none
¿Como ver los emals enviados desde el Exchange? RRS feed

  • Pregunta

  • Hola, tengo un Exchange 2010 el correo saliente se lo entragamos a un Servidor RELAY que lo envía en nuestro nombre,

    El Relay contratado tiene un límite de 100 mail reenviados al día, cuando veo el gráfico de los envios me doy cuenta que han salido muchos más emial de los que yo pensaba.

    Me gustaría saber cuantos email y la mayor cantidad de infomación posible para hacer un seguiento.

    ¿Que puedo hacer? he mirado en el visor de cola de las herramientas de la consola de Exchange pero no veo como configurarlo.

    Muchas Gracias

    miércoles, 12 de septiembre de 2012 13:05

Respuestas

  • Hola de Nuevo Limmon_tree!

    Te hago dos preguntas:

      • ¿Tenés algún software anti-spam instalado en el servidor?
      • ¿Tenés habilitada la protección antispam integrada del Exchange 2010?

    Por otro lado, paso a explicarte cual es la posible causa de los emails que estás viendo allí. Estos mensajes son generados por el propio sistema Exchange y su "From" es el Postmaster, por eso el sender parece como vacío o en blanco (<>). Ahora bien, todo ha de suponer que son emails de tipo "NDR" (informes de no entrega). Estos informes de no entrega (NDR) son mensajes generados desde tu Exchange que informan del estado de entrega de un mensaje recibido. Aparentemente, entradas de mensajes (emails externos que ingresan) a tu Exchange están intentando contactar a algunos destinatarios inválidos (direcciones de correo que no son usuarios en tu Exchange), por esa razón tu servidor rechaza esos mensajes generado en NDR (el informe de "no entrega"). Ahora, como el sender del mensaje que origina el NDR no puede ser contactado (quizás es una dirección externa que no existe) el NDR no puede ser entregado y queda en tu cola de mensajes.

    La causa de recepción de estos mensajes (que generan en tu sistema NDRs) pueden ser normalmente (y simplificadamente) 3 (tres):

    1. Spam recibido a tu Exchange que está dirigido a usuarios que no existen
    2. Spam que se envía en nombre de tu dominio pero NO desde tu Exchange (sino desde SMTP externos), que están dirigidos a usuarios externos (NO de tu Exchange) que no existen, y como no existen el proveedor que los recibe genera un NDR (informe de no entrega) hacia TU dominio (por eso ingresan a tu Exchange) pero hacia usuarios que NO existen, por lo cual tu Exchange intenta generar un NDR del NDR recibido, pero este ultimo nunca puede ser entregado porque el remitente original no existe (esto se lo llama "ataque de NDR reverso").
    3. Spam que realmente se está enviando desde TU exchange y está dirigido a remitentes que no existen, por esta razón el proveedor genera un NDR que (al igual que el punto anterior) cuando tu Exchange recibe no puede entregarlos (porque están dirigidos a usuarios no existentes en TU exchange) y por esta razón genera un NDR del NDR recibido.

    Para confirmer que estos mensajes sean causados por el SPAM o NDR entrants, podrías chequear tu Log (Receive Log) en tu Receive Connector, que deberías encontrar como archive de texto en "\Exchange Server\V14\TransportRoles\Logs\ProtocolLog\SmtpReceive".

    Si no tenés un filtro anti-spam habilitado

    Si la respuesta a ambas preguntas realizadas inicialmente son negativas, te sugiero que habilites la protección anti-spam del Exchange 2010. Esta protección te permitirá tener algunas validaciones antes de recibir correo externo que pueda perjudicarte

    Para esto podrás leer el siguiente artículo que te explica como hacerlo a través de PowerShell: http://technet.microsoft.com/en-us/library/bb201691.aspx

    Una vez instalado, habilitá la opción de no recibir emails a direcciones que no existan en tu Exchange. Esto lo podrás hacer desde tu PowerShell con el siguiente comando:

    Set-RecipientFilterConfig -RecipientValidationEnabled:$true

    Esto frenaría, si se confirman que los mensajes son generados por los NDR de tu sistema (como te comenté antes), un poco la acumulación de correos en tu cola de mensajes.

