exchange2007_icoEn muchas ocasiones nos surge la necesidad de otorgar permisos a un host determinado, para que pueda enviar correos a través de nuestro Exchange. Este nuevo host puede ser desde un servidor adicional (IIS, SQL,…) a cualquier dispositivo que requiera una pasarela de correo para enviar notificaciones (impresoras, appliances, etc.). Veamos como poder permitir el envío de correos mediante Exchange 2007.Por defecto, Exchange 2007 acepta y hace relay de todo el correo que recibe siempre y cuando provenga de una cuenta autenticada en el dominio. Sin embargo, hay determinados dispositivos que no permiten autenticarse y envían solo mediante conexión anónima. Para permitir que una IP determinada pueda enviar correos por nuestro site, tendremos que crear un conector de recepción en el Exchange que queramos que haga relay (por defecto, el del rol Hub Transport). Este conector se configurará para que reciba correos de un origen determinado y con una validación determinada.

Nos dirigimos a la consola de administración de Exchange 2007/Server Configuration/Hub Transport, y creamos un nuevo “Receive Connector”. Mediante un asistente, se nos solicitará el interface del servidor que por el que entrarán esos correos (por defecto indica todos) y la dirección de origen de los correos (el nuevo host a autorizar). Tras crearlo, editaremos sus propiedades y nos dirigimos a las opciones de “grupo de permisos” (Permissions Group).

Es en esta parte cuando indicaremos el permiso que vamos a dar a las direcciones indicadas para enviarnos correos. Dicho permiso puede ser:

  • Anonymous Users: Cuantas anónimas de usuarios, sin autenticar.
  • Exchange Users: Cuentas de usuario autenticadas.
  • Exchange Servers: Servidores Exchange en todos sus roles.
  • Legacy Exchange Servers: Grupo de seguridad “Legacy Interop” (RGC).
  • Partners: Cuenta de servidor asociado

 Por tanto, para un host que requiera enviar correos anónimos a nuestro Exchange rol hub, deberemos marcar el primer check únicamente, como muestra la imagen.

relay-smtp

Es muy importante indicar que el acceso anónimo solo ha de marcarse para host que tengan un firmware o plataforma cerrada, reduciendo así el riesgo de malware potenciales que utilicen nuestro site de correo. Además, debemos de asegurarnos que las IP´s autorizadas para ese uso anónimo son únicamente las necesarias.

Más info en http://technet.microsoft.com/es-es/library/aa996395.aspx