CONFIGURACIÓN DE UNA PLATAFORMA DE CORREO SEGURA (EXCHANGE SERVER)

EN WINDOWS SERVER 2008 R2

POR:

Anderson Herrera Duran

BLOG:

http://andersongestionredes.blogspot.com/

INSTRUCTOR A CARGO:

Mauricio Ortiz Morales

SENA

MEDELLÍN

INTRODUCCIÓN

En el trascurso de los años, el hombre ha sentido la necesidad de comunicarse, de ahí que la

humanidad haya desarrollado distintas formas de comunicación para poder llevar a cabo muchos

procesos de forma más rápida y sencilla. El correo electrónico es una herramienta con la cual

podemos comunicarnos y enviar y recibir archivos a grandes distancias, esto se hace por medio de

la red y sistemas de comunicación electrónica.

Para que ese proceso de comunicación se lleve a cabo son necesarios varios elementos que

intervienen en dicha comunicación; hacen parte del proceso de comunicación por correo electrónico

los siguientes elementos: MTA, MDA, MUA. (A continuación se explicaran estos elementos).

CONCEPTOS CLAVE

MUA: (Mail User Agent, Agente de Usuario de Correo), es el sistema que se encarga de recibir y enviar emails usando los protocolos STMP (para el envío) y POP3 o IMAP (para la recepción). Ejemplos de MUA son evolution, kmail, outlook (los webmails).

MTA: (Mail Transfer Agent, Agente de Transferencia de Correo), es el sistema que se encarga de distribuir y tomar el email de un MUA o de otro MTA y entregarlo a otro MTA o a un MDA, lo más común es que funcione integradamente con un DNS que cuente con un registro MX para poder intercambiar correo entre varios MTA. Ejemplos de MTA son postfix, qmail, cyrus.

MDA: (Mail Delivery Agent, Agente de Entrega de Correo), es el sistema que se encarga de la recepción del email por parte de un MTA, y lo almacena de la forma que tenga configurada, el MDA se encarga de gestionar los buzones de los usuarios. Los MDA pueden almacenar en disco, base de datos o llamar a otro programa para hacer el procesado de emails (ejemplo: listas de correo, sistemas de control de incidencias, etc.). Ejemplos de MDA son procmail, cyrus y dovecot; hay programas que son a la vez MTA y MDA.

DNS: sistema de nombres de dominio, es un servicio utilizado para resolver nombres de identificadores binarios (IP) esto con el propósito de poder localizar y direccionar de forma fácil estos equipos mundialmente.

Un registro MX o Mail Xchange record (registro de intercambio de correo) es un tipo de registro, un recurso DNS que especifica cómo debe ser encaminado un correo electrónico en internet. Los registros MX apuntan a los servidores a los cuales envían un correo electrónico, y a cuál de ellos debería ser enviado en primer lugar, por prioridad.

Transport Layer Security

Para otros usos de este término, véase TLS.

Secure Sockets Layer (SSL; en español «capa de conexión segura») y su sucesor Transport Layer

Security (TLS; en español «seguridad de la capa de transporte») son protocolos criptográficos que

proporcionan comunicaciones seguras por una red, comúnmente Internet.

SSL proporciona autenticación y privacidad de la información entre extremos sobre Internet mediante

el uso de criptografía. Habitualmente, sólo el servidor es autenticado (es decir, se garantiza su

identidad) mientras que el cliente se mantiene sin autenticar.

SSL implica una serie de fases básicas:

Negociar entre las partes el algoritmo que se usará en la comunicación

Intercambio de claves públicas y autenticación basada en certificados digitales

Cifrado del tráfico basado en cifrado simétrico

Webmail

Un correo web es un cliente de correo electrónico, que provee una interfaz web por la que acceder

al correo electrónico. Otras formas de acceder al correo electrónico pueden ser:

Conectándose con un cliente de correo local a un servidor de correo remoto utilizando un

protocolo ad hoc de transporte de correo, como IMAP o POP, descargar los correos y

almacenarlos localmente.

Utilizando un cliente de correo por consola, por ejemplo Mutt.

