Gente,
En esta oportunidad veremos cómo limitar usuarios para que no puedan enviar correos a Internet.
Antes de empezar tendremos que tener en cuenta la modificación de una clave en el registro. Para eso, abrimos el regedit, y vamos a HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Resvc/Parameters/, agregamos un valor del tipo:
Value Name: CheckConnectorRestrictions
Data Type: REG_DWORD
Radix: Hexadecimal
Value: 1
Una vez que tengamos hecho eso, empezaremos a configurar todo.
Como primer paso, creamos un grupo donde alojaremos los usuarios que no puedan enviar correos (por ejemplo “Sin mail Saliente”).
Luego, abrimos el administrador de sisitema, expandimos servidores, expandimos nuestro server y, sobre conectores hacemos clic con el botón secundario –> nuevo conector SMTP. Le ponemos el nombre que querramos.
Ahora debemos asociar ese conector con un servidor virtual SMTP, para ello hacemos clic en el botón “Agregar” que está abajo a la derecha. Veremos una lista de servidores virtuales SMTP, seleccionamos el que corresponda y hacemos clic en Aceptar.
Luego tendremos que asociar ese conector con un grupo de direcciones a las que afectará. En nuestro caso será * (asterisco) ya que valdrá para todos los dominios en Internet.
Nos vamos a la solapa llamada “Restricciones de entrega” y veremos las configuraciones por defecto. Tendremos que agregar nuestro grupo (“Sin mail Saliente”) en el campo “Rechazar mensajes de”.
Listo, ahora lo que falta es reiniciar dos servicios, SMTP y Microsoft Exchange Routing Engine para que apliquen las configuraciones del registro que cambiamos al principio.
Espero que les sirva,
Vernocchi Pablo.
NOTA: Antes de implentar los cambios recomendados en este artículo, les recomiendo leer estos dos artículos de Microsoft por efectos secundarios:
Mail delivery is slow after you configure delivery restrictions that are based on a distribution list:
http://support.microsoft.com/kb/812298
In Exchange Server 2003, message delivery to local mailboxes and to external mailboxes is slower than you expect after you configure delivery restrictions based on distribution groups
http://support.microsoft.com/kb/895407/
Buenas Pablo.
Primero agradecer tus explicaciones tanto aqui como en el grupo de microsoft.
Tengo un par de consultas sobre tu articulo.
1. la clave de registro debe cambiarse en las maquinas clientes supongo ?
2.- Porque es necesario un segundo conector smtp ?
el tema es claro ya tengo configurado exchange y todos los clientes pueden enviar correo a internet, pero ahora quiero limitar esto a algunos usuarios. debo crear el segundo conector tal como explicas ? Si lo creo los usuarios podrian segir enviando correo hacia fuera si no se aplica ninguna restricción en el otro conector ? es correcto ?
Gracias de antemano por responder a mis dudas.
1) La clave es en el Servidor Exchange, donde vas a limitar el correo
2) No es necesario un segundo conector… El post supone que no tenes ninguno. Lo importante es que en el “Espacio de direcciones” del conector, esté el *.
Gracias por comentar la nota!
PV
buenas pablo:
Acabo de leer tu explicacion de como limitar el correo a internet en exchange 2000, y qusiera hacerte dos preguntas, primero como seria en exchange 2003 y segundo, como hacerlo pero permitiendo el envio a algun dominio en particular.
agradeciendote de antemano.
Ricardo GM
Para Exchange 2003 es el mismo procedimiento.
Si queres permitir sólo a un dominio, lo agregás en los destinos, en vez de poner un *, escribis el dominio.
Hola Pablo: me fue muy util tu alluda para limitar el envio de correos a internet, (gracias nuevamente) .
Ahora necesito hacerlo para adentro, o sea limitar desde donde se pueden recibir correos a algunos dominios.
????????
agradeciendote de antemano.
Ricardo GM
Hola,
Pablo relice los procesos que tu describes y no me funciono de el usuario al cual le di pertenenecia la grupo No Internet Mail, continuan saliendo correos, lo tengo como correo1@midominio.com.co. me puedes orientar que debo hacer??
Gracias
Reiniciaste los servcios? Creaste las claves en la registry?
Pablo
Una pregunta por favor necesito saber como restrimgir en tamaño de un mail que se envie de mi servidor hacia el internet, porque lo coloco en tamaño en la pestaña de restricciones de correo del conector y lo pongo hasta 10240 KB y solo me permite enviar hasta 3MB, tambien probe colocando el los usuarios del Active Directory aumentandoles en tamaño que pueden enviar y no paso nada, por favor atudame con esta inquietud
¿Y se puede hacer al revés? Es decir, crear un grupo que sí que tenga permisos de enviar. Es que tengo más gente que quiero bloquear de la que quiero que pueda enviar correo por Internet. Así, si creo un nuevo usuario, de entrada no tendrá correo externo.
