Articles /

Enviar conectores de Exchange Server

  • Artículo
  • 08/30/2021
  • 12 minutos para leer
    • m
    • D
    • m
    • Un
    • v
    • +5
Es esta página de ayuda?

Gracias.

Exchange utiliza conectores de envío para conexiones SMTP salientes desde servidores Exchange de origen a servidores de correo electrónico de destino. El conector de envío que se utiliza para enrutar mensajes a un destinatario se selecciona durante la fase de resolución de enrutamiento de la categorización de mensajes. Para obtener más información, consulte Enrutamiento de correo.

Puede crear conectores de envío en el servicio de transporte en servidores de buzón de correo y en servidores de transporte perimetral. Los conectores de envío se almacenan en Active Directory y (de forma predeterminada) son visibles para todos los servidores de buzones de correo de la organización.

Importante

De forma predeterminada, no existen conectores de envío para el flujo de correo externo cuando instala Exchange. Para habilitar el flujo de correo saliente de Internet, debe crear un conector de envío o suscribirse a un servidor de transporte perimetral a su organización de Exchange. Para obtener más información, consulte Crear un conector de envío para enviar correo a servidores de transporte perimetral y de Internet.

No es necesario configurar conectores de envío para enviar correo entre servidores de Exchange en el mismo bosque de Active Directory. Los conectores de envío implícitos e invisibles que son plenamente conscientes de la topología de Exchange server están disponibles para enviar correo a servidores internos de Exchange. Estos conectores se describen en la sección Conectores de envío implícitos.

Estos son los ajustes importantes de los conectores de envío:

  • Tipo de uso

  • Configuración de red: Configure cómo el conector de envío enruta el correo: mediante DNS o reenviando automáticamente todo el correo a un host inteligente.

  • Espacios de direcciones: Configure los dominios de destino de los que es responsable el conector de envío.

  • Alcance: Configura la visibilidad del conector de envío a otros servidores Exchange de la organización.

  • Servidores de origen: Configure los servidores de Exchange donde se aloja el conector de envío. El correo que debe entregarse mediante el conector de envío se enruta a uno de los servidores de origen.

En los servidores de buzón de correo, puede crear y administrar conectores de envío en el centro de administración de Exchange o en el Shell de Administración de Exchange. En los servidores de transporte perimetral, solo puede usar el Shell de Administración de Exchange.

Enviar cambios de conector en Exchange Server

Estos son los cambios notables para Enviar conectores en Exchange 2016 o Exchange 2019 en comparación con Exchange 2010:

  • Puede configurar los conectores de envío para redirigir o proxy el correo saliente a través del servicio de transporte Front-End. Para obtener más información, consulte Configurar conectores de envío al correo saliente del proxy.

  • El parámetro IsCoexistenceConnector ya no está disponible.

  • El parámetro LinkedReceiveConnector ya no está disponible.

  • El tamaño máximo predeterminado del mensaje se incrementa a 35 MB (aproximadamente 25 MB debido a la codificación Base64). Para obtener más información, consulte Tamaño de mensaje y límites de destinatarios en Exchange Server.

  • El parámetro TlsCertificateName le permite especificar el emisor del certificado y el asunto del certificado. Esto ayuda a minimizar el riesgo de certificados fraudulentos.

Conectores de envío implícitos

Aunque no se crean conectores de envío durante la instalación de los servidores de Exchange, existe un conector de envío implícito especial llamado Conector de envío intra-organización. Este conector de envío implícito está disponible automáticamente, es invisible y no requiere administración. El conector de envío dentro de la organización existe en los servicios de transporte para enviar correo, ya sea internamente entre servicios en el servidor Exchange local o a servicios en servidores Exchange remotos de la organización. Por ejemplo:

  • Servicio de transporte Front End al servicio de transporte.

  • Servicio de transporte al servicio de Transporte en otros servidores.

  • Servicio de transporte a servidores de transporte perimetrales suscritos.

  • Servicio de transporte al Buzón Servicio de Entrega de transporte.

  • Servicio de Envío de Correo de transporte al servicio de Transporte.

Para obtener más información, consulte Flujo de correo y canalización de transporte.

Tipos de uso del conector de envío

Para los conectores de envío, el tipo de uso es básicamente una etiqueta descriptiva que identifica para qué se utiliza el conector de envío. Todos los valores de tipo de uso reciben los mismos permisos.

Solo puede especificar el tipo de uso del conector al crear conectores de envío. Cuando utilice el EAC, debe seleccionar un valor de tipo. Pero cuando se utiliza el cmdlet New-SendConnector en el Shell de administración de Exchange, no se requiere el tipo de uso (ya sea mediante -Usage <UsageType> o -<UsageType>).

