Disminución y detención de los virus transmitidos por correo electrónico en un entorno de Microsoft Exchange

Microsoft Corporation Publicación: 12 de diciembre de 2006 Autor: Equipo de documentación de Exchange Server

Descripción breve
Este documento contiene recomendaciones para reforzar un entorno de Microsoft Exchange contra los virus y gusanos transmitidos por correo electrónico. ¿Comentarios? Envíe sus comentarios a exchdocs@microsoft.com.

Contents
Disminución y detención de los virus transmitidos por correo electrónico en un entorno de Microsoft Exchange...............................................................................................................1 Contents...................................................................................................................................3 Disminución y detención de los virus transmitidos por correo electrónico en un entorno de Exchange..............................................................................................................................6 Disminución y detención de los virus por correo electrónico en Exchange Server 2003: Acciones y configuraciones recomendadas..........................................................................7 Descripción del software malintencionado y de los boletines de seguridad de Microsoft.........7 Configuración de los clientes de escritorio...............................................................................8 Configuración de Firewall de Windows u otro software de servidor de seguridad personal..8 Pasos para proteger Outlook..................................................................................................10 Bloqueo de datos adjuntos en Outlook................................................................................10 Protección del modelo de objetos........................................................................................11 Protección de Outlook Web Access........................................................................................12 Bloqueo de datos adjuntos en Outlook Web Access...........................................................12 Configuración de las zonas de seguridad de Internet Explorer...........................................13 Concienciación de los usuarios finales...................................................................................15 Configuraciones de Exchange Server....................................................................................16 Implementación de software antivirus en la puerta de enlace SMTP o en los servidores de buzones...........................................................................................................................16 Restricción del acceso anónimo a SMTP...............................................................................17 Retransmisión anónima.......................................................................................................18 Acceso anónimo SMTP.......................................................................................................19 Disminución y detención de los virus por correo electrónico en Exchange Server 2003: Configuraciones opcionales................................................................................................19 Bloqueo del puerto TCP 25....................................................................................................20 Uso de IPSec para bloquear el puerto TCP 25.......................................................................20 Cómo crear una directiva IPSec para bloquear el puerto TCP 25..........................................21 Antes de empezar...............................................................................................................21

Procedimiento.....................................................................................................................22 Cómo crear el objeto base de directiva de grupo...................................................................22 Antes de empezar...............................................................................................................22 Procedimiento.....................................................................................................................23 Cómo crear listas de filtros IPSec...........................................................................................23 Antes de empezar...............................................................................................................23 Procedimiento.....................................................................................................................23 Cómo crear una lista de filtros SMTP entrantes.....................................................................24 Antes de empezar...............................................................................................................24 Procedimiento.....................................................................................................................24 Para obtener más información............................................................................................25 Cómo crear una lista de filtros SMTP salientes......................................................................25 Antes de empezar...............................................................................................................25 Procedimiento.....................................................................................................................26 Para obtener más información............................................................................................26 Cómo crear una acción de bloqueo........................................................................................27 Antes de empezar...............................................................................................................27 Procedimiento.....................................................................................................................27 Cómo crear y asignar la directiva IPSec.................................................................................28 Antes de empezar...............................................................................................................28 Procedimiento.....................................................................................................................28 Cómo asignar una directiva IPSec.........................................................................................29 Antes de empezar...............................................................................................................29 Procedimiento.....................................................................................................................30 Cómo aplicar una directiva IPSec existente a otras unidades organizativas..........................30 Antes de empezar...............................................................................................................31 Procedimiento.....................................................................................................................31 Deshabilitación del acceso a Exchange desde versiones de Outlook no seguras.................31 Ejecución del filtro SMTP de Internet Security and Acceleration Server.................................33 Uso de grupos de distribución restringidos.............................................................................34 Exchange Server: Qué hacer cuando se produzca un ataque de virus..................................35 Descripción de la funcionalidad del modo "Activar sin excepciones" de Firewall de Windows ............................................................................................................................................35 Limpieza del entorno de Exchange........................................................................................36

Detención del flujo de correo de Internet................................................................................37 Consolidación de los servidores de Exchange expuestos a Internet..................................37 Cómo detener el flujo de correo en un conector de Exchange...............................................38 Antes de empezar...............................................................................................................38 Procedimiento.....................................................................................................................38 Para obtener más información............................................................................................38 Detención del flujo de correo interno......................................................................................39 Aislamiento y limpieza de los servidores infectados...............................................................39 Deshabilitación del acceso de los usuarios a Exchange.....................................................39 Limpieza de la infraestructura de mensajería......................................................................40 Cómo detener o reiniciar la transferencia de todos los mensajes de una cola.......................41 Procedimiento.....................................................................................................................41 Para obtener más información............................................................................................41 Cómo buscar y eliminar determinados mensajes de la cola SMTP........................................42 Procedimiento.....................................................................................................................42 Aplicación de actualizaciones para el software antivirus........................................................43 Limpieza de las estaciones de trabajo de los usuarios...........................................................43 Restablecimiento del acceso de los usuarios a los buzones..................................................43 Restablecimiento de la conectividad de flujo de correo..........................................................43 Cómo volver a establecer el flujo de correo en un conector de Exchange.............................44 Procedimiento.....................................................................................................................44 Para obtener más información............................................................................................44 Copyright................................................................................................................................44

6

Disminución y detención de los virus transmitidos por correo electrónico en un entorno de Exchange
Los virus y gusanos transmitidos por correo electrónico se han convertido en una realidad destructiva contra la que luchan muchos administradores de Microsoft Exchange. Este documento contiene recomendaciones para reforzar un entorno de Microsoft® Exchange contra los virus y gusanos transmitidos por correo electrónico. Se incluyen recursos sobre los detalles de implementación relacionados con esas recomendaciones. Si es un administrador de mensajería responsable del flujo de correo en el nivel de implementación, este documento es muy importante porque sus recomendaciones y la información que contiene le ayudarán a ofrecer un mayor nivel de servicio a sus clientes. Si es un arquitecto de mensajería, esta información le será útil a la hora de diseñar una topología y una solución de mensajería. Si es un administrador de sistemas de escritorio, lea este artículo para ver sugerencias de cómo mantener un entorno informático libre de virus para sus clientes. Si es miembro del equipo de mensajería, la decisión que tome acerca del software antivirus debe encajar dentro de la solución antivirus global implementada en los equipos de escritorio. Si es un administrador de red o de servidor de seguridad para el servicio de directorio Microsoft Active Directory, también le será útil entender las recomendaciones contenidas en este documento. Este documento contiene tres secciones principales: • Acciones y configuraciones recomendadas: Contiene las recomendaciones que debe implementar para reducir al mínimo el impacto de los virus y gusanos en el entorno de correo electrónico. • Configuraciones opcionales: Describe algunas sugerencias de configuración alternativas o de menor prioridad que debe implementar si no puede implementar todas las recomendaciones recogidas en la primera sección. • Qué hacer cuando se produzca un ataque de virus: Ofrece un conjunto de recomendaciones y procedimientos para actuar en caso de que se produzca un brote de virus. Es fundamental que lea esta sección y que elabore un plan antes de que se produzca un brote real. Nota: Descargue Disminución y detención de los virus transmitidos por correo electrónico en un entorno de Microsoft Exchange para imprimirlo o consultarlo sin conexión.

7

Disminución y detención de los virus por correo electrónico en Exchange Server 2003: Acciones y configuraciones recomendadas
Las recomendaciones de este tema ayudarán a detener y disminuir la propagación de los virus transmitidos por correo electrónico. Estas recomendaciones se refieren a lo siguiente: • Descripción del software malintencionado y de los boletines de seguridad de Microsoft • • • • • Configuración de los clientes de escritorio, incluyendo servidores de seguridad Pasos para ayudar a proteger Outlook Pasos para ayudar a proteger Outlook Web Access Entrenamiento del usuario final para que reconozca el software malintencionado Configuración de los servidores de Exchange

Nota: Estos temas se han escrito bajo el supuesto de que se está ejecutando software antivirus en todos los equipos de escritorio de la organización. Por tanto, en estos temas no se trata la implementación de software antivirus en los equipos cliente. Sin embargo, sí se explican estrategias para ejecutar software antivirus en el entorno del servidor de Exchange.

Descripción del software malintencionado y de los boletines de seguridad de Microsoft
Existen muchas clases de software malintencionado, también conocido como malware. En general, este documento se refiere al software malintencionado que se transmite por correo electrónico, y que se propaga a sí mismo en forma de virus y gusanos. Es útil entender la terminología básica empleada para los distintos tipos de software malintencionado. Una vez que tenga unos conocimientos básicos de los distintos tipos de software malintencionado, visite el sitio Web de búsqueda de boletines de seguridad de Microsoft y compruebe que todo el software de Microsoft que se ejecuta en su organización está actualizado.

8

Recomendaciones • Aprenda a distinguir un virus de un gusano, de un caballo de Troya, etc.

• Aprenda a tener actualizado el software de Microsoft con las actualizaciones más recientes. Ésta es una de las acciones más importantes que puede realizar para ayudar a disminuir y detener los virus. Recursos • Para obtener más información acerca de la definición de los tipos de software malintencionado, visite el sitio Web "Defining Malware: FAQ". • Para ver boletines de seguridad, visite el sitio Web "Microsoft Security Bulletin Search".

Configuración de los clientes de escritorio
Las versiones y los Service Pack más recientes de Microsoft Windows y Microsoft Office Outlook incluyen muchas mejoras de seguridad y de lucha contra virus. Por ejemplo, a partir de Outlook 2002, el bloqueo de datos adjuntos y la Protección del modelo de objetos están incluidos y habilitados de manera predeterminada. El Service Pack 2 (SP2) de Windows XP incluye Firewall de Windows, llamado anteriormente Servidor de seguridad de conexión a Internet, integrado en la página de propiedades de red. En algunos casos, esta funcionalidad puede aplicarse a las versiones anteriores del software de Microsoft mediante actualizaciones. Sin embargo, para ayudar a mantener un entorno seguro, se recomienda que ejecute las versiones más recientes de Windows y Outlook. Esta sección contiene recomendaciones para las actualizaciones de clientes específicas de Windows y de Outlook, con vínculos a información de implementación más detallada. Además de mantener Windows y Outlook actualizados, es fundamental que las firmas antivirus estén actualizadas en toda la organización. También es muy importante implementar una solución agresiva de administración de actualizaciones para el software utilizado en la organización. Para obtener información acerca de la administración de actualizaciones para software de Microsoft, consulte Understanding Patch and Update Management: Microsoft's Software Update Strategy.