El webmail permite listar, desplegar y borrar vía un navegador web los correos almacenados en el

servidor remoto. Los correos pueden ser consultados posteriormente desde otro computador

conectado a la misma red (por ejemplo Internet) y que disponga de un navegador web.

Exchange server, funciona como servidor MUA y MTA a la vez, lo que hace más sencillo su manejo,

fue desarrollado por Microsoft, solo funciona para plataformas bajo 64 bits, el Exchange server salió

al mercado en el segundo semestre del 2009, su versión más reciente es Exchange 2013.

Es importante aclarar que antes de hacer lo siguiente, se debe primero tener en cuenta si se

trabajará con el servicio de directorio activo, si es así, entonces primero hay que instalarlo, luego y lo

mas importante, ya que sin esto no se instalara el Exchange server 2010, es tener el sistema

operativo con las ultimas actualizaciones, para esto se debe ir a inicio, todos los programas y allí

elegimos Windows update, allí se empezarán a buscar todas las actualizaciones disponibles, una vez

instalen varias actualizaciones buscar más actualizaciones, hasta que por lo menos nos instale la

actualización del servipack 1.

Primero nos guiaremos desde la pagina principal donde nos dicen como debe ser el proceso de

instalación de Exchange server 2010 dependiendo del sistema operativo seguir este link

http://technet.microsoft.com/en-us/library/bb691354%28v=exchg.141%29.aspx. Como el proceso de

actualización de plataformas en Windows es tan cambiante ya esta disponible la nueva versión de

Exchange con la salida de Windows server 2012. Para instalar Exchange server 2013 seguir este

enlace http://technet.microsoft.com/es-es/library/bb691354.aspx

Para abrir la power Shell vamos a inicio, todos los programas, accesorios, power Shell, clic derecho

sobre la power Shell, y ejecutamos como administrador.

En la power Shell ejecutamos 2 scripts.

Script 1:

Import-Module ServerManager

Con este comando ímportaremos un módulo que nos permitirá utilizar los siguientes cmdlets (Extensión de Windows PowerShell con comandos personalizados):

- Add-WindowsFeature

- Get-WindowsFeature

- Remove-WindowsFeature

Script 2:

Add-WindowsFeature NET-Framework,RSAT-ADDS,Web-Server,Web-Basic-Auth,Web-Windows-

Auth,Web-Metabase,Web-Net-Ext,Web-Lgcy-Mgmt-Console,WAS-Process-Model,RSAT-Web-

Server,Web-ISAPI-Ext,Web-Digest-Auth,Web-Dyn-Compression,NET-HTTP-Activation,Web-Asp-

Net,Web-Client-Auth,Web-Dir-Browsing,Web-Http-Errors,Web-Http-Logging,Web-Http-

Redirect,Web-Http-Tracing,Web-ISAPI-Filter,Web-Request-Monitor,Web-Static-Content,Web-

WMI,RPC-Over-HTTP-Proxy –Restart

Con este script se instalaran requisitos para un servidor que presente la instalación típica de los roles

Acceso de clientes, Transporte de concentradores y Buzón de correo (nuestro caso).

Como este servidor va a tener instalado el acceso a clientes, hay que compartir los puertos Net.Tcp

para uso automático, esto lo podemos hacer desde la power Shell con este script: Set-

ServiceNetTcpPortSharing -StartupTypeAutomatic, o también se puede hacer desde la interfaz

gráfica, vamos a herramientas administrativas, elegimos servicios.

Buscamos el servicio de uso compartido, clic derecho y luego propiedades.

Ahora lo ponemos de forma automática y aplicamos los cambios.

También es necesario instalar los filters pack para el Exchange server, los podemos descargar de las

siguientes páginas http://www.microsoft.com/es-es/download/details.aspx?id=17062

http://www.microsoft.com/en-us/download/details.aspx?id=26604

Acá configurare un reenviador en el DNS principal para acceder a internet, esto es opcional.

Ahora iremos al paquete de Exchange server, le damos doble clic e iniciamos la instalación.

Vemos una breve introducción de lo que es Exchange server 2010, damos en siguiente.

Aceptamos los términos de licencia.

