Guía de Seguridad de Exchange 2010 - Ayuda de Exchange 2010

Gua de seguridad de Exchange 2010: Ayuda de Exchange 2010
https://technet.microsoft.com/es-es/library/bb691338(v=exchg.141).as...
Al usar este sitio acepta el uso de cookies para anlisis, contenido personalizado y publicidad.
Saber ms
Gua de seguridad de Exchange 2010

Exchange 2010
Personas que lo han encontrado til: 1 de 1
Se aplica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

ltima modificacin del tema: 2012-03-08
Esta gua se ha escrito para el administrador de responsable de proteger la implementacin de MicrosoftExchange Server 2010; asimismo, se ha concebido para que
dicho administrador comprenda y controle el entorno de seguridad general en el que est instalado Exchange.
En el pasado, para cada versin de Microsoft Exchange, el equipo de Exchange publicaba guas independientes de refuerzo de seguridad con informacin sobre
permisos y seguridad. Este mtodo tena sentido para bloquear servicios y directorios despus de ejecutar la instalacin de Exchange 2010. Sin embargo, a partir de
MicrosoftExchange Server 2007, el programa de instalacin de Exchange habilita nicamente los servicios que necesite el rol de servidor que se instala. Microsoft
Exchange ya no se instala y se refuerza por seguridad. Est diseado para ser ms seguro de forma predeterminada.
As pues, a diferencia de versiones anteriores de Microsoft Exchange en las que los administradores tenan que llevar a cabo mltiples pasos para bloquear los
servidores que ejecutaban Microsoft Exchange, Exchange 2010 no necesita bloqueo ni refuerzo.
mbito
Exchange 2010 se ha desarrollado segn los principios del ciclo vital del desarrollo de seguridad de Microsoft. Se ha efectuado una revisin de la seguridad en
cada caracterstica y componente. Unos valores predeterminados bien seleccionados permiten una implementacin ms segura. La finalidad de esta gua es
informar a los administradores sobre las caractersticas y los aspectos relacionados con la seguridad. Esta seccin contiene vnculos a documentacin sobre la
seguridad en Exchange 2010. Estos temas figuran en el apndice 1: Documentacin adicional sobre la seguridad. Esta gua no se ocupa de ningn paso sobre
cmo reforzar el sistema operativo Windows Server.
Contenido
Novedades
Ciclo de vida del desarrollo de seguridad de Exchange 2010
Mtodos recomendados para crear un entorno seguro
Mtodos recomendados para mantener un entorno seguro
Uso de los puertos de red y reforzamiento de Firewall
Parmetros de limitacin y directivas de limitacin de clientes
Control de acceso basado en roles
Active Directory
Cuentas de servidores de Exchange
Sistema de archivos
Servicios
Certificados
Consideraciones sobre NTLM
Autenticacin de doble factor
Federacin
Secure/Multipurpose Internet Mail Extensions (S/MIME)
Consideraciones sobre roles del servidor
Apndice 1: Documentacin adicional sobre la seguridad
Novedades
Exchange 2010 incluye las siguientes caractersticas de seguridad:
Control de acceso basado en roles Exchange 2010 presenta un nuevo modelo de control de acceso basado en roles con el que la organizacin
administra de forma pormenorizada los permisos asignados a diferentes partes interesadas, por ejemplo administradores de destinatarios, de servidores y
de organizaciones.
Directivas de limitacin Exchange 2010 incorpora mecanismos de limitacin en los servidores de acceso de cliente, Buzn de correo y Transporte para
proteger la organizacin de los ataques de denegacin de servicio y reducir las repercusiones de dichos ataques.
Delegacin federada Exchange 2010 agrega nuevas caractersticas de federacin delegada para que los usuarios puedan colaborar de manera segura con
1 de 27
25-02-2015 11:41
usuarios de otras organizaciones. Mediante la delegacin federada, los usuarios comparten sus calendarios y contactos con usuarios de organizaciones
federadas externas. Tambin es posible la colaboracin entre bosques sin tener que configurar y administrar relaciones de confianza de Active Directory.
Information Rights Management Exchange 2010 incorpora nuevas caractersticas de control y proteccin de la seguridad para proteger el contenido
confidencial de los mensajes en varios niveles; asimismo, mantiene la capacidad de la organizacin de descifrar, buscar y aplicar directivas de mensajera a
contenido protegido.
Sin asistentes para configurar la seguridad En Exchange 2010, el programa de instalacin realiza los cambios de configuracin pertinentes para instalar
y habilitar nicamente los servicios necesarios para un determinado rol de servidor de Exchange, y para limitar la comunicacin solamente a los puertos
requeridos para los servicios y procesos que se ejecutan en cada rol de servidor. De este modo, ya no se necesita el asistente para configuracin de
seguridad (SCW) para configurar estos parmetros.
Ciclo de vida del desarrollo de seguridad de Exchange 2010

A principios de 2002 Microsoft incorpor la iniciativa Trustworthy Computing. Desde la incorporacin de Trustworthy Computing, el proceso de desarrollo en
Microsoft y en el equipo de Microsoft Exchange se ha concentrado en desarrollar un software que refuerce la seguridad. Para obtener ms informacin, consulte
Trustworthy Computing (en ingls).
En Exchange 2010 se ha implementado Trustworthy Computing en las siguientes reas principales:
Seguro en el diseoExchange 2010 se ha diseado y desarrollado segn el ciclo de vida del desarrollo de seguridad de Trustworthy Computing. El primer
paso para crear un sistema de mensajera ms seguro fue disear modelos de amenaza y poner a prueba cada opcin a medida que se iba diseando. Se
integraron mltiples mejoras relacionadas con la seguridad en el proceso y las prcticas de codificacin. Las herramientas de tiempo integradas detectan
excesos en el bfer y otras amenazas potenciales de seguridad. Ningn sistema puede garantizar una seguridad completa. Sin embargo, al incluir principios
de diseo de seguridad en todo el proceso de diseo, Exchange 2010 es ms seguro que versiones anteriores.
Seguro de forma predeterminada Uno de los objetivos de Exchange 2010 era desarrollar un sistema en que la mayora de las comunicaciones de red se
codifiquen de forma predeterminada. Este objetivo se consigui, excepto para las comunicaciones del bloqueo de mensajes de servidor y algunas
comunicaciones de mensajera unificada. Al usar certificados autofirmados, el protocolo Kerberos, el nivel de sockets seguros (SSL) y otras tcnicas
estndares de cifrado, casi toda la informacin en la red de Exchange 2010 queda protegida. Adems, la instalacin basada en roles permite instalar
Exchange 2010, de modo que solamente los servicios, y los permisos relacionados con esos servicios, se instalan con un rol de servidor especfico y
apropiado. En versiones anteriores de Microsoft Exchange haba que instalar todos los servicios de funcionalidad.
Funcionalidad antivirus y contra correo electrnico no deseado Exchange 2010 incluye un conjunto de agentes contra correo electrnico no deseado
que se ejecutan en la red perimetral del rol de servidor Transporte perimetral y que tambin puede instalarse en el rol de servidor Transporte de
concentradores ubicado en la red interna. La funcionalidad del antivirus est mejorada an ms gracias a la adicin de MicrosoftForefront Protection 2010
for Exchange como solucin de Microsoft.
Implementacin segura A medida que se fue desarrollando Exchange 2010, se implement la versin de evaluacin en el entorno de produccin de TI
Microsoft. Basado en datos de esa implementacin, se ha actualizado el MicrosoftExchange Server Best Practices Analyzer para buscar configuraciones de
seguridad reales, y se han documentado consejos para antes y despus de la implementacin en la Ayuda de Exchange 2010.
En el pasado, se documentaba la administracin de permisos y se entregaba una vez finalizada la documentacin bsica. Sin embargo, sabemos que la
administracin de permisos no es un proceso de complementos. Debera integrarse en el planeamiento e implementacin generales de Exchange 2010. Por
lo tanto, hemos simplificado nuestra documentacin sobre permisos y la hemos integrado con la documentacin bsica. De este modo, proporcionamos un
contexto integral para los administradores a la hora de planear e implementar su modelo administrativo. Exchange 2010 contiene un nuevo modelo de
permisos basados en roles con el que pueden concederse permisos de manera pormenorizada a administradores y usuarios para que puedan realizar tareas
con los permisos mnimos que se necesitan.
Comunicaciones Ahora que Exchange 2010 ha salido al mercado, el equipo de Exchange tiene el compromiso de mantener el software actualizado y a los
usuarios informados. Manteniendo su sistema actualizado con Microsoft Update, puede tener la certeza de que su organizacin dispone de las ltimas
actualizaciones de seguridad. Exchange 2010 tambin incluye actualizaciones contra correo electrnico no deseado. Adems, al suscribirse a las
Notificaciones tcnicas de seguridad de Microsoft (posiblemente en ingls), podr consultar las ltimas novedades sobre seguridad en Exchange 2010.
Mtodos recomendados para crear un entorno seguro

La aplicacin de unos mtodos recomendados bsicos ayudarn a crear y mantener un entorno ms seguro. En general, la manera ms efectiva de optimizar la
seguridad del entorno de Exchange 2010 es mantener actualizados el software y los archivos de firma de antivirus, y ejecutar herramientas de anlisis
regularmente.
Recomendaciones de instalacin y configuracin

La aplicacin de estos mtodos recomendados ayudarn a crear y mantener un entorno de Exchange 2010 ms seguro.
Instalacin delegada El primer servidor de Exchange 2010 que se instala en la organizacin requiere que la cuenta que se usa para ejecutar el
programa de instalacin pertenezca al grupo Administradores de empresa. La cuenta que usa se agrega al grupo de roles de administracin de la
organizacin creado por el programa de instalacin de Exchange 2010. La instalacin delegada puede usarse para que los administradores que no
pertenezcan al grupo de roles de administracin de la organizacin configuren los servidores subsiguientes. Para obtener ms informacin, consulte
Aprovisionar el servidor de Exchange 2010 y delegar la instalacin.
Permisos del sistema de archivos Exchange 2010 El programa de instalacin asigna los permisos mnimos necesarios en el sistema de archivos donde
se almacenan los datos y archivos binarios de Exchange. No haga ningn cambio en las listas de control de acceso de las carpetas raz y Archivos de
programa del sistema de archivos.
Rutas de instalacin Se recomienda instalar los archivos binarios de Exchange 2010 en una unidad que no sea del sistema (un volumen en el que no
2 de 27
25-02-2015 11:41
est instalado el sistema operativo). Las bases de datos y los registros de transacciones de Exchange pueden aumentar de tamao rpidamente y deben
ubicarse en volmenes no pertenecientes al sistema para que no disminuya la capacidad ni el rendimiento. Otros registros generados por diferentes
componentes de Exchange, por ejemplo los registros de transporte, se almacenan tambin en la misma ruta de instalacin que los archivos binarios de
Exchange y su tamao puede aumentar considerablemente segn la configuracin y el entorno de mensajera. En Exchange 2010 puede configurarse el
tamao mximo de muchos archivos de registro y el espacio mximo de almacenamiento que puede ocupar una carpeta de archivos de registro, que
tiene un valor predeterminado de 250 Megabytes. Para prevenir una posible interrupcin del sistema debido a poco espacio en disco, recomendamos
que se calculen los requisitos de registro para cada rol del servidor y se configuren las opciones de registro y las ubicaciones de almacenamiento de los
archivos de registro en consonancia con ellos.
Bloqueo de clientes heredados de Outlook Teniendo en cuenta sus requisitos, el bloqueo de clientes de Outlook se puede configurar para que
bloquee las versiones cliente heredadas de Outlook. Algunas caractersticas de Exchange 2010, por ejemplo las reglas de proteccin de Outlook y los
archivos personales, no admiten clientes heredados de Outlook. Para obtener ms informacin sobre el bloqueo de clientes de Outlook, consulte
Configurar el bloqueo de clientes de Outlook para la administracin de registros de mensajera.
Separacin de direcciones SMTP y nombres de usuario De forma predeterminada, Exchange genera alias y direcciones de correo electrnico a partir
del nombre de usuario del buzn de correo. Muchas organizaciones crean una directiva adicional de direcciones de correo electrnico para separar las
direcciones de correo electrnico de los usuarios de los nombres de usuarios con el fin de incrementar la seguridad. Por ejemplo, si el nombre de usuario
de Ben Smith es bsmith y el dominio contoso.com, la direccin de correo electrnico principal generada por la directiva predeterminada de direcciones
de correo electrnico es bsmith@contoso.com. Puede crear otra directiva de direcciones de correo electrnico para generar direcciones que no usen el
alias ni el nombre de usuario del usuario. Por ejemplo, si se crea una directiva de direcciones de correo electrnico que use la plantilla %g.%s@domain,
se generan direcciones de correo electrnico con el formato Nombre.Apellidos@dominio. En el caso de Ben Smith, la directiva generar la direccin
Ben.Smith@contoso.com. Asimismo, puede separar las direcciones de correo electrnico de los nombres de usuario especificando un alias diferente del
nombre de usuario que se usa al crear o habilitar un buzn de correo.
Nota:
Si una direccin SMTP principal no coincide con el UPN en la cuenta, el usuario no puede usar su direccin de correo electrnico para iniciar sesin en
MicrosoftOfficeOutlook Web App; para ello, debe proporcionar un nombre de usuario con el formato DOMINIO\nombre_usuario. En el caso de
MicrosoftOutlook, el usuario debe proporcionar el mismo formato DOMINIO\nombre_usuario si se le solicitan credenciales cuando Outlook se
conecta al servicio Deteccin automtica.
Microsoft Update
Microsoft Update es un servicio que ofrece las mismas descargas que MicrosoftWindows Update, adems de las ltimas actualizaciones para otros programas
de Microsoft. Ayuda a mantener el servidor ms seguro y con un rendimiento ptimo.
Una funcin clave de Microsoft Update es Windows Automatic Update. Esta funcin instala automticamente actualizaciones de prioridad alta fundamentales
para la seguridad y fiabilidad del equipo. Sin estas actualizaciones, el equipo es ms vulnerable a ataques externos y de software malintencionado (malware).
El modo ms confiable de recibir Microsoft Update es de forma automtica en el equipo utilizando Actualizaciones automticas de Windows. Puede activar
Actualizaciones automticas si se suscribe a Microsoft Update.
Windows analizar el software Microsoft instalado en su equipo en busca de actualizaciones actuales y antiguas de alta prioridad necesarias; seguidamente, las
descargar e instalar de manera automtica. A continuacin, cuando se conecte a Internet, Windows repite este proceso para buscar nuevas actualizaciones de
alta prioridad.
Para habilitar Microsoft Update, visite Microsoft Update (en ingls).
El modo predeterminado de Microsoft Update exige que cada servidor de Exchange est conectado a Internet para recibir las actualizaciones automticas. Si
ejecuta servidores sin conexin a Internet, puede instalar Windows Server Update Services (WSUS) para administrar la distribucin de actualizaciones en equipos
de su organizacin. As podr configurar Microsoft Update en los equipos Microsoft Exchange internos para que se ponga en contacto con el servidor WSUS
interno en busca de actualizaciones. Para obtener ms informacin, consulte Microsoft Windows Server Update Services 3.0 (en ingls).
WSUS no es la nica solucin de administracin de Microsoft Update disponible. Para obtener ms informacin sobre herramientas, comunicaciones, procesos y
versiones de seguridad de Microsoft, vea Gua de actualizacin de seguridad de Microsoft (posiblemente en ingls).
Tareas que ya no son necesarias en Exchange 2010
3 de 27
25-02-2015 11:41
4 de 27
Ya no es necesario instalar ni ejecutar las herramientas siguientes:
La herramienta de seguridad URLScan no se necesita en IIS 7. En versiones anteriores de Microsoft Exchange, era habitual instalar herramientas de IIS
como URLScan para proteger una instalacin de IIS. Exchange 2010 requiere Windows Server 2008, que incluye IIS 7. Muchas de las caractersticas de
seguridad que originalmente estaban en UrlScan estn disponibles en el Filtrado de solicitudes de IIS 7.
Ya no hace falta instalar Exchange Best Practices Analyzer. En versiones anteriores de Microsoft Exchange era habitual instalar Exchange Best Practices
Analyzer antes de la instalacin y despus ejecutarlo peridicamente. El programa de instalacin de Exchange 2010 incluye los componentes de
Exchange Best Practices Analyzer y los ejecuta durante la instalacin. Antes de la instalacin no hace falta ejecutar Exchange Best Practices Analyzer.
Ya no necesita usar el asistente para configuracin de seguridad (SCW) ni las plantillas de Exchange para SCW. El programa de instalacin de Exchange
2010 instala solamente los servicios necesarios en un determinado rol del servidor de Exchange; asimismo, crea reglas de Firewall de Windows Firewall
con Seguridad avanzada para abrir nicamente los puertos necesarios en los servicios y procesos de ese rol del servidor. Ya no se debe ejecutar el
asistente para configuracin de seguridad (SCW) para configurar estos parmetros. A diferencia de Exchange Server 2007, Exchange 2010 no se incluye
con plantillas de SCW.
Mtodos recomendados para mantener un entorno seguro