Configuración de Firewall de Windows u otro software de servidor de seguridad personal
El SP2 de Windows XP incluye Firewall de Windows (llamado anteriormente Servidor de seguridad de conexión a Internet), que permite a los usuarios bloquear el tráfico en los puertos que se utilizan con poca frecuencia con sólo activar una casilla de verificación. Es fundamental ejecutar Firewall de Windows u otro software de servidor de seguridad personal

9

de terceros en los equipos cliente como ayuda para disminuir o detener numerosos virus. Por ejemplo, cuando el gusano MyDoom infecte un equipo, los puertos TCP 3127 a 3198 responderán a las solicitudes entrantes. Esta respuesta permite que un atacante pueda conectarse al equipo y utilizarlo como proxy para tener acceso a recursos de red. La instalación y configuración de un servidor de seguridad en los equipos cliente bloquea la eficacia de este tipo de gusano. Nota: Windows ofrece tres soluciones distintas de servidor de seguridad. Servidor de seguridad de conexión a Internet y Servidor de seguridad básico son componentes del servicio Enrutamiento y acceso remoto de Windows Server 2003. Windows XP y el SP1 de Windows XP incluyen Servidor de seguridad de conexión a Internet, que es una función del Panel de control que puede utilizar para establecer restricciones para el tráfico que puede entrar en su red desde Internet. Firewall de Windows se refiere al servidor de seguridad incluido con el SP2 de Windows XP. De manera predeterminada, Servidor de seguridad de conexión a Internet está deshabilitado en Windows XP y en el SP1 de Windows XP. De manera predeterminada, en el SP2 de Windows XP Firewall de Windows está habilitado para todas las conexiones. Además, Firewall de Windows puede administrarse ahora mediante objetos de directiva de grupo (GPO), lo que permite a los administradores configurar distintos niveles de protección según la ubicación de los equipos móviles. Por ejemplo, suponga una situación en la que un equipo portátil está conectado al dominio de una empresa. Las restricciones de puertos pueden ser menores que si ese equipo portátil estuviera conectado a un punto de acceso a Internet público inalámbrico. Es importante admitir que hay cientos de aplicaciones que utilizan distintos puertos para comunicarse. Entre las aplicaciones que definen sus propios puertos se incluyen las de mensajería instantánea, software de comunicación y de uso compartido de archivos de igual a igual, y aplicaciones empresariales. La ejecución de Firewall de Windows o de otro software de servidor de seguridad personal puede producir el error de estas aplicaciones. Lea detenidamente toda la documentación del servidor de seguridad. Pruebe la configuración antes de implementarla en su organización. Recomendaciones • Actualice todos los clientes de Windows al SP2 de Windows XP o implemente otro software de servidor de seguridad personal de terceros. • Diseñe un conjunto estándar de puertos permitidos. Si va a implementar Firewall de Windows de Windows XP, defina los puertos permitidos para los casos de "Dominio" y "Móvil". • Implemente configuraciones de servidor de seguridad en todos los clientes. Si va a implementar Firewall de Windows de Windows XP, implemente la configuración de cliente mediante objetos de directiva de grupo.

10

Recursos • Para obtener más información acerca de las actualizaciones para Firewall de Windows del SP2 de Windows XP, consulte Changes to Functionality in Microsoft Windows XP Service Pack 2. • Para obtener más información acerca de cómo utilizar objetos de directiva de grupo para implementar y configurar Firewall de Windows en su empresa, consulte Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2.

Pasos para proteger Outlook
Como se ha mencionado anteriormente, la actualización a la versión más reciente de Outlook y la obtención periódica de actualizaciones ofrecen a los equipos de escritorio cliente la protección contra virus más actualizada para Outlook. El bloqueo de datos adjuntos y la Protección del modelo de objetos son funciones importantes de Outlook que ayudan a disminuir o detener la propagación de virus. En esta sección se explica cómo estas dos funciones protegen al cliente de Outlook y qué versiones de Outlook se pueden actualizar para incluir estas funciones. Nota: Aunque en esta sección se describe cómo aplicar actualizaciones de seguridad a las versiones anteriores de Outlook, tenga en cuenta que el Service Pack 3 (SP3) de Outlook 2000 es la versión más antigua de Outlook para la que los Servicios de soporte técnico (PSS) de Microsoft ofrecen soporte técnico. Para obtener más información acerca de Office y el soporte técnico, visite el sitio Web Office Family Products Support Lifecycle FAQ.

Bloqueo de datos adjuntos en Outlook
Un método que los autores de virus suelen emplear para transportar virus es incluir el virus en un dato adjunto. Por ejemplo, se puede transmitir un virus si se adjunta un programa ejecutable (.exe) a un mensaje de correo electrónico. En algunos casos, se pueden enviar virus incrustándolos en una macro, que los usuarios perciben como un documento seguro (como un archivo de Microsoft Word o de Excel). La funcionalidad de bloqueo de datos adjuntos es una de las medidas disuasorias más eficaces contra los virus que se propagan por correo electrónico. De manera predeterminada, Outlook 2003 y Outlook 2002 incluyen la funcionalidad de bloqueo de datos adjuntos para protegerse contra ese tipo de virus. Para habilitar el bloqueo de datos adjuntos en Outlook 2000, Outlook 98 y Outlook 97, debe descargar e instalar la actualización de seguridad específica de la versión que desea proteger. De manera predeterminada, los

11

Service Pack más recientes para las versiones compatibles de Outlook bloquean 71 tipos de datos adjuntos. Hoy en día, el bloqueo de datos adjuntos es esencial para todos los clientes de correo electrónico. Sin embargo, debe seguir educando a los usuarios para que no abran datos adjuntos procedentes de remitentes desconocidos. Para obtener más información acerca de cómo educar a los usuarios, consulte Concienciación de los usuarios finales.

Protección del modelo de objetos
Protección del modelo de objetos protege el acceso a datos de la libreta de direcciones, datos de destinatario de un elemento y el envío mediante programación de mensajes de correo electrónico en Outlook. Protección del modelo de objetos se aplica al modelo de objetos de Outlook y a Simple MAPI. Cuando la Protección del modelo de objetos está habilitada, se avisará al usuario si alguna aplicación intenta enviar un mensaje de correo electrónico desde el perfil del buzón. Este mismo comportamiento se produce cuando otros procesos distintos de Outlook intentan tener acceso a la Libreta de direcciones. El usuario puede establecer un intervalo de tiempo para que un proceso especificado tenga acceso al modelo de objetos o a la Libreta de direcciones de Outlook. Es importante entender que Protección del modelo de objetos no impide que un usuario envíe un virus. En su lugar, impide que los procesos automáticos tengan acceso al modelo de objetos y a la Libreta de direcciones. De manera predeterminada, la Protección del modelo de objetos se instala y está habilitada en Outlook 2003 y Outlook 2002. Para habilitar esta función en Outlook 2000 o Outlook 98, debe descargar la actualización de seguridad específica de la versión que desee proteger. Protección del modelo de objetos no se incluye en la actualización de seguridad de Outlook 97. Recomendaciones • Actualícese a Outlook 2003 o bien, si está ejecutando Outlook 2002, asegúrese de que lo tiene actualizado con los Service Pack y las actualizaciones más recientes. • Si está ejecutando una versión de Outlook distinta de Outlook 2003 o Outlook 2002, descargue e implemente la actualización de seguridad para Outlook 2000 o Outlook 98. Si está ejecutando Outlook 97, actualícese a una versión de Outlook que acepte Protección del modelo de objetos. El SP3 de Outlook 2000, que incluye la actualización de seguridad, es la versión más antigua de Outlook para la que Microsoft ofrece soporte técnico. Recursos • Para obtener más información acerca de Protección del modelo de objetos y el bloqueo de datos adjuntos en Outlook 2003 y Outlook 2002, visite el sitio Web "How Outlook helps to protect your computer from viruses".

12

• Para obtener más información acerca de cómo personalizar las actualizaciones de seguridad de Outlook 2000 o Outlook 98, consulte el sitio Web "Customizing the Outlook 98/2000 E-mail Security Update". • Para obtener más información acerca de cómo implementar y administrar las actualizaciones de seguridad de Outlook, visite el sitio Web "Microsoft Office Resource Kit Toolbox". • Para obtener más información acerca de cómo ayudar a proteger Outlook 98, consulte lo siguiente: • • • Outlook 98 Update E-mail Security Outlook 98 Update: Java Permissions Security Outlook 98 E-mail Security Update International Releases

• Para obtener más información acerca de cómo ayudar a proteger Outlook 2000, consulte lo siguiente: • Outlook 2000 SR1: Extended E-mail Security Update

• Microsoft Outlook 2000 SR1 E-mail Security Update for MultiLanguage PackMicrosoft Outlook 2000 SR1 E-mail Security Update for MultiLanguage Pack • Artículo 263297 de Microsoft Knowledge Base "OL 2000: Administrator information about the Outlook E-mail Security update" • Office 2000 Update: Service Pack 3 (SP3), que incluye la actualización de seguridad extendida para correo electrónico de Outlook 2000. Es la versión más antigua de Office para la que Microsoft ofrece soporte técnico.

Protección de Outlook Web Access
Si está utilizando Outlook Web Access en su organización, examine la configuración del bloqueo de datos adjuntos y de las zonas de seguridad de Internet Explorer.

Bloqueo de datos adjuntos en Outlook Web Access
En el Service Pack 2 (SP2) de Exchange 2000, Outlook Web Access presentaba la posibilidad de bloquear datos adjuntos por tipo de archivo y por tipo de Extensiones multipropósito de correo Internet (MIME). De manera predeterminada, en Outlook Web Access 2003 y en Outlook Web Access para Exchange 2000, el bloqueo de datos adjuntos está habilitado. Con esta configuración predeterminada, los usuarios pueden enviar cualquier tipo de datos adjuntos pero no recibirán tipos de archivos peligrosos, como archivos .exe,

13

.bat y .vbs. La lista predeterminada de tipos de archivos bloqueados en Outlook Web Access incluye la lista predeterminada utilizada por Outlook 2003, así como archivos XML y determinados tipos MIME. El bloqueo de datos adjuntos en Outlook Web Access se configura en el servidor de Exchange mediante el Registro. Esta configuración puede implementarse como un objeto de directiva de grupo (GPO) para asegurar su coherencia. Si permite el acceso a los buzones desde Internet mediante Outlook Web Access, no tendrá control administrativo de los equipos que tienen acceso al correo. En algunos casos, como cuando los usuarios tienen acceso a Outlook Web Access desde Internet, quizás desee restringir la posibilidad de que los usuarios descarguen datos adjuntos desde esos equipos. En este caso, puede configurar una clave del Registro en los servidores de aplicaciones para usuario de Exchange que bloqueará todos los datos adjuntos en Outlook Web Access cuando el equipo tenga acceso a Exchange mediante determinados servidores de aplicaciones para usuario.