En este caso no deseo esta característica de los informes de errores.

En esta parte damos en instalación típica y si queremos elegimos en instalar automáticamente lo que

haga falta.

Damos cualquier nombre que deseemos para la organización.

Este servidor no posee clientes con Outlook 2003.

Si se desea participar en la mejora de experiencia, en este caso no se desea.

Al finalizar vemos que todo se chequeó correctamente, luego damos instalar.

Luego de un tiempo de espera todo se instala correctamente.

Luego y por último reiniciamos el sistema.

Ahora ya nos podemos dirigir a la consola de administración de Exchange, vamos a inicio, todos los

programas, y buscamos la consola de Exchange. Esta consola puede ser un poco o muy lenta

dependiendo de las características del sistema.

Para acceder al web mail que por defecto nos trae el Exchange podemos digitar cualquiera de las

siguientes url en la barra de búsqueda del explorador de internet.

Como aún no se han configurado los buzones para los usuarios, entramos con la cuenta de

administrador del dominio de active directory.

Podemos observar que tiene una interfaz muy amigable.

Para configurar los buzones de los usuarios lo podemos hacer de dos formas, a partir de un usuario

creado en el active directory, o creando uno nuevo desde la consola de Exchange server.

En este caso ya existen unos usuarios en el active directory, para crear un usuario podemos dar clic

derecho y nuevo usuario, o vamos a la parte superior y elegimos el icono para crear un nuevo

usuario.

Llenamos los datos necesarios.

Damos la contraseña y sus características.

Ahora vamos a la consola de Exchange, a la parte de configuración de destinatarios, en donde dice

buzón, dentro de la ventana damos clic derecho y elegimos nuevo buzón.

Va a ser un buzón de usuario.

Se hara a partir de un usuario existente en el active directory.

Buscamos la ruta y el usuario que agregaremos.

Cuando terminemos de agregar los usuarios deseados damos en siguiente.

En esta parte daremos información de identificación del usuario.

Damos en nuevo para poder crear el buzon.

Vemos que se ha creado correctamente el buzón.

Ahora se mostrará como crear un buzón junto con un usuario nuevo.

Elegimos nuevo usuario.

Damos los datos del nuevo usuario, y seleccionamos la unidad organizativa a la que queremos que

pertenezca este usuario.

Configuramos el alias.

Le decimos que no cree un archivo, puesto que no se tienen archivos en línea para este buzón.

Vemos que se creo correctamente el buzón.

Verificamos que el usuario se encuentre en la unidad organizativa especificada.

Ahora se configurará una maquina con sistema operativo Windows 7, para que haga parte de este

dominio, para esto le damos un direccionamiento que este dentro de la misma subred.

Hacemos una prueba de ping para ver si hay conectividad.

Para unirlo al dominio vamos a las propiedades del equipo.

Damos clic en configuración avanzada del sistema.

Damos clic en cambiar.

Damos el dominio al que queremos que haga parte, si anteriormente la maquina esta unida a otro

dominio y la queremos cambiar, entonces la unimos primero a un grupo de trabajo existente, se

aconseja usar el que hay por defecto, luego de esto le damos en dominio y agregamos el nuevo

dominio al cual pertenecerá la maquina.

Verificamos en las propiedades del equipo que si esté en el dominio.

Ahora desde la maquina cliente, accederé por medio de un gestor MUA al buzón, en este caso usare

el Outlook 2010. (La maquina no tiene que estar unida al dominio para acceder por medio del MUA,

solo tiene que tener conectividad con el servidor).

Damos siguiente.

Damos en la opción si, puesto a que es la primera vez que se utiliza el Outlook.

Damos los datos de la cuenta que se configurará.

Damos clic en siguiente para que la cuenta se configure de forma automática.

Damos en siguiente.

Vemos que saco un error al intentar la configuración automática, lo cual seria lo más conveniente,

puesto a que no es aconsejable hacer esta configuración de forma manual. Este error es debido a

que la configuración del DNS esta incompleta o mal configurada.

