Professional Documents
Culture Documents
Microsoft Corporation
Publicación: 12 de diciembre de 2006
Descripción breve
Este documento contiene recomendaciones para reforzar un entorno de Microsoft Exchange
contra los virus y gusanos transmitidos por correo electrónico.
Contents...................................................................................................................................3
Disminución y detención de los virus por correo electrónico en Exchange Server 2003:
Acciones y configuraciones recomendadas..........................................................................7
Disminución y detención de los virus por correo electrónico en Exchange Server 2003:
Configuraciones opcionales................................................................................................19
Cómo crear una directiva IPSec para bloquear el puerto TCP 25..........................................21
Antes de empezar...............................................................................................................21
Procedimiento.....................................................................................................................22
Copyright................................................................................................................................44
6
Nota:
Descargue Disminución y detención de los virus transmitidos por correo electrónico
en un entorno de Microsoft Exchange para imprimirlo o consultarlo sin conexión.
7
Nota:
Estos temas se han escrito bajo el supuesto de que se está ejecutando software
antivirus en todos los equipos de escritorio de la organización. Por tanto, en estos
temas no se trata la implementación de software antivirus en los equipos cliente. Sin
embargo, sí se explican estrategias para ejecutar software antivirus en el entorno del
servidor de Exchange.
Una vez que tenga unos conocimientos básicos de los distintos tipos de software
malintencionado, visite el sitio Web de búsqueda de boletines de seguridad de Microsoft y
compruebe que todo el software de Microsoft que se ejecuta en su organización está
actualizado.
8
Recomendaciones
Recursos
• Para ver boletines de seguridad, visite el sitio Web "Microsoft Security Bulletin
Search".
de terceros en los equipos cliente como ayuda para disminuir o detener numerosos virus. Por
ejemplo, cuando el gusano MyDoom infecte un equipo, los puertos TCP 3127 a 3198
responderán a las solicitudes entrantes. Esta respuesta permite que un atacante pueda
conectarse al equipo y utilizarlo como proxy para tener acceso a recursos de red. La
instalación y configuración de un servidor de seguridad en los equipos cliente bloquea la
eficacia de este tipo de gusano.
Nota:
Windows ofrece tres soluciones distintas de servidor de seguridad. Servidor de
seguridad de conexión a Internet y Servidor de seguridad básico son componentes
del servicio Enrutamiento y acceso remoto de Windows Server 2003. Windows XP y
el SP1 de Windows XP incluyen Servidor de seguridad de conexión a Internet, que
es una función del Panel de control que puede utilizar para establecer restricciones
para el tráfico que puede entrar en su red desde Internet. Firewall de Windows se
refiere al servidor de seguridad incluido con el SP2 de Windows XP.
Es importante admitir que hay cientos de aplicaciones que utilizan distintos puertos para
comunicarse. Entre las aplicaciones que definen sus propios puertos se incluyen las de
mensajería instantánea, software de comunicación y de uso compartido de archivos de igual
a igual, y aplicaciones empresariales. La ejecución de Firewall de Windows o de otro
software de servidor de seguridad personal puede producir el error de estas aplicaciones.
Lea detenidamente toda la documentación del servidor de seguridad. Pruebe la
configuración antes de implementarla en su organización.
Recomendaciones
Recursos
• Para obtener más información acerca de cómo utilizar objetos de directiva de grupo
para implementar y configurar Firewall de Windows en su empresa, consulte Deploying
Windows Firewall Settings for Microsoft Windows XP with Service Pack 2.
Nota:
Aunque en esta sección se describe cómo aplicar actualizaciones de seguridad a las
versiones anteriores de Outlook, tenga en cuenta que el Service Pack 3 (SP3) de
Outlook 2000 es la versión más antigua de Outlook para la que los Servicios de
soporte técnico (PSS) de Microsoft ofrecen soporte técnico. Para obtener más
información acerca de Office y el soporte técnico, visite el sitio Web Office Family
Products Support Lifecycle FAQ.
Service Pack más recientes para las versiones compatibles de Outlook bloquean 71 tipos de
datos adjuntos.