Estos mtodos recomendados ayudarn a mantener seguro el entorno de Exchange 2010.
Mantenimiento del software al da

Como se ha mencionado en una seccin anterior, se recomienda ejecutar Microsoft Update. Adems de ejecutar Microsoft Update en todos los servidores, es
muy importante mantener todos los equipos cliente de su organizacin al da con actualizaciones antivirus.
Adems del software Microsoft, compruebe que tenga las ltimas actualizaciones de todo el software que se ejecuta en su organizacin.
Actualizaciones contra correo electrnico no deseado

Exchange 2010 tambin utiliza la infraestructura de Microsoft Update para mantener actualizados los filtros contra correo no deseado. De forma
predeterminada, con las actualizaciones manuales el administrador debe visitar Microsoft Update para descargar e instalar las actualizaciones de filtro de
contenido. Cada dos semanas hay datos de actualizacin del filtro de contenido actualizados y listos para poder descargar.
Las actualizaciones manuales desde Microsoft Update incluyen datos de firma de correo no deseado y el servicio de reputacin de IP de Microsoft. El servicio de
reputacin IP de Microsoft y los datos de firma de correo no deseado solo estn disponibles con Forefront Security para actualizaciones automticas contra
correo no deseado de Exchange Server.
Para obtener ms informacin acerca de cmo habilitar las actualizaciones automticas contra correo no deseado de Forefront, consulte Descripcin de las
actualizaciones de correo no deseado.
Ejecucin del software antivirus

Los virus, gusanos y otros contenidos malintencionados transmitidos por los sistemas de correo electrnico son una realidad destructiva a la que se enfrentan la
mayora de administradores de Microsoft Exchange. En consecuencia, debe desarrollar una implementacin de antivirus defensiva para todos los sistemas de
mensajera Esta seccin proporciona mtodos recomendados para implementar software antivirus para Exchange 2010.
Preste especial atencin a dos cambios importantes en Exchange 2010 cuando seleccione un proveedor de software antivirus:
A partir de Exchange Server 2007, Microsoft Exchange, la arquitectura en que se basa es de 64 bits.
Exchange 2010 incluye agente de transporte.
Estos dos cambios implican que los proveedores de antivirus deben proporcionar un software especfico para Exchange 2010. Es poco probable que el software
antivirus escrito para versiones anteriores de Exchange funcione correctamente con Exchange 2010.
Para usar un mtodo de defensa en profundidad, se recomienda la implementacin de un software antivirus diseado para sistemas de mensajera ya sea en la
puerta de enlace SMTP o en los servidores de Exchange que hospedan buzones de correo, adems de un software antivirus en el escritorio del usuario.
Suya es la decisin de qu tipos de software antivirus usar y dnde implementar el software buscando el equilibrio adecuado entre el costo que est dispuesto a
aceptar y el riesgo que est dispuesto a asumir. Por ejemplo, algunas organizaciones ejecutan un software antivirus para mensajera en la puerta de enlace
SMTP, anlisis antivirus en el nivel de archivos del servidor de Exchange y un software antivirus del cliente en los equipos de escritorio del usuario. Este mtodo
proporciona proteccin de mensajera en el cliente. Otras organizaciones pueden tolerar costos superiores y mejoran la seguridad ejecutando software antivirus
para mensajera en la puerta de enlace SMTP, anlisis antivirus en el nivel de archivos del servidor de Exchange y software antivirus del cliente en el escritorio de
los usuarios, adems de software antivirus compatible con Exchange Virus Scanning Application Programming Interface (VSAPI) 2.5 en el servidor de buzones de
Exchange.
Ejecucin de software antivirus en servidores Transporte de concentradores y Transporte

perimetral
El software antivirus basado en transporte se implementa o incluye agentes de transporte. Los agentes de transporte actan en los eventos de transporte, de
25-02-2015 11:41
5 de 27
manera muy similar a los receptores de eventos en versiones previas de Microsoft Exchange. Para obtener ms informacin, consulte Descripcin de los
agentes de transporte.
Nota:
Los mensajes que no se enrutan mediante transporte, como los elementos de las carpetas pblicas, Elementos enviados y elementos de calendario, que
solo se pueden analizar en un servidor de buzones de correo, no estn protegidos por la deteccin de virus solo de transporte.
Los programadores de terceras partes pueden escribir agentes de transporte personalizados para aprovechar las ventajas del motor de anlisis MIME
subyacente para una mejor deteccin antivirus del nivel de transporte. Para obtener una lista de los asociados de antispam y antivirus de Exchange, vea los
fabricantes de software independientes (posiblemente en ingls).
Adems, Forefront Protection para Exchange Server es un paquete de software antivirus estrechamente integrado con Exchange 2010 y que ofrece proteccin
antivirus adicional para su entorno de Exchange. Para obtener ms informacin, consulte Microsoft Forefront Protection 2010 para Exchange Server (en
ingls).
El lugar ms importante para ejecutar software antivirus de mensajera est en la primera lnea de defensa de la organizacin. Es la puerta de enlace SMTP a
travs de la cual los mensajes externos tienen acceso al entorno de mensajera. En Exchange 2010, la primera lnea de defensa se encuentra es el servidor
Transporte perimetral.
Si usa una puerta de enlace o un servidor SMTP que no es de Exchange para recibir correo electrnico antes que Exchange, debe implementar suficiente
funcionalidad antivirus y contra correo no deseado en los hosts SMTP que no sean Exchange.
En Exchange 2010, todos los mensajes se enrutan a travs de un servidor Transporte de concentradores. Esto incluye mensajes enviados o recibidos desde
fuera de la organizacin de Exchange, as como mensajes enviados dentro de la organizacin de Exchange. Mensajes enviados a un buzn de correo ubicado
en el mismo servidor de buzones que el remitente. Para protegerse mejor contra ataques de virus desde dentro de la organizacin y disponer de una
segunda lnea de defensa, recomendamos tambin ejecutar software antivirus basado en transporte en el servidor Transporte de concentradores.
Ejecucin de software antivirus en servidores Buzn de correos

Aparte de la deteccin de virus en servidores Transporte, una solucin de anlisis del interfaz de programacin para aplicaciones de deteccin de virus
(VSAPI) de MicrosoftExchange puede representar un nivel de defensa importante para muchas organizaciones. Es conveniente considerar la posibilidad de
ejecutar una solucin antivirus VSAPI si se cumple cualquiera de las condiciones siguientes:
Su organizacin no ha completado la implementacin de productos de anlisis de antivirus de escritorio confiables y exhaustivos.

Su organizacin desea la proteccin adicional que puede conseguir con el anlisis de bases de datos de buzones de correo.
Su organizacin ha desarrollado aplicaciones personalizadas con acceso programtico a una base de datos de Exchange.
La comunidad de usuarios publica habitualmente mensajes en carpetas pblicas.
Las soluciones antivirus que utilizan VSAPI de Exchange se ejecutan directamente en el proceso de almacenamiento de informacin de Exchange. Las
soluciones VSAPI son probablemente las nicas soluciones capaces de proteger contra vectores de ataque que introduzcan contenido infectado en el
almacn de informacin de Exchange a la vez que omiten el anlisis estndar de cliente y transporte. Por ejemplo, VSAPI es la nica solucin que analiza la
informacin enviada a la base de datos por objetos para colaboracin de datos (CDO), WebDAV y los servicios Web Exchange. Adems, cuando se produce
un ataque de virus, una solucin VSAPI suele ofrecer la manera ms rpida de quitar y eliminar los virus de una base de datos de correo infectada.
Exchange Server y antivirus del sistema de archivos

Si implementa software antivirus para proteger los servidores de Exchange, tenga en cuenta los puntos siguientes:
Debe excluir de la deteccin antivirus del sistema los directorios del servidor de Exchange en los que se almacenan las bases de datos de carpetas
pblicas y buzones de correo de Exchange. Para obtener ms informacin, consulte Anlisis de antivirus de archivos en Exchange 2010.
Los detectores antivirus del sistema de archivos solo protegen archivos. Para proteger mensajes de correo electrnico, es conveniente implementar
productos de seguridad de mensajera o antivirus que estn relacionados con Exchange, por ejemplo MicrosoftForefront, u otros productos de
asociados o de terceros. Para obtener ms informacin sobre la proteccin antivirus y contra correo no deseado, consulte Descripcin de la
funcionalidad contra correo no deseado y antivirus. Para obtener ms informacin, consulte Forefront Protection 2010 para Exchange Server:
informacin general (posiblemente en ingls).
Para disponer de una proteccin eficaz, debe mantener al da las firmas de correo no deseado y los antivirus.
Los informes de los antivirus y el software o los servicios contra correo no deseado deben examinarse peridicamente para asegurarse de que la
proteccin est habilitada y funcione como est previsto, detectar incidencias con rapidez y tomar las medidas oportunas.
Uso de Exchange Hosted Services

El filtrado de virus y correo electrnico no deseado est mejorado o tambin est disponible como servicio de MicrosoftExchange Hosted Services. Exchange
Hosted Services es un conjunto de cuatro servicios hospedados:
25-02-2015 11:41
Hosted Filtering, que ayuda a las organizaciones a protegerse a s mismas contra el software malintencionado que circula por el correo electrnico
Hosted Archive, que ayuda a las organizaciones a satisfacer los requisitos legales de conservacin de datos
Hosted Encryption, que ayuda a las organizaciones a cifrar datos por cuestiones de confidencialidad
Hosted Continuity, que ayuda a las organizaciones a conservar el acceso al correo electrnico durante y despus de interrupciones
Estos servicios se integran con cualquier servidor de Exchange que se administre de manera interna. Para obtener ms informacin, consulte Forefront Online
Protection para Exchange (posiblemente en ingls).
Uso del filtrado de datos adjuntos

En Exchange 2010, el filtrado de datos adjuntos permite aplicar filtros en servidores Transporte perimetral para controlar los datos adjuntos que reciben los
usuarios. El filtrado de datos adjuntos es cada vez ms importante en los entornos actuales, en los que muchos de estos datos contienen virus malintencionados
o material inadecuado que pueden causar daos importantes en el equipo del usuario o en la organizacin provocando daos en documentacin importante o
haciendo pblica informacin confidencial.
Hay disponibles los siguientes tipos de filtrado de datos adjuntos para controlar los datos adjuntos que entran o salen de la organizacin a travs de un servidor
Transporte perimetral:
Filtrado basado en el nombre o la extensin del archivo Se pueden filtrar los datos adjuntos especificando el nombre de archivo exacto o la extensin que
se deber filtrar. Un ejemplo de nombre de archivo exacto es NombredeArchivoMalo.exe. Un ejemplo de extensin del archivo es *.exe.
Filtrado basado en el tipo de contenido MIME del archivo Tambin se pueden filtrar los datos adjuntos especificando el tipo de contenido MIME que se
filtrar. Los tipos de contenido MIME indican el tipo de datos adjuntos; si es una imagen JPEG, un archivo ejecutable, un archivo MicrosoftOfficeExcel 2010 u
otro tipo de archivo. Los tipos de contenido se expresan como tipo o subtipo. Por ejemplo, el tipo de contenido de imagen JPEG se expresa como image/jpeg.
Si los datos adjuntos coinciden con uno de estos criterios de filtrado, se pueden configurar las siguientes acciones para llevar a cabo con los datos adjuntos.
Bloquear todo el mensaje y los datos adjuntos

Eliminar los datos adjuntos pero dejar pasar el mensaje
Eliminar en silencio el mensaje y los datos adjuntos
Para obtener ms informacin, consulte Descripcin del filtrado de datos adjuntos.
Nota:
El agente de filtro de datos adjuntos no puede usarse para filtrar datos adjuntos segn el contenido. Las reglas de transporte pueden usarse para
inspeccionar el contenido del mensaje y los datos adjuntos, as como para ejecutar acciones como eliminar o rechazar el mensaje, o aplicar proteccin de
IRM en el mensaje y los datos adjuntos. Para obtener ms informacin, consulte Descripcin de las reglas de transporte.
Filtrado de archivos con Forefront Protection para Exchange Server

La funcionalidad de filtrado de archivos proporcionada por Forefront Protection para Exchange Server incluye caractersticas avanzadas no disponibles en el
agente de filtro de datos adjuntos que viene incluido en Exchange 2010.
Por ejemplo, los archivos contenedores, que son archivos que contienen otros archivos, se pueden examinar en busca de tipos de archivos infractores. El filtrado
de Forefront Protection para Exchange Server puede analizar los siguientes archivos contenedores y actuar en los archivos insertados:
PKZip (.zip)
GNU Zip (.gzip)
Archivos comprimidos autoextrables (.zip)
Archivos comprimidos (.zip)
Archivos Java (.jar)
TNEF (winmail.dat)
Almacenamiento estructurado (.doc, .xls, .ppt, etc.)
MIME (.eml)
SMIME (.eml)
UUEncode (.uue)
Archivo de cinta Unix (.tar)
6 de 27
25-02-2015 11:41
Archivo RAR (.rar)