Iremos a la configuración del servicio DNS, agregamos un host de tipo A que se llame “mail”, para

luego asociarlo a un registro MX para el intercambio de correos, también podemos agregar otros

host ya sean CNAMES O de tipo A, que t6engan nombre como “pop3, smtp,Imap, exchange” los

cuales pueden ayudar al DNS a realizar búsquedas en el Exchange server.

Ahora se creará un MX.

No le damos nombre de host, y lo asociamos con el host Ha llamado mail, además de esto le damos

la prioridad deseada, entre mas bajo el numero mayor será la prioridad.

Realizamos la prueba para ver si el DNS y el registro MX están funcionando correctamente.

Damos el comando nslookup, luego damos “set type=mx” para seleccionar el tipo MX, luego damos

el dominio, en este caso el dominio es www.blueskillers.com, y nos arrojara el MX.

Para la conectividad con el Outlook el DNS necesita de un CNAME ó un host de tipo A que se llame

“autodiscover”.

Damos el nombre “autodiscover” y aceptamos.

Ahora ya podemos conectar el MUA con el Exchange server de forma automática.

TLS/SSL

Cuando se instala el Exchange server, como se ha visto este ya viene con unas configuraciones

previas, lo cual hace mas sencillo su manejo y configuración; la autenticación por medio de

certificados SSL/TLS (SSLv3 es lo mismo que TLSv1), ya viene lista, esto lo podemos verificar con

un capturador de paquetes como lo es el Wireshark de cisco. En la imagen se puede observar que el

canal esta asegurado, y que las comunicaciones se dan a través de TLSv1.

Para ver los datos dentro de un paquete, damos clic derecho sobre un paquete, y damos en “Follow

TCP Stream”.

Se puede ver que todo esta cifrado.

En la parte de configuración del servidor en acceso de cliente, podemos ver los dos protocolos del

MDA con los que funciona Exchange, ambos vienen pre configurados para trabajar con autenticación

TLSv1.

CUOTAS

En el servidor Exchange, es muy sencillo configurar las cuotas, ya sea para cada usuario, o para el

buzón del servidor en general.

Para configurar las cuotas por usuario, nos dirigimos a la configuración de destinatarios, allí vamos a

la opción buzón, luego damos clic derecho sobre el usuario al cual deseamos configurarle la cuota, y

elegimos propiedades.

Estando en las propiedades, elegimos la pestaña “Configuración del buzón de correo”, luego damos

doble clic en “cuotas de almacenamiento“.

Ahora se puede dar la cuota en MB.

Para la configuración de la cuota del buzón del servidor general, vamos a la parte de configuración

de la organización, elegimos buzón, luego damos clic derecho sobre el buzón principal y elegimos

propiedades.

Elegimos la pestaña límites, y podeos configurar las cuotas en MB para todos los usuarios del

Exchange.

GRUPOS DE DISTRIBUCIÓN

Los grupos de distribución nos sirven para mandar correos a un grupo determinado de usuarios por

medio una sola dirección de correo, esto hace que ahorremos procedimientos innecesarios para

enviar un correo a varias personas.

En Exchange server, existen dos tipos de grupos de distribución, el grupo de distribución común, y el

grupo de distribución dinámico, este último nos ofrece la ventaja de que lo creamos a partir de una o

varias unidades organizativas, así los usuarios que vallamos agregando a dichas unidades se irán

agregando automáticamente al grupo de distribución, esto es muy conveniente para no tener que

agregar manualmente usuarios.

Para crear un grupo de distribución común, nos dirigimos a configuración de destinatarios, allí

elegimos buzón, vamos a la parte derecha y damos clic en “grupo de distribución nuevo”.

Decimos que es un grupo nuevo.

Damos un nombre para identificar el grupo.

Damos en nuevo para crearlo.

Vemos que se ha creado correctamente.

Ahora vamos al grupo de distribución creado, damos clic derecho y luego elegimos propiedades.

Elegimos la pestaña miembros, y damos agregar.

Acá empezamos a escoger los usuarios los cuales harán parte del grupo, en este caso elegí los

usuarios que se muestran en la imagen.

