Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Relé de SMTP
<a name="eb-relay"></a>

Dado que el Administrador de correo electrónico se implementa entre el entorno de correo electrónico (por ejemplo, Microsoft 365, Google Workspace o Exchange en las instalaciones) e Internet, el Administrador de correo electrónico utiliza relés de SMTP para enrutar los correos electrónicos entrantes que procesa al entorno de correo electrónico. También puede enrutar los correos salientes a otra infraestructura de correo electrónico (por ejemplo, otro servidor de Exchange o una puerta de enlace de correo electrónico externa) antes de enviarlos a los destinatarios finales.

Un relé de SMTP es un componente vital de la infraestructura de correo electrónico. Cuando se designa mediante una acción de regla definida en un conjunto de reglas, se encarga de enrutar eficientemente los correos electrónicos entre los servidores.

En concreto, un relé de SMTP puede redireccionar el correo entrante entre el Administrador de correo electrónico de SES y una infraestructura de correo electrónico externa, como Exchange o puertas de enlace de correo electrónico en las instalaciones o externas, entre otras. Los correos electrónicos que se reciben en un punto de conexión de entrada se procesarán según una regla que enrutará el correo electrónico especificado al relé de SMTP designado. Este, a su vez, lo transmitirá a la infraestructura de correo electrónico externa definida en el relé de SMTP.

Cuando el punto de conexión de entrada recibe correos electrónicos, utiliza una política de tráfico para determinar cuáles es preciso bloquear o permitir. El correo electrónico que se permite se transmite a un conjunto de reglas. Este último aplica reglas condicionales a fin de ejecutar las acciones que se han definido para los tipos específicos de correo electrónico. Una de las acciones de la regla que puede definir es la *SMTPRelay acción*: si selecciona esta acción, el correo electrónico se pasará al servidor SMTP externo definido en su retransmisión SMTP.

Por ejemplo, puede usar la *SMTPRelay acción* para enviar correo electrónico desde su punto de acceso a su servidor Microsoft Exchange local. En este caso, el servidor de Exchange deberá configurarse de modo que tenga un punto de conexión de SMTP *público* al que solo se pueda tener acceso con determinadas credenciales. Al crear la retransmisión SMTP, introduce el nombre del servidor, el puerto y las credenciales del servidor de Exchange y asigna a la retransmisión SMTP un nombre único, por ejemplo, "». RelayToMyExchangeServer A continuación, se crea una regla en el conjunto de reglas del terminal de entrada que diga: «Si la *dirección de* origen contiene *'gmail.com'*, se ejecuta una *SMTPRelay acción mediante el relé SMTP* llamado». *RelayToMyExchangeServer*

**nota**  
Todos los puntos de conexión de SMTP que configure con relé de SMTP de Amazon SES deben ser públicos, ya que no se admiten puntos de conexión de SMTP privados.

Ahora, cuando el correo de *gmail.com* llegue a tu punto de acceso, la regla activará la *SMTPRelay acción* y se pondrá en contacto con tu servidor de Exchange con las credenciales que proporcionaste al crear la retransmisión SMTP y entregará el correo electrónico a tu servidor de Exchange. De este modo, el correo electrónico recibido de *gmail.com* se *transmite* al servidor de Exchange.

En primer lugar, es preciso crear un relé de SMTP para poder designarlo en una acción de regla. En el procedimiento de la sección siguiente, se explica paso a paso cómo crear un relé de SMTP en la consola de SES.

## Creación de un relé de SMTP en la consola de SES
<a name="eb-relay-create-console"></a>

En el siguiente procedimiento se muestra cómo utilizar la página **Relés de SMTP** de la consola de SES para crear relés de SMTP y administrar los que ya se han creado.

**Creación y administración de relés de SMTP mediante la consola**

1. Inicie sesión en la consola Amazon SES Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).

1. En el panel de navegación izquierdo, seleccione **Relés SMTP** en **Administrador de correo electrónico**.

1. En la página **Relés SMTP**, seleccione **Crear relé SMTP**.

1. En la página **Crear relé SMTP**, escriba un nombre exclusivo para el relé de SMTP.

1. Siga las instrucciones correspondientes, en función de si desea configurar un relé de SMTP de entrada (no autenticado) o de salida (autenticado):

------
#### [ Inbound ]

**Configuración de un relé de SMTP entrante**

   1. Si el relé de SMTP se utiliza como puerta de enlace entrante para enrutar al entorno de correo electrónico externo los correos electrónicos entrantes procesados por el Administrador de correo electrónico, primero tendrá que configurar el entorno de alojamiento del correo electrónico. Si bien cada proveedor de alojamiento de correo electrónico tiene su propia interfaz gráfica de usuario y su propio flujo de trabajo de configuración, los principios básicos para configurarlos de tal forma que funcionen con las puertas de enlace entrantes, como el relé de SMTP del Administrador de correo electrónico, son similares. 

