Tanto Exchange 2013 como 2016 cuentan con funcionalidad anti-spam incluida en el producto pero de forma predeterminada esta se encuentra deshabilitada en servidores internos.
El rol de Mailbox Server incluye los siguientes agentes antispam:
-
Recipient Filter (se recomienda habilitar en Edge)
-
Sender ID
-
Protocol analysis
Los siguientes filtros se encuentran disponibles en el rol de Edge de Exchange 2013 / 2016 :
-
Connection Filter (posibilidad de usar RBLs)
-
Attachment filter (filtro de adjuntos)
En esta entrada vamos a ver como instalar los agentes sobre un servidor con el rol de Mailbox.
En que servidor se realiza la instalación?
En Exchange 2013 / 2016 los agentes antispam se instalan en el servidor con el rol de Mailbox Server. A tener en cuenta que en el caso de Exchange 2016 este es el único rol para la red interna y en el caso de Exchange 2013 se recomienda utilizar un esquema multirol.
En que orden aplican los filtros?
1. Sender Filter. Este filtro chequea el “mail from» de la comunicación SMTP. Si encuentra un remitente o dominio bloqueado corta la conexión
2. Recipient filter. Este filtro chequea el “rcpt to” de la comunicación SMTP. Corta la comunicación en base al destinatario del mail (solo se recomienda habilitar en Edge Transport)
3. Sender ID. Este filtro chequea la IP del servidor que envía y si existe un registro SPF asociado al dominio. La idea con esto es evitar spoofing de direcciones
4. Content Filter. Este filtro evalúa el contenido en base a patrones. En adición permite agregar palabras que se deben permitir o denegar y configurar una cuarentena para que un administrador posteriormente pueda chequear por falsos positivos.
5. Protocol Analysis. Este agente implementa Sender Reputation. Esta funcionalidad bloquea mensajes entrantes acorde a características específicas del remitente.
Cómo instalar los agentes de antispam?
Para habilitar la funcionalidad de antispam en Exchange 2013 / 2016 utilizamos un script que viene incluido con la instalación en la carpeta de “Scripts”:
1. Abrir el Exchange Management Shell (EMS)
2. Ir a la carpeta de scripts de Exchange
cd $exscripts
Nota: La variable $exscripts viene incluida en el shell y apunta a la carpeta de scripts dentro de la carpeta de instalación de Exchange
3. Ejecutar:
./Install-AntiSpamAgents.ps1
Nota: En esta misma carpeta se incluye el script para desinstalar los agentes de anti-spam: Uninstall-AntiSpamAgents.ps1
4. Reiniciar el servicio de transporte de Exchange
Restart-Service MSExchangeTransport
5. Verificar los agentes instalados:
Get-TransportAgent
Nota: En este caso en particular el orden de aplicación de los filtros no coincide con la prioridad que devuelve este comando
4. Configurar los servidores SMTP internos que deben ser ignorados por el agente de Sender ID:
Set-TransportConfig –InternalSMTPServers 192.168.1.1, 192.168.1.2
Para agregar direcciones IP:
Set-TransportConfig –InternalSMTPServers @{Add=”192.168.1.3”, “192.168.1.4”}
Para remover direcciones IP:
Set-TransportConfig –InternalSMTPServers @{Remove=”192.168.1.3”}
Por más info ver los siguientes artículos:
En caso de querer habilitar los filtros en Exchange 2010:
Ronald Monasterios S. says
Gracias por brindar esta ayuda tan valiosa. Leí varios de los ebooks que tienes publicados y realmente me ayudaron muchísimo.
Daniel Torres says
Saludos, tengo un problemon, le explico tenemos instalado exchange 2013 desde hace aprox, como 2 años, hasta ahora no habiamos tenido problema con los spam, hemos tratado de instalar el servicio antispam pero no logra ubicar el servidor de transporte, fisicamente es un solo servidor para todos los roles, quiero conocer como hacer que el scripts de instalacion de los filtros detecte el servidor como de transporte tambien.Gracias
Daniel Núñez Banega says
Hola Daniel, tenés algún error específico?
No hay que hacer nada en particular en un servidor multirol más allá de ejecutar el script.
Seguramente haya algún otro tipo de problema. Si podes amplia la información.
Rafael says
Hola, donde podria administrar los correos bloqueados y ver los LOGS
Daniel Núñez Banega says
Hola Rafael, dependiendo de los filtros que estes usando podes usar el logging de agentes y algunos scripts incluidos con la instalación de Exchange.
En el siguiente artículo tenes info detallada:
https://technet.microsoft.com/es-es/library/bb124795(v=exchg.150).aspx
Ray says
Hola, habilité el bloqueo de spam y la suplantación de identidad, ahora los correos internos de Relay no funcionan, que pudo ser? si deshabilitó vuelven a funcionar.
