Relé de SMTP - Amazon Simple Email Service
Creación de un relé de SMTP (consola)Configuración de Google WorkspaceConfiguración de Microsoft 365

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Relé de SMTP

Dado que el Administrador de correo electrónico se implementa entre el entorno de correo electrónico (por ejemplo, Microsoft 365, Google Workspace o Exchange en las instalaciones) e Internet, el Administrador de correo electrónico utiliza relés de SMTP para enrutar los correos electrónicos entrantes que procesa al entorno de correo electrónico. También puede enrutar los correos salientes a otra infraestructura de correo electrónico (por ejemplo, otro servidor de Exchange o una puerta de enlace de correo electrónico externa) antes de enviarlos a los destinatarios finales.

Un relé de SMTP es un componente vital de la infraestructura de correo electrónico. Cuando se designa mediante una acción de regla definida en un conjunto de reglas, se encarga de enrutar eficientemente los correos electrónicos entre los servidores.

En concreto, un relé de SMTP puede redireccionar el correo entrante entre el Administrador de correo electrónico de SES y una infraestructura de correo electrónico externa, como Exchange o puertas de enlace de correo electrónico en las instalaciones o externas, entre otras. Los correos electrónicos que se reciben en un punto de conexión de entrada se procesarán según una regla que enrutará el correo electrónico especificado al relé de SMTP designado. Este, a su vez, lo transmitirá a la infraestructura de correo electrónico externa definida en el relé de SMTP.

Cuando el punto de conexión de entrada recibe correos electrónicos, utiliza una política de tráfico para determinar cuáles es preciso bloquear o permitir. El correo electrónico que se permite se transmite a un conjunto de reglas. Este último aplica reglas condicionales a fin de ejecutar las acciones que se han definido para los tipos específicos de correo electrónico. Una de las acciones de reglas que se puede definir es la acción SMTPRelay: si la selecciona, el correo electrónico se transferirá al servidor de SMTP externo definido en el relé de SMTP.

Por ejemplo, puede usar la acción SMTPRelay para enviar correo electrónico desde el punto de conexión de entrada a Microsoft Exchange Server en las instalaciones. En este caso, el servidor de Exchange deberá configurarse de modo que tenga un punto de conexión de SMTP público al que solo se pueda tener acceso con determinadas credenciales. Al crear el relé de SMTP, se especifican el nombre, el puerto y las credenciales del servidor de Exchange. Además, se asigna al relé de SMTP un nombre único; por ejemplo, RelayToMyExchangeServer. A continuación, se crea una regla en el conjunto de reglas del punto de conexión de entrada que diga: “Cuando Dirección de origen contiene gmail.com, ejecutar la acción SMTPRelay mediante el relé de SMTP llamado RelayToMyExchangeServer”.

nota

Todos los puntos de conexión de SMTP que configure con relé de SMTP de Amazon SES deben ser públicos, ya que no se admiten puntos de conexión de SMTP privados.

Ahora, cuando se reciba correo electrónico de gmail.com en el punto de conexión de entrada, la regla activará la acción SMTPRelay, se pondrá en contacto con el servidor de Exchange mediante las credenciales indicadas al crear el relé de SMTP y entregará el correo electrónico al servidor de Exchange. De este modo, el correo electrónico recibido de gmail.com se transmite al servidor de Exchange.

En primer lugar, es preciso crear un relé de SMTP para poder designarlo en una acción de regla. En el procedimiento de la sección siguiente, se explica paso a paso cómo crear un relé de SMTP en la consola de SES.

Creación de un relé de SMTP en la consola de SES

En el siguiente procedimiento se muestra cómo utilizar la página Relés de SMTP de la consola de SES para crear relés de SMTP y administrar los que ya se han creado.

Creación y administración de relés de SMTP mediante la consola

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon SES en https://console.aws.amazon.com/ses/.