Ahora se comprobará si el grupo quedo funcionando correctamente, voy a enviar un correo al grupo,

por lo cual debe llegar a los usuarios que pertenecen a el, para buscar el grupo doy clic en la libreta

de direcciones.

Elijo el grupo, doy clic derecho y nuevo mensaje.

Al usuario “and” le ha llegado el correo.

Al usuario “ander1herrera” le ha llegado el correo, con lo cual se comprobó que si esta correcta la

configuración del grupo.

Ahora se procederá a crear un grupo de distribución dinámico, para esto buscamos la opción en la

parte derecha y damos clic.

Damos un nombre y un alias.

Examinamos la unidad organizativa donde queremos que se aplique el grupo dinámico, y

seleccionamos en todos los tipos de destinatarios.

Damos siguiente.

Damos en nuevo para crearlo.

Vemos que se creo correctamente.

Vemos que en la unidad organizativa “grupo dinámico”, existe un usuario llamado pablo, y además

hay dentro otra unidad organizativa llamada “new”, en la cual hay un usuario llamado “Richard”.

Ahora se procederá a realizar una prueba.

Elegimos el grupo dinámico creado.

El mensaje debe llegar a pablo y a Richard.

Vemos que ha llegado a pablo.

Vemos que también llego a Richard, por lo que se puede concluir que esta correcta la configuración

del grupo dinámico.

Se agregará otro usuario para comprobar la funcionalidad del grupo dinámico.

Le creamos el buzón al usuario creado.

Ahora se enviará un mensaje al grupo de distribución dinámico, por lo cual el mensaje debe llegar al

nuevo usuario creado en la unidad organizativa que apunta al grupo dinámico.

Vemos que ha llegado el mensaje.

FILTRO ANTISPAM

El filtro antispam de Exchange server es muy bueno en cuanto a su rendimiento.

Para habilitar el filtro antispam que trae el Exchange, debemos ejecutar unos comandos desde la

Shell de Exchange.

Estando allí nos dirigimos a la ruta que se muestra en la imagen, y luego se ejecutara el script que se

muestra.

Vemos que se empezara a configurar de forma automática lo que es todo lo relacionado con el filtro

de correos.

En esta pagina, se encuentra la guía de cómo habilitar el filtro antispam, y los procedimientos que

debemos seguir están muy detallados.

Ahora como se realizo un cambio en la configuración de Exchange, debemos reiniciar el servicio de

transporte.

Nos dirigimos a la consola administrativa de Exchange, y vemos en la parte de configuración de la

organización, en la pestaña filtro de correo no deseado están las configuraciones para el correo no

deseado.

Damos clic derecho sobre filtrado de contenido, si no esta habilitada la habilitamos, damos en

propiedades.

En la pestaña acción podemos ver la categorización de las diferentes SCL, además en la pestaña

palabras personalizadas, podremos poner las palabras que serán parte de spam.

En la configuración del servidor, en la parte de transporte de concentradores, están las listas de IP

permitidas y de las denegadas.

En la Shell de Exchange, se procederá a configurar el transporte teniendo en cuanta la red en la cual

esta el servidor Exchange.

Verificaremos en las propiedades de la configuración del transporte dentro de la configuración global

si quedo la IP del servidor esta allí, puesto que este servidor hace parte del perímetro de servidores

de la red.

ANTIVIRUS

La protección antivirus para Exchange server 2010, se puede realizar de forma sencilla con la

implementación del Forefront 2010, puesto que estos dos software funcionan muy bien

conjuntamente.

El anterior link nos lleva ala pagina de descarga del Forefront, por el momento no se necesitara la

extensión Forefront online, el cual es para proteger de forma externa.

Vamos al instalador y lo ejecutamos.

Aceptamos el contrato de licencia.

Acá nos advierte de que el servicio de transporte se tendrá que reiniciar cuando sea necesario.

En la red actual no hay ningún proxy configurado, do en siguiente.

Habilitamos la protección contra correo no deseado, lo cual hará más robusta la plataforma en

cuanto a seguridad.

Se elige la opción que se desee.

Confirmamos la configuración.

Se empezaran a configurar los servicios y el Forefront.

