Stop Email Virus

Disminución y detención de los virus
transmitidos por correo electrónico en

un entorno de Microsoft Exchange
Microsoft Corporation
Publicación: 12 de diciembre de 2006
Autor: Equipo de documentación de Exchange Server
Descripción breve
Este documento contiene recomendaciones para reforzar un entorno de Microsoft Exchange
contra los virus y gusanos transmitidos por correo electrónico.
¿Comentarios? Envíe sus comentarios a exchdocs@microsoft.com.

Contents
Disminución y detención de los virus transmitidos por correo electrónico en un entorno de
Microsoft Exchange...............................................................................................................1
Contents...................................................................................................................................3
Disminución y detención de los virus transmitidos por correo electrónico en un entorno de

Exchange..............................................................................................................................6
Disminución y detención de los virus por correo electrónico en Exchange Server 2003:
Acciones y configuraciones recomendadas..........................................................................7
Descripción del software malintencionado y de los boletines de seguridad de Microsoft.........7
Configuración de los clientes de escritorio...............................................................................8

Configuración de Firewall de Windows u otro software de servidor de seguridad personal..8
Pasos para proteger Outlook..................................................................................................10

Bloqueo de datos adjuntos en Outlook................................................................................10
Protección del modelo de objetos........................................................................................11
Protección de Outlook Web Access........................................................................................12

Bloqueo de datos adjuntos en Outlook Web Access...........................................................12
Configuración de las zonas de seguridad de Internet Explorer...........................................13
Concienciación de los usuarios finales...................................................................................15
Configuraciones de Exchange Server....................................................................................16

Implementación de software antivirus en la puerta de enlace SMTP o en los servidores de
buzones...........................................................................................................................16
Restricción del acceso anónimo a SMTP...............................................................................17

Retransmisión anónima.......................................................................................................18
Acceso anónimo SMTP.......................................................................................................19
Disminución y detención de los virus por correo electrónico en Exchange Server 2003:
Configuraciones opcionales................................................................................................19
Bloqueo del puerto TCP 25....................................................................................................20
Uso de IPSec para bloquear el puerto TCP 25.......................................................................20
Cómo crear una directiva IPSec para bloquear el puerto TCP 25..........................................21
Antes de empezar...............................................................................................................21
Procedimiento.....................................................................................................................22
Cómo crear el objeto base de directiva de grupo...................................................................22

Antes de empezar...............................................................................................................22
Procedimiento.....................................................................................................................23
Cómo crear listas de filtros IPSec...........................................................................................23

Antes de empezar...............................................................................................................23
Procedimiento.....................................................................................................................23
Cómo crear una lista de filtros SMTP entrantes.....................................................................24

Antes de empezar...............................................................................................................24
Procedimiento.....................................................................................................................24
Para obtener más información............................................................................................25
Cómo crear una lista de filtros SMTP salientes......................................................................25

Antes de empezar...............................................................................................................25
Procedimiento.....................................................................................................................26
Cómo crear una acción de bloqueo........................................................................................27

Antes de empezar...............................................................................................................27
Procedimiento.....................................................................................................................27
Cómo crear y asignar la directiva IPSec.................................................................................28

Antes de empezar...............................................................................................................28
Procedimiento.....................................................................................................................28
Cómo asignar una directiva IPSec.........................................................................................29

Antes de empezar...............................................................................................................29
Procedimiento.....................................................................................................................30
Cómo aplicar una directiva IPSec existente a otras unidades organizativas..........................30

Antes de empezar...............................................................................................................31
Procedimiento.....................................................................................................................31
Deshabilitación del acceso a Exchange desde versiones de Outlook no seguras.................31
Ejecución del filtro SMTP de Internet Security and Acceleration Server.................................33
Uso de grupos de distribución restringidos.............................................................................34
Exchange Server: Qué hacer cuando se produzca un ataque de virus..................................35
Descripción de la funcionalidad del modo "Activar sin excepciones" de Firewall de Windows

............................................................................................................................................35
Limpieza del entorno de Exchange........................................................................................36

Detención del flujo de correo de Internet................................................................................37
Consolidación de los servidores de Exchange expuestos a Internet..................................37
Cómo detener el flujo de correo en un conector de Exchange...............................................38

Antes de empezar...............................................................................................................38
Procedimiento.....................................................................................................................38
Detención del flujo de correo interno......................................................................................39
Aislamiento y limpieza de los servidores infectados...............................................................39

Deshabilitación del acceso de los usuarios a Exchange.....................................................39
Limpieza de la infraestructura de mensajería......................................................................40
Cómo detener o reiniciar la transferencia de todos los mensajes de una cola.......................41

Procedimiento.....................................................................................................................41
Cómo buscar y eliminar determinados mensajes de la cola SMTP........................................42

Procedimiento.....................................................................................................................42
Aplicación de actualizaciones para el software antivirus........................................................43
Limpieza de las estaciones de trabajo de los usuarios...........................................................43
Restablecimiento del acceso de los usuarios a los buzones..................................................43
Restablecimiento de la conectividad de flujo de correo..........................................................43
Cómo volver a establecer el flujo de correo en un conector de Exchange.............................44

Procedimiento.....................................................................................................................44
Copyright................................................................................................................................44
6
Disminución y detención de los virus

transmitidos por correo electrónico en
un entorno de Exchange
Los virus y gusanos transmitidos por correo electrónico se han convertido en una realidad
destructiva contra la que luchan muchos administradores de Microsoft Exchange.
Este documento contiene recomendaciones para reforzar un entorno de Microsoft®

Exchange contra los virus y gusanos transmitidos por correo electrónico. Se incluyen
recursos sobre los detalles de implementación relacionados con esas recomendaciones.
Si es un administrador de mensajería responsable del flujo de correo en el nivel de

implementación, este documento es muy importante porque sus recomendaciones y la
información que contiene le ayudarán a ofrecer un mayor nivel de servicio a sus clientes. Si
es un arquitecto de mensajería, esta información le será útil a la hora de diseñar una
topología y una solución de mensajería. Si es un administrador de sistemas de escritorio, lea
este artículo para ver sugerencias de cómo mantener un entorno informático libre de virus
para sus clientes. Si es miembro del equipo de mensajería, la decisión que tome acerca del
software antivirus debe encajar dentro de la solución antivirus global implementada en los
equipos de escritorio. Si es un administrador de red o de servidor de seguridad para el
servicio de directorio Microsoft Active Directory, también le será útil entender las
recomendaciones contenidas en este documento.
Este documento contiene tres secciones principales:
• Acciones y configuraciones recomendadas: Contiene las recomendaciones que debe

implementar para reducir al mínimo el impacto de los virus y gusanos en el entorno de
correo electrónico.
• Configuraciones opcionales: Describe algunas sugerencias de configuración

alternativas o de menor prioridad que debe implementar si no puede implementar todas
las recomendaciones recogidas en la primera sección.
• Qué hacer cuando se produzca un ataque de virus: Ofrece un conjunto de

recomendaciones y procedimientos para actuar en caso de que se produzca un brote de
virus. Es fundamental que lea esta sección y que elabore un plan antes de que se
produzca un brote real.
Nota:
Descargue Disminución y detención de los virus transmitidos por correo electrónico
en un entorno de Microsoft Exchange para imprimirlo o consultarlo sin conexión.
7
Disminución y detención de los virus por

correo electrónico en Exchange Server
2003: Acciones y configuraciones
recomendadas
Las recomendaciones de este tema ayudarán a detener y disminuir la propagación de los
virus transmitidos por correo electrónico. Estas recomendaciones se refieren a lo siguiente:
• Descripción del software malintencionado y de los boletines de seguridad de

Microsoft
• Configuración de los clientes de escritorio, incluyendo servidores de seguridad
• Pasos para ayudar a proteger Outlook
• Pasos para ayudar a proteger Outlook Web Access
• Entrenamiento del usuario final para que reconozca el software malintencionado
• Configuración de los servidores de Exchange
Nota:
Estos temas se han escrito bajo el supuesto de que se está ejecutando software
antivirus en todos los equipos de escritorio de la organización. Por tanto, en estos
temas no se trata la implementación de software antivirus en los equipos cliente. Sin
embargo, sí se explican estrategias para ejecutar software antivirus en el entorno del
servidor de Exchange.
Descripción del software malintencionado

y de los boletines de seguridad de
Microsoft
Existen muchas clases de software malintencionado, también conocido como malware. En
general, este documento se refiere al software malintencionado que se transmite por correo
electrónico, y que se propaga a sí mismo en forma de virus y gusanos. Es útil entender la
terminología básica empleada para los distintos tipos de software malintencionado.
Una vez que tenga unos conocimientos básicos de los distintos tipos de software
malintencionado, visite el sitio Web de búsqueda de boletines de seguridad de Microsoft y
compruebe que todo el software de Microsoft que se ejecuta en su organización está
actualizado.
8
Recomendaciones
• Aprenda a distinguir un virus de un gusano, de un caballo de Troya, etc.
• Aprenda a tener actualizado el software de Microsoft con las actualizaciones más

recientes. Ésta es una de las acciones más importantes que puede realizar para ayudar
a disminuir y detener los virus.
Recursos
• Para obtener más información acerca de la definición de los tipos de software

malintencionado, visite el sitio Web "Defining Malware: FAQ".
• Para ver boletines de seguridad, visite el sitio Web "Microsoft Security Bulletin
Search".
Configuración de los clientes de escritorio