Yonhmaikel Perdomo says
Saludos, tengo este problema con mi exchange 2016 recien instalado:
Comprobamos si hay un servidor (registro A) en tu nombre de host SRV-MAIL.domain.LOCAL.
Tal vez quieras publicar un registro de DNS (tipo A) para el nombre de host SRV-MAIL.domain.LOCAL o usar otro nombre de host en tu software de correo.
-0.1DKIM_SIGNEDMessage has a DKIM or DK signature, not necessarily valid
This rule is automatically applied if your email contains a DKIM signature but other positive rules will also be added if your DKIM signature is valid. See immediately below.
-0.001HTML_MESSAGEHTML included in message
No te preocupes, es normal si envías correos HTML-1.985PYZOR_CHECKSimilar message reported on Pyzor
La resolución DNS inversa (rDNS) es la determinación del nombre de dominio que está asociado con una determinada dirección IP.
Algunas compañías como AOL rechazarán cualquier correo enviado desde un servidor que no tenga rDNS, por lo que debes asegurarte de que tengas una.
No puedes asociar más de un nombre de dominio con una sola dirección IP.
Tu dirección IP publica x.x.x.x.x está asociada con el dominio correo.dominio.com.
Sin embargo, tu correo parece haber sido enviado desde SRV-MAIL.dominio.LOCAL.
Puede que quieras cambiar tu entrada DNS puntero (tipo PTR) y el nombre de host de tu servidor al mismo valor.
Aquí están los valores testeados para esta prueba:
IP: x.x.x.x
HELO: SRV-MAIL.dominio.LOCALrDNS: correo.grupovcr.com
Daniel Núñez Banega says
Hola Yonhmaikel, te dejo un artículo que te puede ser de utilidad para configurar la salida a Internet, entre otras cosas trata el tema del PTR:
https://aprendiendoexchange.com/configurar-el-envio-de-correo-a-internet-en-exchange-2013
Yonhmaikel Perdomo says
Muchas gracias por la guía, me sirvió mucho. Nuevamente te voy a molestar, quería consultarte como se podría resolver este problema que me reporta mail-tester:
-1.985 PYZOR_CHECK/
Por favor, prueba un contenido real, boletines de ensayo siempre serán marcados por Pyzor
Ajuste su mensaje o solicitud de lista blanca
Daniel Núñez Banega says
Hola Yonhmaikel, la parte de links y URLs queda cortado por el filtro de comentarios del sitio. Si tenés el error específico pasalo y lo reviso.
Marcelo Cohen says
Hola Daniel. He instalado todo tal cual lo describis en la guia, la cual resulta excelente. No obstante tengo correos spam que ingresan si que sean chequeados. He intentado todo pero no doy en el punto con este problema.
Te adjunto algunas capturas para ver si me puedes ayudar.
Get-TransportAgent
Identity Enabled Priority
——– ——- ——–
Transport Rule Agent True 1
DLP Policy Agent True 2
Retention Policy Agent True 3
Supervisory Review Agent True 4
Malware Agent True 5
Text Messaging Routing Agent True 6
Text Messaging Delivery Agent True 7
System Probe Drop Smtp Agent True 8
System Probe Drop Routing Agent True 9
Content Filter Agent True 10
Sender Id Agent True 11
Sender Filter Agent True 12
Recipient Filter Agent True 13
Protocol Analysis Agent True 14
.\get-AntispamTopRBLProviders.ps1 -location «C:\Program Files\Microsoft\Exchange Server\V
15\TransportRoles\Logs\FrontEnd\AgentLog»
Name Value
—- —–
Spamhaus 390
Spamcop 294
Sin embargo en algunos correos obtengo lo siguiente «not available: content filtering was bypassed»
2020-09-29T02:00:03.593Z,08D85E8FFFA24328,10.10.97.221:2525,192.9.200.116:8879,103.8.24.163,,sahroni@pasadana.com.my,sahroni@pasadana.com.my;,usuario@xxxxxx.xxx.xx,1,Content Filter Agent,OnEndOfData,AcceptMessage,,SCL,not available: content filtering was bypassed.,,fa1c2967-b24a-4d98-9dc3-08d8641b606e,,Incoming
Agradezco cualquier ayuda que puedas proporcionarme.
Saludos
Daniel Núñez Banega says
Hola Marcelo, se me ocurre que haya algún tipo de excepción configurada, ya sea a nivel de IP, configuración del filtro de contenido, que el buzón del destinatario tenga marcado para que haga bypass del antispam o algún otro, habría que revisar en detalle.