Hoy en día, el bloqueo de datos adjuntos es esencial para todos los clientes de correo
electrónico. Sin embargo, debe seguir educando a los usuarios para que no abran datos
adjuntos procedentes de remitentes desconocidos. Para obtener más información acerca de
cómo educar a los usuarios, consulte Concienciación de los usuarios finales.
Recomendaciones
• Si está ejecutando una versión de Outlook distinta de Outlook 2003 o Outlook 2002,
descargue e implemente la actualización de seguridad para Outlook 2000 o Outlook 98.
Si está ejecutando Outlook 97, actualícese a una versión de Outlook que acepte
Protección del modelo de objetos. El SP3 de Outlook 2000, que incluye la actualización
de seguridad, es la versión más antigua de Outlook para la que Microsoft ofrece soporte
técnico.
Recursos
• Para obtener más información acerca de cómo ayudar a proteger Outlook 98,
consulte lo siguiente:
• Para obtener más información acerca de cómo ayudar a proteger Outlook 2000,
consulte lo siguiente:
.bat y .vbs. La lista predeterminada de tipos de archivos bloqueados en Outlook Web Access
incluye la lista predeterminada utilizada por Outlook 2003, así como archivos XML y
determinados tipos MIME.
Si permite el acceso a los buzones desde Internet mediante Outlook Web Access, no tendrá
control administrativo de los equipos que tienen acceso al correo. En algunos casos, como
cuando los usuarios tienen acceso a Outlook Web Access desde Internet, quizás desee
restringir la posibilidad de que los usuarios descarguen datos adjuntos desde esos equipos.
En este caso, puede configurar una clave del Registro en los servidores de aplicaciones para
usuario de Exchange que bloqueará todos los datos adjuntos en Outlook Web Access
cuando el equipo tenga acceso a Exchange mediante determinados servidores de
aplicaciones para usuario.
Outlook Web Access y Outlook Web Access con el control S/MIME se han diseñado y creado
prestando especial atención a las vulnerabilidades del Web, como secuencias de comandos
entre sitios, manipulación de IFRAME y otras actividades malintencionadas conocidas
basadas en HTML. En concreto, Outlook Web Access sólo ejecuta y muestra elementos,
atributos e información de estilo HTML que se sabe que son seguros, por lo que protege
contra el uso malintencionado de HTML de formas que antes no se conocían.
La ejecución de Outlook Web Access con el control S/MIME también aporta un nivel de
seguridad adicional para los datos adjuntos. Los datos adjuntos de correo descargados con
el control S/MIME se eliminan mejor (el espacio de direcciones de memoria se pone a cero
después de la eliminación) que los descargados con Outlook Web Access sin el control
S/MIME. La versión para el SP1 de Exchange 2003 del programa de instalación del control
S/MIME de Outlook Web Access es un archivo de Microsoft Windows Installer. Por tanto,
puede implementarse mediante Microsoft Systems Management Server (SMS) u otro
programa de administración empresarial.
14
Nota:
Como el control S/MIME es un componente instalable, quizás no sea práctico o
posible ejecutarlo en todas las situaciones de implementación, como quioscos
públicos y otras situaciones en las que el equipo cliente no puede administrarse de
forma centralizada.
Se recomienda que ejecute Outlook Web Access con el control S/MIME. El control S/MIME
sólo funciona en Internet Explorer 6 o posterior y en Windows 2000 o posterior. El control
S/MIME no funciona en otros exploradores Web ni en sistemas operativos anteriores. Como
se ha mencionado antes, la administración de actualizaciones para todo el software que se
ejecuta en la organización es una parte muy importante de la lucha contra los virus y los
gusanos. Las actualizaciones de Internet Explorer se administran mediante Windows Update.
Si tiene Windows actualizado, también dispondrá de las actualizaciones más recientes para
Internet Explorer.
Recomendaciones
• Implemente la versión para Exchange 2003 de Outlook Web Access y la versión más
reciente de Internet Explorer.
• En algunos casos, cuando no pueda controlar el equipo que tiene acceso a Outlook
Web Access desde Internet, considere la posibilidad de bloquear todos los datos
adjuntos.
• Implemente el control S/MIME de Outlook Web Access en todos los clientes que
tengan acceso al correo electrónico mediante Outlook Web Access, incluso aunque su
organización no utilice S/MIME.
