, hay m\u00e1s funciones y escenarios de agentes que puede probar. Por ejemplo, puede probar el filtrado de remitentes mediante el env\u00edo de mensajes como Blocked.User@Contoso.com o Blocked.User@Fabrikam.com. Puede probar el filtrado de destinatarios mediante el env\u00edo de mensajes a Blocked.User@adventure-works.com. Tambi\u00e9n puede usar Telnet para simular ataques de recolecci\u00f3n de directorios con intervalos de retraso diferentes. La configuraci\u00f3n de TI de Microsoft usa el intervalo predeterminado de cinco segundos para respuestas 5yz de SMTP en el conector de recepci\u00f3n de cara a Internet, tiempo suficiente para que el departamento de TI de Microsoft pueda convertir los intentos de recolecci\u00f3n de directorios en ataques frustrados. Pero puede aplicar valores diferentes con el cmdlet Set-ReceiveConnector, como demuestra el script EDGE01_tarpitting.ps1. <\/p>\n

Puede ir m\u00e1s all\u00e1 y consultar los archivos de instant\u00e1neas creados por el seguimiento de canalizaci\u00f3n para los mensajes de Contoso.User@Contoso.com. Compruebe las marcas antivirus, X-MS-Exchange-Organization-AVStamp-Mailbox: MSFTFF;1;0;0 0 0, que Forefront Security usa para marcar los mensajes seg\u00fan se examinan. Cuando Forefront Security en el servidor de transporte de concentradores encuentra esta marca con informaci\u00f3n de versi\u00f3n reciente, no tiene que examinar el mensaje una segunda vez. Si trata de eludir Forefront Security al insertar marcas antivirus falsas en sus mensajes de prueba, ver\u00e1 el firewall de encabezados en acci\u00f3n: quitar\u00e1 estas marcas justo despu\u00e9s del evento OnDataCommand, mucho antes de que se active el evento OnSubmittedMessage que invoca al agente de enrutamiento de FSE. <\/p>\n

Mientras consulta los encabezados de mensajes en los archivos de instant\u00e1neas, quiz\u00e1s desee crear un registro de prueba SPF para Contoso.com que identifique una direcci\u00f3n IP incorrecta como remitente leg\u00edtimo. Una forma de conseguirlo es ejecutar el archivo INTERNET01_wrong_SPF_record.bat en el host de Internet. Despu\u00e9s, deber\u00eda enviar un mensaje de prueba como Contoso.User@Contoso.com y examinar los encabezados X-MS-Exchange-Organization-SenderIdResult y Received-SPF: <\/p>\n

\"image\"<\/a> <\/p>\n

  <\/p>\n

  <\/p>\n

Conclusi\u00f3n<\/h5>\n

Como ha visto en este art\u00edculo y en el anterior, los servidores de transporte perimetral de Exchange Server 2007 vienen con un conjunto completo de agentes de transporte para implementar funciones contra correo electr\u00f3nico no deseado confiables y de gran precisi\u00f3n, entre ellas, filtrado de conexi\u00f3n, an\u00e1lisis de protocolo y filtrado de contenido. La arquitectura de transporte es extensible y compatible con la implementaci\u00f3n de agentes adicionales para obtener funcionalidad ampliada. El agente de enrutamiento FSE es un buen ejemplo de un agente adicional que integra Forefront Security para Exchange Server en la arquitectura de transporte. <\/p>\n

En combinaci\u00f3n con funciones adicionales, por ejemplo, retraso de la conexi\u00f3n, firewall de encabezados, TLS y autenticaci\u00f3n, los servidores de transporte perimetral ofrecen los medios necesarios para lograr un nivel muy alto de protecci\u00f3n de la mensajer\u00eda en m\u00faltiples niveles y sin puntos \u00fanicos de posibles errores. Con la implementaci\u00f3n de servidores de transporte perimetral y Forefront Security en una red perimetral, de forma estrictamente independiente de su organizaci\u00f3n interna del servidor Exchange, puede mantener el contenido malintencionado e ileg\u00edtimo lejos de su entorno de mensajer\u00eda al tiempo que realiza la entrega de mensajes leg\u00edtimos a los usuarios con tasas de falsos positivos muy bajas. <\/p>\n

\n

Kay Unkroth<\/b>es una empresaria que ha trabajado como ingeniera de soporte, desarrolladora de sistemas, consultora, instructora y autora especializada en tecnolog\u00edas de servidores de Microsoft durante m\u00e1s de 15 a\u00f1os. Kay tambi\u00e9n es cofundadora y presidente de Biblioso Corporation, una compa\u00f1\u00eda que se especializa en servicios administrados de documentaci\u00f3n y localizaci\u00f3n. <\/p>\n

\n

Extra\u00eddo del November 2007<\/a> n\u00famero de TechNet Magazine<\/a>.
Le agradecemos cualquier comentario. No dude en enviarnos su opini\u00f3n<\/a>. <\/p>\n

\n","protected":false},"excerpt":{"rendered":"

Aqui la segunda parte de la nota que publicada el 7 de nov. La nota…<\/p>\n","protected":false},"author":1,"featured_media":4291,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[3,5],"tags":[],"class_list":["post-229","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-exchange-2007","category-videos-noticias"],"_links":{"self":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/229","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=229"}],"version-history":[{"count":0,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/229\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/media\/4291"}],"wp:attachment":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=229"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=229"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=229"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}