  2. En el panel de navegación izquierdo, seleccione Relés SMTP en Administrador de correo electrónico.

  3. En la página Relés SMTP, seleccione Crear relé SMTP.

  4. En la página Crear relé SMTP, escriba un nombre exclusivo para el relé de SMTP.

  5. Siga las instrucciones correspondientes, en función de si desea configurar un relé de SMTP de entrada (no autenticado) o de salida (autenticado):

    Inbound
    Configuración de un relé de SMTP entrante

    1. Si el relé de SMTP se utiliza como puerta de enlace entrante para enrutar al entorno de correo electrónico externo los correos electrónicos entrantes procesados por el Administrador de correo electrónico, primero tendrá que configurar el entorno de alojamiento del correo electrónico. Si bien cada proveedor de alojamiento de correo electrónico tiene su propia interfaz gráfica de usuario y su propio flujo de trabajo de configuración, los principios básicos para configurarlos de tal forma que funcionen con las puertas de enlace entrantes, como el relé de SMTP del Administrador de correo electrónico, son similares.

      A modo ilustrativo, en las siguientes secciones se proporcionan ejemplos de cómo configurar Google Workspace y Microsoft Office 365 para que funcionen como puerta de enlace de entrada con el relé de SMTP:

      nota

      Asegúrese de que los destinos de sus destinatarios previstos sean identidades de correo electrónico verificadas por SES. Por ejemplo, si desea enviar correo electrónico a los destinatarios abc@example.com, admin@example.com, postmaster@acme.com y support@acme.com, le recomendamos que verifique los dominios example.com y acme.com en SES. Si el destino de un destinatario no se ha verificado, SES no intentará entregar el correo electrónico al servidor de SMTP público.

    2. Después de configurar Google Workspace o Microsoft Office 365 para que funcionen con puertas de enlace entrantes, especifique el nombre de host del servidor de SMTP público con los valores siguientes correspondientes a su proveedor:

      • Google Workspace: aspmx.l.google.com

      • Microsoft Office 365: <your_domain>.mail.protection.outlook.com

        Sustituya los puntos por un guion (-) en su nombre de dominio. Por ejemplo, si su dominio es acme.com, debe escribir acme-com.mail.protection.outlook.com.

    3. Especifique el número de puerto 25 para el servidor de SMTP público.

    4. Deje en blanco la sección Autenticación (no seleccione ni cree un ARN del secreto).

    Outbound
    Configuración de un relé de SMTP saliente

    1. Especifique el nombre de host del servidor de SMTP público al que deba conectarse el relé.

    2. Especifique el número de puerto para el servidor de SMTP público.

    3. Configure la autenticación del servidor de SMTP público; para ello, seleccione uno de sus secretos en ARN del secreto. Si selecciona un secreto creado previamente, debe contener las políticas que se indican en los pasos siguientes para la creación de secretos nuevos.

      • Si lo desea, puede crear un secreto nuevo. Para ello, elija Crear nuevo. Se abrirá la consola de AWS Secrets Manager, en la que podrá crear una clave nueva:

      1. En Tipo de secreto, elija Otro tipo de secreto.

      2. Especifique las claves y los valores siguientes en Pares de clave-valor:

        Clave valor

        username

        my_username

        password

        my_password
        nota

        En ambas claves, solo debe introducir username y password como se muestra (cualquier otra cosa provocará un error de autenticación). Para los valores, escriba su propio nombre de usuario y contraseña, respectivamente.

      3. En Clave de cifrado, seleccione Agregar clave nueva para crear una clave administrada por el cliente (CMK) de KMS; se abrirá la consola de AWS KMS.

      4. Seleccione Crear clave en la página Claves administradas por el cliente.

      5. Conserve los valores predeterminados de la página Configurar clave y seleccione Siguiente.

      6. Escriba el nombre de la clave en Alias (si lo desea, puede agregar una descripción y una etiqueta). Seleccione Siguiente.

