Notas del Mundo Real 2.0

Notas de un SysAdmin que terminó siendo MVP

Relay Bueno: Permitiendo Relay en Exchange 2000/2003?

NOTA:

Este post fue publicado originalmente en mi anterior blog el
16/08/2007. 
Hice algunos cambios, modificaciones y adiciones para mejorar el artículo

 
En los artículos previos explicamos:
 

Ahora, me gustaría hablar un poco sobre cómo efectivamente y de forma "segura" permitir el Relay (Reenvío) a través de nuestro servidor SMTP.

La pregunta obvia es: Por qué razón alguien querría permitir Relay en sus servidores de correo?
Razones pueden haber varias: Clientes de correo qué sólo poseen compatibilidad para POP3/IMAP4 necesitarán un servidor de correo SMTP para enviar mensajes (Por ejemplo, aún hay dando vueltas clientes de correo antiguos o dispositivos móviles y PDAs que no soporten ActiveSync.), usuarios que viajan, etc.

La esencia del Relay Bueno es que sólo permitiremos el envío de correo para los usuarios del dominio que se autentifiquen con nuestro servidor de correo. En el artículo sobre Cómo enviar Correo Electrónico a mano, Parte II: SMTP Autenticado, vimos este comportamiento. Ahora les mostraré cómo hay que configurar el Servidor para que funcione de ésta forma.

Paso 1. Cerrar el Open Relay

En Exchange 2003 el Open Relay viene cerrado por defecto. De todas formas, les sugiero comparar la configuración de su servidor con la mostrada en éste artículo:

Verificando las opciones de Relay en Exchange 2000/2003.

Paso 2. Permitir el Relay SOLO a Usuarios Autenticados

En las propiedades del servidor Virtual SMTP (Exchange System Manager -> ... -> Servidor -> Procolos -> SMTP -> SMTP Virtual Server), en la lengüeta Acceso (Access) presionamos el botón de Autenticación (Autentication). Tendremos un par de ventanas como las del siguiente dibujo:

img01

En la ventana de Autenticación, deben estar seleccionados los 3 checkboxes principales (como muestra la figura).
Ahora presionamos el botón Usuarios (Users) y se abrirá una nueva ventana.

En esta nueva ventana debemos dejar solamente el grupo de Usuarios Autenticados (Authenticated Users), con los permisos de Enviar (Submit) y Reenviar (Relay).

En este último paso realizamos la configuración más importante: le dijimos al servidor smtp que los usuario autenticados y sólo éstos (es decir, los usuarios que se identificaron exitosamente con su nombre de usuario y contraseña al establecer la sesión smtp), pueden reenviar correo a través de este servidor smtp a direcciones que no pertenecen a la organización (dominio smtp).

img02

Luego cerramos todas las ventanas y reiniciamos el servicio SMTP para que se apliquen los cambios.

Finalmente, debo recordar que toda la información de usuarios y sus claves que se envían al servidor smtp (y al pop3 y al imap4), viajan en texto plano (o codificadas en Base64), por lo que es trivial con un sniffer poder obtener estas contraseñas.
En Consecuencia, es recomendable usar otros protocolos de envío/recepción de correo (Mapi, RPC sobre HTTP(S), HTTPS, ActiveSync, HTTPS, etc), o al menos cifrar las comunicaciones a estos servicios usando TLS (con certificados digitales para cada protocolo).

Gonzalo

 

Etiquetas de Technorati: ,
Posted: 3/3/2010 1:49 por gbr | con 3 comment(s)
Comparte este post:

Comentarios

Nicky Enriquez Torres ha opinado:

Como esta dr. yo tengo ese problema con el envio de un correo ejm: webmaster@munialbarracin.gob.pe(dentro el dominio) a otro contribuyente1000@hotmail.com (fuera del dominio) lo cual lo hago automaticamente(por codigo),pero crees que tambien el squid (que esta en otro servidor proxy) puede tambien bloquear el envio de salida por smtp?? se tiene un server 2008 con exchange 2003

Y bueno este error me sale :"servidor rechazó una o más direcciones de destinatarios. Respuesta del servidor: 550 5.7.1 Unable to relay for xxxxxx@xxxx.xxx."

Y gracias por tu respuesta...

# September 1, 2010 6:49 AM

Gonzalo Balladares R. ha opinado:

Hola Nicky.

Gracias por leer el blog.

No creo que sea problema con tu proxy, pues el mensaje de error lo entre el servidor de correo, y es bastante específico.

Lo que tendrías que revisar es si la aplicación que está enviando el correo se autentica contra el servidor de correo al momento de intentar enviar el correo, es decir, le entrega username y password para validarse.

Espero que con esto puedas resolver el problema.

Saludos!

# September 2, 2010 1:58 AM

Gonzalo Balladarez ha opinado:

NOTA: Este post fue publicado originalmente en mi anterior blog el 16/08/2007. Hice algunos cambios,

# September 20, 2010 7:37 AM