Recursos
• Para obtener más información acerca de cómo examinar y actualizar los archivos y
los tipos MIME bloqueados en Outlook Web Access, consulte Exchange 2003 Security
Hardening Guide.
• Para obtener más información acerca de cómo bloquear todos los datos adjuntos
desde conexiones de servidor de aplicaciones para usuario en Outlook Web Access,
consulte el artículo 830827 de Microsoft Knowledge Base "How to manage Outlook Web
Access features in Exchange Server 2003".
Si desea darse de baja de esta lista de correo, debe responder al mensaje incluyendo
la palabra "Quitar" en la línea de asunto.
Si bien se trata de una herramienta legítima para algunas empresas acreditadas, suele ser
una forma de comprobar que una dirección de correo electrónico es válida y, por tanto, se
puede utilizar de nuevo. Probablemente la dirección se venda a otros emisores de correo no
deseado, ahora que está validada.
Los datos adjuntos son el área educativa más importante para los usuarios. Ayúdeles a
entender qué tipos de datos adjuntos se pueden abrir de forma segura. Casi todos los virus
transmitidos por correo electrónico confían en que los usuarios abran algún tipo de datos
adjuntos malintencionado para iniciar la propagación. Algunos formatos de archivo, como los
archivos .zip protegidos con contraseña, pueden estar permitidos y los detectores antivirus
de archivos no pueden detectarlos. Además, los usuarios deben conocer la existencia de
datos adjuntos con doble extensión, como los ejecutables con extensión .jpg
(NombreDeArchivo.exe.jpg), que pasan por el bloqueo de datos adjuntos como un archivo
.jpg, pero que pueden contener código malintencionado en el ejecutable.
Nota:
La concienciación de los usuarios no significa que no haya que ejecutar software
cliente antivirus en los equipos de escritorio.
16
Recomendación
Recurso
• Para obtener más información acerca de qué pueden hacer los usuarios para
combatir el correo electrónico no deseado, los virus y los gusanos, consulte Help keep
spam out of your inbox.
• No explore Internet desde el equipo donde se ejecuta Exchange, por esas mismas
razones. Una recomendación general para reducir el alcance de un ataque consiste en
reducir al mínimo las aplicaciones que se ejecutan en un servidor de Exchange.
Recomendaciones
Recursos
• Para obtener información acerca del diseño de una estrategia de software antivirus,
consulte Exchange Server 2003 Security Hardening Guide.
• Para obtener una descripción de los distintos tipos de software antivirus que puede
ejecutar en un entorno de mensajería de Exchange, consulte el artículo 823166 de
Microsoft Knowledge Base "Overview of Exchange Server 2003 and Antivirus Software".
• Para obtener más información acerca de los proveedores de antivirus que son
asociados de Microsoft, consulte el sitio Web "Exchange Server Partners: Antivirus".
Retransmisión anónima
Es esencial que no permita la retransmisión anónima en los servidores virtuales SMTP. La
retransmisión se produce cuando alguien utiliza su servidor de Exchange para enviar correo
a un dominio externo. Una retransmisión abierta permite que alguien que envía correo no
deseado utilice sus servidores SMTP externos para enviar mensajes en su nombre.
Probablemente, esta actividad hará que sus servidores de puerta de enlace aparezcan como
fuentes de retransmisión de correo no deseado en las listas de bloqueo de Internet.
Si tiene razones legítimas para realizar la retransmisión, debe seguir las directrices para
asegurarse de que se mantenga la seguridad en su implementación. Esto consiste
principalmente en dejar los valores predeterminados de denegar todo y agregar únicamente
las direcciones IP de las que aceptará correo retransmitido, y deshabilitar el acceso para los
usuarios no autenticados.
Vea cómo se utilizan en sus servidores de puerta de enlace las cuentas integradas
(Administrador local) y otros usuarios. Es improbable que utilice las cuentas integradas para
ningún tipo de retransmisión. Si está realizando retransmisión, probablemente proceda de un
conjunto conocido de usuarios o equipos. Se recomienda restringir los derechos de
retransmisión a determinados usuarios y equipos o a una dirección IP concreta.