Configuración de las zonas de seguridad de Internet Explorer
Como Outlook Web Access es una aplicación que se ejecuta en Internet Explorer, es importante tener en cuenta la configuración de Internet Explorer en el contexto de la lucha contra los virus. Se recomienda que configure las zonas de seguridad de Internet Explorer de la manera más restrictiva que permita la funcionalidad de los requisitos de sus clientes. Como mínimo, implemente el SP1 de Internet Explorer 6.0 en su configuración predeterminada, que configura la zona Internet con un nivel de seguridad Medio y la zona Intranet con un nivel de seguridad Medio-Bajo. Outlook Web Access y Outlook Web Access con el control S/MIME se han diseñado y creado prestando especial atención a las vulnerabilidades del Web, como secuencias de comandos entre sitios, manipulación de IFRAME y otras actividades malintencionadas conocidas basadas en HTML. En concreto, Outlook Web Access sólo ejecuta y muestra elementos, atributos e información de estilo HTML que se sabe que son seguros, por lo que protege contra el uso malintencionado de HTML de formas que antes no se conocían. La ejecución de Outlook Web Access con el control S/MIME también aporta un nivel de seguridad adicional para los datos adjuntos. Los datos adjuntos de correo descargados con el control S/MIME se eliminan mejor (el espacio de direcciones de memoria se pone a cero después de la eliminación) que los descargados con Outlook Web Access sin el control S/MIME. La versión para el SP1 de Exchange 2003 del programa de instalación del control S/MIME de Outlook Web Access es un archivo de Microsoft Windows Installer. Por tanto, puede implementarse mediante Microsoft Systems Management Server (SMS) u otro programa de administración empresarial.

14

Nota: Como el control S/MIME es un componente instalable, quizás no sea práctico o posible ejecutarlo en todas las situaciones de implementación, como quioscos públicos y otras situaciones en las que el equipo cliente no puede administrarse de forma centralizada. Se recomienda que ejecute Outlook Web Access con el control S/MIME. El control S/MIME sólo funciona en Internet Explorer 6 o posterior y en Windows 2000 o posterior. El control S/MIME no funciona en otros exploradores Web ni en sistemas operativos anteriores. Como se ha mencionado antes, la administración de actualizaciones para todo el software que se ejecuta en la organización es una parte muy importante de la lucha contra los virus y los gusanos. Las actualizaciones de Internet Explorer se administran mediante Windows Update. Si tiene Windows actualizado, también dispondrá de las actualizaciones más recientes para Internet Explorer. Recomendaciones • Implemente la versión para Exchange 2003 de Outlook Web Access y la versión más reciente de Internet Explorer. • Seguramente la lista predeterminada de bloqueo de archivos y tipos MIME será suficiente para su organización. Sin embargo, quizás desee examinar, actualizar e implementar los archivos y los tipos MIME bloqueados para Outlook Web Access. Mantenga coherencia entre los tipos de archivos bloqueados en Outlook Web Access y los tipos de archivos bloqueados en Outlook. • En algunos casos, cuando no pueda controlar el equipo que tiene acceso a Outlook Web Access desde Internet, considere la posibilidad de bloquear todos los datos adjuntos. • Defina el nivel correcto de seguridad para Internet Explorer en su organización e implemente una configuración estándar en los equipos de escritorio. • Implemente el control S/MIME de Outlook Web Access en todos los clientes que tengan acceso al correo electrónico mediante Outlook Web Access, incluso aunque su organización no utilice S/MIME. Recursos • Para obtener más información acerca de cómo implementar y actualizarse a Exchange 2003 y Outlook Web Access, consulte Exchange Server 2003 Deployment Guide. • Para obtener más información acerca de la implementación de Internet Explorer, visite el sitio Web "Microsoft Internet Explorer 6.0 Administrative Kit Service Pack 1" y, a continuación, haga clic en "Redistributing Internet Explorer".

15

• Para obtener más información acerca de cómo examinar y actualizar los archivos y los tipos MIME bloqueados en Outlook Web Access, consulte Exchange 2003 Security Hardening Guide. • Para obtener más información acerca de cómo bloquear todos los datos adjuntos desde conexiones de servidor de aplicaciones para usuario en Outlook Web Access, consulte el artículo 830827 de Microsoft Knowledge Base "How to manage Outlook Web Access features in Exchange Server 2003". • Para obtener más información acerca de cómo entender, configurar e implementar las zonas de seguridad de Internet Explorer, consulte el sitio Web "Microsoft Internet Explorer 6.0 Administration Kit Service Pack 1" y, a continuación, haga clic en "Security".

Concienciación de los usuarios finales
Normalmente, los virus y los gusanos entran en su red a través de mensajes de correo electrónico no solicitado, también conocidos como correo no deseado o spam. La educación de los usuarios sobre cómo tratar el correo no deseado puede ayudar de forma eficaz a reducir la posibilidad de que entren virus y gusanos en su organización. El correo no deseado suele ser el resultado de tácticas de ingeniería social empleadas contra sus usuarios. Por ejemplo, sus usuarios pueden recibir correo electrónico no deseado que incluya una renuncia con un texto similar al siguiente: Si desea darse de baja de esta lista de correo, debe responder al mensaje incluyendo la palabra "Quitar" en la línea de asunto. Si bien se trata de una herramienta legítima para algunas empresas acreditadas, suele ser una forma de comprobar que una dirección de correo electrónico es válida y, por tanto, se puede utilizar de nuevo. Probablemente la dirección se venda a otros emisores de correo no deseado, ahora que está validada. Los datos adjuntos son el área educativa más importante para los usuarios. Ayúdeles a entender qué tipos de datos adjuntos se pueden abrir de forma segura. Casi todos los virus transmitidos por correo electrónico confían en que los usuarios abran algún tipo de datos adjuntos malintencionado para iniciar la propagación. Algunos formatos de archivo, como los archivos .zip protegidos con contraseña, pueden estar permitidos y los detectores antivirus de archivos no pueden detectarlos. Además, los usuarios deben conocer la existencia de datos adjuntos con doble extensión, como los ejecutables con extensión .jpg (NombreDeArchivo.exe.jpg), que pasan por el bloqueo de datos adjuntos como un archivo .jpg, pero que pueden contener código malintencionado en el ejecutable. Nota: La concienciación de los usuarios no significa que no haya que ejecutar software cliente antivirus en los equipos de escritorio.

16

Recomendación • Enseñe a los usuarios a combatir el correo no deseado y los virus.

Recurso • Para obtener más información acerca de qué pueden hacer los usuarios para combatir el correo electrónico no deseado, los virus y los gusanos, consulte Help keep spam out of your inbox.

Configuraciones de Exchange Server
La implementación de software antivirus y el asegurarse de que el puerto TCP 25 no está disponible como retransmisión abierta para los virus son las dos áreas principales de configuración que debe realizar en su entorno de Exchange. Antes de examinar las recomendaciones de configuración, tenga en cuenta varias recomendaciones de directiva importantes: • No ejecute clientes de correo electrónico en el servidor de Exchange. Si está ejecutando un cliente de correo electrónico en un equipo que ejecuta Exchange y resulta infectado, un cliente infectado se convertirá en un servidor de correo infectado. • No explore Internet desde el equipo donde se ejecuta Exchange, por esas mismas razones. Una recomendación general para reducir el alcance de un ataque consiste en reducir al mínimo las aplicaciones que se ejecutan en un servidor de Exchange. • Mantenga actualizados los servidores de Exchange con las actualizaciones de seguridad más recientes de Microsoft. • Proteja los servidores de Exchange según las recomendaciones descritas en Exchange Server 2003 Security Hardening Guide.

Implementación de software antivirus en la puerta de enlace SMTP o en los servidores de buzones
Como mínimo, debe implementar software antivirus diseñado para sistemas de mensajería en la puerta de enlace del Protocolo simple de transferencia de correo (SMTP) o en los servidores de Exchange que alojan buzones. En los dos recursos citados en la próxima sección Recursos se explican las estrategias que puede seguir al diseñar la implementación de software antivirus para mensajería y los distintos tipos de detección de mensajes disponibles. Los tipos de software antivirus que elija y dónde se implemente dicho software están determinados por la relación entre el costo que desee tolerar y el riesgo que desee asumir.

17

Por ejemplo, algunas organizaciones ejecutan software antivirus para mensajería en la puerta de enlace SMTP, detección antivirus de archivos en el servidor de Exchange y software cliente antivirus en los equipos de escritorio de los usuarios. Este método ofrece protección específica de mensajería en la puerta de enlace, protección general de archivos en el servidor de correo y protección en el cliente. Otras organizaciones pueden asumir un costo y una seguridad mayores al ejecutar la misma combinación, además de software antivirus compatible con Exchange VSAPI 2.5 en el servidor de buzones de Exchange. Recomendaciones • Ejecute software cliente antivirus en los equipos de escritorio. Si está ejecutando software antivirus diseñado para sistemas de mensajería (puede analizar y detectar MIME) en la puerta de enlace o en el servidor de Exchange, basta con ejecutar un detector de nivel de archivo en el equipo de escritorio. • Como mínimo, implemente software antivirus diseñado para sistemas de mensajería en la puerta de enlace SMTP o en los servidores de Exchange que alojan buzones. Para lograr la máxima protección, ejecute en la puerta de enlace software antivirus que detecte los mensajes MIME entrantes y en el servidor de Exchange un detector que utilice VSAPI 2.5. Recursos • Para obtener información acerca del diseño de una estrategia de software antivirus, consulte Exchange Server 2003 Security Hardening Guide. • Para obtener una descripción de los distintos tipos de software antivirus que puede ejecutar en un entorno de mensajería de Exchange, consulte el artículo 823166 de Microsoft Knowledge Base "Overview of Exchange Server 2003 and Antivirus Software". • Para obtener más información acerca de por qué no es recomendable ejecutar clientes de correo en un servidor de Exchange, consulte el artículo 266418 de Microsoft Knowledge Base "Microsoft does not support installing Exchange Server components and Outlook on the same computer". • Para obtener más información acerca de los proveedores de antivirus que son asociados de Microsoft, consulte el sitio Web "Exchange Server Partners: Antivirus".