Las versiones y los Service Pack más recientes de Microsoft Windows y Microsoft Office
Outlook incluyen muchas mejoras de seguridad y de lucha contra virus. Por ejemplo, a partir
de Outlook 2002, el bloqueo de datos adjuntos y la Protección del modelo de objetos están
incluidos y habilitados de manera predeterminada. El Service Pack 2 (SP2) de Windows XP
incluye Firewall de Windows, llamado anteriormente Servidor de seguridad de conexión a
Internet, integrado en la página de propiedades de red. En algunos casos, esta funcionalidad
puede aplicarse a las versiones anteriores del software de Microsoft mediante
actualizaciones. Sin embargo, para ayudar a mantener un entorno seguro, se recomienda
que ejecute las versiones más recientes de Windows y Outlook. Esta sección contiene
recomendaciones para las actualizaciones de clientes específicas de Windows y de Outlook,
con vínculos a información de implementación más detallada.
Además de mantener Windows y Outlook actualizados, es fundamental que las firmas

antivirus estén actualizadas en toda la organización. También es muy importante
implementar una solución agresiva de administración de actualizaciones para el software
utilizado en la organización. Para obtener información acerca de la administración de
actualizaciones para software de Microsoft, consulte Understanding Patch and Update
Management: Microsoft's Software Update Strategy.
Configuración de Firewall de Windows u otro

software de servidor de seguridad personal
El SP2 de Windows XP incluye Firewall de Windows (llamado anteriormente Servidor de
seguridad de conexión a Internet), que permite a los usuarios bloquear el tráfico en los
puertos que se utilizan con poca frecuencia con sólo activar una casilla de verificación. Es
fundamental ejecutar Firewall de Windows u otro software de servidor de seguridad personal
9
de terceros en los equipos cliente como ayuda para disminuir o detener numerosos virus. Por
ejemplo, cuando el gusano MyDoom infecte un equipo, los puertos TCP 3127 a 3198
responderán a las solicitudes entrantes. Esta respuesta permite que un atacante pueda
conectarse al equipo y utilizarlo como proxy para tener acceso a recursos de red. La
instalación y configuración de un servidor de seguridad en los equipos cliente bloquea la
eficacia de este tipo de gusano.
Nota:
Windows ofrece tres soluciones distintas de servidor de seguridad. Servidor de
seguridad de conexión a Internet y Servidor de seguridad básico son componentes
del servicio Enrutamiento y acceso remoto de Windows Server 2003. Windows XP y
el SP1 de Windows XP incluyen Servidor de seguridad de conexión a Internet, que
es una función del Panel de control que puede utilizar para establecer restricciones
para el tráfico que puede entrar en su red desde Internet. Firewall de Windows se
refiere al servidor de seguridad incluido con el SP2 de Windows XP.
De manera predeterminada, Servidor de seguridad de conexión a Internet está deshabilitado

en Windows XP y en el SP1 de Windows XP. De manera predeterminada, en el SP2 de
Windows XP Firewall de Windows está habilitado para todas las conexiones. Además,
Firewall de Windows puede administrarse ahora mediante objetos de directiva de grupo
(GPO), lo que permite a los administradores configurar distintos niveles de protección según
la ubicación de los equipos móviles. Por ejemplo, suponga una situación en la que un equipo
portátil está conectado al dominio de una empresa. Las restricciones de puertos pueden ser
menores que si ese equipo portátil estuviera conectado a un punto de acceso a Internet
público inalámbrico.
Es importante admitir que hay cientos de aplicaciones que utilizan distintos puertos para
comunicarse. Entre las aplicaciones que definen sus propios puertos se incluyen las de
mensajería instantánea, software de comunicación y de uso compartido de archivos de igual
a igual, y aplicaciones empresariales. La ejecución de Firewall de Windows o de otro
software de servidor de seguridad personal puede producir el error de estas aplicaciones.
Lea detenidamente toda la documentación del servidor de seguridad. Pruebe la
configuración antes de implementarla en su organización.
Recomendaciones
• Actualice todos los clientes de Windows al SP2 de Windows XP o implemente otro

software de servidor de seguridad personal de terceros.
• Diseñe un conjunto estándar de puertos permitidos. Si va a implementar Firewall de

Windows de Windows XP, defina los puertos permitidos para los casos de "Dominio" y
"Móvil".
• Implemente configuraciones de servidor de seguridad en todos los clientes. Si va a

implementar Firewall de Windows de Windows XP, implemente la configuración de
cliente mediante objetos de directiva de grupo.
10
Recursos
• Para obtener más información acerca de las actualizaciones para Firewall de

Windows del SP2 de Windows XP, consulte Changes to Functionality in Microsoft
Windows XP Service Pack 2.
• Para obtener más información acerca de cómo utilizar objetos de directiva de grupo
para implementar y configurar Firewall de Windows en su empresa, consulte Deploying
Windows Firewall Settings for Microsoft Windows XP with Service Pack 2.
Pasos para proteger Outlook

Como se ha mencionado anteriormente, la actualización a la versión más reciente de
Outlook y la obtención periódica de actualizaciones ofrecen a los equipos de escritorio cliente
la protección contra virus más actualizada para Outlook.
El bloqueo de datos adjuntos y la Protección del modelo de objetos son funciones

importantes de Outlook que ayudan a disminuir o detener la propagación de virus. En esta
sección se explica cómo estas dos funciones protegen al cliente de Outlook y qué versiones
de Outlook se pueden actualizar para incluir estas funciones.
Nota:
Aunque en esta sección se describe cómo aplicar actualizaciones de seguridad a las
versiones anteriores de Outlook, tenga en cuenta que el Service Pack 3 (SP3) de
Outlook 2000 es la versión más antigua de Outlook para la que los Servicios de
soporte técnico (PSS) de Microsoft ofrecen soporte técnico. Para obtener más
información acerca de Office y el soporte técnico, visite el sitio Web Office Family
Products Support Lifecycle FAQ.
Bloqueo de datos adjuntos en Outlook

Un método que los autores de virus suelen emplear para transportar virus es incluir el virus
en un dato adjunto. Por ejemplo, se puede transmitir un virus si se adjunta un programa
ejecutable (.exe) a un mensaje de correo electrónico. En algunos casos, se pueden enviar
virus incrustándolos en una macro, que los usuarios perciben como un documento seguro
(como un archivo de Microsoft Word o de Excel).
La funcionalidad de bloqueo de datos adjuntos es una de las medidas disuasorias más

eficaces contra los virus que se propagan por correo electrónico. De manera
predeterminada, Outlook 2003 y Outlook 2002 incluyen la funcionalidad de bloqueo de datos
adjuntos para protegerse contra ese tipo de virus. Para habilitar el bloqueo de datos adjuntos
en Outlook 2000, Outlook 98 y Outlook 97, debe descargar e instalar la actualización de
seguridad específica de la versión que desea proteger. De manera predeterminada, los
11
Service Pack más recientes para las versiones compatibles de Outlook bloquean 71 tipos de
datos adjuntos.
Hoy en día, el bloqueo de datos adjuntos es esencial para todos los clientes de correo
electrónico. Sin embargo, debe seguir educando a los usuarios para que no abran datos
adjuntos procedentes de remitentes desconocidos. Para obtener más información acerca de
cómo educar a los usuarios, consulte Concienciación de los usuarios finales.
Protección del modelo de objetos

Protección del modelo de objetos protege el acceso a datos de la libreta de direcciones,
datos de destinatario de un elemento y el envío mediante programación de mensajes de
correo electrónico en Outlook. Protección del modelo de objetos se aplica al modelo de
objetos de Outlook y a Simple MAPI. Cuando la Protección del modelo de objetos está
habilitada, se avisará al usuario si alguna aplicación intenta enviar un mensaje de correo
electrónico desde el perfil del buzón. Este mismo comportamiento se produce cuando otros
procesos distintos de Outlook intentan tener acceso a la Libreta de direcciones. El usuario
puede establecer un intervalo de tiempo para que un proceso especificado tenga acceso al
modelo de objetos o a la Libreta de direcciones de Outlook. Es importante entender que
Protección del modelo de objetos no impide que un usuario envíe un virus. En su lugar,
impide que los procesos automáticos tengan acceso al modelo de objetos y a la Libreta de
direcciones.
De manera predeterminada, la Protección del modelo de objetos se instala y está habilitada

en Outlook 2003 y Outlook 2002. Para habilitar esta función en Outlook 2000 o Outlook 98,
debe descargar la actualización de seguridad específica de la versión que desee proteger.
Protección del modelo de objetos no se incluye en la actualización de seguridad de
Outlook 97.
Recomendaciones
• Actualícese a Outlook 2003 o bien, si está ejecutando Outlook 2002, asegúrese de

que lo tiene actualizado con los Service Pack y las actualizaciones más recientes.
• Si está ejecutando una versión de Outlook distinta de Outlook 2003 o Outlook 2002,
descargue e implemente la actualización de seguridad para Outlook 2000 o Outlook 98.
Si está ejecutando Outlook 97, actualícese a una versión de Outlook que acepte
Protección del modelo de objetos. El SP3 de Outlook 2000, que incluye la actualización
de seguridad, es la versión más antigua de Outlook para la que Microsoft ofrece soporte
técnico.
Recursos
• Para obtener más información acerca de Protección del modelo de objetos y el

bloqueo de datos adjuntos en Outlook 2003 y Outlook 2002, visite el sitio Web "How
Outlook helps to protect your computer from viruses".
12
• Para obtener más información acerca de cómo personalizar las actualizaciones de

seguridad de Outlook 2000 o Outlook 98, consulte el sitio Web "Customizing the
Outlook 98/2000 E-mail Security Update".
• Para obtener más información acerca de cómo implementar y administrar las

actualizaciones de seguridad de Outlook, visite el sitio Web "Microsoft Office Resource
Kit Toolbox".
• Para obtener más información acerca de cómo ayudar a proteger Outlook 98,
consulte lo siguiente:
• Outlook 98 Update E-mail Security
• Outlook 98 Update: Java Permissions Security

• Outlook 98 E-mail Security Update International Releases
• Para obtener más información acerca de cómo ayudar a proteger Outlook 2000,
consulte lo siguiente:
• Outlook 2000 SR1: Extended E-mail Security Update
• Microsoft Outlook 2000 SR1 E-mail Security Update for MultiLanguage

PackMicrosoft Outlook 2000 SR1 E-mail Security Update for MultiLanguage Pack
• Artículo 263297 de Microsoft Knowledge Base "OL 2000: Administrator

information about the Outlook E-mail Security update"
• Office 2000 Update: Service Pack 3 (SP3), que incluye la actualización de

seguridad extendida para correo electrónico de Outlook 2000. Es la versión más
antigua de Office para la que Microsoft ofrece soporte técnico.
Protección de Outlook Web Access

Si está utilizando Outlook Web Access en su organización, examine la configuración del
bloqueo de datos adjuntos y de las zonas de seguridad de Internet Explorer.
Bloqueo de datos adjuntos en Outlook Web

Access
En el Service Pack 2 (SP2) de Exchange 2000, Outlook Web Access presentaba la
posibilidad de bloquear datos adjuntos por tipo de archivo y por tipo de Extensiones
multipropósito de correo Internet (MIME). De manera predeterminada, en Outlook Web
Access 2003 y en Outlook Web Access para Exchange 2000, el bloqueo de datos adjuntos
está habilitado. Con esta configuración predeterminada, los usuarios pueden enviar cualquier
tipo de datos adjuntos pero no recibirán tipos de archivos peligrosos, como archivos .exe,
13
.bat y .vbs. La lista predeterminada de tipos de archivos bloqueados en Outlook Web Access
incluye la lista predeterminada utilizada por Outlook 2003, así como archivos XML y
determinados tipos MIME.
El bloqueo de datos adjuntos en Outlook Web Access se configura en el servidor de

Exchange mediante el Registro. Esta configuración puede implementarse como un objeto de
directiva de grupo (GPO) para asegurar su coherencia.
Si permite el acceso a los buzones desde Internet mediante Outlook Web Access, no tendrá
control administrativo de los equipos que tienen acceso al correo. En algunos casos, como
cuando los usuarios tienen acceso a Outlook Web Access desde Internet, quizás desee
restringir la posibilidad de que los usuarios descarguen datos adjuntos desde esos equipos.
En este caso, puede configurar una clave del Registro en los servidores de aplicaciones para
usuario de Exchange que bloqueará todos los datos adjuntos en Outlook Web Access
cuando el equipo tenga acceso a Exchange mediante determinados servidores de
aplicaciones para usuario.
Configuración de las zonas de seguridad de