La configuración del permiso explícito para retransmitir le ayudará aún más a proteger el
servidor. Los usuarios malintencionados pueden utilizar un ataque violento para tratar de
obtener las contraseñas de las cuentas integradas o de las cuentas de usuario existentes en
Internet, de forma que puedan utilizar su servidor como proxy para enviar correo no deseado.
Por tanto, para los equipos accesibles desde Internet no se recomienda utilizar el valor
predeterminado que permite la retransmisión a un equipo autenticado. Se recomienda
deshabilitar esta opción.
19
Recomendaciones
Recursos
Debido a la sobrecarga de administración que implica la restricción del tráfico SMTP, sólo
debe realizar esta implementación si no está ejecutando o no puede ejecutar un servidor de
seguridad personal en los equipos de escritorio. La ejecución de software antivirus además
de un servidor de seguridad personal en el equipo de escritorio le ayudará a mantener a la
mayoría de los gusanos y virus alejados de su red, o al menos los debilitará de forma que
sea más fácil quitarlos tras una infección aislada.
Es importante darse cuenta del posible impacto que puede tener en su organización la
implementación de la directiva. Si se implementa como se describe, la directiva bloquea todo
el tráfico SMTP dirigido a y procedente de todos los equipos de la unidad organizativa
Estaciones de trabajo. Si su organización utiliza IMAP o POP para el correo electrónico,
estos clientes no funcionarán. Además, otras aplicaciones (como herramientas empresariales
y proveedores de servicios de envío de correo automáticos) tampoco funcionarán si se
bloquea SMTP.
Nota:
Las directivas IPSec mediante Directiva de grupo son heredables, pero no se
combinan. Cuando se aplica más de una Directiva de grupo de IPSec, surte efecto la
última Directiva de grupo aplicada a un equipo.
Para conocer con detalle los pasos que explican cómo utilizar IPSec para bloquear el tráfico
SMTP en el puerto TCP 25, consulte Cómo crear una directiva IPSec para bloquear el puerto
TCP 25.
Recursos
Si bien los procedimientos descritos en Cómo crear una directiva IPSec para bloquear el
puerto TCP 25 realizarán el bloqueo básico del puerto TCP 25 mediante IPSec, se
recomienda que se familiarice con IPSec y otros servicios, como autenticación y cifrado, que
puede ofrecer IPSec. Los documentos siguientes son una introducción a estos temas:
• What Is IPSec?
Antes de empezar
En los procedimientos siguientes, las convenciones de nomenclatura se especifican en
cursiva y negrita. Mientras realiza los procedimientos, observe que las directivas,
descripciones y filtros a los que se hace referencia en procedimientos anteriores se
mencionan en procedimientos posteriores (también en negrita y cursiva).
22
Es recomendable que lea Disminución y detención de los virus por correo electrónico en
Exchange Server 2003: Configuraciones opcionales antes de implementar este
procedimiento.
Procedimiento
Para crear una directiva IPSec que bloquee el puerto TCP 25
1. Cree el objeto base de directiva de grupo. Para conocer los pasos detallados,
consulte Cómo crear el objeto base de directiva de grupo.
2. Cree las listas de filtros. Para conocer los pasos detallados, consulte Cómo crear
listas de filtros IPSec.
3. Cree una acción de bloqueo. Para conocer los pasos detallados, consulte Cómo
crear una acción de bloqueo.
4. Cree y asigne la directiva IPSec. Para conocer los pasos detallados, consulte
Cómo crear y asignar la directiva IPSec.
Antes de empezar
En el procedimiento de este artículo, las convenciones de nomenclatura se especifican en
cursiva y negrita. A medida que utilice el resto de los procedimientos relacionados que se
enumeran en Cómo crear una directiva IPSec para bloquear el puerto TCP 25, observe que
las directivas, descripciones y filtros a los que se hace referencia en procedimientos
anteriores se mencionan en procedimientos posteriores (también en negrita y cursiva).
La cuenta que utilice para realizar este procedimiento debe ser miembro del grupo de
seguridad Administradores de dominio en el dominio donde se ejecutará la directiva.
23
Procedimiento
Para crear el objeto base de directiva de grupo
1. Abra el complemento Usuarios y equipos de Active Directory.
2. Haga clic con el botón secundario del mouse (ratón) en la unidad organizativa
Estaciones de trabajo y seleccione Propiedades.
