Compartir a través de


Reputación del remitente y el agente de análisis de protocolo en Exchange Server

La reputación del remitente forma parte de una funcionalidad contra correo no deseado de Exchange que bloquea los mensajes de acuerdo con varias características del remitente. La reputación del remitente depende de los datos que se conserven de él para decidir la acción que se debe llevar a cabo en mensajes entrantes. El agente de análisis de protocolo es el agente subyacente que se encarga de la funcionalidad de reputación del remitente.

Para obtener más información sobre cómo configurar la reputación del remitente y el agente de análisis de protocolos, consulte Procedimientos de reputación del remitente.

De manera predeterminada, el agente de análisis de protocolo está habilitado en los servidores de transporte perimetral, pero se puede habilitar en los servidores de buzón. Para más información, vea Habilitar la funcionalidad contra correo electrónico no deseado en servidores de buzón.

Calcular el nivel de reputación del remitente (SRL)

El nivel de reputación del remitente (SRL) se calcula a partir de las siguientes estadísticas:

  • Análisis HELO/EHLO: los comandos HELO y EHLO SMTP están diseñados para proporcionar el nombre de dominio, como Contoso.com, o la dirección IP del servidor SMTP de envío al servidor SMTP receptor. Los usuarios malintencionados o spammers suelen falsificar la instrucción HELO/EHLO de diferentes formas. Por ejemplo, escriben una dirección IP que no coincide con la dirección IP desde la que se originó la conexión. Los spammers también ponen dominios que se admiten de forma local en el servidor de destino en la instrucción HELO para intentar aparentar que los dominios están en la organización. En otros casos, los spammers cambian el dominio que se pasa a la instrucción HELO. El comportamiento típico de un usuario legítimo puede consistir en usar un conjunto de dominios diferente, pero relativamente constante, en las instrucciones HELO.

    Así pues, el análisis de la instrucción HELO/EHLO por remitente puede indicar que, probablemente, sea un spammer. Por ejemplo, un remitente que proporciona muchas instrucciones HELO/EHLO únicas en un período específico será, probablemente, un spammer. También es muy probable que sean spammers los remitentes que proporcionan constantemente una dirección IP en la instrucción HELO que no coincide con la dirección IP de origen, tal y como se determina en el agente de filtrado de conexiones. También es muy probable que lo sean los remitentes remotos que proporcionan constantemente un nombre de dominio local en la instrucción HELO que está en la misma organización que el servidor de Exchange.

  • Búsqueda inversa de DNS: la reputación del remitente también comprueba que la dirección IP de origen desde la que el remitente transmitió el mensaje coincide con el nombre de dominio registrado que el remitente envía en el comando HELO o EHLO SMTP.

    La reputación del remitente lleva a cabo una consulta de DNS inversa enviando la dirección IP de origen al DNS. El resultado que devuelve el DNS es el nombre de dominio registrado mediante el uso de la autoridad de nombres de dominio de esa dirección IP. La reputación del remitente compara el nombre de dominio que devuelve el DNS con el nombre de dominio que el remitente envió en el comando SMTP HELO/EHLO. Si los nombres de dominio no coinciden, es probable que el remitente sea un spammer y que su clasificación general de SRL aumente.

    El agente de Id. del remitente realiza una tarea similar, pero el éxito de este agente depende de los remitentes legítimos para actualizar su infraestructura de DNS e identificar a todos los servidores SMTP que envían correo electrónico en la organización. Al realizar una búsqueda inversa de DNS se puede identificar a potenciales spammers.