MACBinary (.bin)
Nota:
El agente de filtro de datos adjuntos que se incluye con Exchange 2010 detecta los tipos de archivos, incluso si se les ha cambiado el nombre. El filtrado de
datos adjuntos comprueba adems que los archivos Zip y LZH comprimidos no contengan datos adjuntos bloqueados mediante una comparacin de las
extensiones de nombre de archivo con los archivos del archivo Zip o LZH comprimido. El filtrado de archivos de Forefront Protection para Exchange Server
tiene adems la capacidad de determinar si se ha cambiado el nombre de los datos adjuntos bloqueados en un archivo contenedor.
Adems, puede filtrar los archivos por tamao. Asimismo, puede configurar Forefront Protection para Exchange Server para que ponga en cuarentena los
archivos filtrados o para que enve notificaciones de correo electrnico basadas en las coincidencias del filtro de archivos de Exchange.
Para obtener ms informacin, visite Proteger su organizacin Microsoft Exchange con Microsoft Forefront Security para Exchange Server (en ingls).
Ejecucin de Exchange Best Practices Analyzer

Exchange Best Practices Analyzer es una de las herramientas ms efectivas que puede ejecutar de manera regular para ayudarle a comprobar que su entorno
Exchange sea seguro. Exchange Best Practices Analyzer examina automticamente su implementacin de Microsoft Exchange y determina si la configuracin se
ha realizado de acuerdo con las prcticas recomendadas de Microsoft. En Exchange 2010, Exchange Best Practices Analyzer se instala como parte de la
configuracin de Exchange y puede ejecutarse desde la seccin Herramientas de la Consola de administracin de Exchange. Con el acceso a redes apropiado,
Exchange Best Practices Analyzer examina todos los servidores de Active Directory Domain Services y los servidores de Exchange. Exchange Best Practices
Analyzer incluye comprobaciones de herencias de permisos. Tambin realiza pruebas para la validacin de permisos de RBAC. Esto incluye pruebas para
asegurar que todos los usuarios tengan acceso al Panel de control de Exchange, que todos los roles predeterminados de RBAC creados por el programa de
instalacin de Exchange estn configurados correctamente y que como mnimo haya una cuenta administrativa en la organizacin de Exchange.
Uso de los puertos de red y reforzamiento de Firewall

Windows Server 2008 incluye Firewall de Windows con Seguridad avanzada, un firewall de inspeccin de paquetes con estado habilitado de forma
predeterminada. Firewall de Windows con Seguridad avanzada proporciona la funcionalidad siguiente:
Filtrado de todo el trfico IP versin 4 (IPv4) e IP versin 6 (IPv6) que entra o sale del equipo. De forma predeterminada, todo el trfico entrante est
bloqueado a menos que sea la respuesta a una solicitud saliente anterior desde el equipo (trfico solicitado) o se permite de manera especfica por parte de
una regla que se ha creado para autorizar dicho trfico. Todo el trfico saliente se permite de forma predeterminada, menos en el caso de reglas de
reforzamiento de servicio que impidan a los servicios estndar comunicarse de manera imprevista. Puede optar por permitir el trfico basado en nmeros
de puerto, direcciones IPv4 o IPv6, el nombre y la ruta de acceso de una aplicacin, el nombre de un servicio que se ejecuta en el equipo u otros criterios.
Proteccin del trfico de red que entra o sale de ordenador mediante el protocolo IPsec para comprobar la integridad del trfico de red, autenticar la
identidad de los usuarios o equipos remitentes o destinatario, as como cifrar el trfico para proporcionar confidencialidad.
Exchange 2010 se ha diseado para ejecutarse con Firewall de Windows Server con Seguridad avanzada habilitada. El programa de instalacin de Exchange crea las
correspondientes reglas de firewall para que los servicios y procesos de Exchange puedan comunicarse. Crea solamente las reglas que se necesitan para los
servicios y procesos instalados en un determinado rol de servidor. Para obtener ms informacin sobre las reglas de uso de puertos y firewall creadas para cada rol
de servidor de Exchange 2010, consulte Referencia del puerto de red de Exchange.
En Windows Server 2008 y Windows Server 2008 R2, Firewall de Windows con Seguridad avanzada permite especificar el proceso o servicio para el que se abre un
puerto. Esta opcin es ms segura porque restringe el uso del puerto al proceso o servicio especificado en la regla. El programa de instalacin de Exchange 2010
crea reglas de firewall con el nombre del proceso especificado. En algunos casos, y por motivos de compatibilidad, se crea una regla adicional que no est
restringida al proceso. Puede deshabilitar o quitar las reglas que no estn restringidas a los procesos y mantener las reglas correspondientes creadas tambin por
el programa de instalacin de Exchange 2010 restringidas a procesos, en el caso de que la implementacin lo admita. Las reglas que no estn restringidas a
procesos se distinguen con la palabra (GFW) en el nombre de regla. Se recomienda realizar pruebas suficientes en las reglas del entorno antes de deshabilitar las
reglas que no se restrinjan a un proceso.
En la tabla siguiente se muestran las reglas de Firewall de Windows creadas con el programa de instalacin de Exchange, con los puertos que se abren en cada rol
de servidor.
Reglas de Firewall de Windows
7 de 27
Nombre de regla
Roles de servidor
Puerto
MSExchangeRPCEPMap (GFW) (TCP-In)
Todos los roles
RPC-EPMap
MSExchangeRPC (GFW) (TCP-In)
Acceso de clientes, Transporte de concentradores, Buzn de correo, Mensajera

unificada
RPC dinmica
MSExchange - IMAP4 (GFW) (TCP-In)
Acceso de clientes
143, 993 (TCP)
MSExchange - POP3 (GFW) (TCP-In)
Acceso de clientes
110, 995 (TCP)
25-02-2015 11:41
8 de 27
MSExchange - OWA (GFW) (TCP-In)
Acceso de clientes
5075, 5076, 5077 (TCP)
MSExchangeMailboxReplication (GFW)
(TCP-In)
Acceso de clientes
808 (TCP)
MSExchangeIS (GFW) (TCP-In)
Buzn de correo
6001, 6002, 6003, 6004

(TCP)
MSExchangeTransportWorker (GFW) (TCP-In)
Transporte de concentradores
25, 587 (TCP)
SESWorker (GFW) (TCP-In)
Mensajera unificada
Cualquiera
UMService (GFW) (TCP-In)
Mensajera unificada
5060, 5061 (TCP)
UMWorkerProcess (GFW) (TCP-In)
Mensajera unificada
5065, 5066, 5067, 5068
Importante:
Al modificar un puerto predeterminado usado por un servicio de Exchange 2010, tambin debe modificarse el correspondiente Firewall de Windows con la regla
de firewall de Seguridad avanzada para permitir la comunicacin sobre el puerto no predeterminado que se decida usar. Exchange 2010 no cambia las reglas de
firewall al cambiar los puertos predeterminados que se usan para un servicio.
Parmetros de limitacin y directivas de limitacin de clientes

Exchange 2010 presenta parmetros de limitacin en los roles del servidor Transporte, Acceso de clientes y Buzn de correo para controlar diferentes parmetros
de conexiones relacionadas con cada protocolo. Asimismo, Exchange 2010 incluye directivas de limitacin de clientes para controlar la carga en servidores de
acceso de cliente. Estos parmetros y directivas de limitacin permiten controlar la carga y proteger los servidores de Exchange 2010 de los ataques de denegacin
de servicio dirigidos a diferentes protocolos.
Parmetros de limitacin en servidores Transporte

En los servidores Transporte Exchange 2010, los parmetros de limitacin de mensajes se implementan en el servidor, as como en los conectores de envo y
recepcin para controlar velocidades de procesamiento de mensajes, velocidades de conexin SMTP y valores de tiempo de espera de sesin SMTP. Estos
parmetros de limitacin en su conjunto protegen los servidores de transporte de la saturacin al tener que aceptar y distribuir una gran cantidad de mensajes;
asimismo, protegen de clientes SMTP no confiables y de ataques de denegacin de servicios.
Puede configurar las directivas de limitacin siguientes en servidores Transporte de Exchange 2010 que usan el cmdlet Set-TransportServer.
Parmetros de limitacin en servidores Transporte

Parmetro
Descripcin
MaxConcurrentMailboxDeliveries
El parmetro MaxConcurrentMailboxDeliveries especifica el nmero mximo de subprocesos de entrega que el

servidor Transporte de concentradores puede tener abiertos al mismo tiempo para entregar mensajes en buzones.
El controlador de almacn del servidor Transporte de concentradores es responsable de entregar mensajes a y
desde servidores de buzones. Este lmite se aplica a la entrega de mensajes a cualquier buzn de la organizacin de
Exchange.
Valor predeterminado 20 entregas
MaxConcurrentMailboxSubmissions
El parmetro MaxConcurrentMailboxSubmissions especifica el nmero mximo de subprocesos de entrega que el

servidor Transporte de concentradores puede tener abiertos al mismo tiempo para aceptar mensajes de buzones. El
controlador de almacn del servidor Transporte de concentradores es responsable de entregar mensajes a y desde
servidores de buzones. Este lmite se aplica a la aceptacin de nuevos mensajes provenientes de cualquier buzn
de la organizacin de Exchange.
Valor predeterminado 20 envos
MaxConnectionRatePerMinute
El parmetro MaxConnectionRatePerMinute especifica la velocidad mxima a la que pueden abrirse nuevas

conexiones de entrada para el servidor Transporte de concentradores o el servidor Transporte perimetral. Estas
conexiones se abren para todos los conectores de recepcin que existan en el servidor.
Valor predeterminado 1200 conexiones por minuto.
MaxOutboundConnections
El parmetro MaxOutboundConnections especifica el nmero mximo de conexiones salientes simultneas que el

servidor Transporte de concentradores o el servidor Transporte perimetral pueden tener abiertas al mismo tiempo.
Las conexiones salientes se producen al utilizar los conectores de envo que existen en el servidor. El valor
especificado por el parmetro MaxOutboundConnections se aplica a todos los conectores de envo que hay en el
servidor de transporte.
Valor predeterminado 1000 conexiones
25-02-2015 11:41
9 de 27
Si escribe un valor ilimitado, no se impone ningn lmite en el nmero de conexiones de salida.

Este valor tambin puede configurarse mediante la EMC.
MaxPerDomainOutboundConnections
El parmetro MaxPerDomainOutboundConnections especifica el nmero mximo de conexiones que un servidor

Transporte de concentradores conectado a Internet o un servidor Transporte perimetral pueden tener abiertas para
cualquier dominio remoto nico. Las conexiones salientes para dominios remotos se producen al utilizar los
conectores de envo que existen en el servidor.
Valor predeterminado 20 conexiones por dominio.
Si escribe un valor ilimitado, no se impone ningn lmite en el nmero de conexiones de salida por dominio.
Este valor tambin puede configurarse mediante la EMC.
PickupDirectoryMaxMessagesPerMinute
El MaxPerDomainOutboundConnections parmetro especifica la velocidad de procesamiento de mensajes en los

directorios Recogida y Reproduccin. Cada directorio puede procesar archivos de mensaje de manera
independiente a la velocidad especificada por el parmetro PickupDirectoryMaxMessagesPerMinute. Valor
predeterminado De forma predeterminada, el directorio Recogida puede procesar 100 mensajes por minuto y el
directorio Reproduccin puede procesar simultneamente 100 mensajes por minuto.
Los directorios Recogida y Reproduccin examinan nuevos archivos de mensaje cada 5 segundos o 12 veces por
minuto. Este intervalo de sondeo de 5 segundos no se puede configurar. Esto significa que el nmero mximo de
mensajes que se pueden procesar durante cada intervalo de sondeo tiene el valor que se ha asignado al parmetro
PickupDirectoryMaxMessagesPerMinute dividido entre 12 (PickupDirectoryMaxMessagesPerMinute/12). De forma
predeterminada, solo se pueden procesar un mximo de ocho mensajes en cada intervalo de sondeo de
5 segundos.
Parmetros de limitacin en conectores de envo

Los parmetros de limitacin siguientes estn disponibles en los conectores de envo. Use el cmdlet Send-Connector para configurar estos parmetros.
Parmetros de limitacin de conectores de envo

Parmetro
Descripcin
ConnectionInactivityTimeOut
El parmetro ConnectionInactivityTimeOut especifica el tiempo mximo que puede permanecer inactiva una conexin
SMTP con un servidor de mensajera de destino antes de que se cierre la conexin.
Valor predeterminado 10 minutos.
SmtpMaxMessagesPerConnection
El parmetro SmtpMaxMessagesPerConnection especifica el nmero mximo de mensajes que este servidor de conector
de envo puede enviar por conexin.
Valor predeterminado 20 mensajes
Parmetros de limitacin en conectores de recepcin

Puede configurar los parmetros de limitacin siguientes en conectores de recepcin en servidores Transporte de Exchange 2010 con el fin de controlar
parmetros de conexin como los tiempos de espera de inactividad, el nmero mximo de conexiones y el nmero de errores de protocolo SMTP que se
permiten durante una conexin. Use el cmdlet Set-ReceiveConnector para configurar estor parmetros.
Parmetros de limitacin de conectores de recepcin

Parmetro
Descripcin
ConnectionInactivityTimeOut
El parmetro ConnectionInactivityTimeOut especifica el tiempo mximo que puede permanecer inactiva una
conexin SMTP con un servidor de mensajera de origen antes de que se cierre la conexin.
Valor predeterminado en servidores Transporte de concentradores 5 minutos.
Valor predeterminado en servidores Transporte perimetral 1 minuto.
ConnectionTimeOut
El parmetro ConnectionTimeOut especifica el tiempo mximo que puede permanecer abierta una conexin
SMTP con un servidor de mensajera de origen, incluso aunque el servidor de mensajera de origen est
transmitiendo datos.
Valor predeterminado en servidores Transporte de concentradores 10 minutos.
Valor predeterminado en servidores Transporte perimetral 5 minutos.
El valor especificado por el parmetro ConnectionTimeout debe ser mayor que el valor especificado por el
25-02-2015 11:41
parmetro ConnectionInactivityTimeout.
El parmetro MaxInboundConnection especifica el nmero mximo de conexiones SMTP entrantes que
permite este conector de recepcin al mismo tiempo.
MaxInboundConnection
Valor predeterminado 5000.