      A modo ilustrativo, en las siguientes secciones se proporcionan ejemplos de cómo configurar Google Workspace y Microsoft Office 365 para que funcionen como puerta de enlace de entrada con el relé de SMTP:
      + [Configuración de Google Workspace](#eb-relay-inbound-google)
      + [Configuración de Microsoft 365](#eb-relay-inbound-ms365)
**nota**  
Asegúrese de que los destinos de sus destinatarios previstos sean identidades de correo electrónico verificadas por SES. Por ejemplo, si desea enviar correo electrónico a los destinatarios *abc@example.com*, *admin@example.com*, *postmaster@acme.com* y *support@acme.com*, le recomendamos que verifique los dominios `example.com` y `acme.com` en SES. Si el destino de un destinatario no se ha verificado, SES no intentará entregar el correo electrónico al servidor de SMTP público.

   1. Después de configurar Google Workspace o Microsoft Office 365 para que funcionen con puertas de enlace entrantes, especifique el nombre de host del servidor de SMTP público con los valores siguientes correspondientes a su proveedor:
      + Google Workspace: `aspmx.l.google.com`
      + Microsoft Office 365: `<your_domain>.mail.protection.outlook.com`

        Sustituya los puntos por un guion (-) en su nombre de dominio. Por ejemplo, si su dominio es *acme.com*, debe escribir `acme-com.mail.protection.outlook.com`.

   1. Especifique el número de puerto 25 para el servidor de SMTP público.

   1. Deje en blanco la sección Autenticación (no seleccione ni cree un ARN del secreto).

------
#### [ Outbound ]

**Configuración de un relé de SMTP saliente**

   1. Especifique el nombre de host del servidor de SMTP público al que deba conectarse el relé.

   1. Especifique el número de puerto para el servidor de SMTP público.

   1. Configure la autenticación del servidor de SMTP público; para ello, seleccione uno de sus secretos en **ARN del secreto**. *Si selecciona un secreto creado previamente, debe contener las políticas que se indican en los pasos siguientes para la creación de secretos nuevos.*
      + Si lo desea, puede crear un secreto nuevo. Para ello, elija **Crear nuevo**. Se abrirá la consola de AWS Secrets Manager , en la que podrá crear una clave nueva:

      1. En **Tipo de secreto**, elija **Otro tipo de secreto**.

      1. Especifique las claves y los valores siguientes en **Pares de clave-valor**:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/ses/latest/dg/eb-relay.html)
**nota**  
En ambas claves, solo debe introducir `username` y `password` como se muestra (cualquier otra cosa provocará un error de autenticación). Para los valores, escriba su propio nombre de usuario y contraseña, respectivamente.

      1. Seleccione **Añadir nueva clave** para crear una clave gestionada por el cliente (CMK) de KMS en la **clave de cifrado**; se abrirá la AWS KMS consola.

      1. Seleccione **Crear clave** en la página **Claves administradas por el cliente**.

      1. Conserve los valores predeterminados de la página **Configurar clave** y seleccione **Siguiente**.

      1. Escriba el nombre de la clave en **Alias** (si lo desea, puede agregar una descripción y una etiqueta). Seleccione **Siguiente**.

      1. Elija los usuarios (que no sean usted) o los roles a los que desee permitir que administren la clave en **Administradores de claves**. A continuación, seleccione **Siguiente**.

      1. Elija los usuarios (que no sean usted) o los roles a los que desee permitir que usen la clave en **Usuarios de claves**. A continuación, seleccione **Siguiente**.

      1. Copie y pegue la [Política de CMK de KMS](eb-policies.md#eb-policies-relay-cmk) en el editor de texto de JSON de **Política de claves** en el nivel `"statement"`; para ello, agréguela como instrucción adicional separada por una coma. Sustituya la región y el número de cuenta por sus propios valores.