Restricción del acceso anónimo a SMTP
De manera predeterminada, Exchange 2003 se configura en un modo seguro para el acceso SMTP anónimo. La retransmisión anónima o abierta está deshabilitada y el correo no autenticado enviado a Exchange 2003 desde dentro de la organización no aparece como resuelto en el cliente de Outlook. Por tanto, la restricción del acceso anónimo a SMTP se realiza en parte de manera predeterminada, ya que la retransmisión anónima está deshabilitada. Sin embargo, el acceso anónimo interno a SMTP no está deshabilitado. Esta

18

sección contiene recomendaciones para examinar y comprobar la configuración de retransmisión, y para restringir aún más el acceso anónimo interno a SMTP.

Retransmisión anónima
Es esencial que no permita la retransmisión anónima en los servidores virtuales SMTP. La retransmisión se produce cuando alguien utiliza su servidor de Exchange para enviar correo a un dominio externo. Una retransmisión abierta permite que alguien que envía correo no deseado utilice sus servidores SMTP externos para enviar mensajes en su nombre. Probablemente, esta actividad hará que sus servidores de puerta de enlace aparezcan como fuentes de retransmisión de correo no deseado en las listas de bloqueo de Internet. En su configuración predeterminada, Exchange sólo permite la retransmisión de correo a los usuarios autenticados. Sólo los usuarios autenticados pueden utilizar Exchange para enviar correo a un dominio externo. Si modifica la configuración de retransmisión predeterminada para permitir que usuarios no autenticados realicen la retransmisión, o si permite la retransmisión abierta a un dominio a través de un conector, los usuarios no autorizados o gusanos malintencionados pueden utilizar su servidor de Exchange para enviar correo no deseado. Se puede incluir a su servidor en listas de bloqueo e impedirle que envíe correo a servidores remotos legítimos. Para impedir que usuarios no autorizados utilicen su servidor de Exchange para retransmitir correo, utilice como mínimo las restricciones de retransmisión predeterminadas. Si tiene razones legítimas para realizar la retransmisión, debe seguir las directrices para asegurarse de que se mantenga la seguridad en su implementación. Esto consiste principalmente en dejar los valores predeterminados de denegar todo y agregar únicamente las direcciones IP de las que aceptará correo retransmitido, y deshabilitar el acceso para los usuarios no autenticados. Vea cómo se utilizan en sus servidores de puerta de enlace las cuentas integradas (Administrador local) y otros usuarios. Es improbable que utilice las cuentas integradas para ningún tipo de retransmisión. Si está realizando retransmisión, probablemente proceda de un conjunto conocido de usuarios o equipos. Se recomienda restringir los derechos de retransmisión a determinados usuarios y equipos o a una dirección IP concreta. La configuración del permiso explícito para retransmitir le ayudará aún más a proteger el servidor. Los usuarios malintencionados pueden utilizar un ataque violento para tratar de obtener las contraseñas de las cuentas integradas o de las cuentas de usuario existentes en Internet, de forma que puedan utilizar su servidor como proxy para enviar correo no deseado. Por tanto, para los equipos accesibles desde Internet no se recomienda utilizar el valor predeterminado que permite la retransmisión a un equipo autenticado. Se recomienda deshabilitar esta opción.

19

Acceso anónimo SMTP
Exchange 2003 ofrece la posibilidad de que los usuarios del cliente reconozcan el correo falsificado mostrando la dirección SMTP real del correo no autenticado en lugar del nombre para mostrar que figura en la lista global de direcciones (GAL). No obstante, se recomienda deshabilitar el acceso SMTP anónimo en todos los servidores internos de Exchange. El comportamiento de Outlook con respecto al correo no autenticado (o posiblemente falsificado) es ingenioso. Hace falta un usuario aplicado y experimentado para reconocer que una dirección SMTP real indica que el remitente no se autenticó. Por tanto, la deshabilitación del acceso anónimo asegura que sólo los usuarios autenticados pueden enviar mensajes dentro de su organización. Además, al ser necesaria la autenticación, los programas cliente como Outlook Express y Outlook en modo Internet (Protocolo de oficina de correo versión 3, o POP3, o Protocolo de acceso a correo de Internet versión 4rev1, o IMAP4) deben autenticarse antes de enviar correo. Recomendaciones • Examine la configuración de retransmisión. Configure todos los servidores virtuales SMTP de forma que sólo determinados usuarios, equipos o direcciones IP puedan retransmitir correo a otras organizaciones. • Deshabilite la posibilidad de que todos los equipos autenticados realicen la retransmisión. • Deshabilite el acceso anónimo SMTP en todos los servidores internos de Exchange.

Recursos • Para obtener información acerca de cómo proteger la retransmisión y el enrutamiento SMTP, consulte "Securing Your Exchange Server" en Exchange Server 2003 Transport and Routing Guide. • Para obtener más información acerca de cómo controlar la retransmisión, consulte en Microsoft Knowledge Base el artículo 304897, "SMTP relay behavior in Windows 2000, Windows XP, and Exchange Server".

Disminución y detención de los virus por correo electrónico en Exchange Server 2003: Configuraciones opcionales
Las recomendaciones contenidas en esta sección son importantes. Sin embargo, no son tan críticas como las de la sección anterior. Si sigue las directrices de la sección anterior, estas directrices de configuración opcionales le proporcionarán un nivel adicional de protección contra la propagación de virus.

20

Bloqueo del puerto TCP 25
A medida que los virus y los gusanos son cada vez más sofisticados, SMTP (normalmente el puerto 25) se está convirtiendo en un mecanismo de transporte habitual con fines malintencionados. Un ejemplo de esta sofisticación es el gusano w32.hllw.gaobot.dk. Este gusano es un caballo de Troya que instala fragmentos de un servicio de correo SMTP en el equipo de la víctima. Esta instalación permite al gusano enviar correo no deseado desde el equipo. Para deshabilitar la efectividad de esos gusanos y virus, puede configurar la red de forma que sólo se permita tráfico SMTP entre servidores de Exchange, controladores de dominio y otros equipos que requieran SMTP. Debido a la sobrecarga de administración que implica la restricción del tráfico SMTP, sólo debe realizar esta implementación si no está ejecutando o no puede ejecutar un servidor de seguridad personal en los equipos de escritorio. La ejecución de software antivirus además de un servidor de seguridad personal en el equipo de escritorio le ayudará a mantener a la mayoría de los gusanos y virus alejados de su red, o al menos los debilitará de forma que sea más fácil quitarlos tras una infección aislada.

Uso de IPSec para bloquear el puerto TCP 25
Sólo ciertos sistemas de un entorno escuchan y responden a las solicitudes en el puerto TCP 25. En un entorno Microsoft, sólo los servidores que ejecutan Servicios de Internet Information Server (IIS), los controladores de dominio y los servidores de Exchange suelen utilizar el puerto TCP 25. Cuando bloquea la escucha del puerto TCP 25 en todos los demás sistemas, ayuda a mejorar la seguridad del entorno al eliminar un vector de ataque que el código malintencionado puede utilizar. Esta sección contiene un conjunto genérico de procedimientos para configurar la seguridad del Protocolo de Internet (IPSec) con el fin de bloquear el puerto TCP 25. IPSec es un conjunto de tecnologías incluidas en el sistema operativo Windows Server que permite a los administradores realizar determinadas acciones como autenticación, bloqueo de tráfico y cifrado de tráfico basándose en filtros ("todo el tráfico del puerto TCP 25"). Los procedimientos se basan en la arquitectura definida en Windows Server 2003 Security Guide y Exchange Server 2003 Security Hardening Guide. Además, en estos procedimientos se supone que todas las estaciones de trabajo están en una unidad organizativa central (llamada Estaciones de trabajo) dentro de un dominio. Si su arquitectura no está configurada de acuerdo con las implementaciones recomendadas en la Guía de seguridad de Windows Server 2003 y en la Guía para reforzar la seguridad de Exchange Server 2003, utilice este procedimiento como base para probar y crear sus propias directivas IPSec. En cualquier caso, se recomienda realizar pruebas exhaustivas antes de implementar las directivas IPSec.

21

Es importante darse cuenta del posible impacto que puede tener en su organización la implementación de la directiva. Si se implementa como se describe, la directiva bloquea todo el tráfico SMTP dirigido a y procedente de todos los equipos de la unidad organizativa Estaciones de trabajo. Si su organización utiliza IMAP o POP para el correo electrónico, estos clientes no funcionarán. Además, otras aplicaciones (como herramientas empresariales y proveedores de servicios de envío de correo automáticos) tampoco funcionarán si se bloquea SMTP. Nota: Las directivas IPSec mediante Directiva de grupo son heredables, pero no se combinan. Cuando se aplica más de una Directiva de grupo de IPSec, surte efecto la última Directiva de grupo aplicada a un equipo. Para conocer con detalle los pasos que explican cómo utilizar IPSec para bloquear el tráfico SMTP en el puerto TCP 25, consulte Cómo crear una directiva IPSec para bloquear el puerto TCP 25. Recursos Si bien los procedimientos descritos en Cómo crear una directiva IPSec para bloquear el puerto TCP 25 realizarán el bloqueo básico del puerto TCP 25 mediante IPSec, se recomienda que se familiarice con IPSec y otros servicios, como autenticación y cifrado, que puede ofrecer IPSec. Los documentos siguientes son una introducción a estos temas: • • • • What Is IPSec? The IPSec process Security information for IPSec Creating, modifying, and assigning IPSec policies

Cómo crear una directiva IPSec para bloquear el puerto TCP 25
Debe realizar todas las tareas siguientes para crear una directiva que bloquee el puerto TCP 25 mediante IPSec y Directiva de grupo.

Antes de empezar
En los procedimientos siguientes, las convenciones de nomenclatura se especifican en cursiva y negrita. Mientras realiza los procedimientos, observe que las directivas, descripciones y filtros a los que se hace referencia en procedimientos anteriores se mencionan en procedimientos posteriores (también en negrita y cursiva).

22

Es recomendable que lea Disminución y detención de los virus por correo electrónico en Exchange Server 2003: Configuraciones opcionales antes de implementar este procedimiento.

Procedimiento
Para crear una directiva IPSec que bloquee el puerto TCP 25 1. Cree el objeto base de directiva de grupo. Para conocer los pasos detallados, consulte Cómo crear el objeto base de directiva de grupo. 2. Cree las listas de filtros. Para conocer los pasos detallados, consulte Cómo crear listas de filtros IPSec. 3. Cree una acción de bloqueo. Para conocer los pasos detallados, consulte Cómo crear una acción de bloqueo. 4. Cree y asigne la directiva IPSec. Para conocer los pasos detallados, consulte Cómo crear y asignar la directiva IPSec. 5. Aplique la Directiva de grupo IPSec a otras unidades organizativas (opcional). Para conocer los pasos detallados, consulte Cómo aplicar una directiva IPSec existente a otras unidades organizativas.

Cómo crear el objeto base de directiva de grupo
Este procedimiento explica cómo crear un GPO base con el fin de bloquear el tráfico SMTP en el puerto TCP 25.

