Hace unos días me tocó atender un incidente de Exchange relacionado a problemas de autenticación en el SMTP por ende, problemas de SPAM.
No es muy difícil entender el comportamiento de SMTP y como restringirlo para no convertirlo en un Open Relay.
Ante la duda, lo primero que tenemos que hacer es testear desde fuera de la LAN si es o no. Para eso existe una aplicación Web proporcionada por Abuse.net (entre otros tantos) que la pueden encontrar en http://www.abuse.net/relay.html. El único dato que hay que ingresar es la dirección IP o el nombre público de nuestro SMTP. Esta aplicación hace una serie de pruebas (unas 17 aproximadamente).
NOTA: Para los administradores de Exchange 2000. La prueba 8 de este test da positiva. Pero no es de alarmarse, porque en realidad ese mensaje es rechazado luego por Exchange cuando hace las consultas a Active Directory.
Si el test da OK, entonces no tenemos nada para preocuparnos, todo funciona como debiera. Si no diese OK, tendríamos que hacer algunas verificaciones en las configuraciones:
Como primer punto, verificar las opciones de autenticación del protocolo SMTP. Para ello abrimos la consola de Administración de Exchange, expandimos servers –> protocols –> SMTP –> y entramos a las propiedades del SMTP Virtual Server
Una vez dentro, vamos a la solapa “Access”, y entramos en Autenticación:
Quiero mostrar esta configuración porque es clásica pregunta:
SI, Tiene que tener ANONYMOUS ACCESS. ¿Porqué es esto? Porque los SMTP externos que intenten enviar correos hacia nuestro dominio no usan autenticación. Sería utópico. Tendríamos que estar repartiendo nuestra contraseña a miles de millones de SMTPs en el mundo 🙂
Volviendo al tema del Relay, tenemos que entrar al botón “Relay” y corroborar que las configuraciones sean las siguientes:
Con esta configuración estamos permitiendo que sólo los equipos en la lista (vacía por default) puedan hacer relay a nuestro servidor, sin autenticación. Y además es importante que el tilde “Allow all computers…” esté marcado.
—————————-
Si nuestro servidor tiene un conector SMTP, con address space ” * ” (asterisco), entonces tendríamos que verificar en las propiedades:
Que NO esté marcada la opción “Allow messages to be relayed to this domains”, de lo contrario estaríamos permitiendo el relay hacia TODOS los dominios.
—————————-
Una vez finalizadas las configuraciones, podríamos reiniciar el servicio de SMTP para que se apliquen los cambios y volver a correr el test de http://www.abuse.net/relay.html
Espero que les haya servidor,
Vernocchi Pablo
De lo poco que conozco Exchange, siempre me ha parecido un servidor de correo con una configuración por defecto muy buena. Quiero decir, que para convertir el Exchange en un Open Relay hay que tener narices. Por otro lado está bien que expliques lo de la autenticación SMTP anónima y el por qué, pues suele ser típica pregunta que hace la gente.
Un saludo.
Hola con respecto a las configuracion en configuracion anonima tiene que estar marcado o la configuracion que esta ahi debe estar por defecto todo tal como esta en la imagen, y gracias por los articulos varios me han servido mucho para mi servidor de correo
John,
Gracias por los comentarios.
Las configuraciones en estas capturas son las que están por default. El acceso anónimo tiene que estar marcado.
Saludos,
hola, soy nuevo en la config de servidores, tengo un problema con un servidor aunque no se que tan grave sea, podrÃÂas orientarme??
El problema es, tengo configurado mi servicio SMTP como muestras en el post, sin embargo en el visor de sucesos me salen muchas advertencias del smtpsvc con suceso 4006, con la sig descripción:
No se pudo entregar un mensaje al host ‘xxxxx’ mientras se realizaba la entrega al dominio remoto ‘xxx’, el motivo es el siguiente: El servidor remoto no respondió a un intento de conexión.
De antemano muchas gracias.
HOLA!! Tienes un excelete blog.
Soy nuevo en la config de servidores, tengo un problema con un servidor aunque no se que tan grave sea, podrías orientarme??
El problema es, tengo configurado mi servicio SMTP como muestras en el post, sin embargo en el visor de sucesos me salen muchas advertencias del smtpsvc con suceso 4006, con la sig descripciónn:
No se pudo entregar un mensaje al host ‘xxxxx’ mientras se realizaba la entrega al dominio remoto ‘xxx’, el motivo es el siguiente: El servidor remoto no respondió a un intento de conexión.
De antemano muchas gracias.