      1. Seleccione **Finalizar**.

      1. Seleccione la pestaña del navegador en la que esté abierta la página AWS Secrets Manager **Guardar una nueva página secreta** y seleccione el *icono de actualización* (flecha circular) situado junto al campo de la **clave de cifrado**. A continuación, haga clic dentro del campo y seleccione la clave recién creada.

      1. Escriba un nombre en el campo **Nombre del secreto** de la página **Configurar secreto**.

      1. En **Permisos de recursos**, seleccione **Editar permisos**.

      1. Copie y pegue la [Política de recursos de secretos](eb-policies.md#eb-policies-relay-secrets) en el editor de texto de JSON de **Permisos de recursos** y sustituya la región y el número de cuenta por los suyos (asegúrese de eliminar cualquier ejemplo de código del editor). 

      1. Seleccione **Guardar** y, a continuación, elija **Siguiente**. 

      1. Si lo desea, configure la rotación y seleccione **Siguiente**. 

      1. Revise el nuevo secreto y elija **Almacenar** para guardarlo. 

      1. Seleccione la pestaña del navegador en la que esté abierta la página **Crear relé de SMTP** de SES. A continuación, elija **Actualizar la lista** y seleccione el secreto recién creado en **ARN del secreto**.

------

1. Seleccione **Crear relé SMTP**.

1. Puede ver y administrar los relés de SMTP ya creados en la página **Relés SMTP**. Si desea eliminar un relé de SMTP, elija su botón de opción y, a continuación, seleccione **Eliminar**.

1. Para editar un relé de SMTP, seleccione su nombre. En la página de detalles, puede cambiar el nombre del relé, el nombre, el puerto y las credenciales de inicio de sesión del servidor de SMTP externo. Para ello, elija el botón **Editar** o **Actualizar** correspondiente y, a continuación, seleccione **Guardar cambios**.

## Configuración de Google Workspace para un relé de SMTP entrante (no autenticado)
<a name="eb-relay-inbound-google"></a>

En el siguiente ejemplo paso a paso, se muestra cómo configurar Google Workspace para que funcione con un relé de SMTP entrante (no autenticado) del Administrador de correo electrónico.

**Requisitos previos**
+ Abra la consola de administrador de Google ([consola de administrador de Google](https://admin.google.com/) > Aplicaciones > Google Workspace > Gmail).
+ Abra el servidor de nombres de dominio en que están alojados los registros MX de los dominios que se utilizarán para configurar el Administrador de correo electrónico.

**Configuración de Google Workspace para que funcione con un relé de SMTP entrante**
+ **Adición de direcciones IP del Administrador de correo electrónico a la configuración de la puerta de enlace entrante**

  1. En la [consola de administración de Google](https://admin.google.com/), vaya a **Aplicaciones > Google Workspace > Gmail**.

  1. Seleccione **Spam, phishing y software malicioso** y, a continuación, vaya al ajuste **Pasarela de entrada**.

  1. Habilite **Pasarela de entrada** y configúrela con los datos siguientes:  
![\[Habilite Pasarela de entrada y configúrela con los datos correspondientes.\]](http://docs.aws.amazon.com/es_es/ses/latest/dg/images/GoogleWSInboundGateway.png)
     + En **Gateway IPs**, selecciona **Añadir** y añade el punto final de entrada IPs específico de tu región en la tabla de [rangos de IP de retransmisión SMTP](https://docs.aws.amazon.com/general/latest/gr/ses.html#ses_mm_relay_ip_ranges).
     + Seleccione **Detectar automáticamente IP externa**.
     + Seleccione **Requerir conexiones TLS** para las conexiones de la lista de puertas de enlace de correo electrónico enumeradas anteriormente.
     + Seleccione **Guardar** en la parte inferior del cuadro de diálogo para guardar la configuración. Una vez guardada, la consola de administración mostrará que la opción **Pasarela de entrada** está habilitada.

## Configuración de Microsoft Office 365 para el relé de SMTP entrante (no autenticado)
<a name="eb-relay-inbound-ms365"></a>

En el siguiente ejemplo paso a paso, se muestra cómo configurar Microsoft Office 365 para que funcione con un relé de SMTP entrante (no autenticado) del Administrador de correo electrónico.

**Requisitos previos**
+ Abra el centro de administración de Microsoft Security ([Centro de administración de Microsoft Security](https://security.microsoft.com/homepage) > Email & collaboration > Policies & Rules > Threat Policies).
+ Abra el servidor de nombres de dominio en que están alojados los registros MX de los dominios que se utilizarán para configurar el Administrador de correo electrónico.