      7. Elija los usuarios (que no sean usted) o los roles a los que desee permitir que administren la clave en Administradores de claves. A continuación, seleccione Siguiente.

      8. Elija los usuarios (que no sean usted) o los roles a los que desee permitir que usen la clave en Usuarios de claves. A continuación, seleccione Siguiente.

      9. Copie y pegue la Política de CMK de KMS en el editor de texto de JSON de Política de claves en el nivel "statement"; para ello, agréguela como instrucción adicional separada por una coma. Sustituya la región y el número de cuenta por sus propios valores.

      10. Seleccione Finalizar.

      11. Seleccione la pestaña del navegador en la que esté abierta la página Almacenar un nuevo secreto de AWS Secrets Manager y seleccione el icono de actualización (flecha circular) situado junto al campo Clave de cifrado. A continuación, haga clic en el campo y seleccione la clave recién creada.

      12. Escriba un nombre en el campo Nombre del secreto de la página Configurar secreto.

      13. En Permisos de recursos, seleccione Editar permisos.

      14. Copie y pegue la Política de recursos de secretos en el editor de texto de JSON de Permisos de recursos y sustituya la región y el número de cuenta por los suyos (asegúrese de eliminar cualquier ejemplo de código del editor).

      15. Seleccione Guardar y, a continuación, elija Siguiente.

      16. Si lo desea, configure la rotación y seleccione Siguiente.

      17. Revise el nuevo secreto y elija Almacenar para guardarlo.

      18. Seleccione la pestaña del navegador en la que esté abierta la página Crear relé de SMTP de SES. A continuación, elija Actualizar la lista y seleccione el secreto recién creado en ARN del secreto.

  6. Seleccione Crear relé SMTP.

  7. Puede ver y administrar los relés de SMTP ya creados en la página Relés SMTP. Si desea eliminar un relé de SMTP, elija su botón de opción y, a continuación, seleccione Eliminar.

  8. Para editar un relé de SMTP, seleccione su nombre. En la página de detalles, puede cambiar el nombre del relé, el nombre, el puerto y las credenciales de inicio de sesión del servidor de SMTP externo. Para ello, elija el botón Editar o Actualizar correspondiente y, a continuación, seleccione Guardar cambios.

Configuración de Google Workspace para un relé de SMTP entrante (no autenticado)

En el siguiente ejemplo paso a paso, se muestra cómo configurar Google Workspace para que funcione con un relé de SMTP entrante (no autenticado) del Administrador de correo electrónico.

Requisitos previos

  • Abra la consola de administrador de Google (consola de administrador de Google > Aplicaciones > Google Workspace > Gmail).

  • Abra el servidor de nombres de dominio en que están alojados los registros MX de los dominios que se utilizarán para configurar el Administrador de correo electrónico.

Configuración de Google Workspace para que funcione con un relé de SMTP entrante

  • Adición de direcciones IP del Administrador de correo electrónico a la configuración de la puerta de enlace entrante

    1. En la consola de administración de Google, vaya a Aplicaciones > Google Workspace > Gmail.

    2. Seleccione Spam, phishing y software malicioso y, a continuación, vaya al ajuste Pasarela de entrada.

    3. Habilite Pasarela de entrada y configúrela con los datos siguientes:

      Habilite Pasarela de entrada y configúrela con los datos correspondientes.

      • En IP de puerta de enlace, seleccione Añadir y agregue las IP de punto de conexión de entrada específicas de su región, de la tabla Intervalos de IP de relé de SMTP.

      • Seleccione Detectar automáticamente IP externa.

      • Seleccione Requerir conexiones TLS para las conexiones de la lista de puertas de enlace de correo electrónico enumeradas anteriormente.

      • Seleccione Guardar en la parte inferior del cuadro de diálogo para guardar la configuración. Una vez guardada, la consola de administración mostrará que la opción Pasarela de entrada está habilitada.

