Daily Archives: 23/05/2007

Verificando opciones de Relay en Exchange 2000 y 2003

Hace unos días me tocó atender un incidente de Exchange relacionado a problemas de autenticación en el SMTP por ende, problemas de SPAM.

No es muy difícil entender el comportamiento de SMTP y como restringirlo para no convertirlo en un Open Relay.

Ante la duda, lo primero que tenemos que hacer es testear desde fuera de la LAN si es o no. Para eso existe una aplicación Web proporcionada por Abuse.net (entre otros tantos) que la pueden encontrar en http://www.abuse.net/relay.html. El único dato que hay que ingresar es la dirección IP o el nombre público de nuestro SMTP. Esta aplicación hace una serie de pruebas (unas 17 aproximadamente).

 

NOTA: Para los administradores de Exchange 2000. La prueba 8 de este test da positiva. Pero no es de alarmarse, porque en realidad ese mensaje es rechazado luego por Exchange cuando hace las consultas a Active Directory.

 

Si el test da OK, entonces no tenemos nada para preocuparnos, todo funciona como debiera. Si no diese OK, tendríamos que hacer algunas verificaciones en las configuraciones:

Como primer punto, verificar las opciones de autenticación del protocolo SMTP. Para ello abrimos la consola de Administración de Exchange, expandimos servers –> protocols –> SMTP –> y entramos a las propiedades del SMTP Virtual Server

Una vez dentro, vamos a la solapa “Access”, y entramos en Autenticación:

Quiero mostrar esta configuración porque es clásica pregunta:

SI, Tiene que tener ANONYMOUS ACCESS. ¿Porqué es esto? Porque los SMTP externos que intenten enviar correos hacia nuestro dominio no usan autenticación. Sería utópico. Tendríamos que estar repartiendo nuestra contraseña a miles de millones de SMTPs en el mundo 🙂

 

Volviendo al tema del Relay, tenemos que entrar al botón “Relay” y corroborar que las configuraciones sean las siguientes:

Con esta configuración estamos permitiendo que sólo los equipos en la lista (vacía por default) puedan hacer relay a nuestro servidor, sin autenticación. Y además es importante que el tilde “Allow all computers…” esté marcado.

—————————-

Si nuestro servidor tiene un conector SMTP, con address space ” * ” (asterisco), entonces tendríamos que verificar en las propiedades:

Que NO esté marcada la opción “Allow messages to be relayed to this domains”, de lo contrario estaríamos permitiendo el relay hacia TODOS los dominios.

—————————-

 

Una vez finalizadas las configuraciones, podríamos reiniciar el servicio de SMTP para que se apliquen los cambios y volver a correr el test de http://www.abuse.net/relay.html

 

Espero que les haya servidor,
Vernocchi Pablo