**Configuración de Microsoft Office 365 de modo que funcione con un relé de SMTP entrante**

1. **Adición de direcciones IP del Administrador de correo electrónico a la lista de permitidos**

   1. En el [Centro de administración de Microsoft Security](https://security.microsoft.com/homepage), vaya a **Email & collaboration > Policies & Rules > Threat Policies**.

   1. Seleccione **Anti-spam** en **Policies**.

   1. Seleccione **Connection filter policy** y, a continuación, elija **Edit connection filter policy**.
      + En el cuadro de diálogo **Permitir siempre mensajes de las siguientes direcciones IP o rango de direcciones**, agregue el punto final de entrada IPs específico de su región en la tabla de rangos de IP de [retransmisión SMTP](https://docs.aws.amazon.com/general/latest/gr/ses.html#ses_mm_relay_ip_ranges).
      + Seleccione **Guardar**.

   1. Vuelva a la opción **Anti-spam** y elija **Anti-spam inbound policy**.
      + En la parte inferior del cuadro de diálogo, seleccione **Edit spam threshold and properties**.  
![\[Habilite Inbound gateway y configúrela con los datos correspondientes.\]](http://docs.aws.amazon.com/es_es/ses/latest/dg/images/MSO365AntiSpamInboundPolicy.png)
      + Desplácese hasta **Mark as spam** y asegúrese de que **SPF record: hard fail** se haya establecido en **Off**.
      + Seleccione **Guardar**.

1. **Configuración del filtrado mejorado (recomendada)**

   Esta opción permitirá que Microsoft Office 365 identifique correctamente la IP de conexión original antes de que el Administrador de correo electrónico de SES reciba el mensaje.

   1. **Creación de un conector entrante**
      + Inicie sesión en el nuevo [Centro de administración de Exchange](https://admin.exchange.microsoft.com/#/homepage) y vaya a **Mail flow** > **Connectors**.
      + Seleccione **Add a connector**.
      + En **Connection from**, seleccione **Partner organization** y, a continuación, elija **Next**.
      + Rellene los campos de la siguiente manera:
        + **Name**: conector del Administrador de correo electrónico de Simple Email Service
        + **Description**: conector para el filtrado   
![\[Adición de un conector.\]](http://docs.aws.amazon.com/es_es/ses/latest/dg/images/MSExAddConnector.png)
      + Seleccione **Siguiente**.
      + En **Autenticar el correo electrónico enviado**, seleccione **Verificando que la dirección IP del servidor remitente coincide con una de las siguientes direcciones IP, que pertenecen a su organización asociada, y añada el punto final de entrada IPs específico de su** región en la tabla de rangos de IP de retransmisión [SMTP](https://docs.aws.amazon.com/general/latest/gr/ses.html#ses_mm_relay_ip_ranges).  
![\[En Autenticar el correo electrónico enviado, seleccione Verificando que la dirección IP del servidor remitente coincide con una de las siguientes direcciones IP, que pertenecen a su organización asociada, y añada el punto final de entrada IPs específico de su región en la siguiente tabla.\]](http://docs.aws.amazon.com/es_es/ses/latest/dg/images/MSExAuthSentMail.png)
      + Seleccione **Siguiente**.
      + En **Security restrictions**, acepte el ajuste predeterminado **Reject email messages if they aren’t sent over TLS** y seleccione **Next**.
      + Revise la configuración y seleccione **Create connector**.

   1. **Activación del filtrado mejorado**

      Ahora que se ha configurado el conector de entrada, es preciso habilitar la configuración de filtrado mejorado del conector en el **Centro de administración de Microsoft Security**.
      + En el [Centro de administración de Microsoft Security](https://security.microsoft.com/homepage), vaya a **Email & collaboration > Policies & Rules > Threat Policies**.
      + Seleccione **Enhanced filtering** en **Rules**.  
![\[Seleccione Enhanced filtering en Rules dentro de Threat polices.\]](http://docs.aws.amazon.com/es_es/ses/latest/dg/images/MSO365ThreatPolicies.png)
      + Seleccione el **Simple Email Service Mail Manager connector** creado previamente, a fin de editar sus parámetros de configuración.
      + Seleccione **Automatically detect and skip the last IP address** y también **Apply to entire organization**.  
![\[Edite la configuración del conector creado anteriormente.\]](http://docs.aws.amazon.com/es_es/ses/latest/dg/images/MSO365EditConnector.png)
      + Seleccione **Guardar**.