MaxInboundConnectionPercentagePerSource
El parmetro MaxInboundConnectionPercentagePerSource especifica el nmero mximo de conexiones SMTP

que permite un conector de recepcin al mismo tiempo desde un nico servidor de mensajera de origen. El
valor se expresa como el porcentaje de conexiones restantes disponibles en un conector de recepcin. El
nmero mximo de conexiones que permite el conector de recepcin se define con el parmetro
MaxInboundConnection. Valor predeterminado 2 por ciento.
MaxInboundConnectionPerSource
El parmetro MaxInboundConnectionPerSource especifica el nmero mximo de conexiones SMTP que permite

un conector de recepcin al mismo tiempo desde un nico servidor de mensajera de origen.
Valor predeterminado 100 conexiones.
El parmetro MaxProtocolErrors especifica el nmero mximo de errores de protocolo SMTP que un conector
de recepcin permite antes de cerrar la conexin con el servidor de mensajera de origen.
MaxProtocolErrors
Valor predeterminado 5 errores.
Parmetros de limitacin para el servicio POP3

Los parmetros de limitacin siguientes estn disponibles para el servicio POP3 de MicrosoftExchange en los servidores de acceso de cliente. Use el cmdlet
Set-POPSettings para configurar estos parmetros. Para obtener ms informacin, consulte Establecer lmites de conexin para POP3.
Parmetros de limitacin del servicio POP3

Parmetro
Descripcin
MaxCommandSize
El parmetro MaxCommandSize especifica el tamao mximo de un nico comando. Los valores posibles van de 40 a
1024 bytes.
Valor predeterminado 40 bytes.
MaxConnectonFromSingleIP
El parmetro MaxConnectionFromSingleIP especifica el nmero de conexiones de una sola direccin IP que acepta el
servidor especificado. Los valores admitidos van de 1 a 25 000.
MaxConnections
El parmetro MaxConnections especifica el nmero total de conexiones que acepta el servidor especificado. Se
incluyen en este nmero tanto las conexiones autenticadas como las que no lo estn. Los valores admitidos van de 1
a 25 000.
MaxConnectionsPerUser
El parmetro MaxConnectionsPerUser especifica el nmero mximo de conexiones de un usuario particular que

acepta el servidor de acceso de cliente. Los valores admitidos van de 1 a 25 000.
PreAuthenticationConnectionTimeOut
El parmetro PreAuthenticatedConnectionTimeout especifica el tiempo que debe transcurrir antes de cerrar una
conexin inactiva que no est autenticada. Los valores admitidos van de 10 a 3600 segundos.
Valor predeterminado 60 segundos.
Parmetros de limitacin para el servicio IMAP4

Los parmetros de limitacin siguientes estn disponibles para el servicio IMAP4 de MicrosoftExchange en los servidores de acceso de cliente. Use el cmdlet
Set-IMAPSettings para configurar estos parmetros. Para obtener ms informacin, consulte Establecer los lmites de conexin para IMAP4.
Parmetros de limitacin de servicios IMAP4
10 de 27
Parmetro
Descripcin
AuthenticationConnectionTimeOut
El parmetro AuthenticatedConnectionTimeout especifica el perodo de tiempo que debe transcurrir antes de cerrar
25-02-2015 11:41
una conexin autenticada inactiva. Los valores admitidos van de 30 a 86 400 segundos.
MaxCommandSize
El parmetro MaxCommandSize especifica el tamao mximo de un nico comando. El tamao predeterminado es de

40 bytes. Los valores posibles van de 40 a 1024 bytes.
Valor predeterminado 40 bytes.
MaxConnectionFromSingleIP
El parmetro MaxConnectionFromSingleIP especifica el nmero de conexiones de una sola direccin IP que acepta el
servidor especificado. Los valores admitidos van de 1 a 25 000.
MaxConnections
El parmetro MaxConnections especifica el nmero total de conexiones que acepta el servidor especificado. Se
incluyen en este nmero tanto las conexiones autenticadas como las que no lo estn. Los valores admitidos van de 1
a 25 000.
MaxConnectionsPerUser
El parmetro MaxConnectionsPerUser especifica el nmero mximo de conexiones de un usuario particular que acepta
el servidor de acceso de cliente. Los valores admitidos van de 1 a 25 000.
PreAuthenticatedConnectionTimeOut
El parmetro PreAuthenticatedConnectionTimeout especifica el tiempo que debe transcurrir antes de cerrar una
conexin inactiva que no est autenticada. Los valores admitidos van de 10 a 3600 segundos.
Directivas de limitacin de clientes

En Exchange 2010, puede usar las directivas de limitacin de clientes para administrar el rendimiento del servidor de acceso de cliente controlando parmetros
como la cantidad de conexiones simultneas para cada protocolo de acceso de cliente, el porcentaje de tiempo que una sesin de cliente puede usar para
ejecutar operaciones LDAP, operaciones RPC y operaciones de acceso de cliente. Existe una directiva de limitacin predeterminada de clientes que, en general,
es suficiente para controlar la carga que soportan los servidores de acceso de cliente. Los parmetros de la directiva predeterminada pueden modificarse, as
como crear directivas personalizadas que se adecuen a los requisitos de cada implementacin.
Los siguientes grupos de usuarios y mtodos de acceso disponen de las directivas de limitacin siguientes:
Acceso annimo
Acceso entre sitios (CPA)
Exchange ActiveSync (EAS)
Servicios Web Exchange (EWS)
IMAP
POP
Outlook Web App (OWA)
Acceso de cliente RPC (RCA)
Las configuraciones de limitacin siguientes estn disponibles en directivas de limitacin de clientes para cada uno de estos grupos de usuarios (acceso
annimo y CPA) y mtodos de acceso (EAS, EWS, IMAP, OWA, POP y RCA).
Configuracin directivas de limitacin de clientes

Configuracin de limitacin
Acceso annimo
CPA
EAS
EWS
IMAP
OWA
POP
RCA
Simultaneidad mxima
Porcentaje de tiempo en AD
NA
Porcentaje de tiempo en CAS
Porcentaje de tiempo en RPC de buzones
CPA Acceso entre sitios

EAS Exchange ActiveSync
11 de 27
25-02-2015 11:41
12 de 27
EWS Servicios Web Exchange

OWA Outlook Web App
Adems de esta configuracin de limitacin a partir de grupos de usuarios y mtodos de acceso, en una directiva de limitacin de clientes puede haber las
configuraciones de limitacin siguientes.
Parmetros de directivas de limitacin de clientes

Parmetro
Descripcin
CPUStartPercent
El parmetro CPUStartPercent especifica el porcentaje de CPU por proceso en el que se comienza a interrumpir a los
usuarios regidos por esta directiva. Los valores vlidos van de 0 a 100. Utilice $null para desactivar la limitacin basada
en el porcentaje de la CPU para esta directiva.
EASMaxDeviceDeletesPerMonth
El parmetro EASMaxDeviceDeletesPerMonth especifica un lmite al nmero de asociaciones de Exchange

ActiveSync que puede eliminar un usuario cada mes. De forma predeterminada, los usuarios pueden eliminar un
mximo de 20 asociaciones cada mes natural. Cuando se alcanza el lmite, el intento de eliminacin de asociacin
genera un error y se muestra un mensaje de error.
EASMaxDevices
El parmetro EASMaxDevices especifica un lmite al nmero de asociaciones de Exchange ActiveSync que puede eliminar
un usuario de forma simultnea. De forma predeterminada, cada usuario puede crear 10 asociaciones de Exchange
ActiveSync con su cuenta de Exchange. Despus de que un usuario supere el lmite, debe eliminar una de sus
asociaciones existentes antes de poder crear otra asociacin nueva. Cuando se sobrepase el lmite, el usuario recibe un
mensaje de correo electrnico de error que describe la limitacin. Adems, se registra un evento en el registro de
aplicacin cuando un usuario supera el lmite.
EWSFastSearchTimeOutInSeconds
El parmetro EWSFastSearchTimeoutInSeconds especifica la cantidad de tiempo durante el cual las bsquedas

efectuadas mediante los servicios Web Exchange continan antes de que termine el tiempo de espera. Si la bsqueda
tarda ms tiempo del indicado por el valor de la directiva, la bsqueda se detiene y se devuelve un error. El valor
predeterminado de esta configuracin es de 60 segundos.
EWSFindCountLimit
El parmetro EWSFindCountLimit especifica el tamao mximo del resultado de las llamadas de FindItem o FindFolder
que puedan existir en la memoria en el servidor de acceso de cliente al mismo tiempo para este usuario en el proceso
actual. Si se intenta encontrar ms elementos o carpetas de los que permite el lmite de la directiva, se genera un error.
Sin embargo, el lmite no se aplica de forma estricta si se hace la llamada en el contexto de una vista de pgina con
ndice. Concretamente, en esta situacin, los resultados de bsqueda quedan truncados para incluir el nmero de
elementos y carpetas que se ajustan al lmite de la directiva. Despus puede continuar hojeando los resultados
establecidos mediante las llamadas de FindItem o FindFolder.
EWSMaxSubscriptions
El parmetro EWSMaxSubscriptions especifica el nmero mximo de suscripciones de insercin y de extraccin activas

que puede tener un usuario en un servidor de acceso de cliente especfico al mismo tiempo. Si un usuario intenta crear
ms suscripciones que el mximo configurado, la suscripcin no es vlida y se registra un evento en el Visor de eventos.
ExchangeMaxCmdlets
El parmetro ExchangeMaxCmdlets especifica el nmero de cmdlets que se pueden ejecutar en un perodo de tiempo
especfico antes de que su ejecucin se ralentice. El valor especificado por este parmetro debe ser inferior al valor
especificado por el PowerShellMaxCmdlets parameter.
El perodo de tiempo que se usa para este lmite se especifica mediante el parmetro PowerShellMaxCmdletsTimePeriod.
Se recomienda establecer valores para ambos parmetros al mismo tiempo.
ForwardeeLimit
El parmetro ForwardeeLimit especifica los lmites para el nmero de destinatarios que se pueden configurar en Reglas
de Bandeja de entrada al usar la accin de reenviar o redirigir. Este parmetro no limita el nmero de mensajes que se
pueden reenviar o redirigir a los destinatarios que estn configurados.
MessageRateLimit
El parmetro MessageRateLimit especifica el nmero de mensajes por minuto que se pueden enviar al transporte.
Respecto a los mensajes enviados a travs del rol de servidor Buzn de correo (Outlook Web App, Exchange ActiveSync
o servicios Web Exchange), los mensajes se aplazan hasta que la cuota del usuario est disponible. Ms concretamente,
los mensajes aparecen en la carpeta Buzn de salida o Borrador durante largos perodos de tiempo cuando los usuarios
envan mensajes a un ritmo superior al del parmetro MessageRateLimit.
En el caso de los clientes POP o IMAP que envan mensajes directamente al transporte mediante SMTP, los clientes
reciben un error transitorio si efectan envos a una velocidad que supera el parmetro MessageRateLimit. Exchange
intenta conectarse y enviar los mensajes posteriormente.
PowerShellMaxCmdletQueueDepth
El parmetro PowerShellMaxCmdletQueueDepth especifica el nmero de operaciones permitidas que el usuario puede

ejecutar. Este valor afecta directamente al comportamiento de los parmetros PowerShellMaxCmdlets y
PowerShellMaxConcurrency. Por ejemplo, el parmetro PowerShellMaxConcurrency consume al menos dos operaciones
definidas por el parmetro PowerShellMaxCmdletQueueDepth, pero las operaciones adicionales tambin se consumen
segn la ejecucin de cmdlet. El nmero de operaciones depende de los cmdlets que se ejecutan. Se recomienda que el
valor del parmetro PowerShellMaxCmdletQueueDepth sea al menos tres veces superior al valor del parmetro
PowerShellMaxConcurrency parameter. Este parmetro no afectar a las operaciones del Panel de control de Exchange
ni a las operaciones de los servicios Web Exchange.
PowerShellMaxCmdlets
El parmetro PowerShellMaxCmdlets especifica el nmero de cmdlets que se pueden ejecutar en un perodo de tiempo
especfico antes de que su ejecucin se detenga. El valor especificado por este parmetro debe ser superior al valor
especificado por el parmetro ExchangeMaxCmdlets. El perodo de tiempo que se usa para este lmite se especifica
mediante el parmetro PowerShellMaxCmdletsTimePeriod. Ambos valores se deben establecer al mismo tiempo.
25-02-2015 11:41
13 de 27
PowerShellMaxCmdletsTimePeriod
El parmetro PowerShellMaxCmdletsTimePeriod especifica el perodo de tiempo, en segundos, que la directiva de

limitacin usa para determinar si el nmero de cmdlets que se estn ejecutando supera los lmites especificados por los
parmetros PowerShellMaxCmdlets y ExchangeMaxCmdlets.
PowerShellMaxConcurrency
El parmetro PowerShellMaxConcurrency especifica informacin diferente segn el contexto:

En el contexto de PowerShell remoto, el parmetro PowerShellMaxConcurrency especifica el nmero mximo de
sesiones de PowerShell remoto que un usuario de PowerShell remoto puede tener abiertas al mismo tiempo.
En el contexto de los servicios Web Exchange, el parmetro PowerShellMaxConcurrency especifica el nmero de
ejecuciones simultneas de cmdlet que un usuario puede tener al mismo tiempo.
El valor de este parmetro no se relaciona necesariamente con el nmero de navegadores abiertos por el usuario.
RecipientRateLimit
El parmetro RecipientRateLimit especifica los lmites en el nmero de destinatarios que un usuario puede tratar en un
perodo de 24 horas.
Para obtener ms informacin sobre directivas de limitacin de Exchange 2010, consulte Descripcin de las directivas de limitacin de peticiones de clientes.
Control de acceso basado en roles

El control de acceso basado en roles o RBAC es el nuevo modelo de permisos de Exchange 2010 con el que se controla, de forma general y particular, lo que
pueden hacer administradores y usuarios. Con RBAC ya no es necesario modificar las listas de control de acceso en los objetos Active Directory como las unidades
organizativas y los contenedores para posibilitar la delegacin individual de permisos a grupos como los operadores del departamento de soporte tcnico o para
funciones como la administracin de destinatarios. Active Directory
Para obtener ms informacin, consulte Descripcin del control de acceso basado en funciones. Si desea obtener una lista de los roles de administracin
predeterminados de RBAC que se incluyen en Exchange 2010, consulte Funciones integradas de administracin. Para obtener una lista de los grupos de roles
predeterminados, consulte Grupos de funciones integradas.
Los grupos de roles creados por el programa de instalacin de Exchange 2010 o por usted se crean en Active Directory como grupos de seguridad universal en las
unidades organizativas de grupos de seguridad de MicrosoftExchange. Puede agregar miembros a un grupo de roles mediante el cmdlet
New-RoleGroupMember o mediante el Panel de control de Exchange. Al agregar un miembro a un grupo de roles, el usuario o el grupo se incorporan al
correspondiente grupo de seguridad de Active Directory. Puede usar una directiva de grupo restringido para restringir la pertenencia a grupos de roles de RBAC
importantes, por ejemplo Administracin de deteccin. Al implementar una directiva de grupo restringido, los controladores de dominio de Active Directory
supervisan la pertenencia al grupo y los usuarios no incluidos en la directiva se quitan automticamente.
Importante:
Si se usan los grupos restringidos para restringir la pertenencia a grupo para grupos de roles de RBAC, los cambios que se efecten en un grupo de roles
mediante las herramientas de Exchange 2010 deben aplicarse tambin a la directiva de grupo restringido en Active Directory. Para obtener ms informacin,
consulte Configuracin de la seguridad de las directivas de grupo (en ingls).
Active Directory
Exchange Server almacena datos de configuracin en la particin de configuracin y datos de destinatarios en la particin de dominio de Active Directory Domain
Services. Para obtener ms informacin sobre los permisos que se necesitan para configurar una organizacin de Exchange 2010, consulte Referencia de permisos
de implementacin de Exchange 2010. La comunicacin con los controladores de dominios de Active Directory se asegura mediante la autenticacin y el cifrado de
Kerberos.
Exchange 2010 proporciona un nuevo nivel de autorizacin de Exchange, denominado control de acceso basado en roles (RBAC), en lugar de solicitar entradas de
control de acceso (ACE) para cada cuenta que precise los correspondientes permisos. En versiones anteriores de Microsoft Exchange, el programa de instalacin de
Exchange se basaba en las ACE en Active Directory para que los administradores de Exchange pudieran administrar objetos en la particin de dominio. Los
administradores de Exchange tienen la capacidad de realizar determinadas operaciones en un determinado mbito mediante RBAC. El servidor de Exchange
ejecuta las acciones autorizadas en nombre del administrador o los usuarios mediante los permisos concedidos en Active Directory mediante los grupos de
seguridad Permisos de ExchangeWindows y Subsistemas de confianza de Exchange. Para obtener ms informacin acerca de RBAC, consulte Descripcin del
control de acceso basado en funciones.
En Exchange 2010, /PrepapareDomain no solicita las ACE para el grupo de seguridad universal Permisos de ExchangeWindows del contenedor AdminSDHolder en
Active Directory. Si /PrepareDomain detecta que hay ACE concedidas al grupo de seguridad universal Permisos de ExchangeWindows, las ACE se quitan. Esto tiene
las repercusiones siguientes:
Los miembros del grupo de seguridad universal Permisos de ExchangeWindows no pueden modificar la pertenencia al grupo de los grupos de seguridad
protegidos como Administradores de empresa y Administradores de dominio. Esto tiene las repercusiones siguientes:
Los miembros del grupo de seguridad universal Permisos de ExchangeWindows no pueden forzar el restablecimiento de contrasea de una cuenta que est
protegida por AdminSDHolder.
Los miembros del grupo de seguridad universal Permisos de ExchangeWindows no pueden alterar los permisos de ningn grupo ni cuenta que estn
protegidos por AdminSDHolder.
Se recomienda no habilitar para buzn las cuentas protegidas por AdminSDHolder y mantener cuentas independientes para los administradores de Active
25-02-2015 11:41
14 de 27
Directory: una cuenta para administracin de Active Directory, y otra para el uso cotidiano normal, incluido el correo electrnico. Para obtener ms informacin,
consulte los siguientes temas:
Descripcin y actualizacin del objeto AdminSDHolder de Active Directory