Hola Luis,
Esos errores son de entrega. Probablemente haya alguna configuración mal hecha. Te recomiendo que visites el foro para poder evacuar la duda http://www.psicofxp.com/forums/it-pro-servidores.243
Hola.
Acabo de emprezar a trabajat con exchange, en una empresa que lleva mas de un año con un exchange 2000 funcionando.
Por las pruebas que he realizado y he confirmado en “http://www.abuse.net/relay.html” el servidor no hace relay hacia fuera pero si que lo hace al dominio interno.
Este es el resultado n6 del test.
———————————————
Relay test 6
>>> RSET
>> MAIL FROM:
>> RCPT TO:
Analizá por las dudas las configuraciones. Si mal no recuerdo el test que falla es el 8.
Primero felicitaciones por la explicacion, segundo tengo una pregunta, como hago yo para habilitar relay solo para usuarios autenticados? es decir tengo dos servidores, uno con isa 2004 y exchange 2003 (servidor 2) y el otro solo con exchange (servidor 1). los gerentes tienen cuentas que se manejan con POP3 y con exchange. ellos envian correos externos bien por la cuenta exchange pero por la cuenta POP3 lo rechaza. yo los apunte al servidor 1 par que realize relay hacia el servidor 2 y este al exterior. pregunto como podria yo configurar los servidores para habilitar este servicio? o que debo hacer sin que ello implique dejar alguno de los servidores como open relay (sabes tema de spam!). en caso de alguna respuesta larga, por favor hacerlo al jlatmcr@yahoo.com Gracias de antemano por la respuesta
Hola, tambien me parece importante de decir que la cuenta “Invitado” tiene que ser desactivada.
Steve
Jonathan, las conexiones autenticadas pueden hacer relay por default.
Slds.
Pablo, felicitaciones por el blog. Ahi va la pregunta, como puede ser que teniendo bloqueado el Open Relay, probe con http://www.abuse.net/relay , probe desde telnet los comandos de SMTP y no me permite enviar a destinatarios externos, me fijo en las “Colas” y tengo cientos de mensajes del exterior a correos de Taiwan. Como se infiltran y como puedo evitarlo ?
Muchas gracias.
Seguramente son los NDR (non delivery reports) de los intentos de Relay externos, y están dirigidos a la dirección de postmaster.
Para evitar eso, tenes que habilitar la opción de Recipient Filter para que rechace los correos que no existen en Active Directory.
Slds.
Pingback: Las colas de SMTP están llenas con mensajes a postmaster@… at Blog de Pablo Vernocchi
Pingback: Las colas de SMTP están llenas con mensajes a postmaster@... - Exchange Blog Latino
Hola, he hecho lo que tu indicas y tengo el siguiente problema:
puedo enviar mails hacia afuera, pero cuando quiero enviar desde google a mi dominio me indica que smtp error permanente, y no puedo recibir si no permito la retransmisiòn, me podras ayudar. Gracias de antemano
Deberías revisar los logs del SMTP para verificar dónde está el error de comunicación de Google, o ver si el event viewer dice algo más.
Solamente con GMail te pasa? Si es así, no veo que sea un problema de la configuración tuya.
Antes que nada gracias por el tiempo invertido y espero que me puedas ayudar en este problema.
Trabajo para una empresa que tiene una Organización de Exchange. En uno de los servidores esta autorizado el relay para ciertas direcciones IP (servidores Unix). Pero al parecer existe pérdida de correos. Mi pregunta es:
¿puedo saber y/o hay una herramienta que permita monitorear el flujo de emails enviados desde esos servidores (unix)de tal manera que se pueda detectar cuantos correos se están enviando y horas pico de mayor saturación en las que más correos son enviados? Principalmente me interesa saber esto para aquellos emails con un dominio en específico, es decir, cuantos llegan, cuantos se pierden, etc.
rodsan,
Podes habilitar el centro de seguimiento o leer el log de smtp para darte cuenta de eso.
http://www.itpros.com.ar/blog/que-opciones-habilitar-para-hacer-un-troublshooting-de-nuestro-exchange
Slds.
En verdad agradezco el tiempo y paciencia invertido.
Revisando los Logs tanto de SMTP como para el Tracking, no encuentro ningún indicio de que se rechacen los correos desde algún servidor por lo que tengo dos dudas:
1. ¿existe la forma ubicar si se rechazó algun correo desde el (los) servidores Unix o externos que ocupen el relay?
2. ¿en qué caso el servidor Exchange podría rechazar las conexiones o correos? ¿tal vez por una rafaga excesiva? y si es así ¿de que magnitud tendría que ser?