Internet Explorer
Como Outlook Web Access es una aplicación que se ejecuta en Internet Explorer, es
importante tener en cuenta la configuración de Internet Explorer en el contexto de la lucha
contra los virus. Se recomienda que configure las zonas de seguridad de Internet Explorer de
la manera más restrictiva que permita la funcionalidad de los requisitos de sus clientes.
Como mínimo, implemente el SP1 de Internet Explorer 6.0 en su configuración
predeterminada, que configura la zona Internet con un nivel de seguridad Medio y la zona
Intranet con un nivel de seguridad Medio-Bajo.
Outlook Web Access y Outlook Web Access con el control S/MIME se han diseñado y creado
prestando especial atención a las vulnerabilidades del Web, como secuencias de comandos
entre sitios, manipulación de IFRAME y otras actividades malintencionadas conocidas
basadas en HTML. En concreto, Outlook Web Access sólo ejecuta y muestra elementos,
atributos e información de estilo HTML que se sabe que son seguros, por lo que protege
contra el uso malintencionado de HTML de formas que antes no se conocían.
La ejecución de Outlook Web Access con el control S/MIME también aporta un nivel de
seguridad adicional para los datos adjuntos. Los datos adjuntos de correo descargados con
el control S/MIME se eliminan mejor (el espacio de direcciones de memoria se pone a cero
después de la eliminación) que los descargados con Outlook Web Access sin el control
S/MIME. La versión para el SP1 de Exchange 2003 del programa de instalación del control
S/MIME de Outlook Web Access es un archivo de Microsoft Windows Installer. Por tanto,
puede implementarse mediante Microsoft Systems Management Server (SMS) u otro
programa de administración empresarial.
14
Nota:
Como el control S/MIME es un componente instalable, quizás no sea práctico o
posible ejecutarlo en todas las situaciones de implementación, como quioscos
públicos y otras situaciones en las que el equipo cliente no puede administrarse de
forma centralizada.
Se recomienda que ejecute Outlook Web Access con el control S/MIME. El control S/MIME
sólo funciona en Internet Explorer 6 o posterior y en Windows 2000 o posterior. El control
S/MIME no funciona en otros exploradores Web ni en sistemas operativos anteriores. Como
se ha mencionado antes, la administración de actualizaciones para todo el software que se
ejecuta en la organización es una parte muy importante de la lucha contra los virus y los
gusanos. Las actualizaciones de Internet Explorer se administran mediante Windows Update.
Si tiene Windows actualizado, también dispondrá de las actualizaciones más recientes para
Internet Explorer.
Recomendaciones
• Implemente la versión para Exchange 2003 de Outlook Web Access y la versión más
reciente de Internet Explorer.
• Seguramente la lista predeterminada de bloqueo de archivos y tipos MIME será

suficiente para su organización. Sin embargo, quizás desee examinar, actualizar e
implementar los archivos y los tipos MIME bloqueados para Outlook Web Access.
Mantenga coherencia entre los tipos de archivos bloqueados en Outlook Web Access y
los tipos de archivos bloqueados en Outlook.
• En algunos casos, cuando no pueda controlar el equipo que tiene acceso a Outlook
Web Access desde Internet, considere la posibilidad de bloquear todos los datos
adjuntos.
• Defina el nivel correcto de seguridad para Internet Explorer en su organización e

implemente una configuración estándar en los equipos de escritorio.
• Implemente el control S/MIME de Outlook Web Access en todos los clientes que
tengan acceso al correo electrónico mediante Outlook Web Access, incluso aunque su
organización no utilice S/MIME.
Recursos
• Para obtener más información acerca de cómo implementar y actualizarse a

Exchange 2003 y Outlook Web Access, consulte Exchange Server 2003 Deployment
Guide.
• Para obtener más información acerca de la implementación de Internet Explorer,

visite el sitio Web "Microsoft Internet Explorer 6.0 Administrative Kit Service Pack 1" y, a
continuación, haga clic en "Redistributing Internet Explorer".
15
• Para obtener más información acerca de cómo examinar y actualizar los archivos y
los tipos MIME bloqueados en Outlook Web Access, consulte Exchange 2003 Security
Hardening Guide.
• Para obtener más información acerca de cómo bloquear todos los datos adjuntos
desde conexiones de servidor de aplicaciones para usuario en Outlook Web Access,
consulte el artículo 830827 de Microsoft Knowledge Base "How to manage Outlook Web
Access features in Exchange Server 2003".
• Para obtener más información acerca de cómo entender, configurar e implementar

las zonas de seguridad de Internet Explorer, consulte el sitio Web "Microsoft Internet
Explorer 6.0 Administration Kit Service Pack 1" y, a continuación, haga clic en "Security".
Concienciación de los usuarios finales

Normalmente, los virus y los gusanos entran en su red a través de mensajes de correo
electrónico no solicitado, también conocidos como correo no deseado o spam. La educación
de los usuarios sobre cómo tratar el correo no deseado puede ayudar de forma eficaz a
reducir la posibilidad de que entren virus y gusanos en su organización. El correo no
deseado suele ser el resultado de tácticas de ingeniería social empleadas contra sus
usuarios. Por ejemplo, sus usuarios pueden recibir correo electrónico no deseado que
incluya una renuncia con un texto similar al siguiente:
Si desea darse de baja de esta lista de correo, debe responder al mensaje incluyendo
la palabra "Quitar" en la línea de asunto.
Si bien se trata de una herramienta legítima para algunas empresas acreditadas, suele ser
una forma de comprobar que una dirección de correo electrónico es válida y, por tanto, se
puede utilizar de nuevo. Probablemente la dirección se venda a otros emisores de correo no
deseado, ahora que está validada.
Los datos adjuntos son el área educativa más importante para los usuarios. Ayúdeles a
entender qué tipos de datos adjuntos se pueden abrir de forma segura. Casi todos los virus
transmitidos por correo electrónico confían en que los usuarios abran algún tipo de datos
adjuntos malintencionado para iniciar la propagación. Algunos formatos de archivo, como los
archivos .zip protegidos con contraseña, pueden estar permitidos y los detectores antivirus
de archivos no pueden detectarlos. Además, los usuarios deben conocer la existencia de
datos adjuntos con doble extensión, como los ejecutables con extensión .jpg
(NombreDeArchivo.exe.jpg), que pasan por el bloqueo de datos adjuntos como un archivo
.jpg, pero que pueden contener código malintencionado en el ejecutable.
Nota:
La concienciación de los usuarios no significa que no haya que ejecutar software
cliente antivirus en los equipos de escritorio.
16
Recomendación
• Enseñe a los usuarios a combatir el correo no deseado y los virus.
Recurso
• Para obtener más información acerca de qué pueden hacer los usuarios para
combatir el correo electrónico no deseado, los virus y los gusanos, consulte Help keep
spam out of your inbox.
Configuraciones de Exchange Server

La implementación de software antivirus y el asegurarse de que el puerto TCP 25 no está
disponible como retransmisión abierta para los virus son las dos áreas principales de
configuración que debe realizar en su entorno de Exchange.
Antes de examinar las recomendaciones de configuración, tenga en cuenta varias

recomendaciones de directiva importantes:
• No ejecute clientes de correo electrónico en el servidor de Exchange. Si está

ejecutando un cliente de correo electrónico en un equipo que ejecuta Exchange y resulta
infectado, un cliente infectado se convertirá en un servidor de correo infectado.
• No explore Internet desde el equipo donde se ejecuta Exchange, por esas mismas
razones. Una recomendación general para reducir el alcance de un ataque consiste en
reducir al mínimo las aplicaciones que se ejecutan en un servidor de Exchange.
• Mantenga actualizados los servidores de Exchange con las actualizaciones de

seguridad más recientes de Microsoft.
• Proteja los servidores de Exchange según las recomendaciones descritas en

Exchange Server 2003 Security Hardening Guide.
Implementación de software antivirus en la

puerta de enlace SMTP o en los servidores
de buzones
Como mínimo, debe implementar software antivirus diseñado para sistemas de mensajería
en la puerta de enlace del Protocolo simple de transferencia de correo (SMTP) o en los
servidores de Exchange que alojan buzones. En los dos recursos citados en la próxima
sección Recursos se explican las estrategias que puede seguir al diseñar la implementación
de software antivirus para mensajería y los distintos tipos de detección de mensajes
disponibles. Los tipos de software antivirus que elija y dónde se implemente dicho software
están determinados por la relación entre el costo que desee tolerar y el riesgo que desee
asumir.
17
Por ejemplo, algunas organizaciones ejecutan software antivirus para mensajería en la

puerta de enlace SMTP, detección antivirus de archivos en el servidor de Exchange y
software cliente antivirus en los equipos de escritorio de los usuarios. Este método ofrece
protección específica de mensajería en la puerta de enlace, protección general de archivos
en el servidor de correo y protección en el cliente. Otras organizaciones pueden asumir un
costo y una seguridad mayores al ejecutar la misma combinación, además de software
antivirus compatible con Exchange VSAPI 2.5 en el servidor de buzones de Exchange.
Recomendaciones
• Ejecute software cliente antivirus en los equipos de escritorio. Si está ejecutando

software antivirus diseñado para sistemas de mensajería (puede analizar y detectar
MIME) en la puerta de enlace o en el servidor de Exchange, basta con ejecutar un
detector de nivel de archivo en el equipo de escritorio.
• Como mínimo, implemente software antivirus diseñado para sistemas de mensajería

en la puerta de enlace SMTP o en los servidores de Exchange que alojan buzones. Para
lograr la máxima protección, ejecute en la puerta de enlace software antivirus que
detecte los mensajes MIME entrantes y en el servidor de Exchange un detector que
utilice VSAPI 2.5.
Recursos
• Para obtener información acerca del diseño de una estrategia de software antivirus,
consulte Exchange Server 2003 Security Hardening Guide.
• Para obtener una descripción de los distintos tipos de software antivirus que puede
ejecutar en un entorno de mensajería de Exchange, consulte el artículo 823166 de
Microsoft Knowledge Base "Overview of Exchange Server 2003 and Antivirus Software".
• Para obtener más información acerca de por qué no es recomendable ejecutar

clientes de correo en un servidor de Exchange, consulte el artículo 266418 de Microsoft
Knowledge Base "Microsoft does not support installing Exchange Server components
and Outlook on the same computer".
• Para obtener más información acerca de los proveedores de antivirus que son
asociados de Microsoft, consulte el sitio Web "Exchange Server Partners: Antivirus".
Restricción del acceso anónimo a SMTP

De manera predeterminada, Exchange 2003 se configura en un modo seguro para el acceso
SMTP anónimo. La retransmisión anónima o abierta está deshabilitada y el correo no
autenticado enviado a Exchange 2003 desde dentro de la organización no aparece como
resuelto en el cliente de Outlook. Por tanto, la restricción del acceso anónimo a SMTP se
realiza en parte de manera predeterminada, ya que la retransmisión anónima está
deshabilitada. Sin embargo, el acceso anónimo interno a SMTP no está deshabilitado. Esta
18
sección contiene recomendaciones para examinar y comprobar la configuración de

retransmisión, y para restringir aún más el acceso anónimo interno a SMTP.
Retransmisión anónima
Es esencial que no permita la retransmisión anónima en los servidores virtuales SMTP. La
retransmisión se produce cuando alguien utiliza su servidor de Exchange para enviar correo
a un dominio externo. Una retransmisión abierta permite que alguien que envía correo no
deseado utilice sus servidores SMTP externos para enviar mensajes en su nombre.
Probablemente, esta actividad hará que sus servidores de puerta de enlace aparezcan como
fuentes de retransmisión de correo no deseado en las listas de bloqueo de Internet.
En su configuración predeterminada, Exchange sólo permite la retransmisión de correo a los

usuarios autenticados. Sólo los usuarios autenticados pueden utilizar Exchange para enviar
correo a un dominio externo. Si modifica la configuración de retransmisión predeterminada
para permitir que usuarios no autenticados realicen la retransmisión, o si permite la
retransmisión abierta a un dominio a través de un conector, los usuarios no autorizados o
gusanos malintencionados pueden utilizar su servidor de Exchange para enviar correo no
deseado. Se puede incluir a su servidor en listas de bloqueo e impedirle que envíe correo a
servidores remotos legítimos. Para impedir que usuarios no autorizados utilicen su servidor
de Exchange para retransmitir correo, utilice como mínimo las restricciones de retransmisión
predeterminadas.
Si tiene razones legítimas para realizar la retransmisión, debe seguir las directrices para
asegurarse de que se mantenga la seguridad en su implementación. Esto consiste
principalmente en dejar los valores predeterminados de denegar todo y agregar únicamente
las direcciones IP de las que aceptará correo retransmitido, y deshabilitar el acceso para los
usuarios no autenticados.
Vea cómo se utilizan en sus servidores de puerta de enlace las cuentas integradas
(Administrador local) y otros usuarios. Es improbable que utilice las cuentas integradas para
ningún tipo de retransmisión. Si está realizando retransmisión, probablemente proceda de un
conjunto conocido de usuarios o equipos. Se recomienda restringir los derechos de
retransmisión a determinados usuarios y equipos o a una dirección IP concreta.
La configuración del permiso explícito para retransmitir le ayudará aún más a proteger el
servidor. Los usuarios malintencionados pueden utilizar un ataque violento para tratar de
obtener las contraseñas de las cuentas integradas o de las cuentas de usuario existentes en
Internet, de forma que puedan utilizar su servidor como proxy para enviar correo no deseado.
Por tanto, para los equipos accesibles desde Internet no se recomienda utilizar el valor
predeterminado que permite la retransmisión a un equipo autenticado. Se recomienda
deshabilitar esta opción.
19
Acceso anónimo SMTP

Exchange 2003 ofrece la posibilidad de que los usuarios del cliente reconozcan el correo
falsificado mostrando la dirección SMTP real del correo no autenticado en lugar del nombre
para mostrar que figura en la lista global de direcciones (GAL). No obstante, se recomienda
deshabilitar el acceso SMTP anónimo en todos los servidores internos de Exchange. El
comportamiento de Outlook con respecto al correo no autenticado (o posiblemente
falsificado) es ingenioso. Hace falta un usuario aplicado y experimentado para reconocer que
una dirección SMTP real indica que el remitente no se autenticó. Por tanto, la deshabilitación
del acceso anónimo asegura que sólo los usuarios autenticados pueden enviar mensajes
dentro de su organización. Además, al ser necesaria la autenticación, los programas cliente
como Outlook Express y Outlook en modo Internet (Protocolo de oficina de correo versión 3,
o POP3, o Protocolo de acceso a correo de Internet versión 4rev1, o IMAP4) deben
autenticarse antes de enviar correo.
Recomendaciones
• Examine la configuración de retransmisión. Configure todos los servidores virtuales

SMTP de forma que sólo determinados usuarios, equipos o direcciones IP puedan
retransmitir correo a otras organizaciones.
• Deshabilite la posibilidad de que todos los equipos autenticados realicen la

retransmisión.
• Deshabilite el acceso anónimo SMTP en todos los servidores internos de Exchange.
Recursos
• Para obtener información acerca de cómo proteger la retransmisión y el

enrutamiento SMTP, consulte "Securing Your Exchange Server" en Exchange
Server 2003 Transport and Routing Guide.
• Para obtener más información acerca de cómo controlar la retransmisión, consulte

en Microsoft Knowledge Base el artículo 304897, "SMTP relay behavior in Windows
2000, Windows XP, and Exchange Server".
Disminución y detención de los virus por

correo electrónico en Exchange Server
2003: Configuraciones opcionales
Las recomendaciones contenidas en esta sección son importantes. Sin embargo, no son tan
críticas como las de la sección anterior. Si sigue las directrices de la sección anterior, estas
directrices de configuración opcionales le proporcionarán un nivel adicional de protección
contra la propagación de virus.
20
Bloqueo del puerto TCP 25

A medida que los virus y los gusanos son cada vez más sofisticados, SMTP (normalmente el
puerto 25) se está convirtiendo en un mecanismo de transporte habitual con fines
malintencionados. Un ejemplo de esta sofisticación es el gusano w32.hllw.gaobot.dk. Este
gusano es un caballo de Troya que instala fragmentos de un servicio de correo SMTP en el
equipo de la víctima. Esta instalación permite al gusano enviar correo no deseado desde el
equipo. Para deshabilitar la efectividad de esos gusanos y virus, puede configurar la red de
forma que sólo se permita tráfico SMTP entre servidores de Exchange, controladores de
dominio y otros equipos que requieran SMTP.
Debido a la sobrecarga de administración que implica la restricción del tráfico SMTP, sólo
debe realizar esta implementación si no está ejecutando o no puede ejecutar un servidor de
seguridad personal en los equipos de escritorio. La ejecución de software antivirus además
de un servidor de seguridad personal en el equipo de escritorio le ayudará a mantener a la
mayoría de los gusanos y virus alejados de su red, o al menos los debilitará de forma que
sea más fácil quitarlos tras una infección aislada.
Uso de IPSec para bloquear el puerto TCP

25
Sólo ciertos sistemas de un entorno escuchan y responden a las solicitudes en el puerto
TCP 25. En un entorno Microsoft, sólo los servidores que ejecutan Servicios de Internet
Information Server (IIS), los controladores de dominio y los servidores de Exchange suelen
utilizar el puerto TCP 25. Cuando bloquea la escucha del puerto TCP 25 en todos los demás
sistemas, ayuda a mejorar la seguridad del entorno al eliminar un vector de ataque que el
código malintencionado puede utilizar.
Esta sección contiene un conjunto genérico de procedimientos para configurar la seguridad

del Protocolo de Internet (IPSec) con el fin de bloquear el puerto TCP 25. IPSec es un
conjunto de tecnologías incluidas en el sistema operativo Windows Server que permite a los
administradores realizar determinadas acciones como autenticación, bloqueo de tráfico y
cifrado de tráfico basándose en filtros ("todo el tráfico del puerto TCP 25").
Los procedimientos se basan en la arquitectura definida en Windows Server 2003 Security

Guide y Exchange Server 2003 Security Hardening Guide. Además, en estos procedimientos
se supone que todas las estaciones de trabajo están en una unidad organizativa central
(llamada Estaciones de trabajo) dentro de un dominio. Si su arquitectura no está configurada
de acuerdo con las implementaciones recomendadas en la Guía de seguridad de Windows
Server 2003 y en la Guía para reforzar la seguridad de Exchange Server 2003, utilice este
procedimiento como base para probar y crear sus propias directivas IPSec. En cualquier
caso, se recomienda realizar pruebas exhaustivas antes de implementar las directivas IPSec.
21
Es importante darse cuenta del posible impacto que puede tener en su organización la
implementación de la directiva. Si se implementa como se describe, la directiva bloquea todo
el tráfico SMTP dirigido a y procedente de todos los equipos de la unidad organizativa
Estaciones de trabajo. Si su organización utiliza IMAP o POP para el correo electrónico,
estos clientes no funcionarán. Además, otras aplicaciones (como herramientas empresariales
y proveedores de servicios de envío de correo automáticos) tampoco funcionarán si se
bloquea SMTP.
Nota:
Las directivas IPSec mediante Directiva de grupo son heredables, pero no se
combinan. Cuando se aplica más de una Directiva de grupo de IPSec, surte efecto la
última Directiva de grupo aplicada a un equipo.
Para conocer con detalle los pasos que explican cómo utilizar IPSec para bloquear el tráfico
SMTP en el puerto TCP 25, consulte Cómo crear una directiva IPSec para bloquear el puerto
TCP 25.
Recursos
Si bien los procedimientos descritos en Cómo crear una directiva IPSec para bloquear el
puerto TCP 25 realizarán el bloqueo básico del puerto TCP 25 mediante IPSec, se
recomienda que se familiarice con IPSec y otros servicios, como autenticación y cifrado, que
puede ofrecer IPSec. Los documentos siguientes son una introducción a estos temas:
• What Is IPSec?
• The IPSec process
• Security information for IPSec
• Creating, modifying, and assigning IPSec policies
Cómo crear una directiva IPSec para

bloquear el puerto TCP 25
Debe realizar todas las tareas siguientes para crear una directiva que bloquee el puerto
TCP 25 mediante IPSec y Directiva de grupo.
Antes de empezar
En los procedimientos siguientes, las convenciones de nomenclatura se especifican en
cursiva y negrita. Mientras realiza los procedimientos, observe que las directivas,
descripciones y filtros a los que se hace referencia en procedimientos anteriores se
mencionan en procedimientos posteriores (también en negrita y cursiva).
22
Es recomendable que lea Disminución y detención de los virus por correo electrónico en
Exchange Server 2003: Configuraciones opcionales antes de implementar este
procedimiento.
Procedimiento
Para crear una directiva IPSec que bloquee el puerto TCP 25
1. Cree el objeto base de directiva de grupo. Para conocer los pasos detallados,
consulte Cómo crear el objeto base de directiva de grupo.
2. Cree las listas de filtros. Para conocer los pasos detallados, consulte Cómo crear
listas de filtros IPSec.
3. Cree una acción de bloqueo. Para conocer los pasos detallados, consulte Cómo
crear una acción de bloqueo.
4. Cree y asigne la directiva IPSec. Para conocer los pasos detallados, consulte
Cómo crear y asignar la directiva IPSec.
5. Aplique la Directiva de grupo IPSec a otras unidades organizativas (opcional).

Para conocer los pasos detallados, consulte Cómo aplicar una directiva IPSec
existente a otras unidades organizativas.
Cómo crear el objeto base de directiva de

grupo
Este procedimiento explica cómo crear un GPO base con el fin de bloquear el tráfico SMTP
en el puerto TCP 25.
Antes de empezar
En el procedimiento de este artículo, las convenciones de nomenclatura se especifican en
cursiva y negrita. A medida que utilice el resto de los procedimientos relacionados que se
enumeran en Cómo crear una directiva IPSec para bloquear el puerto TCP 25, observe que
las directivas, descripciones y filtros a los que se hace referencia en procedimientos
anteriores se mencionan en procedimientos posteriores (también en negrita y cursiva).
La cuenta que utilice para realizar este procedimiento debe ser miembro del grupo de
seguridad Administradores de dominio en el dominio donde se ejecutará la directiva.
23
Procedimiento
Para crear el objeto base de directiva de grupo
1. Abra el complemento Usuarios y equipos de Active Directory.
2. Haga clic con el botón secundario del mouse (ratón) en la unidad organizativa
Estaciones de trabajo y seleccione Propiedades.
3. Seleccione la ficha Directiva de grupo.
4. Haga clic en Nuevo y asigne a la directiva de grupo el nombre Directiva

Bloquear TCP25.
Cómo crear listas de filtros IPSec

En este artículo se explica cómo crear listas de filtros IPSec con el objetivo de bloquear el
tráfico SMTP entrante y saliente en el puerto TCP 25.
Antes de empezar
procedimiento.
Procedimiento
Para crear listas de filtros IPSec
1. Debe crear una lista de filtros para bloquear las solicitudes de conexión SMTP
entrante y otra para bloquear las solicitudes de conexión SMTP saliente.
• Cómo crear una lista de filtros SMTP entrantes
• Cómo crear una lista de filtros SMTP salientes

24
Cómo crear una lista de filtros SMTP

entrantes
Antes de empezar
procedimiento.
Procedimiento
Para crear la lista de filtros SMTP entrantes
1. En Editor de objetos de directiva de grupo, expanda sucesivamente
Configuración del equipo, Configuración de Windows y Configuración de
seguridad.
2. Haga clic con el botón secundario del mouse (ratón) en Directivas de

seguridad IP en Active Directory y seleccione Administrar listas de filtros IP y
acciones de filtrado. Aparecerá la página de propiedades Administrar listas de
filtros IP y acciones de filtrado.
3. En la ficha Administrar listas de filtros IP, haga clic en Agregar. Se abre la

página Lista de filtros IP.
4. En el campo Nombre, escriba TCP 25 entrante. En el campo Descripción,

escriba Este filtro responde a las solicitudes entrantes en TCP 25 y, a
continuación, haga clic en Agregar.
5. En la página Éste es el Asistente para filtros IP, haga clic en Siguiente.
6. En la página Descripción de filtro IP y propiedad reflejada, escriba una

descripción del filtro y haga clic en Siguiente.
Nota:
Si no escribe aquí una descripción, cuando solucione problemas en el futuro
25
con la herramienta Diagnósticos de red (netdiag.exe) no se mostrará el

nombre del filtro.
7. En la página Origen del tráfico IP, seleccione Cualquier dirección IP y haga

clic en Siguiente.
8. En la página Destino del tráfico IP, seleccione Mi dirección IP y haga clic en

Siguiente.
9. En la página Tipo de protocolo IP, seleccione TCP y haga clic en Siguiente.
10. En la página Puerto de protocolo IP, seleccione Desde cualquier puerto y A

este puerto, y escriba 25 en el campo. Haga clic en Siguiente.
11. En la última página, haga clic en Finalizar. En la página Lista de filtros IP, haga
clic en Aceptar.
Para obtener más información

Para obtener más información, consulte Cómo crear una lista de filtros SMTP salientes.
Cómo crear una lista de filtros SMTP

salientes
Antes de empezar
procedimiento.
26
Procedimiento
Para crear la lista de filtros SMTP salientes
seguridad.

3. En la ficha Administrar listas de filtros IP, haga clic en Agregar. Se abre la

página Lista de filtros IP.
4. En el campo Nombre, escriba TCP 25 saliente. En el campo Descripción,

escriba Este filtro responde a las solicitudes salientes en TCP 25 y, a
continuación, haga clic en Agregar.
5. En la página Éste es el Asistente para filtros IP, haga clic en Siguiente.
6. En la página Descripción de filtro IP y propiedad reflejada, escriba una

descripción del filtro y haga clic en Siguiente.
Nota:
Si no escribe aquí una descripción, cuando solucione problemas en el futuro
con la herramienta Diagnósticos de red (netdiag.exe) no se mostrará el
nombre del filtro.
7. En la página Origen del tráfico IP, seleccione Mi dirección IP y haga clic en

Siguiente.
8. En la página Destino del tráfico IP, seleccione Cualquier dirección IP y haga

clic en Siguiente.
9. En la página Tipo de protocolo IP, seleccione TCP y haga clic en Siguiente.
10. En la página Puerto de protocolo IP, seleccione Desde cualquier puerto y A

este puerto, y escriba 25 en el campo. Haga clic en Siguiente.
11. En la última página, haga clic en Finalizar. En la página Lista de filtros IP, haga
clic en Aceptar.

Para obtener más información, consulte Cómo crear una lista de filtros SMTP entrantes.
27
Cómo crear una acción de bloqueo

En este artículo se describe cómo crear una acción de bloqueo, tal y como se especifica en
Cómo crear una directiva IPSec para bloquear el puerto TCP 25. En los procedimientos
anteriores definió dos filtros. Para que estos filtros bloqueen el tráfico SMTP en los equipos
de destino debe especificar la acción que realizarán estos filtros.
Antes de empezar
procedimiento.
Procedimiento
Para crear una acción de bloqueo
seguridad.

3. Haga clic en la ficha Administrar acciones de filtrado y en Agregar. Aparece

el Asistente para acciones de filtrado.
4. En la página Éste es el Asistente para acciones de filtrado de seguridad IP,

haga clic en Siguiente.
5. En la página Nombre de la acción de filtrado, escriba Bloqueo en el campo

Nombre y Bloquea tráfico en el campo Descripción y, a continuación, haga clic en
Siguiente.
6. En la página Opciones generales de acciones de filtrado, seleccione

Bloquear y haga clic en Siguiente.
7. Haga clic en Finalizar.

28
Cómo crear y asignar la directiva IPSec

En este artículo se explica cómo crear y asignar la directiva IPSec que se describe en Cómo
crear una directiva IPSec para bloquear el puerto TCP 25. Si ha seguido esos pasos, habrá
creado el objeto base de directiva de grupo, habrá definido los filtros SMTP y habrá
especificado la acción de bloqueo que realizarán los filtros. Ahora debe crear y asignar la
directiva IPSec.
Antes de empezar
procedimiento.
Procedimiento
Para crear la directiva IPSec
seguridad.

seguridad IP en Active Directory y seleccione Crear directiva de seguridad IP.
Aparecerá el Asistente para directivas de seguridad IP.
3. En la página Éste es el Asistente para directivas de seguridad IP, haga clic

en Siguiente.
4. En la página Directiva de seguridad IP, escriba Directiva para bloquear el

puerto TCP 25 en el campo Nombre, escriba Esta directiva bloquea el puerto
TCP 25en el campo Descripción y, a continuación, haga clic en Siguiente.
5. En la página Peticiones para la comunicación segura, desactive la casilla de

verificación Activar la regla de respuesta predeterminada y haga clic en
29
Siguiente.
6. En la página Finalización del Asistente para directivas de seguridad IP, deje

activada la casilla de verificación Modificar propiedades y haga clic en Finalizar.
Aparecerá la página Propiedades de Directiva para bloquear el puerto TCP 25.
7. En la ficha Reglas, haga clic en Agregar. Aparecerá el Asistente para reglas de

seguridad.
8. En la página Éste es el Asistente para reglas de seguridad IP, haga clic en

Siguiente.
9. En la página Punto final del túnel, deje la selección predeterminada Esta regla
no especifica un túnel y haga clic en Siguiente.
10. En la página Tipo de red, deje la selección predeterminada Todas las
conexiones de red y haga clic en Siguiente.
11. En la página Lista de filtros IP, seleccione TCP 25 entrante y haga clic en
Siguiente.
12. En la página Acción de filtrado, seleccione Bloquear y haga clic en Siguiente.
13. En la páginaFinalización del Asistente para reglas de seguridad, desactive la

casilla de verificación Modificar propiedades y haga clic en Finalizar.
14. Ahora debe especificar el filtro TCP 25 saliente. Siga los pasos 7 a 13. Sin
embargo, en el paso 11, seleccione TCP 25 saliente.
15. Para asignar esta directiva, consulte Cómo asignar una directiva IPSec.
Cómo asignar una directiva IPSec

En este artículo se explica cómo asignar la directiva IPSec que se describe en Cómo crear
una directiva IPSec para bloquear el puerto TCP 25. Si ha seguido esos pasos, habrá creado
el objeto base de directiva de grupo, habrá definido los filtros SMTP y habrá especificado la
acción de bloqueo que realizarán los filtros.
Antes de empezar
30
procedimiento.
Procedimiento
Para asignar la directiva IPSec
seguridad, y a continuación haga clic en Directivas de seguridad IP en Active
Directory.
2. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en
Directiva para bloquear el puerto TCP 25 y seleccione Asignar.
La directiva se aplicará cuando se haya completado la replicación entre los controladores de

dominio y los equipos cliente comprueben si hay nuevas actualizaciones de directiva, que de
manera predeterminada se realiza cada 90 minutos.
Para forzar la directiva en Windows Server 2003 y Windows XP, ejecute el comando
siguiente en la línea Ejecutar:
gpupdate /force
Para forzar la directiva en Windows 2000, ejecute el comando siguiente en la línea Ejecutar:
secedit /refreshpolicy machine_policy /enforce
Cómo aplicar una directiva IPSec existente

a otras unidades organizativas
En este artículo se explica cómo puede aplicar el filtro Directiva para bloquear el puerto
TCP 25 entrante a otras unidades organizativas de su empresa. Para obtener más
información acerca de la creación de este filtro, consulte Cómo crear una directiva IPSec
para bloquear el puerto TCP 25. En este procedimiento se utiliza como ejemplo la unidad
organizativa Impresión de la arquitectura descrita en la Guía de seguridad de Windows
Server 2003. Ejecute esta directiva en unidades organizativas de su empresa que no
contengan controladores de dominio, servidores de Exchange u otros equipos que requieran
conectividad SMTP entrante.
31
Antes de empezar
procedimiento.
Procedimiento
Para aplicar la directiva IPSec a otras unidades organizativas
1. Abra Usuarios y equipos de Active Directory con una cuenta que tenga
privilegios Administradores de dominio.
2. Haga clic con el botón secundario del mouse (ratón) en la unidad organizativa
Servidores miembro\Impresión y seleccione Propiedades.
3. En la ficha Directiva de grupo, haga clic en Agregar.
4. En el cuadro de diálogo Agregar un vínculo de objeto de directiva de grupo,

haga clic en la ficha Todo, seleccione Directiva Bloquear TCP25 y, a continuación,
haga clic en Aceptar.
Deshabilitación del acceso a Exchange

desde versiones de Outlook no seguras
Después de haberse actualizado a Outlook 2003 o Outlook 2002, o después de haber
instalado Outlook 2000 Service Release 1 (SR1) o la actualización de seguridad para
Outlook 98 como se recomendó anteriormente, puede bloquear el acceso a Exchange desde
versiones anteriores de Outlook que no se hayan actualizado. El bloqueo de versiones
anteriores de Outlook que no permiten el bloqueo de datos adjuntos y Protección del modelo
de objetos ayuda a ofrecer un nivel conocido de seguridad para las conexiones cliente de
MAPI.
Recomendación
• Como mínimo, deshabilite el acceso a Outlook 98 (sin ninguna actualización de

seguridad instalada) y a otras versiones anteriores.
32
Recurso
• Para obtener más información acerca de cómo deshabilitar el acceso a Exchange

según el número de compilación de Outlook, consulte el artículo 288894 de Microsoft
Knowledge Base "XADM: Feature to Disable MAPI Client Access".
En la siguiente tabla se muestran las versiones principales de Outlook junto con su

número de compilación (según se especifica en Emsmbd32.dll) y el número MAPI
correspondiente que debe indicar al especificar la compilación en la clave del Registro
que se menciona en el artículo 288894 de Knowledge Base.
Números de compilación y números de versión MAPI correspondientes para las

versiones relevantes de Outlook
Versión Número de compilación Número MAPI
Exchange 2003 o 6.1.0–6.9999.0 6.x

Exchange 2000
Outlook 2003 11.0.5604.0 11.5604
SP3 de Outlook 2002 10.0.6515.0 10.0.6515
Outlook 2002 10.0.2627.1 10.0.2627
SP3 de Outlook 2000 5.5.3165.0 5.3165.0
Outlook 2000 SR1a 5.5.3121.0 5.3121.0
Outlook 98, con la 5.5.2652.57 5.2652.57

actualización de seguridad
instalada
Outlook 98 5.5.2178.0 5.2178.0
Para ayudar a protegerse contra todas las versiones obsoletas de Outlook (Outlook 98
sin ninguna actualización de seguridad instalada y las versiones anteriores), no permita
la conexión a Exchange de ninguna de las versiones de Outlook cuyos números de
compilación sean iguales o menores que 5.5.2178.0. Los datos de valor especificados en
el artículo 288894 de Microsoft Knowledge Base son los siguientes:
Value name: Disable MAPI Clients
Value type: REG_SZ
Value data: -5.2178.0
Si va a bloquear intervalos de clientes de Outlook, no olvide dejar abierto el intervalo 6.0

para la administración de Exchange. En concreto, no bloquee los valores comprendidos
entre 6.1.0 y 6.9999.0. Todas las versiones de Exchange 2000 y posteriores utilizan un
intervalo 6.0.0 para la administración. En la tabla siguiente se muestra el valor de la
33
clave del Registro para bloquear determinados intervalos de clientes de Outlook frente a
los equipos que ejecutan Exchange 2000 o posterior.
Valores de la clave del Registro para bloquear intervalos de clientes de Outlook
Para permitir Configure la clave del Registro como
Sólo Outlook 2003 -6.0.0;10.0.0-11.5603.0
SP3 de Outlook 2002 y posteriores -6.0.0;10.0.0-10.0.6514;11.0.0-11.5603.0
SP3 de Outlook 2000 y posteriores -5.3164.0;10.0.0-10.0.6514;11.0.0-11.5603.0
Outlook 98, con la actualización de seguridad -5.2652.56;5.3000.0-5.3164.0;10.0.0-

instalada y posteriores 10.0.6514;11.0.0-11.5603.0
Los Servicios de soporte técnico de Microsoft no ofrecen soporte técnico para los
clientes de Outlook anteriores al SP3 de Outlook 2000. El SP3 de Outlook 2000 contiene
la actualización de seguridad de Outlook 2000.
Los servidores de Exchange 2000 requieren el reinicio del proceso de almacén después
de hacer un cambio en este valor del Registro. Sin embargo, en la versión comercial
original de Exchange 2003 y en las versiones posteriores, la implementación de este
parámetro se aplica de forma dinámica en los 15 minutos posteriores al cambio.
Ejecución del filtro SMTP de Internet

Security and Acceleration Server
Además de las tácticas de ingeniería social en las que se basa el correo no deseado (como
un mensaje cuya línea de asunto es "I love you"), muchos virus también se aprovechan de
ciertas limitaciones o debilidades inherentes a los servicios a los que atacan. Puede
configurar Microsoft Internet Security and Acceleration (ISA) Server 2004 para que se ejecute
con un filtro SMTP que combate el correo no deseado, los virus y los desbordamientos de
búfer. La lucha contra el correo no deseado puede ayudar a reducir la superficie de
propagación de un virus. El filtro SMTP es un filtro de la capa de aplicación que se ejecuta en
el servidor de seguridad corporativo. El filtro SMTP le permite especificar palabras clave que,
si se encuentran en un mensaje, pueden desencadenar una acción. Al mismo tiempo, ISA
Server inspecciona las comunicaciones SMTP para ver si hay anomalías en el encabezado y
las secciones de datos de la capa de aplicación de una comunicación.
Los servidores de seguridad de filtrado de la capa de aplicación utilizan las funciones de los
servidores de seguridad de filtrado convencionales y exigen tanto estados de conexión
válidos como comunicaciones de la capa de aplicación válidas. Los atacantes utilizan
diversos métodos específicos de la capa de aplicación para explotar debilidades conocidas y
34
desconocidas en los servicios de servidor con el fin de deshabilitar servidores o tomar el

control de los mismos. Un servidor de seguridad de filtrado de la capa de aplicación puede
examinar los comandos y los datos de la capa de aplicación. Entonces, el servidor de
seguridad puede determinar si el contenido o los comandos que se envían a un servidor de
la red corporativa son o no intentos válidos de conexión.
Recomendación
• Si está ejecutando ISA Server en la puerta de enlace, o dentro de la organización,

agregue una capa adicional de filtrado SMTP.
Recurso
• Para obtener más información acerca de la implementación del filtrado de

aplicaciones con ISA Server, consulte el capítulo 2 de Introducing the ISA Server 2000
Application Layer Filtering Kit.
Nota:
Las direcciones Web pueden cambiar, por lo que quizás no pueda conectarse al
sitio Web mencionado aquí.
Uso de grupos de distribución restringidos

Como se ha mencionado antes, muchas estrategias para bloquear el correo no deseado
también ayudan a disminuir o detener la propagación de virus. Otro obstáculo efectivo contra
el correo no deseado consiste en utilizar grupos de distribución restringidos dentro de la
organización de Exchange. Un grupo de distribución restringido sólo permite el envío de
mensajes a los usuarios autenticados. Esta restricción es especialmente importante ya que,
si los emisores de correo no deseado conocieran el alias de un grupo de distribución,
podrían llegar a muchos de sus empleados con un único mensaje de correo. La restricción
de grupos de distribución resulta especialmente eficaz en el caso de listas extensas que
contienen muchos grupos de distribución anidados.
Nota:
Tenga en cuenta que muchos emisores de correo no deseado utilizan ataques de
diccionario como mecanismo para llegar a los destinatarios. Un ataque de
diccionario utiliza software que abre una conexión con el servidor de correo de
destino y envía rápidamente millones de direcciones de correo electrónico
generadas aleatoriamente. Esta técnica es efectiva porque los grupos de distribución
suelen estar representados por un alias que suele ser una palabra frecuente.
Para conocer los pasos detallados, consulte "How to Set a Distribution List as Restricted" en
Microsoft Exchange Server 2003 Security Hardening Guide.
Recurso
35
• Para obtener más información acerca de cómo restringir lo envíos a listas de

distribución, consulte "Securing Your Exchange Server" en Exchange Server 2003
Transport and Routing Guide.
Exchange Server: Qué hacer cuando se

produzca un ataque de virus
El seguimiento de las recomendaciones contenidas en este documento le ayudará a reducir
el alcance de un ataque por parte de autores de código malintencionado. Desgraciadamente,
incluso aunque tome las debidas precauciones, su organización puede ser víctima de un
ataque de virus transmitido por correo electrónico.
Esta sección ofrece información más detallada acerca de lo que puede hacer cuando haya
un virus en su organización. Las dos acciones principales que debe realizar son las
siguientes:
1. Utilizar la funcionalidad del modo "Activar sin excepciones" de Firewall de Windows.
2. Limpiar el entorno de Exchange.
Nota:
Si implementa las recomendaciones recogidas en la sección Acciones y
configuraciones recomendadas de este documento, es improbable que un virus
transmitido por correo electrónico sea suficientemente robusto como para requerir el
apagado de los servicios de correo. Sin embargo, en caso de que tenga ese tipo de
virus, quizás tenga que detener el flujo de correo hacia y desde Internet hasta que
pueda contener la amenaza.
Descripción de la funcionalidad del modo

"Activar sin excepciones" de Firewall de
Windows
El SP2 de Windows XP incluye una actualización de Firewall de Windows. Además de las
funciones mencionadas en otros temas, Firewall de Windows incluye un modo de
funcionamiento "Activar sin excepciones" en el que todos los puertos excluidos están
bloqueados. Un puerto excluido es un puerto estático que puede aceptar conexiones
anónimas de la red durante el funcionamiento normal. En este modo, los puertos excluidos
están cerrados, además de los puertos que suelen estar cerrados en Firewall de Windows. Si
hay un virus en su organización que necesita uno de los puertos excluidos para poder
comunicarse, la ejecución de Firewall de Windows en el modo "Activar sin excepciones"
36
limitará su eficacia. Al igual que ocurre con otras funciones de Firewall de Windows en el
SP2 de Windows XP, el modo "Activar sin excepciones" se puede alternar mediante Directiva
de grupo.
Recomendaciones
• Examine la documentación indicada en la sección Recurso para ver cómo

especificar e implementar el modo "Activar sin excepciones" de Firewall de Windows
mediante Directiva de grupo.
• Implemente productos de terceros con una funcionalidad de bloqueo similar si no

está utilizando Firewall de Windows.
Recurso
• Para obtener más información acerca de cómo utilizar objetos de directiva de grupo
para implementar Firewall de Windows en su empresa, consulte Deploying Windows
Firewall Settings for Microsoft Windows XP with Service Pack 2.
Limpieza del entorno de Exchange

Examine y entienda las recomendaciones contenidas en esta sección antes de que se
produzca un ataque de virus. Si se produce un brote, implemente estas recomendaciones
según proceda, de acuerdo con el nivel de infección de su sistema.
Importante:
Aunque en esta sección se describe cómo cerrar el flujo de correo, no se
recomienda hacerlo siempre que haya un virus que se transmita por correo
electrónico, especialmente si ese tipo de brote se produce durante un período pico
de uso del correo y si el nivel de interrupción causado por el virus no justifica una
respuesta tan rotunda. Sin embargo, hay brotes de virus tan dañinos que pueden
justificar el corte del flujo de correo. Esta sección se ha escrito pensando en ese tipo
de brote.
El método aquí descrito supone una infección tan extendida como la que produjo un brote
tipo "Melissa" o "ILOVEYOU". Al responder a este tipo de brotes, sus objetivos son cortar el
flujo de correo hacia y desde Internet, limpiar y aislar los servidores, ejecutar actualizaciones
del software antivirus y volver a establecer el flujo de correo. Para lograr estos objetivos, siga
estos pasos:
1. Detenga el flujo de correo de Internet en los servidores de puerta de enlace.
a. Limpie las colas de correo.
b. Desinfecte los servidores.
2. Detenga el flujo de correo interno.

