Hace unos días me tocó atender un incidente de Exchange relacionado a problemas de autenticación en el SMTP por ende, problemas de SPAM.
No es muy difícil entender el comportamiento de SMTP y como restringirlo para no convertirlo en un Open Relay.
Ante la duda, lo primero que tenemos que hacer es testear desde fuera de la LAN si es o no. Para eso existe una aplicación Web proporcionada por Abuse.net (entre otros tantos) que la pueden encontrar en http://www.abuse.net/relay.html. El único dato que hay que ingresar es la dirección IP o el nombre público de nuestro SMTP. Esta aplicación hace una serie de pruebas (unas 17 aproximadamente).
NOTA: Para los administradores de Exchange 2000. La prueba 8 de este test da positiva. Pero no es de alarmarse, porque en realidad ese mensaje es rechazado luego por Exchange cuando hace las consultas a Active Directory.
Si el test da OK, entonces no tenemos nada para preocuparnos, todo funciona como debiera. Si no diese OK, tendríamos que hacer algunas verificaciones en las configuraciones:
Como primer punto, verificar las opciones de autenticación del protocolo SMTP. Para ello abrimos la consola de Administración de Exchange, expandimos servers –> protocols –> SMTP –> y entramos a las propiedades del SMTP Virtual Server
Una vez dentro, vamos a la solapa “Access”, y entramos en Autenticación:
Quiero mostrar esta configuración porque es clásica pregunta:
SI, Tiene que tener ANONYMOUS ACCESS. ¿Porqué es esto? Porque los SMTP externos que intenten enviar correos hacia nuestro dominio no usan autenticación. Sería utópico. Tendríamos que estar repartiendo nuestra contraseña a miles de millones de SMTPs en el mundo
Volviendo al tema del Relay, tenemos que entrar al botón “Relay” y corroborar que las configuraciones sean las siguientes:
Con esta configuración estamos permitiendo que sólo los equipos en la lista (vacía por default) puedan hacer relay a nuestro servidor, sin autenticación. Y además es importante que el tilde “Allow all computers…” esté marcado.
—————————-
Si nuestro servidor tiene un conector SMTP, con address space ” * ” (asterisco), entonces tendríamos que verificar en las propiedades:
Que NO esté marcada la opción “Allow messages to be relayed to this domains”, de lo contrario estaríamos permitiendo el relay hacia TODOS los dominios.
—————————-
Una vez finalizadas las configuraciones, podríamos reiniciar el servicio de SMTP para que se apliquen los cambios y volver a correr el test de http://www.abuse.net/relay.html
Espero que les haya servido
Mas informacion aca:
No es muy difícil entender el comportamiento de SMTP y como restringirlo para no convertirlo en un Open Relay.
Ante la duda, lo primero que tenemos que hacer es testear desde fuera de la LAN si es o no. Para eso existe una aplicación Web proporcionada por Abuse.net (entre otros tantos) que la pueden encontrar en http://www.abuse.net/relay.html. El único dato que hay que ingresar es la dirección IP o el nombre público de nuestro SMTP. Esta aplicación hace una serie de pruebas (unas 17 aproximadamente).
NOTA: Para los administradores de Exchange 2000. La prueba 8 de este test da positiva. Pero no es de alarmarse, porque en realidad ese mensaje es rechazado luego por Exchange cuando hace las consultas a Active Directory.
Si el test da OK, entonces no tenemos nada para preocuparnos, todo funciona como debiera. Si no diese OK, tendríamos que hacer algunas verificaciones en las configuraciones:
Como primer punto, verificar las opciones de autenticación del protocolo SMTP. Para ello abrimos la consola de Administración de Exchange, expandimos servers –> protocols –> SMTP –> y entramos a las propiedades del SMTP Virtual Server
Una vez dentro, vamos a la solapa “Access”, y entramos en Autenticación:
Quiero mostrar esta configuración porque es clásica pregunta:
SI, Tiene que tener ANONYMOUS ACCESS. ¿Porqué es esto? Porque los SMTP externos que intenten enviar correos hacia nuestro dominio no usan autenticación. Sería utópico. Tendríamos que estar repartiendo nuestra contraseña a miles de millones de SMTPs en el mundo
Volviendo al tema del Relay, tenemos que entrar al botón “Relay” y corroborar que las configuraciones sean las siguientes:
Con esta configuración estamos permitiendo que sólo los equipos en la lista (vacía por default) puedan hacer relay a nuestro servidor, sin autenticación. Y además es importante que el tilde “Allow all computers…” esté marcado.
—————————-
Si nuestro servidor tiene un conector SMTP, con address space ” * ” (asterisco), entonces tendríamos que verificar en las propiedades:
Que NO esté marcada la opción “Allow messages to be relayed to this domains”, de lo contrario estaríamos permitiendo el relay hacia TODOS los dominios.
—————————-
Una vez finalizadas las configuraciones, podríamos reiniciar el servicio de SMTP para que se apliquen los cambios y volver a correr el test de http://www.abuse.net/relay.html
Espero que les haya servido
Mas informacion aca: