Configurar conectores para flujo de correo seguro con una organización asociada

Puede crear conectores para aplicar restricciones de seguridad a los intercambios de correo con una organización asociada o un proveedor de servicios. Un asociado puede ser una organización con la que hace negocios, como un banco. También puede ser un proveedor de servicios en la nube de terceros que ofrezca servicios como archivado, filtro de correo no deseado, etc.

Puede crear un conector para aplicar el cifrado mediante la seguridad de capa de transporte (TLS). También puede aplicar otras restricciones de seguridad, como la especificación de nombres de dominio o los intervalos de direcciones IP desde los que su organización asociada envía el correo.

Nota

La configuración de un conector para intercambiar correo con una organización asociada es opcional; los flujos de correo hacia y desde la organización asociada se producen sin conectores.

Si usa un servicio en la nube de terceros para el filtrado de correo electrónico y necesita instrucciones para que esto funcione con Microsoft 365 o Office 365, consulte Procedimientos recomendados de flujo de correo para Exchange Online y Microsoft 365 o Office 365 (introducción).

Uso de conectores para intercambiar correo electrónico con una organización asociada

De forma predeterminada, Microsoft 365 o Office 365 correo mediante cifrado TLS, siempre que el servidor de destino también admita TLS. Si su organización asociada admite TLS, solo necesitará crear un conector si quiere aplicar ciertas restricciones de seguridad, por ejemplo, quiere que siempre se aplique TLS o exige la comprobación del certificado siempre que su socio envíe correo a su organización.

Nota

Para obtener información acerca de TLS, consulte Empleo de TLS por parte de Exchange Online para proteger las conexiones de correo electrónico y para obtener información técnica detallada acerca de cómo Exchange Online usa TLS con orden de conjuntos de cifrado, consulte Mejorar la seguridad de flujo de correo para Exchange Online.

Al configurar un conector, los mensajes de correo electrónico se comprueban para asegurarse de que cumplen las restricciones de seguridad especificadas. Si los mensajes de correo electrónico no cumplen las restricciones de seguridad especificadas, el conector los rechaza y esos mensajes no se entregarán. Este comportamiento del conector permite configurar un canal de comunicación seguro con una organización asociada.

Puede configurar una o ambas de las siguientes opciones, según sus requisitos:

En este artículo, también encontrará la información siguiente:

Revise esta sección para poder determinar la configuración específica que necesita para su negocio.

Configurar un conector para aplicar restricciones de seguridad al correo enviado Microsoft 365 o Office 365 a la organización asociada

En esta sección se describe el proceso de configuración de un conector en el Centro de administración de nueva Exchange (EAC) y el EAC clásico. Antes de configurar un nuevo conector, haga lo siguiente:

  • Compruebe si hay conectores que ya estén enumerados aquí para su organización. Por ejemplo, si ya tiene configurado un conector para una organización asociada, lo verá en la lista. Asegúrese de que no cree conectores duplicados para un solo socio de la organización; cuando esto sucede, puede provocar errores y es posible que el correo no se entregue.

Si ya existen conectores para su organización, puede verlos aquí, como se muestra en las capturas de pantalla siguientes para Nuevo EAC y EAC clásico, respectivamente.

Lista existente de conectores.

Microsoft 365 y Office 365 de la organización de partners de conectores.

  • Vaya al nuevo EAC desde el Centro de administración de Microsoft 365 haga clic Exchange en el panel Centros de administración.

A continuación se indican los procedimientos para configurar un nuevo conector.

Para nuevo EAC

  1. Vaya a Flujo de correo > Conectores. Aparece la pantalla Conectores.

  2. Haga clic en +Agregar un conector. Aparece la pantalla Nuevo conector.

  3. En Conexión de, elija Office 365.

  4. En Conexión a, elija Organización de partners.

Pantalla en la que se agrega un conector para Office 365.