37
3. Aísle y limpie los servidores de buzones afectados.
a. Deshabilite el acceso de los usuarios a los buzones.
b. Limpie las colas SMTP y MTA.
c. Limpie los buzones.
d. Desinfecte los servidores.
4. Aplique actualizaciones para el software antivirus.
a. Aplique las definiciones antivirus más recientes a todos los productos antivirus
(por ejemplo, en el nivel de archivos, AVAPI, puertas de enlace y servidores de
buzones).
b. Ejecute herramientas antivirus para comprobar que los equipos están limpios.
5. Limpie las estaciones de trabajo de los usuarios y actualice las definiciones del
software antivirus.
6. Vuelva a establecer el acceso de los usuarios a los buzones.
7. Vuelva a establecer la conectividad de flujo de correo de Internet.
En las próximas secciones se describen estos pasos de forma más detallada.
Detención del flujo de correo de Internet

En algunos ataques, la forma más efectiva de disminuir los virus en su organización y en
Internet consiste en detener todo el flujo de correo hacia y desde Internet.
El método recomendado para detener el flujo de correo hacia Internet es deshabilitar las
conexiones SMTP que conectan su organización con Internet. Puede hacerlo si configura la
hora de conexión de los conectores como Nunca se ejecuta. Para conocer los pasos
detallados, consulte Cómo detener el flujo de correo en un conector de Exchange.
Consolidación de los servidores de Exchange

expuestos a Internet
Para lograr la máxima eficiencia y facilitar el aislamiento durante un brote de virus, quizás
desee agrupar todos los servidores de Exchange expuestos a Internet en un único grupo de
enrutamiento. Si hay un brote de virus en Internet, se puede desconectar este grupo de
enrutamiento del resto de la organización, lo que permite realizar la limpieza sin afectar al
tráfico de correo interno. En el contexto de controlar brotes de virus, este tipo de
organización en grupo de enrutamiento es mucho más fácil de bloquear que en un modelo
donde cada grupo de enrutamiento tiene una cabeza de puente de Conector de correo de
Internet (IMC). En el último caso, el IMC pasa el tráfico directamente a otros servidores del
38
grupo de enrutamiento. Si llega de Internet un mensaje infectado dirigido a varios servidores

de buzones, esos servidores resultarán infectados inmediatamente.
Si utiliza un grupo de enrutamiento dedicado para todas las conexiones de correo de

Internet, todo el correo fluirá a través del conector hasta el siguiente salto. Puede detener
ese flujo de correo si detiene el conector, lo que le permite limpiar tanto los grupos de
enrutamiento interno como el grupo de enrutamiento expuesto a Internet aislado.
Este método también le ofrece flexibilidad para permitir opcionalmente que el correo de
Internet fluya hacia el grupo de enrutamiento expuesto a Internet y la cola hasta que se
restaure el servicio de correo. Sin embargo, si el grupo de enrutamiento de Internet está muy
infectado, puede limpiar primero los grupos de enrutamiento internos y crear después un
grupo de enrutamiento saliente temporal para permitir el flujo de correo a través de la
conexión alternativa.
Cómo detener el flujo de correo en un

conector de Exchange
En este artículo se explica cómo detener el flujo de correo en un conector de Exchange.
Antes de empezar
Para detener todo el flujo de correo desde y hacia Internet, realice el siguiente procedimiento
en cada conector de Internet.
Procedimiento
Para detener el flujo de correo en un conector
1. En el Administrador del sistema de Exchange, haga clic con el botón
secundario del mouse (ratón) en el conector en el que desee deshabilitar el flujo de
correo y, a continuación, haga clic en Propiedades.
2. En la ficha Opciones de entrega, seleccione Nunca se ejecuta en el menú

Hora de conexión y haga clic en Aplicar.

Para obtener más información al respecto, consulte los recursos siguientes:
• Cómo volver a establecer el flujo de correo en un conector de Exchange
• Exchange Server: Qué hacer cuando se produzca un ataque de virus

39
Detención del flujo de correo interno

El mismo procedimiento empleado para detener el flujo de correo de Internet es aplicable al
flujo de correo interno. Configure la Hora de conexión en la ficha Opciones de entrega del
conector como Nunca se ejecuta.
Aunque el procedimiento propiamente dicho es sencillo, debe prestar atención al orden en

que detiene el flujo de correo. Probablemente detendrá el flujo de correo para limpiar y
desinfectar los equipos con Exchange. Es fundamental que elabore un orden de operaciones
para poner los servidores fuera de conexión, limpiarlos y desinfectarlos, y volver a ponerlos
en conexión de tal forma que no corran el riesgo de volver a quedar infectados. Este plan
depende de la topología de los grupos de enrutamiento de Exchange y del flujo de correo a
través de otros conectores, como X.400 y SMTP.
Aislamiento y limpieza de los servidores

infectados
Cuando los servidores internos de Exchange están infectados, puede realizar los pasos
siguientes para quitar la infección:
1. Deshabilite el acceso de los usuarios a Exchange.
2. Limpie la infraestructura de mensajería:
a. Inmovilice y libere la cola.
b. Busque y elimine los mensajes infectados.
Deshabilitación del acceso de los usuarios a

Exchange
En algunos brotes, quizás sea necesario impedir que los usuarios utilicen Exchange hasta
que el servidor esté desinfectado. El hecho de impedir el acceso de los usuarios ayuda a
asegurarse de que el servidor siga desinfectado mientras se quita el virus de la organización.
Es probable que, como parte de la limpieza de los buzones, tenga que ejecutar una
herramienta de desinfección en el almacén de Exchange. Por tanto, debe mantener el
almacén montado y en ejecución. El método recomendado para deshabilitar el acceso de los
usuarios al equipo con Exchange es desconectar la conexión física con la red
desenchufando el cable Ethernet.
40
Limpieza de la infraestructura de mensajería

Después de haber identificado el mensaje o los mensajes que contienen virus, debe limpiar
(o desinfectar) la infraestructura de mensajería. La limpieza de la infraestructura de
mensajería implica la limpieza de las colas y de los buzones, y la desinfección de los
servidores.
Limpieza de las colas

El primer paso para limpiar la infraestructura de mensajería consiste en limpiar las colas.
Para cada servidor, esta tarea implica inmovilizar la cola, buscar los mensajes afectados y
eliminarlos. Para conocer con detalle los pasos, consulte los siguientes artículos:
• Cómo detener o reiniciar la transferencia de todos los mensajes de una cola
• Cómo buscar y eliminar determinados mensajes de la cola SMTP
Limpieza de buzones
Después de eliminar los mensajes con virus de las colas, debe desinfectar los buzones. La
mejor forma de hacerlo es mediante una solución antivirus de terceros. Para obtener
información acerca de los productos antivirus que funcionan con Exchange 2003, consulte el
sitio Web "Exchange Server Partners: Antivirus".
Si su software antivirus no incluye la funcionalidad para eliminar mensajes del almacén de

Exchange, debe ejecutar el Asistente para combinar buzones (ExMerge.exe) con el fin de
eliminar los mensajes afectados. Para obtener más información acerca de cómo eliminar
mensajes con virus de Exchange mediante ExMerge.exe, consulte el artículo 328202 de
Microsoft Knowledge Base "HOW TO: Remove a Virus-Infected Message from Mailboxes by
Using the ExMerge.exe Tool".
Desinfección de servidores
Después de eliminar los mensajes que contienen virus de los servidores de Exchange, y
antes de volver a poner los servidores en conexión, debe desinfectar los servidores. En este
contexto, la desinfección de los servidores implica una detección de nivel de archivos para
asegurarse de que el propio servidor no está infectado con el virus. Puede hacerlo
manualmente si sigue las instrucciones disponibles en numerosos sitios Web relacionados
con virus para el virus específico de que se trate o si ejecuta software antivirus en los
archivos del equipo con Exchange y actualiza la firma de virus.
41
Cómo detener o reiniciar la transferencia

de todos los mensajes de una cola
Cuando se inmoviliza (detiene) una cola entera, no se entregan los mensajes contenidos
actualmente en la cola. Las colas inmovilizadas pueden seguir aceptando mensajes, pero
éstos no se entregarán hasta que libere (reinicie) la cola. Los mensajes contenidos en una
cola inmovilizada no están inmovilizados.
Procedimiento
Para detener o reiniciar la transferencia de todos los mensajes de una cola
1. En el Administrador del sistema de Exchange, vaya al Visor de cola mediante
una de las acciones siguientes:
• Si no tiene definido ningún grupo de enrutamiento o administrativo, expanda

Servidores, expanda el servidor que desee y haga clic en Colas.
• Si no tiene definido ningún grupo de enrutamiento, expanda sucesivamente

Grupos administrativos, Nombre del grupo administrativo, Servidores y el
servidor que desee, y haga clic en Colas.
2. Haga clic para seleccionar la cola que desee detener o reiniciar.
Nota:
No se pueden inmovilizar las colas de X.400.
3. Haga clic con el botón secundario del mouse (ratón) en la cola y seleccione una
de las siguientes opciones:
• Inmovilizar mensajes Los mensajes quedarán bloqueados dentro de la

cola. No se entregará nada hasta que se liberen los mensajes. Por ejemplo, si
uno o varios mensajes grandes han bloqueado temporalmente la cola, puede
inmovilizar dichos mensajes para que Exchange pueda transferir los demás. Al
tener más recursos disponibles, Exchange podrá enviar los mensajes mayores.
• Liberar mensajes Se quita el bloqueo temporal de la transferencia de

mensajes.