Saludos,
1) Si, leyendo los logs de SMTP…
2) No aleatoreamente. Mas bien lo hace siempre o nunca, dependiendo so configuraste opciones de relay en el conector SMTP o en las opciones globales.
Slds.
Hola! Queria hablaros de dos cosas:
1º
Vereis me he dado cuenta que yo (o cualquier otro) podria utilizar Exchange para enviar correos falsos a Internet, supongo que ya lo sabiais, Por ejemplo:
Si creo un usuario llamado Bill.Gates y en directivas de destinatario creo un dominio @microsoft.com, si envio un email a xxx@gmail.com me lo envia muy bien, y encima a nombre de “bill.gates@microsoft.com”, ¿Como puede ser esto?, no se, me parece demasiado facil enviar correos fraudulentos, en nombre de microsoft o cualquier otra compañia, y mi compañia claro.
Es cierto que con un analizador de tramas se puede ver de donde viene realmente el mensaje, pero eso lo sabe el 5% de la gente, el resto se creera que es bill gates.
¿Hay alguna forma de combatir esto?
2º
Tengo un Dominio en internet y un servicio de correo con el mismo. Pero no se como redirigir los correos que llegan a mi Exchange, como tengo que modificar los DNS en mi ISP, y como hago para que no sea el servidor de correo del ISP el que gestione los correos cuando lleguen, Es decir:
En mi ISP tengo configurado un email xxx@dominio.es, en mi Exchange tengo muchos más, y lo tengo configurado para que al enviar lo envie con @dominio.es (aun teniendo en cuenta lo del punto 1º), cuando yo desde una cuanta externa, hotmail o gmail x ejemplo, envio al correo del ISP me llega sin problemas claro, pero no se como decirle que los que no resuelva el, los reenvie al Exchange, o si tengo que desabilitar el correo en el ISP (no se si se puede), o que
Muchas gracias por leer
Un Saludo
Hola Pablo, he seguido paso a paso tus recomendaciones pero aun no he podido detener la entrada excesiva de correos supuestamente originados desden mi dominio, emitidos desde una cuenta que no existe en el dominio.
Por lo que he leído, mi servidor se encuentra ya comprometido y usuarios no autorizados están haciendo uso de él a modo de relay. Que mas podría hacer para detener este relay?? . Marzo 2008
Buen dia
primeramente me ha sido de mucha ayuda todos sus comentarios, y revisando lo del open relay, actualmente yo tengo un exchange y esta fucionando muy bien a excepto de un dominio que no me permite mandar correos y ya revisamos y no esta en Blacklist y si le doy un ping o tracert si veo su servidor de correo y esta falla empezo cuando el dominio a que estamos mandando se cambio de proveedor, me dice que la falla esta en mi sevidor de correo el cual lo dudo, pero no estoy cerrado a escuchar opiniones y siguiendo los pasos que estan en este blog, yono tengo conectores SMTP ( en que me puede afectar )
espero su ayuda y muchas gracias
Carlos, en cuanto al punto 1 sí existe maneras. La firma digital y SenderID son algunas de las tantas.
En cuanto al punto 2 tenes que modificar los registros MX para que apunten a la ip pública de tu servidor Exchange.
Miguel Angel, pegale una leída a http://www.itpros.com.ar/blog/las-colas-de-smtp-estn-llenas-con-mensajes-a-postmaster
Alejandro, que error te da cuando envias un correo a ese dominio?
Hola Pablo, yo tengo un problema parecido al que omenta Alejandro, actualmente tengo un exchange y esta fucionando muy bien a excepción de un dominio que no me permite mandar correos, el mensaje que me devuelve el administrador es:
… #5.7.1 smtp;550 5.7.1 Unable to relay for xxx@xxxx.com
Si me pudieras ayudar te lo agradecería,
Gracias
me manda este error.
#5.7.1 smtp;550 5.7.1 Unable to relay for xxx@xxxx.com
otra cosa pablo actualmente tengo el problema de que se me estan regresando correos a direcciones que no existen y que nunca hemos mandado como si estuvieramos mandando spam ya cheque tus configuracions y estan igual, y ya revise en paginas de relay y no me permite hacer relay desde afuera que eso esta bien, ya no se que mas puede ser el porque me esta regresando esos correos y yo no los envio.
saludos y espero de tu ayuda
Hola a todos. El problema que me surge con el exchange, es que yo recibo cuentas a través del conector pop3. (ok). Ahora lo que quiero es que mis correos se reenvíen a través del servidor de correo de mi isp (del mismo del que recojo mis cuentas).
