Nos dirigimos a la consola de administración de Exchange 2007/Server Configuration/Hub Transport, y creamos un nuevo “Receive Connector”. Mediante un asistente, se nos solicitará el interface del servidor que por el que entrarán esos correos (por defecto indica todos) y la dirección de origen de los correos (el nuevo host a autorizar). Tras crearlo, editaremos sus propiedades y nos dirigimos a las opciones de “grupo de permisos” (Permissions Group).

Es en esta parte cuando indicaremos el permiso que vamos a dar a las direcciones indicadas para enviarnos correos. Dicho permiso puede ser:

• Anonymous Users: Cuantas anónimas de usuarios, sin autenticar.
• Exchange Users: Cuentas de usuario autenticadas.
• Exchange Servers: Servidores Exchange en todos sus roles.
• Legacy Exchange Servers: Grupo de seguridad “Legacy Interop” (RGC).
• Partners: Cuenta de servidor asociado

 Por tanto, para un host que requiera enviar correos anónimos a nuestro Exchange rol hub, deberemos marcar el primer check únicamente, como muestra la imagen.

Es muy importante indicar que el acceso anónimo solo ha de marcarse para host que tengan un firmware o plataforma cerrada, reduciendo así el riesgo de malware potenciales que utilicen nuestro site de correo. Además, debemos de asegurarnos que las IP´s autorizadas para ese uso anónimo son únicamente las necesarias.

Más info en http://technet.microsoft.com/es-es/library/aa996395.aspx 

En primer lugar, vamos a dirigirnos a la Shell de 2007 para ver la configuración actual del filtro. Ejecutaremos:

Get-ContentFilterConfig

Para añadir un dominio a la lista blanca del filtro de contenido, introducimos:

Set-ContentFilterConfig –BypassedSenderDomains yahoo.com

También podemos añadir comodines (“*”) para subdominios del dominio principal (*.yahoo.com), al incluirlos en la lista blanca:

Set-ContentFilterConfig –BypassedSenderDomains *.yahoo.com

Para quitar el dominio de lista blanca:

Set-ContentFilterConfig –BypassedSenderDomains pepito.com

De este modo, sobreescribimos el dominio añadido anteriormente (yahoo.com) por un valor aleatorio (pepito) o un nuevo dominio. De ello deducimos que el comando “Set-ContentFilterConfig” añade un dominio sobreescribiendo el anterior. No es posible añadir varios dominios. Es decir, si ejecutamos estos dos comandos  en el orden en que se muestra:

Set-ContentFilterConfig –BypassedSenderDomains 111.com
Set-ContentFilterConfig –BypassedSenderDomains 222.com

Añadimos en primer lugar el dominio 111. com, y posteriormente lo cambiamos por el 222.com, pero en ningún caso se acumulan los dominios añadidos. El único dominio que estaría en la lista blanca sería el 222.com. Este modo es útil cuando solamente tenemos añadido un dominio a la lista blanca. Si tuvieramos que añadir varios dominios, es preferible asignar el valor a una variable en la cual iremos indicando los dominios que nos interese añadir. De este modo, la gestión se facilita en gran medida.

Como hemos visto anteriormente, el comando “Get-ContentFilterConfig” nos muestra la configuración del filtro de contenido. A continuación vamos a asociar a ese comando a una variable (la llamaremos “$list”), para el filtro de contenido. Crearemos la variable ejecutando:

$list = (Get-ContentFilterConfig).BypassedSenderDomains

Para ver los dominio asignados a esta variable, basta con ejecutar el nombre de la misma:

$list

Ello nos devolverá un listado con el único registro que tenemos añadido. Ahora que ya hemos creado la variable para el filtro de contenido, podemos añadir dominios a esa variable pero sin sustituir los ya existentes. Para añadir un dominio (ejemplo: 333.com) a nuestra variable “$list” teclearemos:

$List.add(“333.com”)

Si ahora volvemos a ejecutar “$list” podremos ver el listado de estos dominios ya añadidos, y no solo uno como anteriormente había. Al igual que hemos usado la variable para los dominios entrantes, también podemos utilizarla para direcciones concretas que queramos añadir, mediante el “Bypassedsenders” en lugar del “BypassedSenderDomains”. De este modo,  asociaremos la variable “$list” a las direcciones mediante:

$List = (Get-ContentFilterConfig).BypassedSenders

Y añadiremos direcciones concretas a nuestro filtro, ejecutando:

$List.add(“fulanito@dominiocualquiera.com”)

Si volvemos a solicitar un listado (“$list”) nos devolverá todos los ajustes añadidos, tanto dominios como direcciones. Del mismo modo que el comando “$list.add” nos permite añadir elementos (dominios o direcciones), el comando “$list.remove” nos permite eliminarlas. Por ejemplo, para quitar la dirección añadida anteriormente, ejecutamos:

$List.remove(“fulanito@dominiocualquiera.com”)

Finalmente, solo queda aplicar los cambios efectuados en la variable, ejecutando en nuestro caso:

set-contentfilterconfig -bypassedsenders:$list

Nota importante: Todos los ajustes añadidos desde la Shell no se muestran en la consola de 2007, por lo que se aconseja utilizar siempre la Shell.