Exchange 2010 y resolucin del problema de elevacin de AdminSDHolder (posiblemente en ingls)
Cuentas de servidores de Exchange

El programa de instalacin de Exchange 2010 crea una nueva unidad organizativa en el dominio raz denominada Grupos de seguridad de MicrosoftExchange. En
la tabla siguiente se muestran los nuevos grupos de seguridad universal.
Grupos de seguridad de Microsoft Exchange

Grupo de seguridad
Descripcin
Exchange All Hosted

Organizations
Este grupo contiene todos los grupos de buzones de correo de la organizacin hospedados de Exchange. Se usa para aplicar
objetos de configuracin de contrasea a todos los buzones de correo hospedados. Este grupo no debe eliminarse.
Servidores de Exchange
Esto incluye todos los servidores de Exchange. Este grupo no debe eliminarse. Se recomienda encarecidamente abstenerse de
realizar cambios de pertenencia a grupo en este grupo.
Subsistema de confianza
de Exchange
Este grupo contiene servidores de Exchange que ejecutan cmdlets de Exchange en nombre de los usuarios mediante un servicio
de administracin. Sus miembros tendrn permiso para leer y modificar toda la configuracin de Exchange, adems de los grupos
y las cuentas de usuario. Este grupo no debe eliminarse.
Exchange Permisos de
Windows
Este grupo contiene servidores de Exchange que ejecutan cmdlets de Exchange en nombre de los usuarios mediante un servicio
de administracin. Sus miembros tendrn permiso para leer y modificar todos los grupos y las cuentas de Windows. Este grupo
no debe eliminarse. Se recomienda encarecidamente abstenerse de realizar cambios de pertenencia a grupo en este grupo;
asimismo, se recomienda supervisar la pertenencia a grupos.
ExchangeLegacyInterop
Este grupo sirve para interoperar con servidores de Exchange 2003 en el mismo bosque. Este grupo no debe eliminarse.
Adems de estos grupos de seguridad, el programa de instalacin crea los grupos de seguridad siguientes, que corresponden a grupos de roles de RBAC con el
mismo nombre.
Grupos de seguridad que corresponden a grupos de roles de RBAC

Grupo de seguridad
Grupo de roles de RBAC
Configuracin delegada
Configuracin delegada
Administracin de deteccin
Administracin de la deteccin
Help Desk
Servicio de asistencia
Administracin de higiene
Administracin de higiene
Administracin de la organizacin
Administracin de organizaciones
Administracin de carpetas pblicas
Administracin de carpetas pblicas
Administracin de destinatarios
Administracin de destinatarios
Administracin de registros
Administracin de registros
Administracin de servidor
Administracin de servidor
Administracin de mensajera unificada
Administracin de MU
View-Only Organization Management
Administracin de organizaciones con permiso de vista
Asimismo, al crear un grupo de roles, Exchange 2010 crea un grupo de seguridad con el mismo nombre que el grupo de roles. Para obtener ms informacin,
consulte los siguientes temas:
Grupos de funciones integradas

Crear un grupo de funciones
Los usuarios se agregan o quitan de estos grupos de seguridad cuando se agregan o quitan usuarios de grupos de roles mediante los cmdlets
25-02-2015 11:41
15 de 27
Add-RoleGroupMember o Remove-RoleGroupMember, o bien con el Editor de usuarios de control de acceso basado en roles (RBAC) en el Panel de control
de Exchange.
Sistema de archivos
El programa de instalacin de Exchange 2010 crea directorios con los permisos mnimos para que Exchange 2010 pueda funcionar. No se recomienda reforzar los
permisos en las listas de control de acceso de los directorios creados por el programa de instalacin.
Servicios
El programa de instalacin de Exchange 2010 no deshabilita de forma predeterminada ningn servicio de Windows. En la tabla siguiente aparecen los servicios que
estn habilitados de forma predeterminada en cada rol de servidor. De forma predeterminada, solo estn habilitados los servicios necesarios para que funcione un
determinado rol de servidor de Exchange 2010.
Servicios instalados por el programa de instalacin de Exchange
Nombre del
servicio
Nombre corto del servicio
Contexto
de
seguridad
Descripcin y dependencias
Tipo de inicio
predeterminado
Roles de
servidor
Necesario
(R) u
opcional
(O)
Microsoft
Exchange
Topologa de
Active
Directory
MSExchangeADTopology
Sistema
local
Proporciona informacin de
topologa de Active Directory a los
servicios de Exchange. Si el
servicio se detiene, la mayor parte
de los servicios de Exchange no
podr iniciarse. Este servicio no
tiene dependencias.
Automtico
Buzn de correo,
Transporte de
concentradores,
Acceso de
clientes,
Mensajera
unificada
ADAM de
Microsoft
Exchange
ADAM_MSExchange
Servicio de
red
Almacena datos de configuracin

y datos de destinatarios en el
servidor Transporte perimetral.
Este servicio representa la
instancia con nombre de Active
Directory Lightweight Directory
Service (AD LDS) que crea
automticamente el programa de
instalacin durante la instalacin
del servidor Transporte perimetral.
Este servicio depende del servicio
Sistema de evento COM+.
Automtico
Transporte
perimetral
Libreta de
direcciones de
Microsoft
Exchange
MSExchangeAB
Sistema
local
Administra las conexiones de

libretas de direcciones de clientes.
de topologa de Microsoft
Exchange Active Directory.
Automtico
Acceso de
clientes
Actualizacin
contra correo
electrnico no
deseado de
Microsoft
Exchange
MSExchangeAntispamUpdate
Sistema
local
Proporciona MicrosoftForefront
Protection 2010 para el servicio de
actualizacin de correo
electrnico no deseado de
Exchange Server. En servidores
Transporte de concentradores,
este servicio depende del servicio
Exchange Active Directory. En los
servidores Transporte perimetral,
este servicio depende del servicio
ADAM de Microsoft Exchange.
Automtico
Transporte de
concentradores,
Transporte
perimetral
Servicio de
credenciales de
Microsoft
Exchange
MSExchangeEdgeCredential
Sistema
local
Supervisa los cambios de

credenciales en AD LDS e instala
los cambios en el servidor
Transporte perimetral. Este
servicio depende del servicio
Automtico
Transporte
perimetral
EdgeSync de
Microsoft
Exchange
MSExchangeEdgeSync
Sistema
local
Se conecta a una instancia de AD

LDS en los servidores Transporte
perimetral suscritos mediante un
canal LDAP seguro para
sincronizar datos entre un servidor
Transporte de concentradores y
Automtico
Transporte de
concentradores
25-02-2015 11:41
16 de 27
un servidor Transporte perimetral.

Exchange Active Directory. Este
servicio se podr deshabilitar si no
hay suscripciones perimetrales
configuradas.
Distribucin de
archivos de
Microsoft
Exchange
MSExchangeFDS
Sistema
local
Distribuye libretas de direcciones

sin conexin (OAB) y avisos
personalizados de mensajera
unificada. Este servicio depende
de los servicios de topologa y
estacin de trabajo de Microsoft
ExchangeActive Directory.
Automtico
Acceso de cliente,
Mensajera
unificada
Autenticacin
basada en
formularios de
Microsoft
Exchange
MSExchangeFBA
Sistema
local
Proporciona autenticacin basada

en formularios a Outlook Web
App y al Panel de control de
Exchange. Si se detiene este
servicio, Outlook Web App y el
Panel de control de Exchange no
autenticarn a los usuarios. Este
servicio no tiene dependencias.
Automtico
Acceso de
clientes
IMAP4 de
Microsoft
Exchange
MSExchangeIMAP4
Servicio de
red
Proporciona servicios IMAP4 a

clientes. Si se detiene este
servicio, los clientes no podrn
conectarse a este equipo
mediante el protocolo IMAP4. Este
servicio depende del servicio de
topologa de Microsoft
Manual
Acceso de
clientes
Almacn de
informacin de
Microsoft
Exchange
MSExchangeIS
Sistema
local
Administra el Almacn de
informacin de Exchange. Incluye
bases de datos de buzones de
correo y de carpetas pblicas. Si
se detiene este servicio, no
estarn disponibles las bases de
datos de buzones de correo y de
carpetas pblicas en este equipo.
Si se deshabilita este servicio, no
se podrn iniciar los servicios que
dependan explcitamente de l.
Este servicio depende de los
servicios RPC, Servidor, Registro
de eventos de Windows y Estacin
de trabajo.
Automtico
Buzn de correo
Servicio de
entrega de
correo de
Microsoft
Exchange
MSExchangeMailSubmission
Sistema
local
Enva mensajes de un servidor de

buzones de correo a un servidor
Transporte de concentradores de
Exchange 2010. Este servicio
depende del servicio de topologa
de Microsoft Exchange Active
Directory.
Automtico
Buzn de correo
Asistentes de
buzn de
Microsoft
Exchange
MSExchangeMailboxAssistants
Sistema
local
Realiza el procesamiento en
segundo plano de los buzones en
el almacn de Exchange. Este
Automtico
Buzn de correo
Servicio de
replicacin de
buzones de
Microsoft
Exchange
MSExchangeMailboxReplication
Sistema
local
Procesa los movimientos de

buzn y las solicitudes de
movimiento. Este servicio
y del servicio de uso compartido
de puertos Net.Tcp de Microsoft
Automtico
Acceso de
clientes
Supervisin de
Microsoft
Exchange
MSExchangeMonitoring
Sistema
local
Permite que las aplicaciones

llamen a los cmdlets de
diagnstico de Exchange. Este
servicio no tiene dependencias.
Manual
Todos
25-02-2015 11:41
17 de 27
Microsoft
Exchange POP3
MSExchangePOP3
Servicio de
red
Proporciona el servicio POP3 a

clientes. Si se detiene este
servicio, los clientes no podrn
conectarse a este equipo
mediante el protocolo POP3. Este
Manual
Acceso de
clientes
Microsoft
Exchange
Protected
Service Host
MSExchangeProtectedServiceHost
Sistema
local
Proporciona un host para varios

servicios de Exchange que deben
protegerse de otros servicios. Este
Automtico
Transporte de
concentradores,
Acceso de
clientes
Servicio de
replicacin de
Microsoft
Exchange
MSExchangeRepl
Sistema
local
Proporciona funciones de
replicacin para bases de datos de
buzones de correo que estn en
servidores Buzones de correo de
un grupo de disponibilidad de
base de datos (DAG). Este servicio
Directory.
Automtico
Buzn de correo
Acceso de
cliente RPC de
Microsoft
Exchange
MSExchangeRPC
Servicio de
red
Administra las conexiones RPC

cliente de Exchange. Este servicio
Directory.
Automtico
Buzn de correo,
Acceso de
clientes
O (Buzn
de correo),
R (Acceso
de
clientes)
Indizador de
bsqueda de
Microsoft
Exchange
MSExchangeSearch
Sistema
local
Dirige la indizacin del contenido

del buzn, lo cual mejora el
rendimiento de la bsqueda de
contenido. Este servicio depende
de los servicios de topologa
Microsoft ExchangeActive
Directory y bsqueda de
Microsoft (Exchange Server).
Automtico
Buzn de correo
Extensin de
Microsoft
Exchange
Server para
Copias de
seguridad de
Windows
Server
WSBExchange
Sistema
local
Permite a los usuarios de Copias

de seguridad de Windows Server
realizar copias de seguridad de los
datos de Microsoft Exchange y
recuperarlos. Este servicio no tiene
dependencias.
Manual
Buzn de correo
Host de
servicio de
Microsoft
Exchange
MSExchangeServiceHost
Sistema
local
Proporciona un host para varios

servicios de Exchange. En roles de
servidor internos, este servicio
Directory. En los servidores
Transporte perimetral, este
Automtico
Todos
Motor de voz
de Microsoft
Exchange
MSSpeechService
Servicio de
red
Proporciona servicios de
procesamiento de voz para
mensajera unificada. Este servicio
depende del servicio Instrumental
de administracin (WMI) de
Windows.
Automtico
Mensajera
unificada
Operador de
sistema de
Microsoft
Exchange
MSExchangeSA
Sistema
local
Reenva bsquedas en directorio a

un servidor de catlogo global
para clientes de Outlook
heredado, genera direcciones de
correo electrnico y libretas de
direcciones sin conexin, actualiza
la informacin de disponibilidad
de clientes heredados y mantiene
los permisos y las pertenencias a
grupos del servidor. Si se
deshabilita este servicio, no se
Automtico
Buzn de correo
25-02-2015 11:41
podrn iniciar los servicios que

dependan explcitamente de l.
Este servicio depende de los
servicios RPC, Servidor, Registro
de eventos de Windows y Estacin
de trabajo.
Limitacin de
peticiones de
Microsoft
Exchange
MSExchangeThrottling
Servicio de
red
Limita la tasa de operaciones de

usuario. Este servicio depende del
servicio de topologa de Microsoft
Automtico
Buzn de correo
Transporte de
Microsoft
Exchange
MSExchangeTransport
Servicio de
red
Proporciona un servidor SMTP y

una pila de transporte. En
servidores Transporte de
concentradores, este servicio
Automtico
Transporte de
concentradores,
Transporte
perimetral
Bsqueda de
registro de
transporte
Microsoft
Exchange
MSExchangeTransportLogSearch
Sistema
local
Proporciona la capacidad de
bsqueda remota para los
archivos de registro de transporte
de Microsoft Exchange. En
servidores Transporte de
concentradores, este servicio
Automtico
Transporte de
concentradores,
Buzn de correo,
Transporte
perimetral
Mensajera
unificada de
Microsoft
Exchange
MSExchangeUM
Sistema
local
Habilita caractersticas de
mensajera unificada de Microsoft
Exchange. Esto permite que los
mensajes de voz y fax se
almacenen en Exchange y
proporciona a los usuarios acceso
telefnico a correo electrnico,
correo de voz, calendario,
contactos u operadores
automticos. Si se detiene este
servicio, la mensajera unificada
no estar disponible. Este servicio
de Microsoft ExchangeActive
Directory y del servicio de motor
de voz de Microsoft Exchange.
Automtico
Mensajera
unificada
Bsqueda de
Microsoft
(Exchange
Server)
msftesql-Exchange
Sistema
local
Es una versin personalizada para