A traves de un conector reenvio al host de correo del isp [XXX.XXX.XXX.XXX], pero no puedo (o no se como hacerlo) validarme en ese servidor con autenticación de usuario, como haría con cualquier cliente pop3.
El problema con los rebotes de correos que no fueron enviados pasó hace unas semanas, como una ráfaga y luego desapareció… No entiendo muy bien lo que pasó aún, pero parece ser un problema de Spam.
Ignacio, en la solapa Advanced, Outbound Security podes configurar la autenticación.
Slds.
Hola Pablo, he seguido los pasos que has indicado y me sigue indicando que tengo abierto el relay, por cierto, tengo configuración front-end –> back end.
Otra cosa, has hablado en algun tema de habilitar el rpc sobre http?, no lo he conseguido hacer funcionar con una configuración frontend-backend
Muchas gracias por todo
Que tal Pablo, mi problema es con un SBS2003 con conectores creados, el problema que tengo es que caigo continuamente en lista negra y tengo todo configurado como vos indicas, ya no se donde mirar porque aparentemente esta todo ok..Puede ser que me se me ha pasado algo…cuales son los pasos a verficar para no caer en las listas.
Desde ya mil gracias.
Adrian, muchas veces pasa que todo el segmento de red de un ISP es bloqueado. Deberías ver en los sitios de listas negras cuál es la razón por la cual te meten en ellas.
Slds.
Pablo, lo que me dijeron es que configure el smart host con la ip de mi isp.
Te comento que el dominio lo tengo registrado en elserver.com y tengo una ip publica en iplan con mi registro MX correspondiente con su reverso.
me dijeron que el problema es que los mails salen con una ip y entra con otra…es asi??
Slds y gracias.
Adrian, eso no tiene mucho que ver…
Slds.
Buenas noches Pablo, está muy interesante tú foro.
Tengo el mismo problema que jorfigue,la situación es que tengo todo configurado tal cual como lo describes en el foro y aún así siguen colgando, en mi caso todo viene de un remitente: member@eby.it,
Saludos
Centinela, intentá cnfigurar http://www.itpros.com.ar/blog/las-colas-de-smtp-estn-llenas-con-mensajes-a-postmaster Con eso se soluciona.
Slds.
Muy buenas Pablo, Felicitarte por la gran ayuda que nos proporcionas en tu blog.
Recientemente migre Exchange 2003 a un nuevo HW. Ahora estaba comprobando que todo este ok para que no haga Relay. He configurado todo tal cual expones, aunque creo que por defecto ya estaba asi. Me voy a la pagina de Abuse y lanzo el test, me lo hace para los ocho pasos, en todos me dice Sender Ok y al final me pone esto que no se muy bien como interpretarlo:
Relay test result
Hmmn, at first glance, host appeared to accept a message for relay.
THIS MAY OR MAY NOT MEAN THAT IT’S AN OPEN RELAY.
Some systems appear to accept relay mail, but then reject messages internally rather than delivering them, but you cannot tell at this point whether the message will be relayed or not.
You cannot tell if it is really an open relay without sending a test message; this anonymous user test DID NOT send a test message.
Que piensas, puede ser peligroso? tengo abierto el relay??
Muchas gracias.
Valentin, fijate de hacer las configuraciones que se detallan en http://www.itpros.com.ar/blog/las-colas-de-smtp-estn-llenas-con-mensajes-a-postmaster
Slds.
Felicidades y gracias por tu blog Pablo, muy util.
Mi problema es el evitar el relay interno, ya que he detectado que desde dentro se pueden enviar correos con un remite falso.
GRACIAS !
Tesnic, eso siempre va a pasar lamentablemente. La manera de agregar autenticación a los correos es usando firmas digitales.
Slds.
Pablo buen dia.
te queria preguntar lo siguiente. Tengo un tema con relay tengo aplicaciones que hacen releay desde mis exchange y envia a todo los dominios menos a la cuenta carrefour. Tenes idea cual puede ser el problema. ? en el log me dice que el mail no se pudo entregar. En cambio a los otros dominios entrega 10 puntos esa misma aplicacion utiliznado el mismo relay para todo
Martín, tenes algún código de error en el log?
En realidad cada cuenta que tiene @carrefour me dice que no exite la direccion pero en realidad exite. Me fije en los antivirus y spam y esta todo bien. Igual este tema en particular es complicado q me puedas ayudar porque la estructura es muy grande tengo 40 exchange con F5 cluster y entre hace un mes al trabajo y no tienen nada documentado como es la estructura. Me tengo q poner u pasar todo a un visio para ver bien cuales son los q mandan a la DMZ.