Gracias
Yo acabo de probarlo y me ha funcionado perfectamente, pero tengo un problema, no me deja añadir grupos del dominio, sólo usuarios individuales. ¿Podeis ayudarme con este asunto?
Gracias,
buenos dias
tengo la siguiente duda
tengo un grupo de correo en el cual estamos incluidos todos los usuario de la organizacion
pero deseo que solo unos pocos de esos usuarios puedan utilizar el grupo
es decir restringir el grupo, que todos recibamos el correo pero solo unos pocos puedan generarlo
el servidor de correo es exchange 2003
gracias
Vale, ya he encontrado lo de restringir a todo el mundo y permitir sólo a los que quiero dejar que envíen al exterior, pero sólo me deja usuario por usuario. Los grupos no me los encuentra. ¿Alguna razón?
Gracias
Hola! veo que sabes sobre el Exchange 2003, me gustaria saber como hago para que mi exchange descarge correo de una cuenta externa.
gracias!!
Daniel,
Si tenes Exchange 2003 de Small Business Server, existe un conector. De lo contrario tenes que usar herramientas de terceros. Existe una lista muy completa en:
http://msexchange.org/software/POP3-Downloaders/
Saludos,
Vernocchi Pablo
Hola:
Cómo puedo saber cuántos usuarios tienen correo electrónico en el Active Directory?
Existe algún filtro para que me de la información?
Tengo Win 2003 y Exchange 2003
Gracias
Podes agregar la columna de primary email address en la consola de AD.
Pablo, buenas tardes.
Quería saber si es posible realizar lo mismo en un Exchage 2007.
Saludos y gracias!
Si, pero conceptualmente es diferente ya que no existen más los conectores smtp… ahora son send connectors.
Hola pablo, mi pregunta es, yo tengo Exchange 2007 y quiero limitar el número de destinatarios por mensaje pues los usuarios le dan click en la opción para: en el menú enviar y escogen todos los usuarios del directorio activo, como hago para limitar los destinatarios, espero me puedas ayudar muchas gracias.
hola pablo, yo puedo limitar el numero de usuarios pero uno por uno y tengo en mi servidor como unas 3000 cuentas como puedo hacer para limitar a todos de una pues me tocaria uno por uno
Oscar, el cmdlet que tenes que usar es Set-TransportConfig –MaxRecipientEnvelopeLimit 100
hay alguna forma de hacerlo en el entorno grafico y no por linea de comando?
No por el momento, tenes que esperar a Service Pack 1.
Slds.
Hola Pablo como estas, te cuento que el comando me sirvio perfectamente, muchas gracias.
Hola pablo..saludos fuertes..una consulta por favor..mi empresa tiene dos divisiones en dos ciudades..y un dominio solo..si hago eso de bloquear la enviada a internet para algunos usarios..estos usarios tambien podran enviar correos a usarios en mi dominio aun que tambien usa la internet ? gracias
Si están dentro de la misma organización de Exchange si.
Hola Pablo yo tengo un problema parecido de recepcion de correo electrónico desde Internet, El problema es el siguiente: para un usuario nombrado al recibir un correo electrónico desde internet marca “550 5.7.1 Requested action not taken: mailbox not available” al enviar el correo a user.lastname@dominio.com. Sin embargo recibe correo interno como user.lastname@dominio.com sin embargo si a este user.lastname dentro de sus propiedades le cambiamos dentro de sus propiedades de la cuenta, en el tab de “E-mail Addresses” originalmente tiene como smtp user.lastname@dominio.com, y marca el error que te comento arriba, ahora bien si le cambio el SMTP a las propiedades de su cuenta y tenga user.lastname1@dominio.com es capaz de recibir correo electrónico desde Internet. Cómo puedo hacer para que reciba correo electrónico desde internet como user.lastname@domain.com. Aliases podría ser de ayuda. La finalidad es que reciba correos como user.lastname@dominio.com
De antemano gracias.
Euriel,
Chequea que a nivel organización no haya ninguna restricción a esa dirección smtp.
Hola Pablo,
Para que me funcionase, tuve que poner la restricción tanto en el conector como en el servidor virtual SMTP… no entiendo por qué, pero tampoco me preocupa porque ya me funciona. Ahora viene la segunda parte, ¿puedo evitar que un grupo de seguridad reciba correo externo? Sé que en “Entrega de mensajes” puedo vetar algunos destinatarios, pero individualmente y lo que pretendo es hacerlo sobre grupos.