Especificar un tipo de uso configura un tamaño máximo de mensaje predeterminado, que puede cambiar después de crear el conector.

Los valores de tipo de uso disponibles se describen en la siguiente tabla.

Tipo de uso Tamaño máximo del mensaje
Personalizado 35 MB Ninguno
Interno ilimitado Cuando crea un conector de envío de este tipo de uso en el EAC, no puede seleccionar el registro MX asociado al dominio del destinatario. Después de crear el conector, puede ir a la pestaña Entrega en las propiedades del conector de envío y seleccionar Registro MX asociado al dominio del destinatario.
Esta misma restricción no existe en el Shell de Administración de Exchange. Puede usar el conmutador interno y establecer DNSRoutingEnabled en $true en el cmdlet New-SendConnector.
Internet 35 MB Ninguno
Socio 35 MB Al crear un conector de envío de este tipo de uso en el EAC, no puede seleccionar Enrutar correo a través de hosts inteligentes o un mecanismo de autenticación de host inteligente. Después de crear el conector, puede ir a la pestaña Entrega en las propiedades del conector de envío y seleccionar Enrutar correo a través de hosts inteligentes y el mecanismo de autenticación de host inteligente.
Esta misma restricción no existe en el Shell de Administración de Exchange. Puede usar el conmutador de socio y establecer el valor DNSRoutingEnabled en $false y usar los parámetros SmartHosts y SmartHostAuthMechanism en el cmdlet New-SendConnector.

Configuración de red del conector de envío

Cada conector de envío debe configurarse con una de estas opciones:

  • Utilice DNS para enrutar el correo.

  • Utilice uno o más hosts inteligentes para enrutar el correo.

Usar DNS para enrutar correo

Cuando selecciona resolución DNS para entregar correo, el servidor de intercambio de origen para el conector de envío debe poder resolver los registros MX para los espacios de direcciones configurados en el conector. Dependiendo de la naturaleza del conector y de cuántos adaptadores de red hay en el servidor, el conector de envío podría requerir acceso a un servidor DNS interno o a un servidor DNS externo (público). Puede configurar el servidor para que use servidores DNS específicos para búsquedas de DNS internas y externas:

  • En el EAC en Servidores > Servidor > seleccione el servidor y haga clic en el icono Editar Editar.Pestaña de búsquedas de DNS >.

  • En el Shell de administración de Exchange, se utilizan los parámetros ExternalDNS* e InternalDNS* en el cmdlet Set-TransportService.

Si ya ha configurado el servidor de Exchange con configuraciones de DNS separadas para usar en búsquedas de DNS internas y externas, y el conector de envío enruta el correo a un espacio de direcciones externo, debe configurar el conector de envío para usar el servidor DNS externo:

  • En el EAC, seleccione Usar la configuración de búsqueda de DNS externo en servidores con roles de transporte (en el asistente para nuevo conector de envío o en la ficha Entrega en las propiedades de los conectores existentes).

  • En el Shell de administración de Exchange, utilice el parámetro UseExternalDNSServersEnabled en los cmdlets New-SendConnector y Set-SendConnector.

Usar hosts inteligentes para enrutar correo

Cuando enrutas correo a través de un host inteligente, el conector de envío reenvía el correo al host inteligente, y el host inteligente es responsable de enrutar el correo al siguiente salto en su camino hacia el destino final. Un uso común del enrutamiento de host inteligente es enviar correo saliente a través de un servicio o dispositivo antispam.

Identifica uno o más hosts inteligentes para usar para el conector de envío por una dirección IP individual (por ejemplo, 10.1.1.1), un nombre de dominio completo (FQDN) (por ejemplo, spamservice).contoso.com), o combinaciones de ambos tipos de valores. Si utiliza un FQDN, el servidor de intercambio de fuentes para el conector de envío debe poder resolver el FQDN (que podría ser un registro MX o un registro A) mediante DNS.

Una parte importante del enrutamiento de host inteligente es el mecanismo de autenticación que utilizan los host inteligentes. Los mecanismos de autenticación disponibles se describen en la siguiente tabla.

mecanismo de Autenticación Descripción
Ninguno (None) Sin autenticación. Por ejemplo, cuando el acceso al host inteligente está restringido por la dirección IP de origen.
Autenticación básica(BasicAuth) Autenticación básica. Requiere un nombre de usuario y contraseña. El nombre de usuario y la contraseña se envían en texto claro.
Ofrezca autenticación básica solo después de iniciar TLS (BasicAuthRequireTLS) Autenticación básica cifrada con TLS. Esto requiere un certificado de servidor en el host inteligente que contenga el FQDN exacto del host inteligente definido en el conector de envío.
El conector Send intenta establecer la sesión TLS enviando el comando STARTTLS al host inteligente y solo realiza la autenticación básica después de que se establezca la sesión TLS.
También se requiere un certificado de cliente para admitir la autenticación TLS mutua.
Autenticación de Exchange Server(ExchangeServer) Interfaz de programación de aplicaciones de servicios de seguridad genéricos (GSSAPI) y autenticación GSSAPI mutua.
Seguridad externa(ExternalAuthoritative) Se presume que la conexión está asegurada mediante el uso de un mecanismo de seguridad externo a Exchange. La conexión puede ser una asociación de protocolo de seguridad de Internet (IPsec) o una red privada virtual (VPN). Alternativamente, los servidores pueden residir en una red confiable y controlada físicamente.