Antes de empezar
En el procedimiento de este artículo, las convenciones de nomenclatura se especifican en cursiva y negrita. A medida que utilice el resto de los procedimientos relacionados que se enumeran en Cómo crear una directiva IPSec para bloquear el puerto TCP 25, observe que las directivas, descripciones y filtros a los que se hace referencia en procedimientos anteriores se mencionan en procedimientos posteriores (también en negrita y cursiva). La cuenta que utilice para realizar este procedimiento debe ser miembro del grupo de seguridad Administradores de dominio en el dominio donde se ejecutará la directiva.

23

Procedimiento
Para crear el objeto base de directiva de grupo 1. Abra el complemento Usuarios y equipos de Active Directory. 2. Haga clic con el botón secundario del mouse (ratón) en la unidad organizativa Estaciones de trabajo y seleccione Propiedades. 3. Seleccione la ficha Directiva de grupo. 4. Haga clic en Nuevo y asigne a la directiva de grupo el nombre Directiva Bloquear TCP25.

Cómo crear listas de filtros IPSec
En este artículo se explica cómo crear listas de filtros IPSec con el objetivo de bloquear el tráfico SMTP entrante y saliente en el puerto TCP 25.

Antes de empezar
Es recomendable que lea Disminución y detención de los virus por correo electrónico en Exchange Server 2003: Configuraciones opcionales antes de implementar este procedimiento.

Procedimiento
Para crear listas de filtros IPSec 1. Debe crear una lista de filtros para bloquear las solicitudes de conexión SMTP entrante y otra para bloquear las solicitudes de conexión SMTP saliente. • • Cómo crear una lista de filtros SMTP entrantes Cómo crear una lista de filtros SMTP salientes

24

Cómo crear una lista de filtros SMTP entrantes
En este artículo se explica cómo crear listas de filtros IPSec con el objetivo de bloquear el tráfico SMTP entrante y saliente en el puerto TCP 25.

Antes de empezar
En el procedimiento de este artículo, las convenciones de nomenclatura se especifican en cursiva y negrita. A medida que utilice el resto de los procedimientos relacionados que se enumeran en Cómo crear una directiva IPSec para bloquear el puerto TCP 25, observe que las directivas, descripciones y filtros a los que se hace referencia en procedimientos anteriores se mencionan en procedimientos posteriores (también en negrita y cursiva). Es recomendable que lea Disminución y detención de los virus por correo electrónico en Exchange Server 2003: Configuraciones opcionales antes de implementar este procedimiento.

Procedimiento
Para crear la lista de filtros SMTP entrantes 1. En Editor de objetos de directiva de grupo, expanda sucesivamente Configuración del equipo, Configuración de Windows y Configuración de seguridad. 2. Haga clic con el botón secundario del mouse (ratón) en Directivas de seguridad IP en Active Directory y seleccione Administrar listas de filtros IP y acciones de filtrado. Aparecerá la página de propiedades Administrar listas de filtros IP y acciones de filtrado. 3. En la ficha Administrar listas de filtros IP, haga clic en Agregar. Se abre la página Lista de filtros IP. 4. En el campo Nombre, escriba TCP 25 entrante. En el campo Descripción, escriba Este filtro responde a las solicitudes entrantes en TCP 25 y, a continuación, haga clic en Agregar. 5. En la página Éste es el Asistente para filtros IP, haga clic en Siguiente. 6. En la página Descripción de filtro IP y propiedad reflejada, escriba una descripción del filtro y haga clic en Siguiente. Nota: Si no escribe aquí una descripción, cuando solucione problemas en el futuro

25

con la herramienta Diagnósticos de red (netdiag.exe) no se mostrará el nombre del filtro. 7. En la página Origen del tráfico IP, seleccione Cualquier dirección IP y haga clic en Siguiente. 8. En la página Destino del tráfico IP, seleccione Mi dirección IP y haga clic en Siguiente. 9. En la página Tipo de protocolo IP, seleccione TCP y haga clic en Siguiente. 10. En la página Puerto de protocolo IP, seleccione Desde cualquier puerto y A este puerto, y escriba 25 en el campo. Haga clic en Siguiente. 11. En la última página, haga clic en Finalizar. En la página Lista de filtros IP, haga clic en Aceptar.

Para obtener más información
Para obtener más información, consulte Cómo crear una lista de filtros SMTP salientes.

Cómo crear una lista de filtros SMTP salientes
En este artículo se explica cómo crear listas de filtros IPSec con el objetivo de bloquear el tráfico SMTP entrante y saliente en el puerto TCP 25.

Antes de empezar
En el procedimiento de este artículo, las convenciones de nomenclatura se especifican en cursiva y negrita. A medida que utilice el resto de los procedimientos relacionados que se enumeran en Cómo crear una directiva IPSec para bloquear el puerto TCP 25, observe que las directivas, descripciones y filtros a los que se hace referencia en procedimientos anteriores se mencionan en procedimientos posteriores (también en negrita y cursiva). Es recomendable que lea Disminución y detención de los virus por correo electrónico en Exchange Server 2003: Configuraciones opcionales antes de implementar este procedimiento.

26

Procedimiento
Para crear la lista de filtros SMTP salientes 1. En Editor de objetos de directiva de grupo, expanda sucesivamente Configuración del equipo, Configuración de Windows y Configuración de seguridad. 2. Haga clic con el botón secundario del mouse (ratón) en Directivas de seguridad IP en Active Directory y seleccione Administrar listas de filtros IP y acciones de filtrado. Aparecerá la página de propiedades Administrar listas de filtros IP y acciones de filtrado. 3. En la ficha Administrar listas de filtros IP, haga clic en Agregar. Se abre la página Lista de filtros IP. 4. En el campo Nombre, escriba TCP 25 saliente. En el campo Descripción, escriba Este filtro responde a las solicitudes salientes en TCP 25 y, a continuación, haga clic en Agregar. 5. En la página Éste es el Asistente para filtros IP, haga clic en Siguiente. 6. En la página Descripción de filtro IP y propiedad reflejada, escriba una descripción del filtro y haga clic en Siguiente. Nota: Si no escribe aquí una descripción, cuando solucione problemas en el futuro con la herramienta Diagnósticos de red (netdiag.exe) no se mostrará el nombre del filtro. 7. En la página Origen del tráfico IP, seleccione Mi dirección IP y haga clic en Siguiente. 8. En la página Destino del tráfico IP, seleccione Cualquier dirección IP y haga clic en Siguiente. 9. En la página Tipo de protocolo IP, seleccione TCP y haga clic en Siguiente. 10. En la página Puerto de protocolo IP, seleccione Desde cualquier puerto y A este puerto, y escriba 25 en el campo. Haga clic en Siguiente. 11. En la última página, haga clic en Finalizar. En la página Lista de filtros IP, haga clic en Aceptar.

Para obtener más información
Para obtener más información, consulte Cómo crear una lista de filtros SMTP entrantes.

27

Cómo crear una acción de bloqueo
En este artículo se describe cómo crear una acción de bloqueo, tal y como se especifica en Cómo crear una directiva IPSec para bloquear el puerto TCP 25. En los procedimientos anteriores definió dos filtros. Para que estos filtros bloqueen el tráfico SMTP en los equipos de destino debe especificar la acción que realizarán estos filtros.

Antes de empezar
En el procedimiento de este artículo, las convenciones de nomenclatura se especifican en cursiva y negrita. A medida que utilice el resto de los procedimientos relacionados que se enumeran en Cómo crear una directiva IPSec para bloquear el puerto TCP 25, observe que las directivas, descripciones y filtros a los que se hace referencia en procedimientos anteriores se mencionan en procedimientos posteriores (también en negrita y cursiva). Es recomendable que lea Disminución y detención de los virus por correo electrónico en Exchange Server 2003: Configuraciones opcionales antes de implementar este procedimiento.

Procedimiento
Para crear una acción de bloqueo 1. En Editor de objetos de directiva de grupo, expanda sucesivamente Configuración del equipo, Configuración de Windows y Configuración de seguridad. 2. Haga clic con el botón secundario del mouse (ratón) en Directivas de seguridad IP en Active Directory y seleccione Administrar listas de filtros IP y acciones de filtrado. Aparecerá la página de propiedades Administrar listas de filtros IP y acciones de filtrado. 3. Haga clic en la ficha Administrar acciones de filtrado y en Agregar. Aparece el Asistente para acciones de filtrado. 4. En la página Éste es el Asistente para acciones de filtrado de seguridad IP, haga clic en Siguiente. 5. En la página Nombre de la acción de filtrado, escriba Bloqueo en el campo Nombre y Bloquea tráfico en el campo Descripción y, a continuación, haga clic en Siguiente. 6. En la página Opciones generales de acciones de filtrado, seleccione Bloquear y haga clic en Siguiente. 7. Haga clic en Finalizar.

28

Cómo crear y asignar la directiva IPSec
En este artículo se explica cómo crear y asignar la directiva IPSec que se describe en Cómo crear una directiva IPSec para bloquear el puerto TCP 25. Si ha seguido esos pasos, habrá creado el objeto base de directiva de grupo, habrá definido los filtros SMTP y habrá especificado la acción de bloqueo que realizarán los filtros. Ahora debe crear y asignar la directiva IPSec.

Antes de empezar
En el procedimiento de este artículo, las convenciones de nomenclatura se especifican en cursiva y negrita. A medida que utilice el resto de los procedimientos relacionados que se enumeran en Cómo crear una directiva IPSec para bloquear el puerto TCP 25, observe que las directivas, descripciones y filtros a los que se hace referencia en procedimientos anteriores se mencionan en procedimientos posteriores (también en negrita y cursiva). Es recomendable que lea Disminución y detención de los virus por correo electrónico en Exchange Server 2003: Configuraciones opcionales antes de implementar este procedimiento.