Microsoft Exchange de Bsqueda
de Microsoft. Este servicio
depende del servicio RPC.
Manual
Transporte de
concentradores,
Buzn de correo
Certificados
El programa de instalacin de Exchange 2010 crea certificados autofirmados para asegurar las comunicaciones entre distintos protocolos, por ejemplo HTTP, SMTP,
POP3 e IMAP4. Los certificados autofirmados creados por el programa de instalacin tienen una validez de cinco aos. De este modo, no hace falta renovar los
certificados autofirmados durante una parte considerable de una implementacin de Exchange 2010 y la expiracin de los certificados autofirmados no afecta a los
servicios de mensajera.
En el caso de los protocolos y mecanismos de acceso de clientes externos, por ejemplo Outlook Web App, POP3, IMAP4, Outlook Anywhere y Deteccin
automtica, se recomienda lo siguiente:
Usar certificados firmados por una entidad de certificacin comercial de confianza entre los clientes que tienen acceso a esos servicios.
Usar el nuevo Asistente para certificados de Exchange o el cmdlet New-ExchangeCertificate para crear solicitudes de firma para entidades de certificacin
comerciales. Las solicitudes de certificado que se generan con estas herramientas aseguran que se cumplan todos los requisitos de certificado de Exchange.
Tenga en cuenta los requisitos de certificado en cada protocolo o servicio para el que desea permitir el acceso de clientes externos.
En los servidores de acceso de clientes, los certificados se usan para proteger el trfico de HTTP (Outlook Anywhere, Outlook Web App,
18 de 27
25-02-2015 11:41
AutoDiscover, Exchange ActiveSync y servicios Web Exchange) mediante Capa de sockets seguros (SLL), y el trfico de POP3 e IMAP4 mediante SSL o
Seguridad de la capa de transporte (TLS). Para obtener ms informacin, consulte Administrar SSL para un servidor de Acceso de cliente.
En el caso de los servidores Transporte, los certificados se usan para proteger el trfico de SMTP mediante TLS. Para obtener ms informacin,
consulte Descripcin de los certificados TLS.
En el caso de los servidores Mensajera unificada, los certificados se usan para proteger el trfico de voz sobre IP (VoIP). Para obtener ms
informacin, consulte Descripcin de la seguridad de la mensajera unificada VoIP.
Por lo que respecta a la federacin, los certificados se usan para cifrar tokens de SAML que se intercambian con Microsoft Federation Gateway y con
organizaciones de asociados federadas. Para obtener ms informacin, consulte Descripcin de la federacin.
Supervise las fechas de vigencia de los certificados y renueve los certificados con las entidades de certificacin en el momento oportuno para prevenir la
interrupcin de los servicios.
Cuando almacene certificados exportados con la clave privada asociada, proteja el archivo exportado mediante los oportunos controles de acceso en la
carpeta o el archivo donde se vaya a guardar. Segn los requisitos que tenga la organizacin, considere la posibilidad de habilitar la auditora del acceso de
archivos en las carpetas donde se almacenan los archivos de certificado con claves privadas.
Consideraciones sobre NTLM

El protocolo NTLM es notablemente menos seguro que el protocolo Kerberos. En Exchange 2010, los protocolos POP3 e IMAP4 no admiten autenticacin NTLM si
SecureLogin se especifica como LoginType. Para obtener ms informacin, consulte Configuracin de la autenticacin para POP3 e IMAP4. Los servicios
Exchange 2010 que usan Autenticacin integrada de Windows pueden usar los protocolos NTLM y Kerberos. Kerberos se usa para la comunicacin de servidor de
acceso de cliente con un servidor de buzones de correo de Exchange 2010, as como entre servidores de acceso de clientes para Outlook Web App, Exchange
ActiveSync y servicios Web Exchange. Para obtener ms informacin sobre los servicios que usan NTLM para autenticar, consulte Referencia del puerto de red de
Exchange.
Autenticacin de doble factor

Los mecanismos de autenticacin de doble factor usan otra autenticacin adems de las credenciales de inicio de sesin de usuario (nombre de usuario y
contrasea), por ejemplo tokens generados de forma aleatoria o un certificado digital en una SmartCard junto con un PIN. Muchas organizaciones implementan la
autenticacin de doble factor para posibilitar un acceso seguro a la red de la organizacin.
Exchange 2010 no incluye soporte nativo para autenticacin de doble factor. Exchange 2010 usa Internet Information Server (IIS) 7 para el acceso de clientes a
travs de HTTP (Deteccin automtica, Outlook Web App, Outlook Anywhere, Exchange ActiveSync y servicios Web Exchange). Los asociados y terceros disponen
de numerosos productos de autenticacin de doble factor que se integran con IIS y que funcionan con servicios de acceso de clientes de Exchange como Outlook
Web App. Antes de implementar productos de autenticacin de doble factor para servicios de Exchange, se recomienda probarlos adecuadamente para asegurarse
de que cumplan los requisitos de seguridad de la organizacin y de que proporcionen la funcionalidad que se necesita.
Federacin
Exchange 2010 incorpora nuevas caractersticas de federacin que permiten la colaboracin segura entre organizaciones federadas de Exchange. Las
organizaciones de Exchange 2010 pueden crear una confianza de federacin con Microsoft Federation Gateway y establecer relaciones de organizacin con otras
organizaciones federadas para compartir calendarios e informacin de disponibilidad. Mediante las directivas de uso compartido, las organizaciones tambin
pueden permitir que los usuarios compartan su informacin sobre disponibilidad, el calendario o los contactos con usuarios de organizaciones externas federadas.
Para obtener ms informacin sobre confianzas de generacin y el uso compartido federado, consulte Descripcin de la federacin y Descripcin de la delegacin
federada.
Despus de establecer una confianza de federacin con MFG, el uso compartido entre dos organizaciones federadas no tiene lugar a menos que se cree una
relacin organizativa. Ahora bien, de forma predeterminada el uso compartido entre los usuarios de la organizacin y los de organizaciones externas federadas se
habilita mediante la directiva predeterminada de uso compartido asignada a los usuarios. Esta directiva permite el uso compartido del calendario con informacin
sobre disponibilidad solamente con usuarios de organizaciones externas federadas. Si no desea que los usuarios compartan su informacin sobre disponibilidad
con usuarios de todos los dominios externos federados, deshabilite la directiva predeterminada de uso compartido o cambie el nombre de dominio especificado
en la directiva por los nicos dominios con los que quiera compartir la informacin. Este cambio debe realizarse antes de crear una confianza de federacin con
MFG. Para obtener ms informacin, consulte Deshabilitar una directiva de uso compartido y Configurar propiedades de la directiva de uso compartido.
Todas las caractersticas de federacin de una organizacin, incluidas la delegacin federada, pueden deshabilitarse quitando la confianza de federacin de la
organizacin con MFG. Para obtener ms informacin, consulte Quitar las confianzas de federacin.
Extensiones seguras multipropsito al correo de Internet (S/MIME)

Extensiones seguras multipropsito al correo de Internet (S/MIME) es un estndar de cifrado de claves pblicas y firma de datos MIME que proporciona
autenticacin, integridad de mensajes, no rechazo y privacidad de datos para datos de mensajera. Los certificados S/MIME permiten que los usuarios puedan
firmar o cifrar mensajes, o bien ambas cosas. Para obtener ms informacin acerca de S/MIME, vea Descripcin de S/MIME (posiblemente en ingls).
S/MIME es una tecnologa orientada a clientes sin requisitos de interoperabilidad para servidores de correo electrnico. En el mbito de la transferencia de
mensajes, los mensajes firmados o cifrados con S/MIME se transfieren del mismo modo que los mensajes no cifrados. La representacin en s del mensaje se
efecta en el lado cliente tras las comprobaciones de validacin de mensajes y certificados. En el caso de Outlook Web App, la compatibilidad con S/MIME es
posible con un control ActiveX. Aunque Outlook Web App admite los exploradores ms usados como Microsoft Internet Explorer, Mozilla FireFox y Safari, los
controles ActiveX son una caracterstica de Internet Explorer. Los usuarios de Outlook Web App que usan otros exploradores no tienen acceso a las caractersticas
de S/MIME y es posible que deban usar otro cliente de correo electrnico que admita S/MIME. Para obtener ms informacin sobre la compatibilidad de S/MIME
19 de 27
25-02-2015 11:41
en Outlook Web App, consulte Outlook Web App y S/MIME.

Para obtener ms informacin acerca del soporte de S/MIME en Outlook, vea Descripcin general de certificados y mensajes cifrados en Outlook (posiblemente en
ingls).
Aunque S/MIME proporcione ventajas de seguridad a una organizacin, cuando evale la tecnologa debe tener en cuenta lo siguiente:
Los mensajes cifrados con S/MIME son opacos para la organizacin. El software de seguridad para mensajera como los antivirus y la deteccin de correo no
deseado no pueden inspeccionar el contenido de los mensajes, tanto el cuerpo de los mensajes como los datos adjuntos.
Como el contenido de los mensajes y los datos adjuntos estn cifrados, las directivas de mensajera de la organizacin, incluidas las reglas de transporte, no
pueden aplicarse a los mensajes cifrados con S/MIME.
Si se modifican los mensajes firmados con S/MIME para adecuarlos a las directivas de mensajera de la organizacin, por ejemplo para aplicar una
declinacin de responsabilidades o una firma personalizada, el mensaje se invalida.
El contenido de los mensajes cifrados no puede inspeccionarse para detectar infracciones de contenido y la organizacin no puede proteger datos
confidenciales. Esto afecta a cualquier informacin de identificacin personal que salga de la organizacin.
Exchange Search no puede indizar los mensajes cifrados con S/MIME; por lo tanto, no pueden buscarse por deteccin.
Para ajustarse a la normativa local o a los requisitos de deteccin en caso de litigio, es posible que la organizacin deba proporcionar copias de todos los
mensajes cifrados que no estn cifrados.
Exchange 2010 proporciona caractersticas de Information Rights Management con las cuales la organizacin puede aplicar proteccin permanente a contenido
confidencial de los mensajes de modo que solamente determinados destinatarios tengan acceso a mensajes protegidos de este modo. Asimismo, la organizacin
puede implementar controles sobre la manera de usar ese contenido una vez lo hayan recibido los destinatarios. Por ejemplo, se puede impedir la impresin, la
respuesta o el reenvo de mensajes dentro o fuera de la organizacin. Adems, la organizacin puede descifrar contenido protegido por IRM para aplicar software
antivirus y deteccin de correo no deseado y otros agentes de transporte, aplicar directivas de mensajera mediante reglas de transporte, as como habilitar la
deteccin y el archivado de mensajes protegidos por IRM. Las caractersticas de IRM tambin estn disponibles en todos los exploradores web compatibles con
Outlook Web App y en dispositivos Windows Mobile. Para obtener ms informacin acerca de IRM, consulte Descripcin de Information Rights Management.
Consideraciones sobre roles del servidor

En esta seccin figuran una serie de aspectos sobre seguridad relativos al rol del servidor de Exchange 2010.
Consideraciones sobre el servidor de buzones de correo

En Exchange 2010, se han realizado cambios de arquitectura en el almacenamiento y la conectividad de Exchange desde clientes MAPI como Outlook. Los
clientes MAPI se conectan con el servidor de acceso de cliente; de este modo, el servidor de buzones se asla del trfico de clientes. Los servidores Buzn de
correo se comunican solamente con los servidores de acceso de cliente que usan RPCSec, as como con los servidores Active Directory Domain Services (AD DS)
de la organizacin. Los servidores Buzn de correo no necesitan conexin a Internet.
Almacenamiento
El almacenamiento es un componente fundamental en los servidores Buzn de correo. Debe planear el subsistema de almacenamiento del servidor de
buzones de correo para asegurar un rendimiento correcto y un espacio de almacenamiento adecuado para la implementacin. Para obtener ms informacin
sobre la planeacin del almacenamiento de servidores de buzones de correo, consulte Diseo del almacenamiento del servidor de buzones de correo.
Tras implementar el servidor de buzones de correo, debe supervisar los aspectos siguientes:
Disponibilidad del subsistema de almacenamiento

Disponibilidad de suficiente espacio en disco en volmenes que contengan la base de datos de buzones de correo y los registros de transacciones.
Cuando el volumen que almacena la base de datos o los registros de transacciones se queda sin espacio disponible en disco, se desmonta un buzn
de correo o una base de datos de carpetas pblicas.
Use Microsoft Federation Gateway Systems Center Operations Manager para supervisar la disponibilidad de almacenamiento y el espacio libre en disco. Para
obtener ms informacin, vea Systems Center Operations Manager 2007 (posiblemente en ingls).
Al planear y supervisar el almacenamiento, si tiene previsto usar las caractersticas siguientes, debe tener en cuenta sus requisitos de almacenamiento:
Registro en diario Si usa registro en diario para el archivo de mensajes a largo plazo, segn si se usa el registro en diario estndar (por base de
datos de buzones) o registro en diario premium (reglas de diario), los mensajes que se envan y reciben de todos los destinatarios de una base de
datos de buzones de correo o los destinatarios especificados en una regla de diario se distribuyen en un informe de diario al buzn de registro en
diario o al destinatario indicado. El resultado puede ser una gran cantidad de informes de diario entregados a un buzn de correo de registro en
diario. Al planear el almacenamiento para servidores Buzn de correo, tenga en cuenta los tamaos de buzn de correo de registro en diario. Puede
controlar los tamaos de buzones de correo de registro en diario configurando cotas de buzn de correo suficientes para un buzn de correo de
registro en diario. Para obtener ms informacin sobre registro en diario y cuotas de buzones de correo, consulte los temas siguientes:
Descripcin del registro en diario
Configurar cuotas de almacenamiento para un buzn
Retencin por juicio Si coloca un buzn de correo en retencin por juicio, los elementos eliminados por el usuario mediante Recuperar elementos
20 de 27
25-02-2015 11:41
eliminados en Outlook y Outlook Web App, y mensajes eliminados por procesos automatizados como MRM se conservan hasta que se quita la
retencin por juicio. En Exchange 2010, la cuota de advertencia de elementos recuperables se establece en 20 GB y 30 GB. Para obtener informacin
detallada, consulte los siguientes temas:
Descripcin de la retencin legal
Descripcin de los elementos recuperables
Alta disponibilidad
La alta disponibilidad en servidores Buzn de correo es fundamental para asegurar la disponibilidad en los servicios de mensajera. Exchange 2010 incluye
grupos de disponibilidad de base de datos para servidores Buzn de correos de alta disponibilidad. Los grupos de disponibilidad de base de datos pueden
proporcionar disponibilidad en caso de error en el subsistema de almacenamiento, el servidor, la conexin de red o una interrupcin de todo un centro de
datos en la implementacin de Exchange. Para obtener ms informacin sobre cmo planear y configurar una implementacin de Exchange 2010 de alta
disponibilidad, consulte Alta disponibilidad y resistencia de sitios.
De forma predeterminada, en Exchange 2010, el trfico de replicacin (trasvase de registros) entre miembros de DAG ubicados en diferentes sitios de Active
Directory est cifrado. Puede cifrar trfico de replicacin entre servidores en el mismo sitio de Active Directory definiendo como deshabilitada (Enabled) la
propiedad NetworkEncryption del DAG. Use el cmdlet Set-DatabaseAvailabilityGroup para modificar esta propiedad para un DAG.
La replicacin se da en un solo puerto TCP, de forma predeterminada el puerto TCP 64327, pero se puede modificar. Para obtener ms informacin, consulte
Configurar las propiedades del grupo de disponibilidad de la base de datos.
Parmetros para alta disponibilidad