Antes de empezar
Es recomendable que lea Disminución y detención de los virus por correo electrónico en
Exchange Server 2003: Configuraciones opcionales antes de implementar este
procedimiento.
Procedimiento
Para crear listas de filtros IPSec
1. Debe crear una lista de filtros para bloquear las solicitudes de conexión SMTP
entrante y otra para bloquear las solicitudes de conexión SMTP saliente.
Antes de empezar
En el procedimiento de este artículo, las convenciones de nomenclatura se especifican en
cursiva y negrita. A medida que utilice el resto de los procedimientos relacionados que se
enumeran en Cómo crear una directiva IPSec para bloquear el puerto TCP 25, observe que
las directivas, descripciones y filtros a los que se hace referencia en procedimientos
anteriores se mencionan en procedimientos posteriores (también en negrita y cursiva).
Es recomendable que lea Disminución y detención de los virus por correo electrónico en
Exchange Server 2003: Configuraciones opcionales antes de implementar este
procedimiento.
Procedimiento
Para crear la lista de filtros SMTP entrantes
1. En Editor de objetos de directiva de grupo, expanda sucesivamente
Configuración del equipo, Configuración de Windows y Configuración de
seguridad.
Nota:
Si no escribe aquí una descripción, cuando solucione problemas en el futuro
25
11. En la última página, haga clic en Finalizar. En la página Lista de filtros IP, haga
clic en Aceptar.
Antes de empezar
En el procedimiento de este artículo, las convenciones de nomenclatura se especifican en
cursiva y negrita. A medida que utilice el resto de los procedimientos relacionados que se
enumeran en Cómo crear una directiva IPSec para bloquear el puerto TCP 25, observe que
las directivas, descripciones y filtros a los que se hace referencia en procedimientos
anteriores se mencionan en procedimientos posteriores (también en negrita y cursiva).
Es recomendable que lea Disminución y detención de los virus por correo electrónico en
Exchange Server 2003: Configuraciones opcionales antes de implementar este
procedimiento.
26
Procedimiento
Para crear la lista de filtros SMTP salientes
1. En Editor de objetos de directiva de grupo, expanda sucesivamente
Configuración del equipo, Configuración de Windows y Configuración de
seguridad.
Nota:
Si no escribe aquí una descripción, cuando solucione problemas en el futuro
con la herramienta Diagnósticos de red (netdiag.exe) no se mostrará el
nombre del filtro.
11. En la última página, haga clic en Finalizar. En la página Lista de filtros IP, haga
clic en Aceptar.
Antes de empezar
En el procedimiento de este artículo, las convenciones de nomenclatura se especifican en
cursiva y negrita. A medida que utilice el resto de los procedimientos relacionados que se
enumeran en Cómo crear una directiva IPSec para bloquear el puerto TCP 25, observe que
las directivas, descripciones y filtros a los que se hace referencia en procedimientos
anteriores se mencionan en procedimientos posteriores (también en negrita y cursiva).
Es recomendable que lea Disminución y detención de los virus por correo electrónico en
Exchange Server 2003: Configuraciones opcionales antes de implementar este
procedimiento.
Procedimiento
Para crear una acción de bloqueo
1. En Editor de objetos de directiva de grupo, expanda sucesivamente
Configuración del equipo, Configuración de Windows y Configuración de
seguridad.
Antes de empezar
En el procedimiento de este artículo, las convenciones de nomenclatura se especifican en
cursiva y negrita. A medida que utilice el resto de los procedimientos relacionados que se
enumeran en Cómo crear una directiva IPSec para bloquear el puerto TCP 25, observe que
las directivas, descripciones y filtros a los que se hace referencia en procedimientos
anteriores se mencionan en procedimientos posteriores (también en negrita y cursiva).
Es recomendable que lea Disminución y detención de los virus por correo electrónico en
Exchange Server 2003: Configuraciones opcionales antes de implementar este
procedimiento.
Procedimiento
Para crear la directiva IPSec
1. En Editor de objetos de directiva de grupo, expanda sucesivamente
Configuración del equipo, Configuración de Windows y Configuración de
seguridad.
Siguiente.