Procedimiento
Para crear la directiva IPSec 1. En Editor de objetos de directiva de grupo, expanda sucesivamente Configuración del equipo, Configuración de Windows y Configuración de seguridad. 2. Haga clic con el botón secundario del mouse (ratón) en Directivas de seguridad IP en Active Directory y seleccione Crear directiva de seguridad IP. Aparecerá el Asistente para directivas de seguridad IP. 3. En la página Éste es el Asistente para directivas de seguridad IP, haga clic en Siguiente. 4. En la página Directiva de seguridad IP, escriba Directiva para bloquear el puerto TCP 25 en el campo Nombre, escriba Esta directiva bloquea el puerto TCP 25en el campo Descripción y, a continuación, haga clic en Siguiente. 5. En la página Peticiones para la comunicación segura, desactive la casilla de verificación Activar la regla de respuesta predeterminada y haga clic en

29

Siguiente. 6. En la página Finalización del Asistente para directivas de seguridad IP, deje activada la casilla de verificación Modificar propiedades y haga clic en Finalizar. Aparecerá la página Propiedades de Directiva para bloquear el puerto TCP 25. 7. En la ficha Reglas, haga clic en Agregar. Aparecerá el Asistente para reglas de seguridad. 8. En la página Éste es el Asistente para reglas de seguridad IP, haga clic en Siguiente. 9. En la página Punto final del túnel, deje la selección predeterminada Esta regla no especifica un túnel y haga clic en Siguiente. 10. En la página Tipo de red, deje la selección predeterminada Todas las conexiones de red y haga clic en Siguiente. 11. En la página Lista de filtros IP, seleccione TCP 25 entrante y haga clic en Siguiente. 12. En la página Acción de filtrado, seleccione Bloquear y haga clic en Siguiente. 13. En la páginaFinalización del Asistente para reglas de seguridad, desactive la casilla de verificación Modificar propiedades y haga clic en Finalizar. 14. Ahora debe especificar el filtro TCP 25 saliente. Siga los pasos 7 a 13. Sin embargo, en el paso 11, seleccione TCP 25 saliente. 15. Para asignar esta directiva, consulte Cómo asignar una directiva IPSec.

Cómo asignar una directiva IPSec
En este artículo se explica cómo asignar la directiva IPSec que se describe en Cómo crear una directiva IPSec para bloquear el puerto TCP 25. Si ha seguido esos pasos, habrá creado el objeto base de directiva de grupo, habrá definido los filtros SMTP y habrá especificado la acción de bloqueo que realizarán los filtros.

Antes de empezar
En el procedimiento de este artículo, las convenciones de nomenclatura se especifican en cursiva y negrita. A medida que utilice el resto de los procedimientos relacionados que se enumeran en Cómo crear una directiva IPSec para bloquear el puerto TCP 25, observe que las directivas, descripciones y filtros a los que se hace referencia en procedimientos anteriores se mencionan en procedimientos posteriores (también en negrita y cursiva).

30

Es recomendable que lea Disminución y detención de los virus por correo electrónico en Exchange Server 2003: Configuraciones opcionales antes de implementar este procedimiento.

Procedimiento
Para asignar la directiva IPSec 1. En Editor de objetos de directiva de grupo, expanda sucesivamente Configuración del equipo, Configuración de Windows y Configuración de seguridad, y a continuación haga clic en Directivas de seguridad IP en Active Directory. 2. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en Directiva para bloquear el puerto TCP 25 y seleccione Asignar. La directiva se aplicará cuando se haya completado la replicación entre los controladores de dominio y los equipos cliente comprueben si hay nuevas actualizaciones de directiva, que de manera predeterminada se realiza cada 90 minutos. Para forzar la directiva en Windows Server 2003 y Windows XP, ejecute el comando siguiente en la línea Ejecutar:
gpupdate /force

Para forzar la directiva en Windows 2000, ejecute el comando siguiente en la línea Ejecutar:
secedit /refreshpolicy machine_policy /enforce

Cómo aplicar una directiva IPSec existente a otras unidades organizativas
En este artículo se explica cómo puede aplicar el filtro Directiva para bloquear el puerto TCP 25 entrante a otras unidades organizativas de su empresa. Para obtener más información acerca de la creación de este filtro, consulte Cómo crear una directiva IPSec para bloquear el puerto TCP 25. En este procedimiento se utiliza como ejemplo la unidad organizativa Impresión de la arquitectura descrita en la Guía de seguridad de Windows Server 2003. Ejecute esta directiva en unidades organizativas de su empresa que no contengan controladores de dominio, servidores de Exchange u otros equipos que requieran conectividad SMTP entrante.

31

Antes de empezar
En el procedimiento de este artículo, las convenciones de nomenclatura se especifican en cursiva y negrita. A medida que utilice el resto de los procedimientos relacionados que se enumeran en Cómo crear una directiva IPSec para bloquear el puerto TCP 25, observe que las directivas, descripciones y filtros a los que se hace referencia en procedimientos anteriores se mencionan en procedimientos posteriores (también en negrita y cursiva). Es recomendable que lea Disminución y detención de los virus por correo electrónico en Exchange Server 2003: Configuraciones opcionales antes de implementar este procedimiento.

Procedimiento
Para aplicar la directiva IPSec a otras unidades organizativas 1. Abra Usuarios y equipos de Active Directory con una cuenta que tenga privilegios Administradores de dominio. 2. Haga clic con el botón secundario del mouse (ratón) en la unidad organizativa Servidores miembro\Impresión y seleccione Propiedades. 3. En la ficha Directiva de grupo, haga clic en Agregar. 4. En el cuadro de diálogo Agregar un vínculo de objeto de directiva de grupo, haga clic en la ficha Todo, seleccione Directiva Bloquear TCP25 y, a continuación, haga clic en Aceptar.

Deshabilitación del acceso a Exchange desde versiones de Outlook no seguras
Después de haberse actualizado a Outlook 2003 o Outlook 2002, o después de haber instalado Outlook 2000 Service Release 1 (SR1) o la actualización de seguridad para Outlook 98 como se recomendó anteriormente, puede bloquear el acceso a Exchange desde versiones anteriores de Outlook que no se hayan actualizado. El bloqueo de versiones anteriores de Outlook que no permiten el bloqueo de datos adjuntos y Protección del modelo de objetos ayuda a ofrecer un nivel conocido de seguridad para las conexiones cliente de MAPI. Recomendación • Como mínimo, deshabilite el acceso a Outlook 98 (sin ninguna actualización de seguridad instalada) y a otras versiones anteriores.

32

Recurso • Para obtener más información acerca de cómo deshabilitar el acceso a Exchange según el número de compilación de Outlook, consulte el artículo 288894 de Microsoft Knowledge Base "XADM: Feature to Disable MAPI Client Access". En la siguiente tabla se muestran las versiones principales de Outlook junto con su número de compilación (según se especifica en Emsmbd32.dll) y el número MAPI correspondiente que debe indicar al especificar la compilación en la clave del Registro que se menciona en el artículo 288894 de Knowledge Base. Números de compilación y números de versión MAPI correspondientes para las versiones relevantes de Outlook Versión Exchange 2003 o Exchange 2000 Outlook 2003 SP3 de Outlook 2002 Outlook 2002 SP3 de Outlook 2000 Outlook 2000 SR1a Outlook 98, con la actualización de seguridad instalada Outlook 98 Número de compilación 6.1.0–6.9999.0 11.0.5604.0 10.0.6515.0 10.0.2627.1 5.5.3165.0 5.5.3121.0 5.5.2652.57 Número MAPI 6.x 11.5604 10.0.6515 10.0.2627 5.3165.0 5.3121.0 5.2652.57

5.5.2178.0

5.2178.0

Para ayudar a protegerse contra todas las versiones obsoletas de Outlook (Outlook 98 sin ninguna actualización de seguridad instalada y las versiones anteriores), no permita la conexión a Exchange de ninguna de las versiones de Outlook cuyos números de compilación sean iguales o menores que 5.5.2178.0. Los datos de valor especificados en el artículo 288894 de Microsoft Knowledge Base son los siguientes:
Value name: Disable MAPI Clients Value type: REG_SZ Value data: -5.2178.0

Si va a bloquear intervalos de clientes de Outlook, no olvide dejar abierto el intervalo 6.0 para la administración de Exchange. En concreto, no bloquee los valores comprendidos entre 6.1.0 y 6.9999.0. Todas las versiones de Exchange 2000 y posteriores utilizan un intervalo 6.0.0 para la administración. En la tabla siguiente se muestra el valor de la

33

clave del Registro para bloquear determinados intervalos de clientes de Outlook frente a los equipos que ejecutan Exchange 2000 o posterior. Valores de la clave del Registro para bloquear intervalos de clientes de Outlook Para permitir Sólo Outlook 2003 SP3 de Outlook 2002 y posteriores SP3 de Outlook 2000 y posteriores Configure la clave del Registro como -6.0.0;10.0.0-11.5603.0 -6.0.0;10.0.0-10.0.6514;11.0.0-11.5603.0 -5.3164.0;10.0.0-10.0.6514;11.0.0-11.5603.0

Outlook 98, con la actualización de seguridad -5.2652.56;5.3000.0-5.3164.0;10.0.0instalada y posteriores 10.0.6514;11.0.0-11.5603.0 Los Servicios de soporte técnico de Microsoft no ofrecen soporte técnico para los clientes de Outlook anteriores al SP3 de Outlook 2000. El SP3 de Outlook 2000 contiene la actualización de seguridad de Outlook 2000. Los servidores de Exchange 2000 requieren el reinicio del proceso de almacén después de hacer un cambio en este valor del Registro. Sin embargo, en la versión comercial original de Exchange 2003 y en las versiones posteriores, la implementación de este parámetro se aplica de forma dinámica en los 15 minutos posteriores al cambio.

Ejecución del filtro SMTP de Internet Security and Acceleration Server
Además de las tácticas de ingeniería social en las que se basa el correo no deseado (como un mensaje cuya línea de asunto es "I love you"), muchos virus también se aprovechan de ciertas limitaciones o debilidades inherentes a los servicios a los que atacan. Puede configurar Microsoft Internet Security and Acceleration (ISA) Server 2004 para que se ejecute con un filtro SMTP que combate el correo no deseado, los virus y los desbordamientos de búfer. La lucha contra el correo no deseado puede ayudar a reducir la superficie de propagación de un virus. El filtro SMTP es un filtro de la capa de aplicación que se ejecuta en el servidor de seguridad corporativo. El filtro SMTP le permite especificar palabras clave que, si se encuentran en un mensaje, pueden desencadenar una acción. Al mismo tiempo, ISA Server inspecciona las comunicaciones SMTP para ver si hay anomalías en el encabezado y las secciones de datos de la capa de aplicación de una comunicación. Los servidores de seguridad de filtrado de la capa de aplicación utilizan las funciones de los servidores de seguridad de filtrado convencionales y exigen tanto estados de conexión válidos como comunicaciones de la capa de aplicación válidas. Los atacantes utilizan diversos métodos específicos de la capa de aplicación para explotar debilidades conocidas y

34

desconocidas en los servicios de servidor con el fin de deshabilitar servidores o tomar el control de los mismos. Un servidor de seguridad de filtrado de la capa de aplicación puede examinar los comandos y los datos de la capa de aplicación. Entonces, el servidor de seguridad puede determinar si el contenido o los comandos que se envían a un servidor de la red corporativa son o no intentos válidos de conexión. Recomendación • Si está ejecutando ISA Server en la puerta de enlace, o dentro de la organización, agregue una capa adicional de filtrado SMTP. Recurso • Para obtener más información acerca de la implementación del filtrado de aplicaciones con ISA Server, consulte el capítulo 2 de Introducing the ISA Server 2000 Application Layer Filtering Kit. Nota: Las direcciones Web pueden cambiar, por lo que quizás no pueda conectarse al sitio Web mencionado aquí.