Parmetro
Descripcin
NetworkEncryption
El parmetro NetworkEncryption especifica si se ha habilitado el cifrado. Los valores vlidos son:
Disabled deshabilitado en todas las redes

Enabled habilitado en todas las redes
InterSubnetOnly habilitado solo para comunicaciones dentro de la subred
SeedOnly habilitado solo para propagacin
Valor predeterminado InterSubnetOnly
ReplicationPort
El parmetro ReplicationPort especifica un puerto de Protocolo de control de transmisin (TCP) para la actividad de replicacin
(propagacin y trasvase de registros).
Valor predeterminado Si no se especifica este parmetro, el puerto predeterminado para la replicacin es TCP 64327.
Acceso y permisos de buzones de correos

De forma predeterminada, Exchange 2010 no permite que los administradores tengan acceso a los buzones de correo. Si la organizacin usa servicios o
aplicaciones que necesitan tener acceso a un buzn de correo, debe asignar los correspondientes permisos de buzn de correo a las cuentas usadas por
dichos servicios o aplicaciones Se recomienda no configurar esos servicios o aplicaciones para usar credenciales de administrador.
Si bien todos los buzones de correo pueden contener informacin confidencial valiosa para una organizacin, debe prestarse especial atencin a los buzones
siguientes en lo concerniente a la seguridad; los permisos para tener acceso a ellos deben controlarse y supervisarse para cumplir con los requisitos de
seguridad de la organizacin.
Buzones de correo de deteccin Los usa la caracterstica Bsqueda en varios buzones de correo de Exchange 2010. Esto permite que los
administradores de detecciones que pertenecen al grupo de roles Administracin de deteccin busquen mensajes en todos los buzones de correo de
una organizacin de Exchange 2010. Los mensajes devueltos por una bsqueda de deteccin se copian en el buzn de correo de deteccin pertinente.
El programa de instalacin de Exchange 2010 crea un buzn de correo de deteccin predeterminado. Para obtener ms informacin, consulte
Descripcin de la bsqueda en varios buzones.
Buzones de correo de registros en diario Si configura el registro en diario para una base de datos de buzones de correo o crea reglas de diario
para mensajes de diario y para unos destinatarios determinados, los informes de diario se entregan al buzn de correo de registros en diario
especificado. Para obtener informacin detallada, consulte los siguientes temas:
Crear y configurar un buzn de correo de registro en diario
Adems de proteger estos buzones de correo, un administrador puede usar reglas de transporte para inspeccionar el contenido de mensajes, as como
entregar una copia del mensaje a otro destinatario, incluso si es un destinatario CCO. Los permisos necesarios para administrar reglas de transporte figuran
en la entrada sobre reglas de transporte en el tema Permisos de directiva de mensajera y conformidad. Se recomienda aplicar controles adecuados para
supervisar y controlar la creacin y modificacin de reglas de transporte, adems de realizar auditoras peridicas de reglas de transporte para todas las
reglas.
21 de 27
25-02-2015 11:41
Consideraciones sobre los servidores de acceso de cliente

En Exchange 2010, los clientes siguientes se conectan con servidores de acceso de cliente para tener acceso a buzones de correo:
Clientes de Outlook que usan MAPI

Clientes de Outlook que usan Outlook Anywhere
Exploradores web que usan Outlook Web App,
Dispositivos mviles que usan Exchange ActiveSync
Clientes POP3 e IMAP4
Aplicaciones que usan servicios Web Exchange (EWS)
De forma predeterminada, estos mtodos de acceso de clientes se protegen mediante rutas de acceso a datos cifradas. Tambin de forma predeterminada, los
clientes de Outlook que se conectan a un servidor de acceso de cliente que usa MAPI emplean cifrado RPC. El acceso de Outlook Web App, Outlook Anywhere y
Exchange ActiveSync se protege mediante Capa de sockets seguros.
En el caso del acceso de clientes externos, debe obtener e instalar certificados firmados por una entidad de certificacin que sea de confianza para el cliente.
Para obtener ms informacin, consulte Administrar SSL para un servidor de Acceso de cliente.
De forma predeterminada, los servicios POP3 e IMAP4 estn deshabilitados en los servidores de acceso de clientes de Exchange 2010. Si los habilita, se
recomienda usar Seguridad de la capa de transporte o Capa de sockets seguros para proteger mejor las comunicaciones mediante el uso de estos protocolos.
Para obtener informacin detallada, consulte los siguientes temas:
Descripcin de POP3 e IMAP4

Configuracin de TLS y SSL para acceso POP3 e IMAP4
Se recomienda usar los controles de acceso y firewalls adecuados cuando publique servidores de acceso de clientes para acceso externo. MicrosoftForefront
Threat Management Gateway (TMG) 2010 incluye asistentes para publicacin para publicar de manera fcil y segura servidores de acceso de cliente de Exchange
2010 para acceso externo. Para obtener ms informacin, consulte Forefront Threat Management Gateway (TMG) 2010 (en ingls).
Importante:
No se admite la bsqueda de servidores de acceso de cliente en redes perimetrales
En servidores de acceso de cliente, Internet Information Server (IIS) se usa para proporcionar acceso de protocolo HTTP a servicios como Outlook Web App,
Exchange ActiveSync, Outlook Anywhere, Deteccin automtica, Panel de control de Exchange Control Panel , servicios Web Exchange y libreta de direcciones
sin conexin. Remote PowerShell tambin usa IIS y todas las solicitudes de RPS, incluidas las de la Consola de administracin de Exchange, figuran en registros
de IIS. Los registros de IIS pueden crecer hasta consumir una gran cantidad de espacio en disco. IIS, que es un componente de Windows Server, no tiene un
mecanismo para borrar registros antiguos basados en el tamao del directorio en el que residen los archivos de registro. En este caso, se recomienda trasladar
los registros de IIS a un volumen que no sea del sistema. De este modo, aunque los archivos de registro crezcan en tamao, seguir habiendo espacio
disponible en disco; de lo contrario, el servicio podra interrumpirse. Es conveniente supervisar el crecimiento de los archivos de registro e implementar un
mecanismo que de forma manual los vaya eliminando o archivando. Para obtener ms informacin, vea Configurar el registro en IIS 7 (posiblemente en ingls).
Consideraciones sobre servidores de transporte

Exchange 2010 ofrece dos roles del servidor Transporte ideados para finalidades diferentes.
Transporte perimetral El rol de servidor Transporte perimetral consiste en un servidor de transporte que no forma parte de un dominio. En general, se
ubica en redes perimetrales y transfiere mensajes entre los hosts SMTP de una organizacin de Exchange y SMTP hosts SMTP externos. Aunque se haya
diseado para redes perimetrales, los servidores Transporte perimetral tambin pueden ubicarse en la red interna y conectarse al servidor en un dominio
de Active Directory en calidad de servidor miembro.
Transporte de concentradores El rol del servidor Transporte de concentradores transfiera mensajes dentro de la organizacin, incluidos mensajes entre
servidores de Exchange, mensajes de clientes SMTP como usuarios de POP3 e IMAP4, as como dispositivos y servidores de aplicaciones.
De forma predeterminada, en Exchange 2010, la comunicacin SMTP se protege mediante TLS.

Comunicacin SMTP entre servidores Transporte de concentradores Los servidores Transporte de concentradores de una organizacin de Exchange usan
TLS para proteger mejor las comunicaciones SMTP dentro de la organizacin. Se recomienda dejar habilitada TLS en los servidores Transporte de
concentradores. En Exchange 2010, las organizaciones que usan dispositivos que no son de Exchange o aplicaciones para efectuar cifrado TLS pueden descargar
TLS de servidores Transporte de concentradores en dichas aplicaciones. Para obtener ms informacin, consulte Deshabilitar TLS entre sitios de Active Directory
para permitir la optimizacin de WAN.
Comunicacin SMTP entre servidores Transporte de concentradores y Transporte perimetral Todo el trfico entre servidores Transporte de
concentradores y Transporte perimetral se autentica y cifra. El mecanismo subyacente de autenticacin y cifrado es TLS mutuo. En lugar de usar la validacin
X.509 para validar certificados, Exchange 2010 usa la confianza directa para autenticar certificados. Confianza directa significa que la presencia mismo del
certificado en Active Directory o Active Directory Lightweight Directory Services (AD LDS) valida el certificado. Active Directory se considera un mecanismo de
almacenamiento de confianza. Cuando se usa confianza directa, no importa si el certificado es autofirmado o lo ha firmado una entidad de certificacin. Cuando
22 de 27
25-02-2015 11:41
23 de 27
un servidor Transporte perimetral se suscribe a un sitio de Active Directory, la suscripcin perimetral publica el certificado del servidor Transporte perimetral en
Active Directory. Los servidores Transporte de concentradores consideran vlido el certificado publicado. El servicio EdgeSync de Microsoft actualiza AD LDS en
servidores Transporte perimetral que tienen certificados de servidor Transporte de concentradores, considerados vlidos por el servidor Transporte perimetral.
Comunicacin SMTP entre servidores Transporte perimetral y hosts externos En Exchange 2010, la comunicacin SMTP entre servidores Transporte
perimetral y hosts externos queda protegida de forma predeterminada mediante TLS oportunista. No se necesita un certificado emitido por una entidad de
confianza ni realizar ninguna clase de configuracin. Los conectores de recepcin ofrecen negociacin de TLS para conexiones SMTP entrantes. Los conectores
de envo tambin intentan la negociacin de TLS para todas las conexiones SMTP salientes. La TLS oportunista no realiza la validacin de certificados, lo que
permite el uso de certificados autofirmados. Para obtener ms informacin, consulte Funcionalidad de la TLS y terminologa relacionada en Exchange 2010.
Nota:
De forma predeterminada, los servidores Transporte de concentradores no pueden comunicarse con hosts SMTP externos, puesto que en dichos servidores
no hay conectores de recepcin que permitan a los hosts annimos comunicarse. Los servidores Transporte de concentradores pueden configurarse para
comunicarse con hosts annimos. Para obtener ms informacin, consulte Configurar el flujo de correo de Internet directamente a travs de un servidor de
transporte de concentradores. No se recomienda usar esta topologa porque incrementa los riesgos para la seguridad, ya que expone el servidor de
Exchange 2010 y todos los roles instaladas en dicho servidor a Internet. Se recomienda implementar, en cambio, una puerta de enlace SMTP basada en una
red perimetral, como el servidor Transporte perimetral.
Comunicacin SMTP entre servidores Transporte perimetral o de concentradores y hosts inteligentes En Exchange 2010, puede configurarse un conector
de envo para enrutar el correo de dominios remotos, incluido el correo de Internet, a una puerta de enlace SMTP que en general reside en la red perimetral. Si
bien es posible crear un conector de envo para enrutar el correo electrnico a un host inteligente sin ninguna autenticacin, en esta clase de conectores se
recomienda usar la autenticacin pertinente. Si usa autenticacin bsica, se recomienda la autenticacin bsica sobre TLS. Si selecciona la opcin protegida
externamente, se supone que la autenticacin se realiza con un mecanismo que no es de Exchange, por ejemplo IPsec. Al configurar el conector con la direccin
de un host inteligente, puede usar la direccin IP del host o bien su FQDN. Se recomienda usar la direccin IP del host inteligente porque brinda proteccin
contra los DNS dudosos, frente a la comodidad de usar el FQDN.
Uso de seguridad de dominio para comunicacin SMTP con asociados En Exchange 2010, puede usar seguridad de dominio para proteger mejor las rutas
de acceso de comunicacin de mensajes con dominios de asociados. La seguridad de dominio utiliza TLS mutua para proporcionar autenticacin y cifrado
basados en la sesin. En el caso de la autenticacin TLS mutua, los host de origen y destino comprueban la conexin realizando la validacin del certificado
X.509. Los servidores Transporte que se comunican con dominios de asociados configurados para seguridad de dominio requieren un certificado firmado por un
tercero de confianza o por una entidad de certificacin interna. Si se usa una entidad de certificacin interna, la lista de revocacin de certificados debe
configurarse y estar disponible para el host del asociado. Para obtener ms informacin, consulte los siguientes temas:
Descripcin de la seguridad de dominio

White Paper: Seguridad de dominio en Exchange 2007 (en ingls).
Exchange 2010 usa el puerto SMTP predeterminado (puerto TCP 25) para la comunicacin SMTP. El programa de instalacin de Exchange crea las
correspondientes reglas de firewall en Windows Firewall con Seguridad avanzada para permitir la comunicacin en los puertos predeterminados. Si especifica un
puerto diferente para un conector, Exchange no modifica las reglas de firewall o crea automticamente una regla que permita la comunicacin en el puerto no
predeterminado. La configuracin del firewall debe modificarse manualmente para permitir la comunicacin en puertos no predeterminados. Si se configura un
conector de recepcin para un puerto no predeterminado, los clientes SMTP que envan mensajes al conector tambin deben configurarse para usar el puerto
no predeterminado.
En Exchange 2010, puede buscar el rol del servidor Transporte de concentradores en un servidor de buzones de correo de Exchange 2010. Esto incluye un
servidor de buzones de correo que pertenezca a un grupo de disponibilidad de base de datos (DAG). Se recomienda no buscar el rol del servidor Transporte de
concentradores en un servidor de buzones de correo, sobre todo en topologas donde no se implementan servidores Transporte perimetral, con el fin de aislar
servidores de buzones de correo de Internet. Puede buscar el rol del servidor Transporte de concentradores en servidores de acceso de cliente. Debe seguir las
directivas de tamao en cada rol del servidor al colocar roles del servidor en el mismo servidor.
Cuando se especifica un host inteligente para un conector de envo en un servidor Transporte de concentradores o perimetral, se recomienda usar direcciones IP
en lugar del FQDN de un host inteligente para proteger el DNS de mensajes dudosos y suplantaciones de identidad. Esto minimiza tambin las repercusiones de
las interrupciones de DNS en la infraestructura de transporte. Los servidores DNS de las redes perimetrales deben usarse solo para resolucin externa. Los
servidores DNS perimetrales pueden contener registros para servidores Transporte de concentradores. Tambin puede usar archivos de hosts en servidores
Transporte perimetral para evitar la creacin de registros para servidores Transporte de concentradores en servidores DNS ubicados en redes perimetrales.
Adems de los pasos tratados en esta seccin, debe considerarse la aplicacin de las correspondientes restricciones de espacio en los mensajes en conectores,
as como la configuracin de limitaciones de mensajes. Para obtener informacin detallada, consulte los siguientes temas:
Descripcin de los lmites de tamao de los mensajes