Espacios de direcciones del conector de envío

El espacio de direcciones especifica los dominios de destino a los que presta servicio el conector de envío. El correo se enruta a través de un conector de envío basado en el dominio de la dirección de correo electrónico del destinatario.

Los valores de espacio de direcciones SMTP disponibles se describen en la siguiente tabla.

Espacio de direcciones Explicación
* El conector de envío enruta el correo a los destinatarios en todos los dominios.
Dominio (por ejemplo, contoso.com) El conector de envío enruta el correo a los destinatarios en el dominio especificado, pero no en ningún subdominio.
Dominio y subdominios (por ejemplo, *.contoso.com) El conector de envío enruta el correo a los destinatarios en el dominio especificado y en todos los subdominios.
-- El conector de envío enruta el correo a los destinatarios en todos los dominios aceptados de la organización de Exchange. Este valor solo está disponible en los conectores de envío en servidores de transporte perimetral que envían correo a la organización interna de Exchange.

Un espacio de direcciones también tiene valores de tipo y coste que puede configurar.

En los servidores de transporte perimetral, el valor de tipo debe ser SMTP. En los servidores de buzón de correo, también puede usar tipos de espacio de direcciones que no sean SMTP, como X400 o cualquier otra cadena de texto. Las direcciones X. 400 deben ser compatibles con RFC 1685 (por ejemplo, o=MySite;p=MyOrg;a=adatum;c=us), pero otros valores de tipo aceptan cualquier valor de texto para el espacio de direcciones. Si especifica un tipo de espacio de direcciones que no sea SMTP, el conector de envío debe usar enrutamiento de host inteligente, y SMTP se utiliza para enviar mensajes al host inteligente. Los conectores de agente de entrega y los conectores externos envían mensajes que no son SMTP a servidores que no son SMTP sin usar SMTP. Para obtener más información, consulte Agentes de entrega y Conectores de Agentes de entrega y Conectores externos.

El valor de coste en el espacio de direcciones se utiliza para la optimización del flujo de correo y la tolerancia a errores cuando tiene los mismos espacios de direcciones configurados en varios conectores de envío en diferentes servidores de origen. Un valor de prioridad inferior indica un conector de envío preferido.

El conector de envío que se utiliza para enrutar mensajes a un destinatario se selecciona durante la fase de resolución de enrutamiento de la categorización de mensajes. Se selecciona el conector de envío cuyo espacio de direcciones coincida más estrechamente con la dirección de correo electrónico del destinatario y cuyo valor de prioridad sea el más bajo.

Por ejemplo, supongamos que el destinatario es [email protected]. Si un conector de envío está configurado para *.contoso.com, el mensaje se enruta a través de ese conector. Si no hay ningún conector de envío configurado para *.contoso.com, el mensaje se enrutará a través del conector configurado para *. Si varios conectores de envío en el mismo sitio de Active Directory están configurados para *.contoso.com, se selecciona el conector con el valor de prioridad más bajo.

Alcance del conector de envío

Los servidores de origen de un conector de envío determinan el servidor de intercambio de destino para el correo que debe enrutarse a través del conector de envío. El alcance del conector de envío controla la visibilidad del conector dentro de la organización de Exchange.

De forma predeterminada, los conectores de envío son visibles para todos los servidores Exchange de todo el bosque de Active Directory y se utilizan en las decisiones de enrutamiento. Sin embargo, puede limitar el alcance de un conector de envío para que solo sea visible para otros servidores de Exchange en el mismo sitio de Active Directory. El conector de envío es invisible para los servidores de Exchange de otros sitios de Active Directory y no se utiliza en sus decisiones de enrutamiento. Se dice que un conector de envío que está restringido de esta manera tiene un alcance.

Para configurar conectores de envío con ámbito en el EAC, seleccione Conector de envío con ámbito en la sección Espacio de direcciones del asistente para nuevos conectores de envío o en la ficha Alcance en las propiedades de conectores de envío existentes. En el Shell de administración de Exchange, se utiliza el parámetro IsScopedConnector en los cmdlets New-SendConnector y Set-SendConnector.