9. En la página Punto final del túnel, deje la selección predeterminada Esta regla
no especifica un túnel y haga clic en Siguiente.
10. En la página Tipo de red, deje la selección predeterminada Todas las
conexiones de red y haga clic en Siguiente.
11. En la página Lista de filtros IP, seleccione TCP 25 entrante y haga clic en
Siguiente.
14. Ahora debe especificar el filtro TCP 25 saliente. Siga los pasos 7 a 13. Sin
embargo, en el paso 11, seleccione TCP 25 saliente.
15. Para asignar esta directiva, consulte Cómo asignar una directiva IPSec.
Antes de empezar
En el procedimiento de este artículo, las convenciones de nomenclatura se especifican en
cursiva y negrita. A medida que utilice el resto de los procedimientos relacionados que se
enumeran en Cómo crear una directiva IPSec para bloquear el puerto TCP 25, observe que
las directivas, descripciones y filtros a los que se hace referencia en procedimientos
anteriores se mencionan en procedimientos posteriores (también en negrita y cursiva).
30
Es recomendable que lea Disminución y detención de los virus por correo electrónico en
Exchange Server 2003: Configuraciones opcionales antes de implementar este
procedimiento.
Procedimiento
Para asignar la directiva IPSec
1. En Editor de objetos de directiva de grupo, expanda sucesivamente
Configuración del equipo, Configuración de Windows y Configuración de
seguridad, y a continuación haga clic en Directivas de seguridad IP en Active
Directory.
2. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en
Directiva para bloquear el puerto TCP 25 y seleccione Asignar.
Para forzar la directiva en Windows Server 2003 y Windows XP, ejecute el comando
siguiente en la línea Ejecutar:
gpupdate /force
Para forzar la directiva en Windows 2000, ejecute el comando siguiente en la línea Ejecutar:
secedit /refreshpolicy machine_policy /enforce
Antes de empezar
En el procedimiento de este artículo, las convenciones de nomenclatura se especifican en
cursiva y negrita. A medida que utilice el resto de los procedimientos relacionados que se
enumeran en Cómo crear una directiva IPSec para bloquear el puerto TCP 25, observe que
las directivas, descripciones y filtros a los que se hace referencia en procedimientos
anteriores se mencionan en procedimientos posteriores (también en negrita y cursiva).
Es recomendable que lea Disminución y detención de los virus por correo electrónico en
Exchange Server 2003: Configuraciones opcionales antes de implementar este
procedimiento.
Procedimiento
Para aplicar la directiva IPSec a otras unidades organizativas
1. Abra Usuarios y equipos de Active Directory con una cuenta que tenga
privilegios Administradores de dominio.
2. Haga clic con el botón secundario del mouse (ratón) en la unidad organizativa
Servidores miembro\Impresión y seleccione Propiedades.
Recomendación
Recurso
Para ayudar a protegerse contra todas las versiones obsoletas de Outlook (Outlook 98
sin ninguna actualización de seguridad instalada y las versiones anteriores), no permita
la conexión a Exchange de ninguna de las versiones de Outlook cuyos números de
compilación sean iguales o menores que 5.5.2178.0. Los datos de valor especificados en
el artículo 288894 de Microsoft Knowledge Base son los siguientes:
Value name: Disable MAPI Clients
Value type: REG_SZ
Value data: -5.2178.0
clave del Registro para bloquear determinados intervalos de clientes de Outlook frente a
los equipos que ejecutan Exchange 2000 o posterior.
Los Servicios de soporte técnico de Microsoft no ofrecen soporte técnico para los
clientes de Outlook anteriores al SP3 de Outlook 2000. El SP3 de Outlook 2000 contiene
la actualización de seguridad de Outlook 2000.
Los servidores de Exchange 2000 requieren el reinicio del proceso de almacén después
de hacer un cambio en este valor del Registro. Sin embargo, en la versión comercial
original de Exchange 2003 y en las versiones posteriores, la implementación de este
parámetro se aplica de forma dinámica en los 15 minutos posteriores al cambio.