Uso de grupos de distribución restringidos
Como se ha mencionado antes, muchas estrategias para bloquear el correo no deseado también ayudan a disminuir o detener la propagación de virus. Otro obstáculo efectivo contra el correo no deseado consiste en utilizar grupos de distribución restringidos dentro de la organización de Exchange. Un grupo de distribución restringido sólo permite el envío de mensajes a los usuarios autenticados. Esta restricción es especialmente importante ya que, si los emisores de correo no deseado conocieran el alias de un grupo de distribución, podrían llegar a muchos de sus empleados con un único mensaje de correo. La restricción de grupos de distribución resulta especialmente eficaz en el caso de listas extensas que contienen muchos grupos de distribución anidados. Nota: Tenga en cuenta que muchos emisores de correo no deseado utilizan ataques de diccionario como mecanismo para llegar a los destinatarios. Un ataque de diccionario utiliza software que abre una conexión con el servidor de correo de destino y envía rápidamente millones de direcciones de correo electrónico generadas aleatoriamente. Esta técnica es efectiva porque los grupos de distribución suelen estar representados por un alias que suele ser una palabra frecuente. Para conocer los pasos detallados, consulte "How to Set a Distribution List as Restricted" en Microsoft Exchange Server 2003 Security Hardening Guide. Recurso

35

• Para obtener más información acerca de cómo restringir lo envíos a listas de distribución, consulte "Securing Your Exchange Server" en Exchange Server 2003 Transport and Routing Guide.

Exchange Server: Qué hacer cuando se produzca un ataque de virus
El seguimiento de las recomendaciones contenidas en este documento le ayudará a reducir el alcance de un ataque por parte de autores de código malintencionado. Desgraciadamente, incluso aunque tome las debidas precauciones, su organización puede ser víctima de un ataque de virus transmitido por correo electrónico. Esta sección ofrece información más detallada acerca de lo que puede hacer cuando haya un virus en su organización. Las dos acciones principales que debe realizar son las siguientes: 1. Utilizar la funcionalidad del modo "Activar sin excepciones" de Firewall de Windows. 2. Limpiar el entorno de Exchange. Nota: Si implementa las recomendaciones recogidas en la sección Acciones y configuraciones recomendadas de este documento, es improbable que un virus transmitido por correo electrónico sea suficientemente robusto como para requerir el apagado de los servicios de correo. Sin embargo, en caso de que tenga ese tipo de virus, quizás tenga que detener el flujo de correo hacia y desde Internet hasta que pueda contener la amenaza.

Descripción de la funcionalidad del modo "Activar sin excepciones" de Firewall de Windows
El SP2 de Windows XP incluye una actualización de Firewall de Windows. Además de las funciones mencionadas en otros temas, Firewall de Windows incluye un modo de funcionamiento "Activar sin excepciones" en el que todos los puertos excluidos están bloqueados. Un puerto excluido es un puerto estático que puede aceptar conexiones anónimas de la red durante el funcionamiento normal. En este modo, los puertos excluidos están cerrados, además de los puertos que suelen estar cerrados en Firewall de Windows. Si hay un virus en su organización que necesita uno de los puertos excluidos para poder comunicarse, la ejecución de Firewall de Windows en el modo "Activar sin excepciones"

36

limitará su eficacia. Al igual que ocurre con otras funciones de Firewall de Windows en el SP2 de Windows XP, el modo "Activar sin excepciones" se puede alternar mediante Directiva de grupo. Recomendaciones • Examine la documentación indicada en la sección Recurso para ver cómo especificar e implementar el modo "Activar sin excepciones" de Firewall de Windows mediante Directiva de grupo. • Implemente productos de terceros con una funcionalidad de bloqueo similar si no está utilizando Firewall de Windows. Recurso • Para obtener más información acerca de cómo utilizar objetos de directiva de grupo para implementar Firewall de Windows en su empresa, consulte Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2.

Limpieza del entorno de Exchange
Examine y entienda las recomendaciones contenidas en esta sección antes de que se produzca un ataque de virus. Si se produce un brote, implemente estas recomendaciones según proceda, de acuerdo con el nivel de infección de su sistema. Importante: Aunque en esta sección se describe cómo cerrar el flujo de correo, no se recomienda hacerlo siempre que haya un virus que se transmita por correo electrónico, especialmente si ese tipo de brote se produce durante un período pico de uso del correo y si el nivel de interrupción causado por el virus no justifica una respuesta tan rotunda. Sin embargo, hay brotes de virus tan dañinos que pueden justificar el corte del flujo de correo. Esta sección se ha escrito pensando en ese tipo de brote. El método aquí descrito supone una infección tan extendida como la que produjo un brote tipo "Melissa" o "ILOVEYOU". Al responder a este tipo de brotes, sus objetivos son cortar el flujo de correo hacia y desde Internet, limpiar y aislar los servidores, ejecutar actualizaciones del software antivirus y volver a establecer el flujo de correo. Para lograr estos objetivos, siga estos pasos: 1. Detenga el flujo de correo de Internet en los servidores de puerta de enlace. a. Limpie las colas de correo. b. Desinfecte los servidores. 2. Detenga el flujo de correo interno.

37

3. Aísle y limpie los servidores de buzones afectados. a. Deshabilite el acceso de los usuarios a los buzones. b. Limpie las colas SMTP y MTA. c. Limpie los buzones.

d. Desinfecte los servidores. 4. Aplique actualizaciones para el software antivirus. a. Aplique las definiciones antivirus más recientes a todos los productos antivirus (por ejemplo, en el nivel de archivos, AVAPI, puertas de enlace y servidores de buzones). b. Ejecute herramientas antivirus para comprobar que los equipos están limpios. 5. Limpie las estaciones de trabajo de los usuarios y actualice las definiciones del software antivirus. 6. Vuelva a establecer el acceso de los usuarios a los buzones. 7. Vuelva a establecer la conectividad de flujo de correo de Internet. En las próximas secciones se describen estos pasos de forma más detallada.

Detención del flujo de correo de Internet
En algunos ataques, la forma más efectiva de disminuir los virus en su organización y en Internet consiste en detener todo el flujo de correo hacia y desde Internet. El método recomendado para detener el flujo de correo hacia Internet es deshabilitar las conexiones SMTP que conectan su organización con Internet. Puede hacerlo si configura la hora de conexión de los conectores como Nunca se ejecuta. Para conocer los pasos detallados, consulte Cómo detener el flujo de correo en un conector de Exchange.

Consolidación de los servidores de Exchange expuestos a Internet
Para lograr la máxima eficiencia y facilitar el aislamiento durante un brote de virus, quizás desee agrupar todos los servidores de Exchange expuestos a Internet en un único grupo de enrutamiento. Si hay un brote de virus en Internet, se puede desconectar este grupo de enrutamiento del resto de la organización, lo que permite realizar la limpieza sin afectar al tráfico de correo interno. En el contexto de controlar brotes de virus, este tipo de organización en grupo de enrutamiento es mucho más fácil de bloquear que en un modelo donde cada grupo de enrutamiento tiene una cabeza de puente de Conector de correo de Internet (IMC). En el último caso, el IMC pasa el tráfico directamente a otros servidores del

38

grupo de enrutamiento. Si llega de Internet un mensaje infectado dirigido a varios servidores de buzones, esos servidores resultarán infectados inmediatamente. Si utiliza un grupo de enrutamiento dedicado para todas las conexiones de correo de Internet, todo el correo fluirá a través del conector hasta el siguiente salto. Puede detener ese flujo de correo si detiene el conector, lo que le permite limpiar tanto los grupos de enrutamiento interno como el grupo de enrutamiento expuesto a Internet aislado. Este método también le ofrece flexibilidad para permitir opcionalmente que el correo de Internet fluya hacia el grupo de enrutamiento expuesto a Internet y la cola hasta que se restaure el servicio de correo. Sin embargo, si el grupo de enrutamiento de Internet está muy infectado, puede limpiar primero los grupos de enrutamiento internos y crear después un grupo de enrutamiento saliente temporal para permitir el flujo de correo a través de la conexión alternativa.

Cómo detener el flujo de correo en un conector de Exchange
En este artículo se explica cómo detener el flujo de correo en un conector de Exchange.

Antes de empezar
Para detener todo el flujo de correo desde y hacia Internet, realice el siguiente procedimiento en cada conector de Internet.

Procedimiento
Para detener el flujo de correo en un conector 1. En el Administrador del sistema de Exchange, haga clic con el botón secundario del mouse (ratón) en el conector en el que desee deshabilitar el flujo de correo y, a continuación, haga clic en Propiedades. 2. En la ficha Opciones de entrega, seleccione Nunca se ejecuta en el menú Hora de conexión y haga clic en Aplicar.

Para obtener más información
Para obtener más información al respecto, consulte los recursos siguientes: • • Cómo volver a establecer el flujo de correo en un conector de Exchange Exchange Server: Qué hacer cuando se produzca un ataque de virus

39

Detención del flujo de correo interno
El mismo procedimiento empleado para detener el flujo de correo de Internet es aplicable al flujo de correo interno. Configure la Hora de conexión en la ficha Opciones de entrega del conector como Nunca se ejecuta. Aunque el procedimiento propiamente dicho es sencillo, debe prestar atención al orden en que detiene el flujo de correo. Probablemente detendrá el flujo de correo para limpiar y desinfectar los equipos con Exchange. Es fundamental que elabore un orden de operaciones para poner los servidores fuera de conexión, limpiarlos y desinfectarlos, y volver a ponerlos en conexión de tal forma que no corran el riesgo de volver a quedar infectados. Este plan depende de la topología de los grupos de enrutamiento de Exchange y del flujo de correo a través de otros conectores, como X.400 y SMTP.

Aislamiento y limpieza de los servidores infectados
Cuando los servidores internos de Exchange están infectados, puede realizar los pasos siguientes para quitar la infección: 1. Deshabilite el acceso de los usuarios a Exchange. 2. Limpie la infraestructura de mensajería: a. Inmovilice y libere la cola. b. Busque y elimine los mensajes infectados.