Muchas gracias.
Un saludo,
Kiko.-
Hola Pablo, Podrias ayudarme para configurar un send connector en exchange 2007 para bloquear el correo a internet por favor.
Gracias.
Hola Pablo!! Es posible hacer la restricción a nivel dominio?? esto es por que yo dentro de mi organización tengo varios dominios (por ejem @dominioA, @dominioB y @dominioC), entonces para mi sería mucho mejor hacer esta restricción a nivel dominio, sin la creación de un grupo, por decir solo a @dominioA
Estarli, en 2007 lo tenes que hacer con una transport rule.
Slds.
Pablo, siempre un gusto leer tus posts. Aprovecho y te consulto, quisiera restringir que desde afuera de la org. envíen mails a los grupos de distribución que tengo creados, es posible? Gracias
Alejandro, es posible si en las propiedades de los grupos tildas la una opción que dice que sólo pueden recibir correo de usuarios autenticados.
Slds.
hola pablo, hice la restriccion de los correos pero, todavia pueden enviar correo hacia fuera, como puedo hacer para que no lo puedan hacer utilizo exchange 2003 y me paso algo, cuando reinicie los servicios, aplico la politica de local a todas las cuentas existentes,
Pablo..
Realice el procedimiento pero no me resulto, tengo w2003 y exchange 2003.. que puedo revisar??
Reiniciaste los servicios?
Hola Pablo,
He creado el grupo Sin Correo, pero cuando intento agregarlo no lo veo. Sin embargo si que veo usuarios y otros grupos de AD que ya están antes creados. En todos los casos son Grupos Globales y de Tipo Seguridad.
Échame una mano, gracias.
Arturo, dependiendo de tu estructura deberías dar tiempo a la replicación de AD.
Slds.
Bueas noches Pablo,
Antes de nada, felicitarte por tu site, del cual soy un auténtico seguidor. Mis felicitaciones por tus aportes y calidad de tus artículos.
En cuanto al tema de esta entrada, comentarte que no me funciona este tipo de restriccion. Dispongo de un Exchange 2003, he creado la clave en el Regedit, aplicado dicha restriccion directamente sobre un usuario, y reiniciado los servicios.
Preguntas:
1. Hace falta reiniciar el servidor?
2. Es posible que no funcione cuando se utiliza un smart-host (ISP) como es mi caso para enviar todo el correo fuera?
3. Es imprescindible crear un Grupo o Unidad Organizativa para meter ahí los usuarios que tenemos que denegar el servicio? o solo com seleccionar el usuario ya debería de funcionar?
Mi situación es la siguiente:
Dispongo de un DC con Exchange 2003, el cual tiene 10 cuentas de usuario con su respectivo correo “nombre_usuario@dominio.com”
El envío del correo a Internet se realiza mediante la configuración de un smarthost hacia mi ISP, utilizando la cuenta “smart-host@dominio.com”, y todo funciona corectamente.
Ahora, la empresa, ha decidido limitar a que usuarios se les da permiso para poder enviar correo al exterior en nombre de la empresa, y me solicitan que limite a 3 usuarios esta tarea, y que el resto de usuarios solo puedan enviar correos hacia dentro de la empresa.
Por otro lado, los usuarios de la empresa que tienen que tener las restricciones de envío la exterior, deben de poder acceder al correo de la empresa mediante OWA, y solo deberían de poder leer el correo que tengan, y enviar correo a otros integrantes de le empresa, no al exterior.
(evidentemente, también pueden ver sus contactos, agenda, etc)
Siguiendo tus pasos, no consigo restringir el envío de correo a internet…
Por ponerte un ejemplo:
Creo el usuario “pepe”, le creo una cuenta de correo “pepe@dominio.com”, modifico el Regedit y creo las claves que mencionas, me voy al administrador del Exchange, selecciono el único conector SMTP de correo Intenret que tengo creado, me voy a propiedades, restricción de entrega, y en “Rechazara mensajes de” selecciono el usuario Pepe, y acepto y aplico todo. Por último, reinicio los servicios de Exchange (todos ,para estar seguro)
Entro desde el exterior de la empresa por OWA al servidor, me logueo como Pepe, y desde ahí envío un correo a una cuenta externa “pepe@gmail.com”, y el correo sigue saliendo…
Que estoy haciando mal ????
Muchas gracias, y disculpa por la extensión en el mensaje… es que me tiene de vuelta y media.