Para obtener más información, consulte Exchange Server: Qué hacer cuando se produzca
un ataque de virus.
42
Cómo buscar y eliminar determinados

mensajes de la cola SMTP
El botón Buscar mensajes del Visor de cola ayuda a buscar mensajes si se especifican
criterios de búsqueda, como el remitente o el destinatario y el estado del mensaje (por
ejemplo, Inmovilizado). También puede especificar el número de mensajes que desea que
aparezca en los resultados de la búsqueda.
Procedimiento
Para buscar y eliminar determinados mensajes de la cola SMTP
1. En el Administrador del sistema de Exchange, vaya al Visor de cola mediante
una de las acciones siguientes:
• Si no tiene definido ningún grupo de enrutamiento o administrativo, expanda

Servidores, expanda el servidor que desee y haga clic en Colas.
• Si no tiene definido ningún grupo de enrutamiento, expanda sucesivamente

Grupos administrativos, Nombre del grupo administrativo, Servidores y el
servidor que desee, y haga clic en Colas.
2. Haga clic en Deshabilitar correo saliente para detener el flujo de salida de

mensajes desde este equipo.
3. En el panel de detalles, haga clic en la cola en la que desee buscar mensajes.

Debe realizar este procedimiento en todas las colas.
4. Haga clic en Buscar mensajes.
5. Seleccione los criterios de búsqueda que desee y haga clic en Buscar.
Nota:
El campo del mensaje que probablemente identificará mejor el virus es
Asunto. Como no hay ningún mecanismo para buscar por el asunto, debe
configurar el campo Número de mensajes que se mostrarán en la
búsqueda con su valor máximo y, después, el campo Mostrar mensajes
cuyo estado sea como Todos los mensajes. Estas opciones devolverán
todos los mensajes (hasta 10000) de la cola. Ahora puede ordenar los
mensajes por asunto si hace clic en Asunto en la sección Resultados de la
búsqueda del cuadro de diálogo.
6. Seleccione los mensajes que desee eliminar, haga clic con el botón secundario
del mouse (ratón) y, a continuación, haga clic en Eliminar (no NDR).
43
Aplicación de actualizaciones para el

software antivirus
En cuanto el proveedor de software antivirus publique un archivo de definición actualizado
que proteja contra una infección posterior, implemente la actualización. Asegúrese de que
implementa la actualización de la definición en las capas siguientes:
• Servidores de puerta de enlace de mensajes
• Servidores de Exchange
• Estaciones de trabajo cliente
Limpieza de las estaciones de trabajo de

los usuarios
Dependiendo del tipo de infección, las estaciones de trabajo cliente también pueden haberse
visto afectadas. En tal caso, siga las recomendaciones de su proveedor de software antivirus
para quitar la infección. La mayoría de los proveedores de software antivirus ofrecen ahora
herramientas de detección y eliminación para aislar y limpiar los archivos afectados.
Asegúrese también de implementar el archivo de definición más reciente aplicable a su
software antivirus.
Restablecimiento del acceso de los

usuarios a los buzones
Cuando su entorno esté libre de infección, puede volver a establecer el acceso de los
usuarios a sus buzones. Para ello, vuelva a conectar el servidor de Exchange a la red.
Restablecimiento de la conectividad de
flujo de correo
Cuando su entorno esté libre de infección, puede volver a establecer la conectividad de flujo
de correo en su red interna y en Internet. Para conocer los pasos detallados, consulte Cómo
volver a establecer el flujo de correo en un conector de Exchange.
44
Cómo volver a establecer el flujo de correo

en un conector de Exchange
En este artículo se explica cómo volver a establecer el flujo de correo en un conector de
Exchange que se ha detenido.
Procedimiento
Para volver a establecer el flujo de correo en un conector
1. En el Administrador del sistema de Exchange, haga clic con el botón
secundario del mouse (ratón) en el conector en el que desee deshabilitar el flujo de
correo y, después, haga clic en Propiedades.
2. En la ficha Opciones de entrega, seleccione Siempre (o las horas aplicables)

en el menú Hora de conexión y haga clic en Aplicar.

Para obtener más información al respecto, consulte los recursos siguientes:
• Exchange Server: Qué hacer cuando se produzca un ataque de virus
• Cómo detener el flujo de correo en un conector de Exchange
Copyright
La información contenida en este documento representa la visión actual de Microsoft
Corporation acerca de los asuntos tratados hasta la fecha de su publicación. Como
Microsoft debe responder a condiciones de mercado variables, no debe interpretarse como
un compromiso por parte de Microsoft y Microsoft no puede garantizar la precisión de la
información que se presenta después de la fecha de publicación.
Este documento se proporciona con propósito informativo únicamente. MICROSOFT NO

OTORGA NINGUNA GARANTÍA, YA SEA EXPLÍCITA, IMPLÍCITA O ESTATUTARIA, CON
RESPECTO A LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO.
Es responsabilidad del usuario el cumplimiento de todas las leyes de derechos de autor

aplicables. Ninguna parte de este documento puede ser reproducida, almacenada o
introducida en un sistema de recuperación, o transmitida de ninguna forma, ni por ningún
medio (ya sea electrónico, mecánico, por fotocopia, grabación o de otra manera) con ningún
45
propósito, sin la previa autorización por escrito de Microsoft Corporation, sin que ello
suponga ninguna limitación a los derechos de propiedad industrial o intelectual.
Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor, u
otros derechos de propiedad industrial o intelectual sobre los contenidos de este documento.
El suministro de este documento no le otorga ninguna licencia sobre estas patentes, marcas,
derechos de autor, u otros derechos de propiedad intelectual, a menos que ello se prevea en
un contrato por escrito de licencia de Microsoft.
A menos que se indique lo contrario, las compañías, organizaciones, productos, nombres de

dominios, direcciones de correo electrónico, logotipos, personas, lugares y acontecimientos
utilizados en los ejemplos son ficticios. No se pretende ni se debe inferir de ningún modo
relación con ninguna compañía, organización, producto, nombre de dominio, dirección de
correo electrónico, logotipo, persona, lugar o acontecimiento real.
© 2006 Microsoft Corporation. Reservados todos los derechos.
Microsoft, MS-DOS, Windows, Windows Server, Windows Vista, Active Directory, ActiveSync,
ActiveX, Entourage, Excel, FrontPage, Hotmail, JScript, Microsoft Press, MSDN, MSN,
Outlook, SharePoint, Visual Basic, Visual C++, Visual Studio, Win32, Windows Mobile,
Windows NT y Windows Server System son marcas registradas o marcas comerciales de
Microsoft Corporation en los EE.UU. y/o en otros países.
Todas las demás marcas son propiedad de sus respectivos propietarios.

Stop Email Virus

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Stop Email Virus

Uploaded by

Copyright:

Available Formats

Disminución y detención de los virus

transmitidos por correo electrónico en

Autor: Equipo de documentación de Exchange Server

¿Comentarios? Envíe sus comentarios a exchdocs@microsoft.com.

Disminución y detención de los virus transmitidos por correo electrónico en un entorno de

Descripción del software malintencionado y de los boletines de seguridad de Microsoft.........7

Configuración de los clientes de escritorio...............................................................................8

Pasos para proteger Outlook..................................................................................................10

Protección de Outlook Web Access........................................................................................12

Concienciación de los usuarios finales...................................................................................15

Configuraciones de Exchange Server....................................................................................16

Restricción del acceso anónimo a SMTP...............................................................................17

Bloqueo del puerto TCP 25....................................................................................................20

Uso de IPSec para bloquear el puerto TCP 25.......................................................................20

Cómo crear el objeto base de directiva de grupo...................................................................22

Cómo crear listas de filtros IPSec...........................................................................................23

Cómo crear una lista de filtros SMTP entrantes.....................................................................24

Cómo crear una lista de filtros SMTP salientes......................................................................25

Cómo crear una acción de bloqueo........................................................................................27

Cómo crear y asignar la directiva IPSec.................................................................................28

Cómo asignar una directiva IPSec.........................................................................................29

Cómo aplicar una directiva IPSec existente a otras unidades organizativas..........................30

Deshabilitación del acceso a Exchange desde versiones de Outlook no seguras.................31

Ejecución del filtro SMTP de Internet Security and Acceleration Server.................................33

Uso de grupos de distribución restringidos.............................................................................34

Exchange Server: Qué hacer cuando se produzca un ataque de virus..................................35

Descripción de la funcionalidad del modo "Activar sin excepciones" de Firewall de Windows

Limpieza del entorno de Exchange........................................................................................36

Cómo detener el flujo de correo en un conector de Exchange...............................................38

Detención del flujo de correo interno......................................................................................39

Aislamiento y limpieza de los servidores infectados...............................................................39

Cómo detener o reiniciar la transferencia de todos los mensajes de una cola.......................41

Cómo buscar y eliminar determinados mensajes de la cola SMTP........................................42

Aplicación de actualizaciones para el software antivirus........................................................43

Limpieza de las estaciones de trabajo de los usuarios...........................................................43

Restablecimiento del acceso de los usuarios a los buzones..................................................43

Restablecimiento de la conectividad de flujo de correo..........................................................43

Cómo volver a establecer el flujo de correo en un conector de Exchange.............................44

Disminución y detención de los virus

Este documento contiene recomendaciones para reforzar un entorno de Microsoft®

Si es un administrador de mensajería responsable del flujo de correo en el nivel de

Este documento contiene tres secciones principales:

• Acciones y configuraciones recomendadas: Contiene las recomendaciones que debe

• Configuraciones opcionales: Describe algunas sugerencias de configuración

• Qué hacer cuando se produzca un ataque de virus: Ofrece un conjunto de

Disminución y detención de los virus por

• Descripción del software malintencionado y de los boletines de seguridad de

• Pasos para ayudar a proteger Outlook

• Pasos para ayudar a proteger Outlook Web Access

• Entrenamiento del usuario final para que reconozca el software malintencionado

• Configuración de los servidores de Exchange

Descripción del software malintencionado

• Aprenda a distinguir un virus de un gusano, de un caballo de Troya, etc.

• Aprenda a tener actualizado el software de Microsoft con las actualizaciones más

• Para obtener más información acerca de la definición de los tipos de software

Configuración de los clientes de escritorio

Además de mantener Windows y Outlook actualizados, es fundamental que las firmas

Configuración de Firewall de Windows u otro

De manera predeterminada, Servidor de seguridad de conexión a Internet está deshabilitado

• Actualice todos los clientes de Windows al SP2 de Windows XP o implemente otro

• Diseñe un conjunto estándar de puertos permitidos. Si va a implementar Firewall de

• Implemente configuraciones de servidor de seguridad en todos los clientes. Si va a

• Para obtener más información acerca de las actualizaciones para Firewall de

Pasos para proteger Outlook