Desde la instalación del Forefront nos ofrece de una vez la protección online, le daré que si deseo.

Acepto el contrato y completo los pasos del asistente hasta instalar la protección online.

Una vez instalado iremos a todos los programas, y buscamos la consola de Forefront.

En la parte inferior izquierda, hay tres links, elegiremos el de administración, luego podmeos ver que

en la parte superior izquierda nos aparecen todas las opciones de administración que tenemos con

Forefront. Si alguno de estos ítems esta deshabilitado hay que mirar si se necesita o no, según el

requerimiento.

Miramos que la protección contra correo no deseado (antispam) esta habilitada.

En la parte inferior izquierda elegiremos supervisión, luego se puede ver que desde allí se puede

supervisar todos los datos que han sido filtrados a través de Forefront.

He mandado algunos virus desde el correo, un virus llamado eicar para pruebas, lo pueden

descargar de la página http://www.eicar.org/85-0-Download.html yo recomiendo descargar el archivo

con extensión txt, se puede observar que el antivirus funciona correctamente, cabe aclarar que este

antivirus con la configuración actual, cuando se va a mandar un mensaje que contenga virus lo

detectara al instante, por lo cual no dejara ni siquiera enviar el correo.

Desde la consola de administración se puede configurar el Forefront online si lo deseamos.

CONECTIVIDAD CON OTROS DOMINIOS

Para que halla conectividad con otros dominios, el Exchange server 2010, necesita de unos

parámetros, primero que todo se debe tener en cuenta que hay que poner el reenviador que apunte

a la IP del dominio al cual queremos conectarnos, para configurar el reenviador esto se hace en el

DNS, se da clic derecho sobre el servidor DNS, se eligen las propiedades y luego se editan los

reenviadores. Luego de esto, Exchange server, necesita configurar el transporte de la información,

entonces vamos a transporte de concentradores estando dentro de la configuración de la

organización, vamos a dominios aceptados, vamos a la parte derecha y elegimos dominio aceptado

nuevo. (La configuración en esta parte se obvia, ya que solo consta en poner el dominio y aceptar la

configuración, solo se tiene en cuenta que como es un dominio externo y esta en un sistema Linux

se elige la opción de dominio de retransmisión externo).

En ocasiones se aconseja ponerle un asterisco (*), antes del dominio ejemplo: *.blueskillers.com,

esto con el fin de forzar al servidor a que se acepta cualquier nombre dentro del dominio. Se debe

marcar la última opción para que pueda haber conectividad con el dominio “blueskillers.com”, cabe

recordar que el dominio con el cual se esta trabajando es www.blueskillers.com.

Esta imagen es el resultado de mostrar las propiedades de un dominio aceptado ya existente.

Para conectar con otros dominios, también es aconsejable configurar un conector de envío, el cual

funcionara con el protocolo SMTP, para poder intercambiar correos con otros dominios.

Le damos un nombre.

Vemos que el tipo es SMTP, y el dominio al cual nos conectaremos será “blueskillers.com”, se le

pondrá un costo de 1, para que tenga menor costo.

CONCLUSIONES

Las plataformas de correo son muy útiles para cualquier sector en el que se deseen implementar, por

este motivo se deben implementar con la rubostocidad y seguridad mas alta posibles, para que de

esta forma los mensajes viajen de forma segura y sin ningun inconveniente por la red.

A la hora de configurar Exchange server, lo más conveniente y aconsejable asociarlo con un registro

MX previamente configurado en el DNS que se este utilizando, para que de esta forma no surjan

inconvenientes a la hora de enviar o recibir correos a otros dominios, además para conectar con un

gestor MUA se debe crear un CNAME o registro de tipo A, el cual tenga como nombre

“autodiscover”, nombre con el cual Exchange hará búsquedas.

Tener el sistema lo más actualizado posible, para que así se pueda instalar Exchange correcta y

rápidamente.

El servidor Exchange necesita de cierta capacidad del sistema, por esto es conveniente instalarlo en

un equipo que cumpla con los requerimientos mínimos, para que de esta forma el servidor no se

sobrecargue y pueda cumplir con sus funciones de forma correcta y rápida.