Exite alguna tool para me diga como esta la estructura de los conectores o la estructura de los exchange?. para despues volcar todo a un visio y tener una mejor vision?… Gracias pablo por molestarte… Avisame si exite una herramienta de ese estilo para ver la estructura de los exchange.
Martín, puede ser entonces que sea un antispam de Carrefour el que esté bloqueando.
Existe una herramietna que es para ver la topología de Exchange http://technet.microsoft.com/en-us/exchange/bb288471.aspx
Slds.
Pablo, mil gracias viejo! la verdad que sos una masa!. Dejame probarlo y despues te cuento.
Saludos y buena semana.
Buenas tardes.
Tengo un problemaa que no se resolver. A ver si tu me puedes ayudar.
Cuando envío un correo a una dirección interna o varias, llega correctamente.
Si envío un correo a una dirección externa o varias, llega correctamente.
Sin embargo, si en un correo combino direcciones internas y externas, independientemente del campo en que las situe, solo llegan los mensajes a las direcciones internas.
Todo esto sucede si configuro la cuenta con IMAP/SMTP o POP3/SMTP, si las configuro como EXCHANGE funcionan correctamente.
PD: La configuración del SMTP la tengo como explicas mas arriba.
Gracias por adelantado.
Hola Gerard,
Y te rebotan los mensajes o solo no llegan?
Pablo tengo un exchange 2003 tengo problemas cuando se le envia correo a speedy.com.ar y a otras empresas que tienen servicio de telefonica se te ocurre cual puede ser el problema, a la empresa nuestra llega bien el correo solo cuando lo envio, no lo libera y no encontre hasta ahora en los log algo que me indique la falla, se te ocurre que probar.
Muy bueno tu blog, saludos
Hola Alfredo. Tuve un incidente de soporte parecido. La semana pasada estuvieron andando mal los servidores de Speedy.
Slds.
Buenas quiero hacerte una consulta.
Queria hacerte una consulta, hace poco creamos un alias para todas las
cuentas de correos y así salgan con otra dirección, es decir tenemos
actualmente nombre@dominio.cl y salgan con nombre@dominio.dominio2.cl
las pruebas que se hicieron de DNS responden bien,
los correos que envio con la nueva direccion llegan sin problemas,
pero ahora cuando me envian a nombre@dominio.dominio2.cl me rebotan
aludiendo el siguiente error 550 550 5.7.1 Unable to relay for
nombre@dominio.dominio2.cl pero si envio de nombre@dominio.cl llegan y
recibo sin problema. Que nos falto realizar
Muchas Gracias
Hola Victor, qué versión de Exchange tenes?
Buenas tardes Pablo, te comento cual es el escenario:
Internet —> ASA—–> Pruducto AntiSpam —–> Exchange 2003 EE.
Todo funciona bien, y desde internet tengo cerrado el Relay ,pero lo cierra el producto AntiSpam, NO el Exchange.
Ahora queremos quitar el “Pruducto AntiSpam” y delegar el servicio de antispam a un modulo del ASA, por lo cual tengo que Cerrar el Relay desde el Exchange, aquí está el problema
La configuración actual es:
En las propiedades del Conector tengo configurador:
– Forward all mail though this connector to the folowing smart hots: 10.10.0.2 (es la ip de mi anti spam).
– En Address Space, tengo tildado “Allow messages to be relayed to this domains”.
Como quiero que el Exchange sea el que envía los mail a internet , realizo lo siguiente:
En las propiedades del Conector tengo configurador:
– Tildo, Use DNS to route each address space on this connector.
– En Address Space, “DESTILDO” = “Allow messages to be relayed to this domains”.
Cuando saco el tilde (desmarco) de “Allow messages to be relayed to this domains”, los test de Open Relat “mxtoolbox” me dan OK pero NO puedo recibir mail desde internet, si puedo enviar, pero no recibir.
A la persona que me envía un mail le figura esto:
Delivery to the following recipient failed permanently:
usuario@mydominio.com
Technical details of permanent failure:
Google tried to deliver your message, but it was rejected by the recipient domain. We recommend contacting the other email provider for further information about the cause of this error. The error that the other server returned was: 550 550 5.7.1 Unable to relay for usuario@mydominio.com (state 14).
Lo e probado de distintos webmail: yahoo, hotmail, google
Te agradecería tu ayuda, muchas gracias
Martin
Hola @Martin
Algo hay mal configurado en tu Exchange. El conector SMTP es para envío de mensajes. Tiene que estar destildado el “Allow messages…” definitivamente.
Chequeaste las propiedades del SMTP Virtual Server?