    Como medidas auxiliares te sugiero que:

    1. Tengas seteado correctamente el registro SPF de tu servidor DNS publico para tu zona DNS. Una ayuda para configurarlo (generar el texto que debés poner en tu DNS) está aquí: http://www.microsoft.com/mscorp/safety/content/technologies/senderid/wizard/

    Si deseás conocer detalles sobre que es SPF, podrías visitar http://www.microsoft.com/senderid

    Espero esto te ayude!

    Saludos!!


    Pablo Ariel Di Loreto
    IT Consultant

    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    • Marcado como respuesta limmon_tree jueves, 13 de septiembre de 2012 6:53
    jueves, 13 de septiembre de 2012 3:45

Todas las respuestas

  • Hola Limmon_tree!

    En Exchange 2010 (y también 2007) podés utilizar el "Tracking Log Explorer" que está dentro de los "Tools" en tu Exchange Management Console.

    Cuando abrís el "Tracking Log Explorer" te vas a encontrar con la posibilidad de revisar los emails enviados, recibidos, demorados, con error, etc. Podrás aplicar filtros por remitente, destinatario, etc.

    Te paso una captura de la herramienta más abajo. Además, podés utilizar por supuesto los comandos Power-Shell para track de envio de emails a través del comando "Get-Messagetrackinglog". Más info aquí http://technet.microsoft.com/es-es/library/aa997573.aspx

    Avisanos si necesitás otra cosa!

    Saludos!


    Pablo Ariel Di Loreto
    IT Consultant

    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    miércoles, 12 de septiembre de 2012 17:34
  • Muchas gracias por tu respuesta,

    Acabo de leer tu mail, ademas como se ha agotado la quota del relay tengo en cola unos mensajes, en dos de ellos el sender es un direccion de correo de gente de la organización pero hay varios que aparece vacía la direccion del origen ademas en los que aparece la direccion pone algo como "local" pero en los otros los que no aparece el email de origen aparece <> en un campo a la derecha aparece "DSN", siento no ser mas explicito pero he parado la maquina virtual para hacer una copia de seguridad antes de nada,

    Cuando la arranque de nuevo os mando más información,

    Ademas este servidor esta sin antivirus le voy a instalar el ESET para servidores de Correo.

    Saludos

    Limmon

    miércoles, 12 de septiembre de 2012 19:42
  • Hola de nuevo:

    Tengo en la cola envio algunos mail que parecen correctos pero otros no lo son :

    la direccion de envio está vacia <>, el nombre de origen del mensaje  es DSN, los que son normales tienen como nombre de origen del mensaje "FromLocal"

    ¿Que puede estar pasando? ¿algun equipo está infectado y está mandando spam?¿Tengo el exchange configurado para reenviar correo?

    Muchas gracias

    miércoles, 12 de septiembre de 2012 20:51
  • Hola de Nuevo Limmon_tree!

    Te hago dos preguntas:

      • ¿Tenés algún software anti-spam instalado en el servidor?
      • ¿Tenés habilitada la protección antispam integrada del Exchange 2010?

    Por otro lado, paso a explicarte cual es la posible causa de los emails que estás viendo allí. Estos mensajes son generados por el propio sistema Exchange y su "From" es el Postmaster, por eso el sender parece como vacío o en blanco (<>). Ahora bien, todo ha de suponer que son emails de tipo "NDR" (informes de no entrega). Estos informes de no entrega (NDR) son mensajes generados desde tu Exchange que informan del estado de entrega de un mensaje recibido. Aparentemente, entradas de mensajes (emails externos que ingresan) a tu Exchange están intentando contactar a algunos destinatarios inválidos (direcciones de correo que no son usuarios en tu Exchange), por esa razón tu servidor rechaza esos mensajes generado en NDR (el informe de "no entrega"). Ahora, como el sender del mensaje que origina el NDR no puede ser contactado (quizás es una dirección externa que no existe) el NDR no puede ser entregado y queda en tu cola de mensajes.