  1. Haga clic en Siguiente. Aparece la pantalla Nombre de conector.

  2. Proporcione un nombre para el conector y haga clic en Siguiente. Aparece la pantalla Uso del conector.

  3. Elija cualquiera de las dos opciones entre Solo cuando tenga configurada una regla de transporte que redirija los mensajes a este conector y Solo cuando se envíen mensajes de correo electrónico a estos dominios.

Nota

Si elige la segunda opción, proporcione el nombre de cualquiera de los dominios que forman parte de su organización. Si solo hay un dominio para su organización, escriba su nombre.

  1. Haga clic (después de escribir el nombre de dominio, si ha elegido Solo cuando se envían mensajes de + correo electrónico a estos dominios)

El nombre de dominio se muestra en el cuadro de texto.

  1. Haga clic en Siguiente. Aparecerá la pantalla Enrutamiento.

  2. Elija cualquiera de las dos opciones entre Usar el registro MX asociado al dominio del asociado y Enrutar el correo electrónico a través de estos hosts inteligentes.

  3. Haga clic en Siguiente. Aparecerá la pantalla Restricciones de seguridad.

Nota

Si elige la primera opción, no necesita mencionar los detalles del host inteligente. Si elige la segunda opción, escriba el nombre de dominio del host inteligente en el cuadro de texto.

  1. Active la casilla Usar siempre seguridad de la capa de transporte (TLS) para proteger la conexión (recomendada).

Nota

No es obligatorio configurar las opciones de seguridad de la capa de transporte (TLS) en la página Restricciones de seguridad. Puedes navegar a la siguiente pantalla sin elegir nada en esta pantalla. La necesidad de definir la configuración de TLS en esta página depende de si el servidor de destino admite TLS o no.

  1. Elija una de las opciones en Conectar solo si el certificado del servidor de correo electrónico del destinatario coincide con este criterio.

Nota

Si elige la opción Problema por una entidad de certificación de confianza (CA), se activará la opción Agregar el nombre de sujeto o el nombre alternativo del sujeto (SAN).

Es opcional elegir la opción Agregar el nombre de sujeto o el nombre alternativo del asunto (SAN) que coincida con este nombre de dominio. Sin embargo, si lo elige, debe escribir el nombre de dominio con el que coincide el nombre del certificado.

  1. Haga clic en Siguiente. Aparecerá la pantalla Validación de correo electrónico.

  2. Escriba una dirección de correo electrónico que forma parte del buzón en el servidor de correo electrónico de su organización.

  3. Haga clic en +.

  4. Haga clic en Validar. Se inicia el proceso de validación.

  5. Una vez completado el proceso de validación, haga clic en Siguiente. Aparecerá la pantalla Revisar conector.

  6. Revise la configuración que ha configurado y haga clic en Crear conector.

Se crea el conector.

Nota

Si necesita más información sobre la configuración, haga clic en los vínculos Ayuda o Más información.

  1. Al final, asegúrese de que el conector valida. Si el conector no se valida, consulte Validate connectors for help resolving issues.

Para EAC clásico

Vaya al portal de EAC clásico haciendo clic en Centro Exchange de administración. Seleccione flujo de correo y, a continuación, conectores.

Para iniciar el asistente, haga clic en el símbolo más +. En la primera pantalla, elija las opciones que se muestran en la siguiente captura de pantalla:

Microsoft 365 y Office 365 a las opciones de conector de organización asociada.

Haga clic en Siguiente, y siga las instrucciones del asistente. Haga clic en los vínculos Ayuda o Más información si necesita más información. El asistente le guiará a través de la configuración. Al final, asegúrese de que el conector valida. Si el conector no se valida, consulte Validate connectors for help resolving issues.

Si desea crear un canal seguro con su organización asociada en ambas direcciones, configure un conector que restrinja el flujo de correo de la organización asociada a Microsoft 365 o Office 365.

Configurar un conector para aplicar restricciones de seguridad al correo enviado desde la organización asociada a Microsoft 365 o Office 365

Puede configurar un conector para aplicar restricciones de seguridad para el correo electrónico que le envía la organización asociada. A continuación se describe el procedimiento para configurar un conector.