Deshabilitación del acceso de los usuarios a Exchange
En algunos brotes, quizás sea necesario impedir que los usuarios utilicen Exchange hasta que el servidor esté desinfectado. El hecho de impedir el acceso de los usuarios ayuda a asegurarse de que el servidor siga desinfectado mientras se quita el virus de la organización. Es probable que, como parte de la limpieza de los buzones, tenga que ejecutar una herramienta de desinfección en el almacén de Exchange. Por tanto, debe mantener el almacén montado y en ejecución. El método recomendado para deshabilitar el acceso de los usuarios al equipo con Exchange es desconectar la conexión física con la red desenchufando el cable Ethernet.

40

Limpieza de la infraestructura de mensajería
Después de haber identificado el mensaje o los mensajes que contienen virus, debe limpiar (o desinfectar) la infraestructura de mensajería. La limpieza de la infraestructura de mensajería implica la limpieza de las colas y de los buzones, y la desinfección de los servidores.

Limpieza de las colas
El primer paso para limpiar la infraestructura de mensajería consiste en limpiar las colas. Para cada servidor, esta tarea implica inmovilizar la cola, buscar los mensajes afectados y eliminarlos. Para conocer con detalle los pasos, consulte los siguientes artículos: • • Cómo detener o reiniciar la transferencia de todos los mensajes de una cola Cómo buscar y eliminar determinados mensajes de la cola SMTP

Limpieza de buzones
Después de eliminar los mensajes con virus de las colas, debe desinfectar los buzones. La mejor forma de hacerlo es mediante una solución antivirus de terceros. Para obtener información acerca de los productos antivirus que funcionan con Exchange 2003, consulte el sitio Web "Exchange Server Partners: Antivirus". Si su software antivirus no incluye la funcionalidad para eliminar mensajes del almacén de Exchange, debe ejecutar el Asistente para combinar buzones (ExMerge.exe) con el fin de eliminar los mensajes afectados. Para obtener más información acerca de cómo eliminar mensajes con virus de Exchange mediante ExMerge.exe, consulte el artículo 328202 de Microsoft Knowledge Base "HOW TO: Remove a Virus-Infected Message from Mailboxes by Using the ExMerge.exe Tool".

Desinfección de servidores
Después de eliminar los mensajes que contienen virus de los servidores de Exchange, y antes de volver a poner los servidores en conexión, debe desinfectar los servidores. En este contexto, la desinfección de los servidores implica una detección de nivel de archivos para asegurarse de que el propio servidor no está infectado con el virus. Puede hacerlo manualmente si sigue las instrucciones disponibles en numerosos sitios Web relacionados con virus para el virus específico de que se trate o si ejecuta software antivirus en los archivos del equipo con Exchange y actualiza la firma de virus.

41

Cómo detener o reiniciar la transferencia de todos los mensajes de una cola
Cuando se inmoviliza (detiene) una cola entera, no se entregan los mensajes contenidos actualmente en la cola. Las colas inmovilizadas pueden seguir aceptando mensajes, pero éstos no se entregarán hasta que libere (reinicie) la cola. Los mensajes contenidos en una cola inmovilizada no están inmovilizados.

Procedimiento
Para detener o reiniciar la transferencia de todos los mensajes de una cola 1. En el Administrador del sistema de Exchange, vaya al Visor de cola mediante una de las acciones siguientes: • Si no tiene definido ningún grupo de enrutamiento o administrativo, expanda Servidores, expanda el servidor que desee y haga clic en Colas. • Si no tiene definido ningún grupo de enrutamiento, expanda sucesivamente Grupos administrativos, Nombre del grupo administrativo, Servidores y el servidor que desee, y haga clic en Colas. 2. Haga clic para seleccionar la cola que desee detener o reiniciar. Nota: No se pueden inmovilizar las colas de X.400. 3. Haga clic con el botón secundario del mouse (ratón) en la cola y seleccione una de las siguientes opciones: • Inmovilizar mensajes Los mensajes quedarán bloqueados dentro de la cola. No se entregará nada hasta que se liberen los mensajes. Por ejemplo, si uno o varios mensajes grandes han bloqueado temporalmente la cola, puede inmovilizar dichos mensajes para que Exchange pueda transferir los demás. Al tener más recursos disponibles, Exchange podrá enviar los mensajes mayores. • Liberar mensajes Se quita el bloqueo temporal de la transferencia de mensajes.

Para obtener más información
Para obtener más información, consulte Exchange Server: Qué hacer cuando se produzca un ataque de virus.

42

Cómo buscar y eliminar determinados mensajes de la cola SMTP
El botón Buscar mensajes del Visor de cola ayuda a buscar mensajes si se especifican criterios de búsqueda, como el remitente o el destinatario y el estado del mensaje (por ejemplo, Inmovilizado). También puede especificar el número de mensajes que desea que aparezca en los resultados de la búsqueda.

Procedimiento
Para buscar y eliminar determinados mensajes de la cola SMTP 1. En el Administrador del sistema de Exchange, vaya al Visor de cola mediante una de las acciones siguientes: • Si no tiene definido ningún grupo de enrutamiento o administrativo, expanda Servidores, expanda el servidor que desee y haga clic en Colas. • Si no tiene definido ningún grupo de enrutamiento, expanda sucesivamente Grupos administrativos, Nombre del grupo administrativo, Servidores y el servidor que desee, y haga clic en Colas. 2. Haga clic en Deshabilitar correo saliente para detener el flujo de salida de mensajes desde este equipo. 3. En el panel de detalles, haga clic en la cola en la que desee buscar mensajes. Debe realizar este procedimiento en todas las colas. 4. Haga clic en Buscar mensajes. 5. Seleccione los criterios de búsqueda que desee y haga clic en Buscar. Nota: El campo del mensaje que probablemente identificará mejor el virus es Asunto. Como no hay ningún mecanismo para buscar por el asunto, debe configurar el campo Número de mensajes que se mostrarán en la búsqueda con su valor máximo y, después, el campo Mostrar mensajes cuyo estado sea como Todos los mensajes. Estas opciones devolverán todos los mensajes (hasta 10000) de la cola. Ahora puede ordenar los mensajes por asunto si hace clic en Asunto en la sección Resultados de la búsqueda del cuadro de diálogo. 6. Seleccione los mensajes que desee eliminar, haga clic con el botón secundario del mouse (ratón) y, a continuación, haga clic en Eliminar (no NDR).

43

Aplicación de actualizaciones para el software antivirus
En cuanto el proveedor de software antivirus publique un archivo de definición actualizado que proteja contra una infección posterior, implemente la actualización. Asegúrese de que implementa la actualización de la definición en las capas siguientes: • • • Servidores de puerta de enlace de mensajes Servidores de Exchange Estaciones de trabajo cliente

Limpieza de las estaciones de trabajo de los usuarios
Dependiendo del tipo de infección, las estaciones de trabajo cliente también pueden haberse visto afectadas. En tal caso, siga las recomendaciones de su proveedor de software antivirus para quitar la infección. La mayoría de los proveedores de software antivirus ofrecen ahora herramientas de detección y eliminación para aislar y limpiar los archivos afectados. Asegúrese también de implementar el archivo de definición más reciente aplicable a su software antivirus.

Restablecimiento del acceso de los usuarios a los buzones
Cuando su entorno esté libre de infección, puede volver a establecer el acceso de los usuarios a sus buzones. Para ello, vuelva a conectar el servidor de Exchange a la red.

Restablecimiento de la conectividad de flujo de correo
Cuando su entorno esté libre de infección, puede volver a establecer la conectividad de flujo de correo en su red interna y en Internet. Para conocer los pasos detallados, consulte Cómo volver a establecer el flujo de correo en un conector de Exchange.

44

Cómo volver a establecer el flujo de correo en un conector de Exchange
En este artículo se explica cómo volver a establecer el flujo de correo en un conector de Exchange que se ha detenido.

Procedimiento
Para volver a establecer el flujo de correo en un conector 1. En el Administrador del sistema de Exchange, haga clic con el botón secundario del mouse (ratón) en el conector en el que desee deshabilitar el flujo de correo y, después, haga clic en Propiedades. 2. En la ficha Opciones de entrega, seleccione Siempre (o las horas aplicables) en el menú Hora de conexión y haga clic en Aplicar.

Para obtener más información
Para obtener más información al respecto, consulte los recursos siguientes: • • Exchange Server: Qué hacer cuando se produzca un ataque de virus Cómo detener el flujo de correo en un conector de Exchange

Copyright
La información contenida en este documento representa la visión actual de Microsoft Corporation acerca de los asuntos tratados hasta la fecha de su publicación. Como Microsoft debe responder a condiciones de mercado variables, no debe interpretarse como un compromiso por parte de Microsoft y Microsoft no puede garantizar la precisión de la información que se presenta después de la fecha de publicación. Este documento se proporciona con propósito informativo únicamente. MICROSOFT NO OTORGA NINGUNA GARANTÍA, YA SEA EXPLÍCITA, IMPLÍCITA O ESTATUTARIA, CON RESPECTO A LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO. Es responsabilidad del usuario el cumplimiento de todas las leyes de derechos de autor aplicables. Ninguna parte de este documento puede ser reproducida, almacenada o introducida en un sistema de recuperación, o transmitida de ninguna forma, ni por ningún medio (ya sea electrónico, mecánico, por fotocopia, grabación o de otra manera) con ningún

45

propósito, sin la previa autorización por escrito de Microsoft Corporation, sin que ello suponga ninguna limitación a los derechos de propiedad industrial o intelectual. Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor, u otros derechos de propiedad industrial o intelectual sobre los contenidos de este documento. El suministro de este documento no le otorga ninguna licencia sobre estas patentes, marcas, derechos de autor, u otros derechos de propiedad intelectual, a menos que ello se prevea en un contrato por escrito de licencia de Microsoft. A menos que se indique lo contrario, las compañías, organizaciones, productos, nombres de dominios, direcciones de correo electrónico, logotipos, personas, lugares y acontecimientos utilizados en los ejemplos son ficticios. No se pretende ni se debe inferir de ningún modo relación con ninguna compañía, organización, producto, nombre de dominio, dirección de correo electrónico, logotipo, persona, lugar o acontecimiento real. © 2006 Microsoft Corporation. Reservados todos los derechos. Microsoft, MS-DOS, Windows, Windows Server, Windows Vista, Active Directory, ActiveSync, ActiveX, Entourage, Excel, FrontPage, Hotmail, JScript, Microsoft Press, MSDN, MSN, Outlook, SharePoint, Visual Basic, Visual C++, Visual Studio, Win32, Windows Mobile, Windows NT y Windows Server System son marcas registradas o marcas comerciales de Microsoft Corporation en los EE.UU. y/o en otros países. Todas las demás marcas son propiedad de sus respectivos propietarios.

Sign up to vote on this title
UsefulNot useful