Notas del Mundo Real 2.0

Relay Bueno: Permitiendo Relay en Exchange 2000/2003?

• Cómo enviar Correo Eletrónico a mano, Parte I.
• Cómo enviar Correo Electrónico a mano, Parte II: SMTP Autenticado
• Cómo saber si tu servidor de correo permite Relay?:
  • Qué es el Relay, distinguiendo entre "Relay Bueno" y "Relay Malo".
  • Cómo verificar manualmente que nuestro servidor no permita Relay
• Verificando las opciones de Relay en Exchange 2000/2003 (Exchange Blog Latino): Verificar en nuestro servidor y desde internet usando herramientas en línea, que no seamos un Open Relay.

Ahora, me gustaría hablar un poco sobre cómo efectivamente y de forma "segura" permitir el Relay (Reenvío) a través de nuestro servidor SMTP.

La pregunta obvia es: Por qué razón alguien querría permitir Relay en sus servidores de correo?
Razones pueden haber varias: Clientes de correo qué sólo poseen compatibilidad para POP3/IMAP4 necesitarán un servidor de correo SMTP para enviar mensajes (Por ejemplo, aún hay dando vueltas clientes de correo antiguos o dispositivos móviles y PDAs que no soporten ActiveSync.), usuarios que viajan, etc.

La esencia del Relay Bueno es que sólo permitiremos el envío de correo para los usuarios del dominio que se autentifiquen con nuestro servidor de correo. En el artículo sobre Cómo enviar Correo Electrónico a mano, Parte II: SMTP Autenticado, vimos este comportamiento. Ahora les mostraré cómo hay que configurar el Servidor para que funcione de ésta forma.

Paso 1. Cerrar el Open Relay

En Exchange 2003 el Open Relay viene cerrado por defecto. De todas formas, les sugiero comparar la configuración de su servidor con la mostrada en éste artículo:

Verificando las opciones de Relay en Exchange 2000/2003.

Paso 2. Permitir el Relay SOLO a Usuarios Autenticados

En las propiedades del servidor Virtual SMTP (Exchange System Manager -> ... -> Servidor -> Procolos -> SMTP -> SMTP Virtual Server), en la lengüeta Acceso (Access) presionamos el botón de Autenticación (Autentication). Tendremos un par de ventanas como las del siguiente dibujo:

En la ventana de Autenticación, deben estar seleccionados los 3 checkboxes principales (como muestra la figura).
Ahora presionamos el botón Usuarios (Users) y se abrirá una nueva ventana.

En esta nueva ventana debemos dejar solamente el grupo de Usuarios Autenticados (Authenticated Users), con los permisos de Enviar (Submit) y Reenviar (Relay).

En este último paso realizamos la configuración más importante: le dijimos al servidor smtp que los usuario autenticados y sólo éstos (es decir, los usuarios que se identificaron exitosamente con su nombre de usuario y contraseña al establecer la sesión smtp), pueden reenviar correo a través de este servidor smtp a direcciones que no pertenecen a la organización (dominio smtp).

Luego cerramos todas las ventanas y reiniciamos el servicio SMTP para que se apliquen los cambios.

Finalmente, debo recordar que toda la información de usuarios y sus claves que se envían al servidor smtp (y al pop3 y al imap4), viajan en texto plano (o codificadas en Base64), por lo que es trivial con un sniffer poder obtener estas contraseñas.
En Consecuencia, es recomendable usar otros protocolos de envío/recepción de correo (Mapi, RPC sobre HTTP(S), HTTPS, ActiveSync, HTTPS, etc), o al menos cifrar las comunicaciones a estos servicios usando TLS (con certificados digitales para cada protocolo).

Gonzalo