En cuanto a certificados SSL, hay muchas empresas dedicadas a emitirlos de todo tipo. Personalmente he trabajado siempre con Thawte y estoy encantado no solo por el servicio, sino también por unos precios excelentes y un periodo trial de 20 días gratuito. Ello me permite probar el certificado en el entorno antes de comprarlo. A los 21 días solo has de renovar el certificado y realizar el pedido. Para este escenario el certificado puede ser de tipo SSL 123 (un único nombre o host a securizar) o bien de tipo SAN (múltiples nombres). El precio entre ambos tipos es, obviamente, muy diferente. Microsoft aconseja comprar un certificado de tipo SAN para emitirlo a varios nombres que sean accesibles tanto desde el interior como desde el exterior de nuestra red (srvcorreo, owa.dominio.com, autodiscovery.dominio.com, activesync.dominio.com, etc).
En primer lugar, para solicitar la creación de un nuevo certificado (request) a nuestro Exchange, debemos de ejecutar el siguiente cmdlet:

New-ExchangeCertificate -GenerateRequest -Path c:\srvcorreo.csr -KeySize 1024 -SubjectName “c=ES, s=Madrid, l=Madrid, o=nombreempresa, ou=Sistemas, cn=srvcorreo” -DomainName owa.dominio.local, owa.dominio.com, autodiscover.dominio.com, autodiscover.dominio.local -PrivateKeyExportable $True

Para generar cómodamente este comando y aclarar su significado, te aconsejo que visites este enlace que contiene un interesante generador de request para Exchange 2007. Muy cómodo e interesante.

Tras realizar la solicitud de request a nuestro Exchange, se nos habrá creado un archivo .csr en la ruta especificada. Ahora nos dirigimos a la página del emisor de certificados (Thawte, Verisign, etc.) y tras indicar el tipo de certificado que nos interesa (SSL sencillo o SSL de tipo SAN), llegará un momento en el que se nos solicitará el archivo .csr. Abriremos el archivo con el notepad y copiaremos el contenido del mismo para pegarlo posteriormente en el lugar que nos indique la web del fabricante.

Una vez generado el certificado por la CA, se nos facilitará su código (ya sea por mail o desde la misma web. Copiaremos el código y nos dirigimos a nuestro servidor de Exchange 2007 que tiene la función de ser Concentrador de Transporte. Ahí pegaremos el código de nuestro certificado en un nuevo archivo con la extensión .p7b. Lo podemos guardar en C:, como certificado_trial_tawthe.p7b. Ahora, desde el shell, activaremos el certificado en los servicios que nos interese, mediante el comando:

Import-ExchangeCertificate -path c:\certificado_trial_tawthe.p7b | Enable-ExchangeCertificate -Services IMAP, POP, UM, IIS, SMTP

Para ver los certificados activos del servidor, y el servicio al que están asignados, ejecutamos:

Get-ExchangeCertificate

Nos mostrará los certificados instalados, su thumbprint, los servicios a los que se ha activado (S=SMTP, I=IMAP, P=POP, U=Unified Messaging, W=Web/IIS) y el nombre (subject) a quien se ha expedido el mismo. Si no nos aparece nuestro certificado activado a los servicios que nos interesen, podemos activarlo manualmente mediante (cambiamos el thumbprint por el de nuestro certificado):

Enable-ExchangeCertificate -Services IMAP, POP, UM, IIS, SMTP -thumbprint B74BF330C93E56DA2A76CFCSKIE49W2LX97

Importante: El acceso al correo (tanto desde el interior como desde el exterior) es preferible hacerlo mediante un certificado. Podemos utilizar el certificado por defecto que nos genera nuestro Exchange 2007, pese a recibir el error inicial en OWA/Outlook 2007. El error, como hemos visto, no es tal. Informa únicamente de que la CA que lo ha emitido, no es de confianza. Si nos instalamos localmente el certificado (bien manualmente o bien mediante política), la comunicación se realizará cifrada. El hecho de adquirir un certificado de terceros es para poder acceder a la CA y evitar el error. Por tanto, solo sería para evitar el aviso inicial.