    La causa de recepción de estos mensajes (que generan en tu sistema NDRs) pueden ser normalmente (y simplificadamente) 3 (tres):

    1. Spam recibido a tu Exchange que está dirigido a usuarios que no existen
    2. Spam que se envía en nombre de tu dominio pero NO desde tu Exchange (sino desde SMTP externos), que están dirigidos a usuarios externos (NO de tu Exchange) que no existen, y como no existen el proveedor que los recibe genera un NDR (informe de no entrega) hacia TU dominio (por eso ingresan a tu Exchange) pero hacia usuarios que NO existen, por lo cual tu Exchange intenta generar un NDR del NDR recibido, pero este ultimo nunca puede ser entregado porque el remitente original no existe (esto se lo llama "ataque de NDR reverso").
    3. Spam que realmente se está enviando desde TU exchange y está dirigido a remitentes que no existen, por esta razón el proveedor genera un NDR que (al igual que el punto anterior) cuando tu Exchange recibe no puede entregarlos (porque están dirigidos a usuarios no existentes en TU exchange) y por esta razón genera un NDR del NDR recibido.

    Para confirmer que estos mensajes sean causados por el SPAM o NDR entrants, podrías chequear tu Log (Receive Log) en tu Receive Connector, que deberías encontrar como archive de texto en "\Exchange Server\V14\TransportRoles\Logs\ProtocolLog\SmtpReceive".

    Si no tenés un filtro anti-spam habilitado

    Si la respuesta a ambas preguntas realizadas inicialmente son negativas, te sugiero que habilites la protección anti-spam del Exchange 2010. Esta protección te permitirá tener algunas validaciones antes de recibir correo externo que pueda perjudicarte

    Para esto podrás leer el siguiente artículo que te explica como hacerlo a través de PowerShell: http://technet.microsoft.com/en-us/library/bb201691.aspx

    Una vez instalado, habilitá la opción de no recibir emails a direcciones que no existan en tu Exchange. Esto lo podrás hacer desde tu PowerShell con el siguiente comando:

    Set-RecipientFilterConfig -RecipientValidationEnabled:$true

    Esto frenaría, si se confirman que los mensajes son generados por los NDR de tu sistema (como te comenté antes), un poco la acumulación de correos en tu cola de mensajes.

    Como medidas auxiliares te sugiero que:

    1. Tengas seteado correctamente el registro SPF de tu servidor DNS publico para tu zona DNS. Una ayuda para configurarlo (generar el texto que debés poner en tu DNS) está aquí: http://www.microsoft.com/mscorp/safety/content/technologies/senderid/wizard/

    Si deseás conocer detalles sobre que es SPF, podrías visitar http://www.microsoft.com/senderid

    Espero esto te ayude!

    Saludos!!


    Pablo Ariel Di Loreto
    IT Consultant

    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    • Marcado como respuesta limmon_tree jueves, 13 de septiembre de 2012 6:53
    jueves, 13 de septiembre de 2012 3:45
  • Hola Pablo,

    Muchisimas gracias, tienes razon en todo lo expuesto, ese es el problema.

    Espero poder devolverte el favor algún día.

    Un saludo.

    Limmon

    jueves, 13 de septiembre de 2012 6:54
  • Hola, buscando informacion he dado con este hilo

    queria consultarte puesto que en ocasiones me encuentro en los logs y en la cola de envio correos con el remitente o el returpah "<>", hoy mismo he probado a mandar un correo a postmaster@contoso.com desde mi exchange y pese a devolver el correo desde postmaster@CONTOSO18839.onmicrosoft.com en los logs aparece <> y en el returnpath del seguimientos de mensajes.

    a que es debido? 

    si he visto que algunas veces es mi exchange el que genera un NDR y se queda en cola porque no sabe entregar (entiendo que leyendo lo tuyo son correos mandados a mis cuentas que no existen y se quedan en el limbo). Estoy buscando que hacer con esos NDR para no tener que entrar a borrarlos manualmente (caducan pero algunas veces lo veo)

    Revisando logs he visto que ciertos servidores me devuelven las confirmaciones con el <> ¿es fallo de mi configuracion?

    Un saludo.

    domingo, 24 de abril de 2016 15:42