Para nuevo EAC

  1. Vaya a Flujo de correo > Conectores. Aparece la pantalla Conectores.

  2. Haga clic en +Agregar un conector. Aparece la pantalla Nuevo conector.

Pantalla en la que comienza el proceso para crear un conector.

  1. En Conexión de, elija Organización de partners.

Nota

Una vez seleccionado el botón de radio Organización asociada en Conexión desde, la opción de Conexión a está gris, lo que implica que Office 365 se elige de forma predeterminada.

Pantalla en la que se configura un conector para aplicar restricciones de seguridad.

  1. Haga clic en Siguiente. Aparece la pantalla Nombre de conector.

  2. Proporcione un nombre para el conector y haga clic en Siguiente. Aparece la pantalla Autenticación de correo electrónico enviado.

  3. Elija una de las dos opciones entre Comprobar que el dominio del remitente coincide con uno de los siguientes dominios y Comprobar que la dirección IP del servidor de envío coincide con una de las siguientes direcciones IP, que pertenecen a su organización asociada.

Nota

Si elige Al comprobar que el dominio del remitente coincide con uno de los siguientes dominios, puede proporcionar el nombre de cualquier dominio de la lista de dominios de su organización. Si solo tiene un dominio para su organización, escriba su nombre. Si elige Comprobar que la dirección IP del servidor de envío coincide con una de las siguientes direcciones IP, que pertenecen a su organización asociada, proporcione una dirección IP de cualquiera de los destinatarios que forman parte del buzón de su organización.

  1. Haga clic en Siguiente. Aparecerá la pantalla Restricciones de seguridad.

  2. Active la casilla Rechazar mensajes de correo electrónico si no se envían a través de TLS .

Nota

Es opcional elegir la opción de Y requerir que el nombre del asunto del certificado que el asociado usa para autenticarse con Office 365 coincide con este nombre de dominio. Si elige esta opción, escriba el nombre de dominio de la organización asociada.

  1. Active la casilla Rechazar mensajes de correo electrónico si no se envían desde este intervalo de direcciones IP y proporcione el intervalo de direcciones IP.

Importante

Puede elegir esta opción además de la opción especificada en el paso 5; De lo contrario, puede elegir esta opción o la del paso 5. Elegir al menos una de estas opciones es obligatorio.

  1. Haga clic en Siguiente. Aparecerá la pantalla Revisar conector.

  2. Revise la configuración que ha configurado y haga clic en Crear conector.

Se crea el conector.

Nota

Si necesita más información, puede hacer clic en los vínculos Ayuda o Más información. En particular, consulte Identificación del correo electrónico desde el servidor de correo electrónico para obtener ayuda para configurar la configuración de certificados o direcciones IP para este conector. El asistente le guiará a través de la configuración.

Para EAC clásico

Para iniciar el asistente, haga clic en el símbolo más +. En la primera pantalla, elija las opciones siguientes:

Conector de la organización asociada Microsoft 365 o Office 365.

Haga clic en Siguiente y siga las instrucciones del asistente. Haga clic en los vínculos Ayuda o Saber más si necesita más información. El asistente le guiará a través de la configuración. Al final, guarde su conector.

Solicite a la organización asociada que le envíe un correo electrónico de prueba. Asegúrese de que el correo electrónico que envía la organización asociada hará que se aplique el conector. Por ejemplo, si especificó restricciones de seguridad para el correo enviado desde un dominio de socio específico, asegúrese de que envían correo de prueba desde ese dominio. Compruebe que el correo electrónico de prueba se entregue para confirmar que el conector funciona correctamente.

Cambiar un conector que Microsoft 365 o Office 365 está usando para el flujo de correo

Para cambiar la configuración de un conector, realice los procedimientos especificados a continuación.

Seleccione el conector que desea editar y, a continuación, haga clic en el icono Editar, como se muestra en las dos pantallas siguientes para Nuevo EAC y EAC classis, respectivamente.

Pantalla en la que se puede editar la configuración del conector.

Muestra una captura de pantalla con un conector seleccionado y el icono de edición (lápiz) resaltado.