Los servidores de seguridad de filtrado de la capa de aplicación utilizan las funciones de los
servidores de seguridad de filtrado convencionales y exigen tanto estados de conexión
válidos como comunicaciones de la capa de aplicación válidas. Los atacantes utilizan
diversos métodos específicos de la capa de aplicación para explotar debilidades conocidas y
34
Recomendación
Recurso
Nota:
Las direcciones Web pueden cambiar, por lo que quizás no pueda conectarse al
sitio Web mencionado aquí.
Nota:
Tenga en cuenta que muchos emisores de correo no deseado utilizan ataques de
diccionario como mecanismo para llegar a los destinatarios. Un ataque de
diccionario utiliza software que abre una conexión con el servidor de correo de
destino y envía rápidamente millones de direcciones de correo electrónico
generadas aleatoriamente. Esta técnica es efectiva porque los grupos de distribución
suelen estar representados por un alias que suele ser una palabra frecuente.
Para conocer los pasos detallados, consulte "How to Set a Distribution List as Restricted" en
Microsoft Exchange Server 2003 Security Hardening Guide.
Recurso
35
Esta sección ofrece información más detallada acerca de lo que puede hacer cuando haya
un virus en su organización. Las dos acciones principales que debe realizar son las
siguientes:
Nota:
Si implementa las recomendaciones recogidas en la sección Acciones y
configuraciones recomendadas de este documento, es improbable que un virus
transmitido por correo electrónico sea suficientemente robusto como para requerir el
apagado de los servicios de correo. Sin embargo, en caso de que tenga ese tipo de
virus, quizás tenga que detener el flujo de correo hacia y desde Internet hasta que
pueda contener la amenaza.
limitará su eficacia. Al igual que ocurre con otras funciones de Firewall de Windows en el
SP2 de Windows XP, el modo "Activar sin excepciones" se puede alternar mediante Directiva
de grupo.
Recomendaciones
Recurso
• Para obtener más información acerca de cómo utilizar objetos de directiva de grupo
para implementar Firewall de Windows en su empresa, consulte Deploying Windows
Firewall Settings for Microsoft Windows XP with Service Pack 2.
Importante:
Aunque en esta sección se describe cómo cerrar el flujo de correo, no se
recomienda hacerlo siempre que haya un virus que se transmita por correo
electrónico, especialmente si ese tipo de brote se produce durante un período pico
de uso del correo y si el nivel de interrupción causado por el virus no justifica una
respuesta tan rotunda. Sin embargo, hay brotes de virus tan dañinos que pueden
justificar el corte del flujo de correo. Esta sección se ha escrito pensando en ese tipo
de brote.
El método aquí descrito supone una infección tan extendida como la que produjo un brote
tipo "Melissa" o "ILOVEYOU". Al responder a este tipo de brotes, sus objetivos son cortar el
flujo de correo hacia y desde Internet, limpiar y aislar los servidores, ejecutar actualizaciones
del software antivirus y volver a establecer el flujo de correo. Para lograr estos objetivos, siga
estos pasos:
a. Aplique las definiciones antivirus más recientes a todos los productos antivirus
(por ejemplo, en el nivel de archivos, AVAPI, puertas de enlace y servidores de
buzones).
b. Ejecute herramientas antivirus para comprobar que los equipos están limpios.
5. Limpie las estaciones de trabajo de los usuarios y actualice las definiciones del
software antivirus.
El método recomendado para detener el flujo de correo hacia Internet es deshabilitar las
conexiones SMTP que conectan su organización con Internet. Puede hacerlo si configura la
hora de conexión de los conectores como Nunca se ejecuta. Para conocer los pasos
detallados, consulte Cómo detener el flujo de correo en un conector de Exchange.
Este método también le ofrece flexibilidad para permitir opcionalmente que el correo de
Internet fluya hacia el grupo de enrutamiento expuesto a Internet y la cola hasta que se
restaure el servicio de correo. Sin embargo, si el grupo de enrutamiento de Internet está muy
infectado, puede limpiar primero los grupos de enrutamiento internos y crear después un
grupo de enrutamiento saliente temporal para permitir el flujo de correo a través de la
conexión alternativa.
Antes de empezar
Para detener todo el flujo de correo desde y hacia Internet, realice el siguiente procedimiento
en cada conector de Internet.
Procedimiento
Para detener el flujo de correo en un conector
1. En el Administrador del sistema de Exchange, haga clic con el botón
secundario del mouse (ratón) en el conector en el que desee deshabilitar el flujo de
correo y, a continuación, haga clic en Propiedades.