  • Análisis de clasificaciones de SCL en mensajes de un remitente determinado: cuando el agente de filtro de contenido procesa un mensaje, asigna una clasificación de nivel de confianza de correo no deseado (SCL) al mensaje. La clasificación SCL es un número comprendido entre el 0 y el 9. Una clasificación SCL alta indica que el mensaje tiene más posibilidades de ser correo no deseado. Los datos de cada remitente y las clasificaciones que obtienen sus mensajes se guardan para que la reputación del remitente los analice. La reputación del remitente calcula estadísticas para un remitente de acuerdo con la relación entre todos los mensajes de ese remitente que han obtenido una clasificación SCL baja en el pasado y todos los mensajes de ese remitente que han obtenido una clasificación SCL alta en el pasado. Asimismo, a la clasificación SRL general se aplica el número de mensajes con una clasificación SCL alta que ese remitente ha enviado el último día.

  • Prueba de proxy abierto del remitente: un proxy abierto es un servidor proxy que acepta solicitudes de conexión de cualquier persona en cualquier lugar y reenvía el tráfico como si se originase en los hosts locales. Los servidores proxy retransmiten el tráfico TCP a través de hosts de firewall para proporcionar a las aplicaciones de usuario acceso transparente a través del firewall. Dado que los protocolos proxy son ligeros e independientes de los protocolos de aplicación de usuario, muchos servicios diferentes pueden usar servidores proxy. Los servidores proxy también se pueden usar para compartir una única conexión a Internet mediante varios hosts. Normalmente, los servidores proxy se configuran para que solo los hosts de confianza dentro del firewall puedan atravesar los servidores proxy. Un remitente legítimo puede ser un proxy abierto debido a una configuración incorrecta involuntaria o malware.

    Los proxies abiertos constituyen la vía perfecta para que los usuarios malintencionados oculten su identidad verdadera e inicien ataques por denegación de servicio (DoS) o envíen correo no deseado. Dado que cada vez hay más servidores proxy configurados como abiertos de forma predeterminada, los proxies abiertos son cada vez más habituales. Además, los usuarios malintencionados pueden usar varios proxies abiertos para ocultar la dirección IP de origen.

    Si la reputación del remitente realiza una prueba de proxy abierto, lo hace mediante la aplicación de formato a una solicitud SMTP para intentar volver a conectarse al servidor Exchange desde el proxy abierto. Si se recibe una solicitud SMTP desde el proxy, la reputación del remitente comprueba que el proxy es un proxy abierto y actualiza la estadística de prueba de proxy abierto para ese remitente.

La reputación del remitente compara todas estas estadísticas y calcula un SRL para cada remitente. El SRL es un número comprendido entre el 0 y el 9 que predice la probabilidad de que un remitente específico sea un spammer o usuario malintencionado. El valor 0 indica que probablemente el remitente no sea un spammer, mientras que el valor 9 indica que probablemente lo sea.

Se puede configurar un umbral de bloqueo del 0 al 9, en el que la reputación del remitente emite una solicitud al agente de filtro de remitentes y bloquea al remitente para que no pueda enviar el mensaje a la organización. Cuando se bloquea a un remitente, este se agrega a la lista Remitentes bloqueados durante un período de tiempo configurable. La forma en la que se tratan los mensajes depende de la configuración del agente de filtro de remitentes. Las siguientes acciones son las que se pueden elegir para tratar los mensajes bloqueados:

  • Rechazar: los mensajes se devuelven en un informe de no entrega (también conocido como NDR, notificación de estado de entrega, DSN o mensaje de devolución)

  • Eliminar: los mensajes se eliminan silenciosamente sin un NDR.

  • Aceptar: los mensajes se aceptan y marcan como procedentes de un remitente bloqueado

Para más información sobre el agente de filtro de remitentes, vea Filtrado de remitentes.

Si el remitente está incluido en la lista de direcciones IP bloqueadas o en el servicio de reputación de IP de Microsoft, la reputación del remitente emite una solicitud inmediata al agente de filtro de remitentes para bloquear al remitente. Para aprovechar esta funcionalidad, tiene que habilitar y configurar el servicio de actualización contra correo no deseado de Microsoft Exchange.

De manera predeterminada, la reputación del remitente establece una calificación de 0 para los remitentes que no se han analizado. Cuando un remitente ha enviado 20 o más mensajes, la reputación del remitente calcula un SRL basado en las estadísticas descritas anteriormente en este tema.