Se abre el Asistente para el conector, que lee permite realizar cambios a la configuración del conector existente. Mientras cambia la configuración del conector, Microsoft 365 o Office 365 sigue utilizando la configuración del conector existente para el flujo de correo. Al guardar los cambios en el conector, Microsoft 365 o Office 365 empieza a usar la nueva configuración.

Restricciones de seguridad de ejemplo que puede aplicar a correo electrónico enviado desde una organización asociada

Revise estos ejemplos de conectores para decidir si desea aplicar restricciones de seguridad a los correos electrónicos enviados por una organización asociada y comprender qué configuración cumplirá con sus necesidades empresariales:

Crear un conector de organización asociada

Para nuevo EAC

Para obtener más información sobre este procedimiento, vea la subsección For New EAC en la sección Configurar un conector para aplicar restricciones de seguridad al correo enviado desde la organización asociada a Microsoft 365 o Office 365 en este tema.

Para EAC clásico

Desde el nuevo portal de EAC, vaya al portal de EAC clásico haciendo clic en Clásico Exchange centro de administración. Seleccione flujo de correo y, a continuación, conectores.

Para iniciar el asistente, haga clic en el signo más +. Para crear un conector para el correo electrónico que recibe de una organización asociada, use las opciones que se muestran en la siguiente captura de pantalla:

Conector de la organización asociada Microsoft 365 o Office 365.

Una vez que elija este escenario de flujo de correo, puede configurar un conector que aplicará restricciones de seguridad a los correos electrónicos que su organización asociada le envíe. Para algunas restricciones de seguridad, es posible que deba ponerse en contacto con su organización asociada para obtener información con el objetivo de completar algunas opciones de configuración. Busque los ejemplos que mejor satisfagan sus necesidades para poder configurar el conector de su socio.

Nota

No se entregarán los correos electrónicos enviados desde la organización asociada que no cumplan las restricciones de seguridad que especifique.

Ejemplo 1: requerir que el correo electrónico enviado desde el dominio contosobank.com de la organización asociada esté cifrado mediante seguridad de la capa de transporte (TLS)

Para ello, especifique el nombre de dominio de la organización asociada para identificar el correo de ese partner y, a continuación, elija cifrado de seguridad de la capa de transporte (TLS) al crear el conector para el flujo de correo de su partner a Microsoft 365 o Office 365.

Durante la configuración del conector en el Nuevo EAC, use las opciones que se muestran en las capturas de pantalla siguientes:

Pantalla en la que se realiza el cifrado TLS.

Use esta pantalla para escribir los nombres de dominio de la organización asociada de modo que el conector pueda identificar el correo enviado por el asociado:

Pantalla en la que se establece el nombre de dominio.

Elija esta opción para requerir el cifrado de todo el correo electrónico de ContosoBank.com mediante TLS:

YLa pantalla en la que se configura el cifrado TLS obligatorio.

Durante la configuración del conector en el EAC clásico, use las opciones como se muestra en las capturas de pantalla siguientes:

Elija usar el nombre de dominio del remitente.

Use esta pantalla para escribir los nombres de dominio de la organización asociada de modo que el conector pueda identificar el correo enviado por el asociado:

Agregar el nombre de dominio de la organización asociada.

Elija esta opción para requerir el cifrado de todo el correo electrónico de ContosoBank.com mediante TLS:

Elija TLS para cifrar el correo electrónico de la organización asociada.

Al elegir esta configuración, todos los correos electrónicos del dominio de la organización asociada, ContosoBank.com, deben cifrarse mediante TLS. Se rechazará todo correo que no esté cifrado.

Ejemplo 2: requerir que el correo electrónico enviado desde el dominio ContosoBank.com de la organización asociada se cifre y use su certificado de dominio

Para ello en el Nuevo EAC, siga estos pasos:

  1. Use toda la configuración que se muestra en el ejemplo 1 anterior.

  2. Agregue el nombre de dominio de certificado que la organización asociada usa para conectarse con Microsoft 365 o Office 365.