Configuración de Microsoft Office 365 para el relé de SMTP entrante (no autenticado)

En el siguiente ejemplo paso a paso, se muestra cómo configurar Microsoft Office 365 para que funcione con un relé de SMTP entrante (no autenticado) del Administrador de correo electrónico.

Requisitos previos

  • Abra el centro de administración de Microsoft Security (Centro de administración de Microsoft Security > Email & collaboration > Policies & Rules > Threat Policies).

  • Abra el servidor de nombres de dominio en que están alojados los registros MX de los dominios que se utilizarán para configurar el Administrador de correo electrónico.

Configuración de Microsoft Office 365 de modo que funcione con un relé de SMTP entrante

  1. Adición de direcciones IP del Administrador de correo electrónico a la lista de permitidos

    1. En el Centro de administración de Microsoft Security, vaya a Email & collaboration > Policies & Rules > Threat Policies.

    2. Seleccione Anti-spam en Policies.

    3. Seleccione Connection filter policy y, a continuación, elija Edit connection filter policy.

      • En el cuadro de diálogo Permitir siempre mensajes de las siguientes direcciones o intervalo de direcciones IP, agregue las IP de punto de conexión de entrada específicas de la región, tomadas de la tabla Intervalos de direcciones IP de relé de SMTP.

      • Seleccione Guardar.

    4. Vuelva a la opción Anti-spam y elija Anti-spam inbound policy.

      • En la parte inferior del cuadro de diálogo, seleccione Edit spam threshold and properties.

        Habilite Inbound gateway y configúrela con los datos correspondientes.

      • Desplácese hasta Mark as spam y asegúrese de que SPF record: hard fail se haya establecido en Off.

      • Seleccione Guardar.

  2. Configuración del filtrado mejorado (recomendada)

    Esta opción permitirá que Microsoft Office 365 identifique correctamente la IP de conexión original antes de que el Administrador de correo electrónico de SES reciba el mensaje.

    1. Creación de un conector entrante

      • Inicie sesión en el nuevo Centro de administración de Exchange y vaya a Mail flow > Connectors.

      • Seleccione Add a connector.

      • En Connection from, seleccione Partner organization y, a continuación, elija Next.

      • Rellene los campos de la siguiente manera:

        • Name: conector del Administrador de correo electrónico de Simple Email Service

        • Description: conector para el filtrado

          Adición de un conector.

      • Seleccione Siguiente.

      • En Autenticación de correo electrónico enviado, seleccione Verificando que la dirección IP del servidor emisor coincide con una de las siguientes direcciones IP que pertenecen a su organización asociada y agregue las IP de punto de conexión de entrada específicas de la región, tomadas de la tabla Intervalos de direcciones IP de relé de SMTP.

        En Authenticating sent email, seleccione By verifying that the IP address of the sending server matches one of the following IP addresses, which belong to your partner organization y agregue las direcciones IP de los puntos de conexión de enlace específicas de la región, tomadas de la tabla siguiente.

      • Seleccione Siguiente.

      • En Security restrictions, acepte el ajuste predeterminado Reject email messages if they aren’t sent over TLS y seleccione Next.

      • Revise la configuración y seleccione Create connector.

    2. Activación del filtrado mejorado

      Ahora que se ha configurado el conector de entrada, es preciso habilitar la configuración de filtrado mejorado del conector en el Centro de administración de Microsoft Security.

      • En el Centro de administración de Microsoft Security, vaya a Email & collaboration > Policies & Rules > Threat Policies.

      • Seleccione Enhanced filtering en Rules.

        Seleccione Enhanced filtering en Rules dentro de Threat polices.

      • Seleccione el Simple Email Service Mail Manager connector creado previamente, a fin de editar sus parámetros de configuración.

      • Seleccione Automatically detect and skip the last IP address y también Apply to entire organization.

        Edite la configuración del conector creado anteriormente.

      • Seleccione Guardar.