Me repondo a mi mismo… hacía falta reiniciar el servidor, no me preguntes porque, pero solo reiniciando los servicios no me funcionaba.
Ahora con el registro añadido y el equipo reiniciado, puedo activar o desactivar los usuarios y se aplica de forma inmediata. Pero he notado un efecto colateral, que no se si será debido a esto… tengo unos usuarios con la opción activada en el perfil del AD de reenviar todo el correo que mandan a una dirección de email para que su jefe pueda revisarlo… pues ha dejado de funcionar… solo se reenvian los correos que ellos reciben, y no todos los que envían… curioso…
Un saludo, y felicidades de nuevo por el blog
Jaime
Hola Pablo..
Solucionando un problema en exchangre 2003 creeo otro. eliminé un bozon de un usuario y luego lo recreé pero se me generó el problema de que el resto de los usuarios del dominio no le pueden enviar correo a su buzon. el mensage que retorna es “Nombre_del_Buzon. La direccion de correo no existe en la organización …
Me podrias ayudar por favor o al menos orientar…
Ya h eeliminado y regrado varias veces el buzón. como tambien reiniciado el servidor de correo..
Gracias
Victor, lo que deberías hacer es agregar la dirección de correo que aparece en el mensaje de error como X500 del usuario.
Slds.
hola pablo, tengo un server exchange, pero tengo usuarios que ya no trabajan en la empresa pero que sin embargo siguen recibiendo correos, y quiero derivar esos mensajes a otra direccion, me podrias ayudar como hacerlo.. muchas gracias. de ante mano
Hugo, para eso tenes que crear un contacto en AD con la dirección de correo a la que querés reenviar y configuras el reenvio en las opciones del usuario.
hola pablo, es posbile negar a usuarios o grupos en exchanger server 2003 recibir correos externos pero solo de yahoo o hotmail o algun otro tipo de web mail, no bloquear todo tipo de correo externo sino solo alguno deseado y por usuario o grupos???… felicidades pot tu blog
Saludos Pablo Vernocchi,
Quisiera saber si tienes alguna alternativa para evitar que un solo usuario del active directory no reciba correo de un determinado dominio de la Internet. porque la cambiaron de puesto pero le siguen enviando información confidencial.
no puedo bloquearlo por el content filterin porque entonces nadie recibiría de ese dominio.
espero que me puedas ayudar.
Disculpa si no es el espacio correcto para escribirlo pero no encontre uno relacionado
Gracias y felicidades por tu blog y por la ayuda que nos brindas a todos
Gracias
Hola @Oscar
Con qué versión de Exchange?
Que tal Pablo¡¡¡¡
En las indicaciones siguientes tengo una duda:
“Luego, abrimos el administrador de sistema, expandimos servidores, expandimos nuestro server y, sobre conectores hacemos clic con el botón secundario –> nuevo conector SMTP. Le ponemos el nombre que querramos.” Al expandir el servidor no se encuentran conectores. Los conectores se encuentran en otra ruta (Grupos de enrutamiento)
Saludos y excelente día!!!!
Hola @Andrezuco
Eso es porque tenes la vista de Routing Groups configurada en la consola. Es lo mismo, podés crearlo desde ahí.
Slds.
Buen dia.
segui tus instrucciones y me funciono perfectamente, el asunto era restringir correo saliente de un usuario a solo determinados dominios , solo que en el conector uno de SMTP deje permisos para todos excepto para el usuario en cuestion y en el conector 2 al reves, tengo exchange 2003, lo que necesito ahora es restringir el correo entrante a este usuario para que reciba correos solo de los dominios a los que puede mandar en el conector SMTP, me podrias ayudar???
Podrias darme la receta para para Exchange Server 2007…mil gracias
Hola @Mike estoy trabajando en eso, pero no lo tengo aún terminado.
Buen día Pablo, muy bueno tus post, te queria consultar como puedo hacer para que un grupo de correo solo reciba mensajes de ciertas personas (no son el mismo dominio). Me dijeron que creara un grupo de distribucion y otro grupo de lista permitida y a ese grupo de distribucion le colocara en la restricción de mensaje solo de: el grupo de lista permitida. Y a los usuarios externos que los tenía que crear como contactos. No me funciono me podes guiar como hacerlo. Me surgen dudas como que grupo debe ser local, global y universal y si ambos deben tener cuentas de correo.
Tengo un exchange 2003
@Alfredo
Para este caso no importa si son globales, locales o universales… No creo que funcione eso de los contactos, che. Tendría que probarlo en un laboratorio.