Permisos de conector de envío

Cuando el conector de envío establece una conexión con el servidor de correo electrónico de destino, los permisos de conector de envío determinan los tipos de encabezados que se pueden enviar en los mensajes. Si un mensaje incluye encabezados que no están permitidos por los permisos, esos encabezados se eliminan de los mensajes.

Los permisos se asignan para Enviar conectores por entidades de seguridad conocidas. Las entidades de seguridad incluyen cuentas de usuario, cuentas de equipo y grupos de seguridad (objetos que se pueden identificar mediante un identificador de seguridad o un SID que pueden tener permisos asignados). De forma predeterminada, se asignan las mismas entidades de seguridad con los mismos permisos a todos los conectores de envío, independientemente del tipo de uso que haya seleccionado al crear el conector. Para modificar los permisos predeterminados de un conector de envío, debe usar los cmdlets Add-ADPermission y Remove-ADPermission en el Shell de administración de Exchange.

Los permisos de conector de envío disponibles se describen en la siguiente tabla.

Permiso Asignado a Descripción
ms-Exch-Send-Headers-Forest <Domain>\Exchange Servers
MS Exchange\Edge Transport Servers
MS Exchange\Hub Transport Servers 		Controla la conservación de los encabezados de bosque de intercambio en los mensajes. Los nombres de encabezado del bosque comienzan con X-MS-Exchange-Forest -. Si no se concede este permiso, todos los encabezados del bosque se eliminan de los mensajes.
ms-Exch-Send-Headers-Organization <Domain>\Exchange Servers
MS Exchange\Edge Transport Servers
MS Exchange\Hub Transport Servers 		Controla la conservación de los encabezados de la organización de Exchange en los mensajes. Los nombres de encabezado de organización comienzan con X-MS-Exchange-Organization -. Si no se concede este permiso, todos los encabezados de la organización se eliminan de los mensajes.
ms-Exch-Send-Headers-Routing NT AUTHORITY\ANONYMOUS LOGON
<Domain>\Exchange Servers
MS Exchange\Edge Transport Servers
MS Exchange\Externally Secured Servers
MS Exchange\Hub Transport Servers
MS Exchange\Legacy Exchange Servers
MS Exchange\Partner Servers 		los Controles de la conservación de las cabeceras de los mensajes. Si no se concede este permiso, todos los encabezados recibidos se eliminan de los mensajes.
ms-Exch-SMTP-Send-Exch50 <Domain>\Exchange Servers
MS Exchange\Edge Transport Servers
MS Exchange\Externally Secured Servers
MS Exchange\Hub Transport Servers
MS Exchange\Legacy Exchange Servers 		Permite que la fuente de Exchange server para enviar XEXCH50 comandos en el conector de Envío. El objeto binario grande (BLOB) X-EXCH50 fue utilizado por versiones anteriores de Exchange (Exchange 2003 y anteriores) para almacenar datos de Exchange en mensajes (por ejemplo, el nivel de confianza de spam o SCL).
Si no se concede este permiso, y los mensajes contienen el BLOB de X-EXCH50, el servidor de Exchange envía el mensaje sin el BLOB de X-EXCH50.
ms-Exch-SMTP-Send-XShadow <Domain>\Exchange Servers
MS Exchange\Edge Transport Servers
MS Exchange\Hub Transport Servers 		Este permiso está reservado para el uso interno de Microsoft, y se presenta aquí sólo para fines de referencia.

Nota: Los nombres de permisos que contienen ms-Exch-Send-Headers- forman parte de la función firewall de encabezado. Para obtener más información, consulte Firewall de encabezados.

Procedimientos de permisos de Send connector

Para ver los permisos asignados a entidades de seguridad en un Send connector, utilice la siguiente sintaxis en el Shell de Administración de Exchange:

Get-ADPermission -Identity <SendConnector> | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Por ejemplo, para ver los permisos que se asignan a todas las entidades de seguridad en el conector de envío llamado A Fabrikam.com, ejecute el siguiente comando:

Get-ADPermission -Identity "To Fabrikam.com" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Para ver los permisos asignados solo a la entidad de seguridad NT AUTHORITY\ANONYMOUS LOGON en el conector de envío llamado Fabrikam, ejecute el siguiente comando:

Get-ADPermission -Identity "To Fabrikam.com" -User "NT AUTHORITY\ANONYMOUS LOGON" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Para agregar permisos a una entidad de seguridad en un conector de envío, utilice la siguiente sintaxis:

Add-ADPermission -Identity <SendConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...

Para quitar permisos de una entidad de seguridad en un conector de envío, utilice la siguiente sintaxis:

Remove-ADPermission -Identity <SendConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...

Leave a Reply