Descripcin del lmite de mensajes
Consideraciones sobre mensajera unificada

Si se planea implementar el rol del servidor Mensajera unificada, debe tener en cuenta los diferentes canales de comunicacin usados por la mensajera
unificada para comunicarse con puertas de enlace IP o IP PBX.
De forma predeterminada, al crear un plan de marcado de mensajera unificada, se comunicar en modo No protegida. Adems los servidores de mensajera
unificada asociados con el plan de marcado de mensajera unificada enviarn y recibirn datos desde puertas de enlace IP, IP PBX y otros equipos de Exchange
2010 sin usar cifrado. En modo No protegida, ni el canal de medios con Protocolo de transporte en tiempo real (RTP) ni la informacin de sealizacin en SIP
estn cifrados.
Se puede configurar un servidor de mensajera unificada para que use la TLS mutua y cifre el trfico de SIP y RTP que enva a otros dispositivos y servidores, y
25-02-2015 11:41
24 de 27
recibe de estos. Cuando se agrega un servidor de mensajera unificada a un plan de marcado de mensajera unificada y este ltimo se configura para que use el
modo SIP protegida, solo se cifrar el trfico de sealizacin de SIP, mientras que los canales de medios con RTP seguirn usando TCP. TCP no est cifrado. No
obstante, si se agrega un servidor de mensajera unificada a un plan de marcado y este se configura para usar el modo Protegida, se cifrarn el trfico de
sealizacin de SIP y los canales de medios RTP. Un canal de medios de sealizacin seguro que usa el Protocolo de transporte en tiempo real seguro (SRTP)
tambin usar la TLS mutua para cifrar los datos de VoIP.
Si la puerta de enlace IP o IP PBX que se usan admiten IPsec, tambin puede usar IPsec para proteger mejor la comunicacin entre un servidor de mensajera
unificada y la puerta de enlace IP o IP PBX.
Para obtener ms informacin, consulte Descripcin de la seguridad de la mensajera unificada VoIP.
La mensajera unificada tambin enva mensajes como notificaciones de llamadas perdidas y mensajes de correo de voz a servidores Transporte de
concentradores. De forma predeterminada, esta comunicacin se realiza sobre SMTP con cifrado TLS.
Puede configurar una directiva de buzn de correo de mensajera unificada para acceso sin PIN. Eso permite que el autor de una llamada tenga acceso al correo
de voz sin tener que proporcionar un PIN, basado en el identificador de llamada de la llamada. La suplantacin de identidad de los identificadores de llamada es
muy escasa. Se recomienda no habilitar el acceso al correo de voz sin PIN. Tambin se recomienda comprobar las opciones predeterminadas del PIN y
configurarlas para que se adecuen a los requisitos de seguridad de la organizacin. Las opciones siguientes pueden configurarse para una directiva de buzn de
correo de mensajera unificada mediante el cmdlet Set-UMMailboxPolicy.
Parmetros para controlar el PIN de usuario para tener acceso al correo de voz
Parmetro
Descripcin
AllowCommonPatterns
El parmetro AllowCommonPatterns especifica si se van a permitir PIN obvios. Por ejemplo, PIN obvios pueden ser
subconjuntos de nmeros de telfono, nmeros secuenciales o nmeros repetidos. Si se establece en $false, se rechazarn
los nmeros secuenciales, los nmeros repetidos y el sufijo de la extensin de buzn. Si se establece en $, solo se rechazar
el sufijo de la extensin de buzn.
AllowPinlessVoiceMailAccess
El parmetro AllowPinlessVoiceMailAccess especifica si los usuarios asociados con la directiva de buzones de mensajera
unificada deben usar un nmero de identificacin personal para tener acceso a su correo de voz. El nmero de identificacin
personal tambin ser necesario para tener acceso al correo electrnico y al calendario.
Valor predeterminado deshabilitado ($false).
LogonFailusresBeforePINReset
El parmetro LogonFailuresBeforePINReset especifica el nmero de intentos incorrectos de inicio de sesin secuenciales

realizados antes del restablecimiento automtico del PIN del buzn. Para deshabilitar esta caracterstica, establezca este
parmetro en Sin lmite. Si este parmetro no est establecido en Sin lmite, se debe establecer en un valor inferior al valor
del parmetro MaxLogonAttempts. El intervalo va de 0 a 999.
Valor predeterminado 5 errores.
MaxLogonAttempts
El parmetro MaxLogonAttempts especifica el nmero de intentos incorrectos de inicio de sesin secuenciales que puede
realizar un usuario, antes de que se bloqueen los buzones de mensajera unificada. El intervalo va de 1 a 999.
Valor predeterminado 15 intentos.
MinPINLength
El parmetro MinPINLength especifica el nmero mnimo de dgitos debe tener un PIN para los usuarios habilitados para
mensajera unificada. El intervalo va de 4 a 24.
Valor predeterminado 6 dgitos.
PINHistoryCount
El parmetro PINHistoryCount especifica el nmero de PIN anteriores que se recuerdan y no estn permitidos durante el
restablecimiento de un PIN. Este nmero incluye la primera vez que se estableci el PIN. El intervalo va de 1 a 20.
Valor predeterminado 5 PIN.
PINLifetime
El parmetro PINLifetime especifica el nmero de das que deben transcurrir hasta que se necesite una contrasea nueva. El
intervalo es de 1 a 999. Si se especifica Sin lmite, el PIN del usuario no expirar.
Valor predeterminado 60 das.
En Exchange 2010, los mensajes de correo de voz pueden marcarse como protegidos. Los mensajes de correo de voz se protegen mediante Information Rights
Management (IRM). Las opciones de proteccin del correo de voz pueden configurarse estableciendo el parmetro siguiente en una directiva de buzn de
correo de mensajera unificada. Para obtener informacin detallada, consulte los siguientes temas:
Descripcin del correo de voz protegido

Descripcin de Information Rights Management
Parmetros de correo de voz protegido

Parmetro
Descripcin
ProtectAuthenticatedVoicemail
El parmetro ProtectAuthenticatedVoiceMail especifica si los servidores de mensajera unificada que responden a llamadas
25-02-2015 11:41
de Voice Access de Outlook para usuarios habilitados para mensajera unificada asociados con la directiva de buzones de
mensajera unificada crean mensajes de correo de voz protegidos. Si el valor se establece en Privado, solo se protegen los
mensajes marcados como privados. Si el valor se establece en Todos, se protegen todos los mensajes de correo de voz.
Valor predeterminado Ninguno (no se aplica proteccin a los mensajes de correo electrnico).
ProtectUnauthenticatedVoiceMail
El parmetro ProtectUnauthenticatedVoiceMail especifica si los servidores de mensajera unificada que contestan a las
llamadas de los usuarios habilitados para mensajera unificada asociados con la directiva de buzones de mensajera
unificada crean mensajes de correo de voz protegidos. Esto tambin se aplica cuando se enva un mensaje desde un
operador automtico de mensajera unificada a un usuario habilitado para mensajera unificada asociado con la directiva
de buzones de mensajera unificada. Si el valor se establece en Privado, solo se protegen los mensajes marcados como
privados. Si el valor se establece en Todos, se protegen todos los mensajes de correo de voz.
Valor predeterminado Ninguno (no se aplica proteccin a los mensajes de correo electrnico).
RequireProtectedPlayOnPhone
El parmetro RequireProtectedPlayOnPhone especifica si los usuarios asociados con la directiva de buzones de mensajera
unificada solo pueden usar la funcin Reproducir en telfono para mensajes de correo de voz protegidos, o bien si los
usuarios pueden usar software multimedia para reproducir el mensaje protegido.
Valor predeterminado $false. Los usuarios pueden usar ambos mtodos para escuchar los mensajes de correo de
voz protegidos.
Importante:
Para que los usuarios de mensajera unificada puedan seguir contestando a llamadas, es fundamental que tengan acceso a Active Directory. Se recomienda
supervisar la disponibilidad de Active Directory.
Apndice 1: Documentacin adicional sobre la seguridad

Esta seccin contiene vnculos a documentacin adicional sobre la seguridad en Exchange.
Funcionalidad contra correo electrnico no deseado y antivirus

Descripcin de la funcionalidad contra correo no deseado y antivirus
Administracin de funciones antivirus y contra correo no deseado
Cmdlets contra correo electrnico no deseado
Certificados
Descripcin de los certificados TLS
Administrar SSL para un servidor de Acceso de cliente
Configurar SSL para Exchange ActiveSync
Configurar SSL para Outlook en cualquier lugar
Configurar los directorios virtuales de Outlook Web App para usar SSL
Crear un nuevo certificado de Exchange
Importar un certificado de Exchange
Ver propiedades de certificado de Exchange
Asignar servicios a un certificado
Autenticacin del cliente y seguridad
25 de 27
25-02-2015 11:41
Configuracin de la autenticacin para Exchange ActiveSync

Configuracin de la autenticacin para POP3 e IMAP4
Configuracin de la autenticacin basada en formularios para Outlook Web App
Configuracin de mtodos de autenticacin estndar para Outlook Web App
Outlook Web App

Administracin de la seguridad de Outlook Web App
Configurar los directorios virtuales de Outlook Web App para usar SSL
Configuracin de la autenticacin basada en formularios para Outlook Web App
Configuracin de mtodos de autenticacin estndar para Outlook Web App
Configurar Outlook Web App para que funcione con los Servicios de federacin de Active Directory
Outlook Web App y S/MIME
Outlook Anywhere
Administracin de la seguridad de Outlook en cualquier lugar
POP3 e IMAP
Administracin de la seguridad de POP3 e IMAP4
Configurar la autenticacin para POP3
Configurar la autenticacin para IMAP4
Permisos
Referencia de permisos de implementacin de Exchange 2010
Descripcin del control de acceso basado en funciones
Descripcin de los permisos de divisin
Descripcin de la coexistencia de permisos en Exchange 2003
Descripcin de la coexistencia de permisos en Exchange 2007
Descripcin de permisos de varios bosques
Funcin Permisos
Administracin de administradores y usuarios especialistas
Administracin de usuarios finales
Administracin de funciones y entradas de funciones
mbitos de funcin de administracin
Asignaciones de funciones de administracin
Administracin de permisos divididos
Permisos para administrar servidores de buzones
Proteccin de los servidores de mensajera unificada
Proteccin del flujo de correo
26 de 27
25-02-2015 11:41
27 de 27
Descripcin de la seguridad de dominio

Uso de PKI en el servidor Transporte perimetral para la seguridad del dominio
Uso de la seguridad de dominio: Configuracin de TLS mutua
Probar la configuracin de proxy y PKI
Directiva de mensajera y cumplimiento normativo

Descripcin de Information Rights Management
Proteccin de los informes de diario
Descripcin de la administracin de registros de mensajes
Descripcin de las etiquetas y directivas de retencin
Descripcin de la bsqueda en varios buzones
Descripcin del registro de auditora de buzn
Administracin del registro de auditora de los buzones de correo
Federacin
Descripcin de la federacin
Autoridades de certificacin raz de confianza para confianzas de federacin
2010 Microsoft Corporation. Reservados todos los derechos.

2015 Microsoft
25-02-2015 11:41

Guía de Seguridad de Exchange 2010 - Ayuda de Exchange 2010

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Guía de Seguridad de Exchange 2010 - Ayuda de Exchange 2010

Încărcat de

Drepturi de autor:

Formate disponibile

Gua de seguridad de Exchange 2010: Ayuda de Exchange 2010

Gua de seguridad de Exchange 2010

Personas que lo han encontrado til: 1 de 1

Se aplica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Gua de seguridad de Exchange 2010: Ayuda de Exchange 2010

Ciclo de vida del desarrollo de seguridad de Exchange 2010

Mtodos recomendados para crear un entorno seguro

Recomendaciones de instalacin y configuracin

Gua de seguridad de Exchange 2010: Ayuda de Exchange 2010

Tareas que ya no son necesarias en Exchange 2010

Gua de seguridad de Exchange 2010: Ayuda de Exchange 2010

Ya no es necesario instalar ni ejecutar las herramientas siguientes:

Mtodos recomendados para mantener un entorno seguro

Mantenimiento del software al da

Actualizaciones contra correo electrnico no deseado

Ejecucin del software antivirus

Ejecucin de software antivirus en servidores Transporte de concentradores y Transporte

Gua de seguridad de Exchange 2010: Ayuda de Exchange 2010

Ejecucin de software antivirus en servidores Buzn de correos

Su organizacin no ha completado la implementacin de productos de anlisis de antivirus de escritorio confiables y exhaustivos.

Exchange Server y antivirus del sistema de archivos

Uso de Exchange Hosted Services

Gua de seguridad de Exchange 2010: Ayuda de Exchange 2010

Uso del filtrado de datos adjuntos

Bloquear todo el mensaje y los datos adjuntos

Para obtener ms informacin, consulte Descripcin del filtrado de datos adjuntos.

Filtrado de archivos con Forefront Protection para Exchange Server

Gua de seguridad de Exchange 2010: Ayuda de Exchange 2010

Archivo RAR (.rar)

Ejecucin de Exchange Best Practices Analyzer

Uso de los puertos de red y reforzamiento de Firewall

Reglas de Firewall de Windows

MSExchangeRPCEPMap (GFW) (TCP-In)

Todos los roles

MSExchangeRPC (GFW) (TCP-In)

Acceso de clientes, Transporte de concentradores, Buzn de correo, Mensajera

MSExchange - IMAP4 (GFW) (TCP-In)

143, 993 (TCP)

MSExchange - POP3 (GFW) (TCP-In)

110, 995 (TCP)

Gua de seguridad de Exchange 2010: Ayuda de Exchange 2010

MSExchange - OWA (GFW) (TCP-In)

5075, 5076, 5077 (TCP)

MSExchangeIS (GFW) (TCP-In)

6001, 6002, 6003, 6004

MSExchangeTransportWorker (GFW) (TCP-In)

25, 587 (TCP)

SESWorker (GFW) (TCP-In)

UMService (GFW) (TCP-In)

5060, 5061 (TCP)

UMWorkerProcess (GFW) (TCP-In)

5065, 5066, 5067, 5068

Parmetros de limitacin y directivas de limitacin de clientes

Parmetros de limitacin en servidores Transporte

Parmetros de limitacin en servidores Transporte

El parmetro MaxConcurrentMailboxDeliveries especifica el nmero mximo de subprocesos de entrega que el

El parmetro MaxConcurrentMailboxSubmissions especifica el nmero mximo de subprocesos de entrega que el

El parmetro MaxConnectionRatePerMinute especifica la velocidad mxima a la que pueden abrirse nuevas

El parmetro MaxOutboundConnections especifica el nmero mximo de conexiones salientes simultneas que el

Gua de seguridad de Exchange 2010: Ayuda de Exchange 2010

Si escribe un valor ilimitado, no se impone ningn lmite en el nmero de conexiones de salida.

El parmetro MaxPerDomainOutboundConnections especifica el nmero mximo de conexiones que un servidor

El MaxPerDomainOutboundConnections parmetro especifica la velocidad de procesamiento de mensajes en los