Cuándo usar el SRL

La reputación del remitente actúa en los mensajes en dos fases de la sesión SMTP:

  • En el comando MAIL FROM: SMTP: la reputación del remitente actúa en un mensaje solo si el mensaje se bloqueó o si el agente de filtrado de conexiones, el agente de filtro de remitente, el agente de filtro de destinatarios o el agente de id. de remitente actuaron de otro modo. En este caso, la reputación del remitente recupera la clasificación de SRL actual del remitente del perfil de remitente que se conserva sobre ese remitente en el servidor de Exchange. Una vez recuperada y evaluada esta clasificación, la configuración del servidor exchange determina el comportamiento que se produce en una conexión determinada según el umbral de bloque.

  • Después del comando SMTP "fin de datos": el comando SMTP final de la transferencia de datos (EOD) se proporciona cuando se envían todos los datos reales del mensaje. En este punto de la sesión SMTP, muchos de los agentes contra correo no deseado ya han procesado el mensaje. Como resultado del procesamiento contra correo no deseado, se actualizan las estadísticas de las que depende la reputación del remitente. De esta forma, la reputación del remitente tiene datos para calcular o recalcular una calificación SRL para el remitente.

Configurar la detección de servidores proxy abiertos

Cuando la reputación de remitente calcula un SRL, intenta conectarse a la dirección IP de origen del remitente mediante varios protocolos proxy comunes, como son SOCKS4, SOCKS5, HTTP, Telnet, Cisco y Wingate. La reputación del remitente da formato a una solicitud específica del protocolo intentando volver a conectarse al servidor Exchange desde el servidor proxy abierto y mediante una solicitud SMTP. Si se recibe una solicitud SMTP desde el servidor proxy, la reputación del remitente comprueba que el servidor proxy está abierto y ajusta la calificación de SRL de acuerdo con este resultado. De manera predeterminada, la detección de los servidores proxy abiertos está habilitada en la reputación del remitente.

Para obtener más información sobre cómo configurar la detección de servidores proxy abiertos, consulte Procedimientos de reputación del remitente.

Establecimiento del umbral de bloqueo de SRL

El SRL es un número comprendido entre el 0 y el 9 que predice la probabilidad de que un remitente específico sea un spammer o usuario malintencionado. Tiene que establecer un umbral SRL para el bloqueo de remitentes para especificar el valor de SRL que hace que la reputación del remitente bloquee un remitente. De manera predeterminada, el umbral de bloqueo SRL es 7, lo que significa que se bloquean los remitentes que tienen una SRL de 7, 8 o 9. Debe supervisar la efectividad de la reputación del remitente y el agente de análisis de protocolo en el nivel predeterminado.

En un servidor de transporte perimetral, si un remitente particular alcanza o supera el umbral de bloqueo de SRL, la reputación del remitente lo agrega a la lista de direcciones IP bloqueadas del agente de filtrado de conexiones. A veces, los spammers envían lotes de correo no deseado desde un único remitente. En esta situación, si la reputación del remitente calcula un SRL que supera el umbral de bloqueo de SRL, el remitente se agrega a la lista de remitentes bloqueados durante un intervalo de tiempo configurable. La duración predeterminada es de 24 horas. Transcurridas estas 24 horas, se quita al remitente de la lista de remitentes bloqueados para que pueda volver a enviar mensajes.

Cuando se agrega un remitente a la lista de direcciones IP bloqueadas, la reputación del remitente elimina el perfil de dicho remitente. La reputación del remitente elimina el perfil porque el perfil existente del remitente bloqueado indica que el SRL del remitente supera el umbral de bloqueo de SRL. Esto provocaría que el remitente bloqueado se agregara de nuevo a la lista de direcciones IP bloqueadas tan pronto como terminara el tiempo de bloqueo del remitente.

Para obtener más información sobre cómo configurar el bloqueo de remitentes, consulte Procedimientos de reputación del remitente.