Limpieza de buzones
Después de eliminar los mensajes con virus de las colas, debe desinfectar los buzones. La
mejor forma de hacerlo es mediante una solución antivirus de terceros. Para obtener
información acerca de los productos antivirus que funcionan con Exchange 2003, consulte el
sitio Web "Exchange Server Partners: Antivirus".
Desinfección de servidores
Después de eliminar los mensajes que contienen virus de los servidores de Exchange, y
antes de volver a poner los servidores en conexión, debe desinfectar los servidores. En este
contexto, la desinfección de los servidores implica una detección de nivel de archivos para
asegurarse de que el propio servidor no está infectado con el virus. Puede hacerlo
manualmente si sigue las instrucciones disponibles en numerosos sitios Web relacionados
con virus para el virus específico de que se trate o si ejecuta software antivirus en los
archivos del equipo con Exchange y actualiza la firma de virus.
41
Procedimiento
Para detener o reiniciar la transferencia de todos los mensajes de una cola
1. En el Administrador del sistema de Exchange, vaya al Visor de cola mediante
una de las acciones siguientes:
Nota:
No se pueden inmovilizar las colas de X.400.
3. Haga clic con el botón secundario del mouse (ratón) en la cola y seleccione una
de las siguientes opciones:
Procedimiento
Para buscar y eliminar determinados mensajes de la cola SMTP
1. En el Administrador del sistema de Exchange, vaya al Visor de cola mediante
una de las acciones siguientes:
Nota:
El campo del mensaje que probablemente identificará mejor el virus es
Asunto. Como no hay ningún mecanismo para buscar por el asunto, debe
configurar el campo Número de mensajes que se mostrarán en la
búsqueda con su valor máximo y, después, el campo Mostrar mensajes
cuyo estado sea como Todos los mensajes. Estas opciones devolverán
todos los mensajes (hasta 10000) de la cola. Ahora puede ordenar los
mensajes por asunto si hace clic en Asunto en la sección Resultados de la
búsqueda del cuadro de diálogo.
6. Seleccione los mensajes que desee eliminar, haga clic con el botón secundario
del mouse (ratón) y, a continuación, haga clic en Eliminar (no NDR).
43
• Servidores de Exchange
Restablecimiento de la conectividad de
flujo de correo
Cuando su entorno esté libre de infección, puede volver a establecer la conectividad de flujo
de correo en su red interna y en Internet. Para conocer los pasos detallados, consulte Cómo
volver a establecer el flujo de correo en un conector de Exchange.
44
Procedimiento
Para volver a establecer el flujo de correo en un conector
1. En el Administrador del sistema de Exchange, haga clic con el botón
secundario del mouse (ratón) en el conector en el que desee deshabilitar el flujo de
correo y, después, haga clic en Propiedades.
Copyright
La información contenida en este documento representa la visión actual de Microsoft
Corporation acerca de los asuntos tratados hasta la fecha de su publicación. Como
Microsoft debe responder a condiciones de mercado variables, no debe interpretarse como
un compromiso por parte de Microsoft y Microsoft no puede garantizar la precisión de la
información que se presenta después de la fecha de publicación.
propósito, sin la previa autorización por escrito de Microsoft Corporation, sin que ello
suponga ninguna limitación a los derechos de propiedad industrial o intelectual.
Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor, u
otros derechos de propiedad industrial o intelectual sobre los contenidos de este documento.
El suministro de este documento no le otorga ninguna licencia sobre estas patentes, marcas,
derechos de autor, u otros derechos de propiedad intelectual, a menos que ello se prevea en
un contrato por escrito de licencia de Microsoft.
Microsoft, MS-DOS, Windows, Windows Server, Windows Vista, Active Directory, ActiveSync,
ActiveX, Entourage, Excel, FrontPage, Hotmail, JScript, Microsoft Press, MSDN, MSN,
Outlook, SharePoint, Visual Basic, Visual C++, Visual Studio, Win32, Windows Mobile,
Windows NT y Windows Server System son marcas registradas o marcas comerciales de
Microsoft Corporation en los EE.UU. y/o en otros países.