Pantalla en la que se realiza el cifrado con el nombre del certificado de dominio.

Para ello, en el EAC clásico

  1. Use toda la configuración que se muestra en el ejemplo 1 anterior.

  2. Agregue el nombre de dominio de certificado que la organización asociada usa para conectarse con Microsoft 365 o Office 365.

Escriba el nombre del certificado de la organización asociada.

Cuando establece estas restricciones, se debe cifrar todo correo desde el dominio de la organización asociada mediante TLS, y se lo debe enviar desde un servidor con el nombre del certificado que usted especifique. Se rechazará el correo electrónico que no cumpla estas condiciones.

Ejemplo 3: Requerir que todos los correos electrónicos se envíen desde un intervalo de direcciones IP específico

Este correo electrónico puede proceder de una organización asociada, como ContosoBank.com, o de su entorno local. Por ejemplo, el registro MX de su dominio, contoso.com, apunta a local y desea que todos los correos electrónicos que se envíen a contoso.com provienen solo de sus direcciones IP locales. Esto ayuda a evitar la suplantación de dominio y garantiza que las directivas de cumplimiento se puedan aplicar para todos los mensajes.

Para ello, especifique el nombre de dominio de la organización asociada para identificar el correo de ese asociado y, a continuación, restrinja las direcciones IP desde las cuales acepta correo. El uso de una dirección IP hace que el conector sea más específico porque identifica una sola dirección o un intervalo de direcciones desde el que la organización asociada envía correos.

En el Nuevo EAC, el procedimiento se describe a continuación:

  1. Escriba el dominio de socio como se describe en el ejemplo 1 anterior.
  2. Usa las opciones como se muestra en la captura de pantalla siguiente.

Pantalla en la que se establece la dirección IP de origen de correo electrónico.

En el EAC clásico, el procedimiento se describe a continuación:

  1. Escriba el dominio de socio como se describe en el ejemplo 1 anterior.
  2. Usa las opciones como se muestra en la captura de pantalla siguiente.

Escriba el intervalo de direcciones IP de la organización asociada.

Al establecer estas restricciones, todos los correos electrónicos que se envíen desde el dominio de la organización asociada, ContosoBank.com o desde el entorno local serán de la dirección IP o un intervalo de direcciones que especifique. Se rechazará el correo que no cumpla estas condiciones.

Ejemplo 4: Requerir que todo el correo electrónico enviado a su organización desde Internet se envíe desde una dirección IP específica (escenario de servicio de correo electrónico de terceros)

El flujo de correo de un servicio de correo electrónico de terceros Microsoft 365 o Office 365 funciona sin un conector. Sin embargo, en este escenario, opcionalmente puede usar un conector para restringir toda la entrega de correo a su organización. Si usa la configuración descrita en este ejemplo, se aplicarán a todo correo electrónico enviado a su organización. Cuando todos los correos electrónicos enviados a su organización proceden de un solo servicio de correo electrónico de terceros, opcionalmente puede usar un conector para restringir toda la entrega de correo; solo se entregará el correo enviado desde una sola dirección IP o intervalo de direcciones.

Nota

Asegúrese de identificar el rango completo de direcciones IP desde las que el servicio de correo electrónico de terceros envía correo. Si se pierde una dirección IP, o si se agrega una sin su conocimiento, algunos correos no se entregarán a su organización.

En el Nuevo EAC, para restringir todos los correos enviados a su organización desde una dirección IP específica o un intervalo de direcciones, use las opciones durante la instalación, como se muestra en las capturas de pantalla siguientes:

Pantalla en la que hay una configuración para aplicar la configuración globalmente.

Pantalla en la que se define el intervalo de direcciones IP de la organización asociada

En el EAC clásico, para restringir todos los correos enviados a su organización desde una dirección IP o un intervalo de direcciones específicos, use las opciones durante la instalación, como se muestra en las capturas de pantalla siguientes:

Elija usar el nombre de dominio del remitente.

Escriba " * " para aplicar la configuración a todos los dominios de remitente.

Escriba el intervalo de direcciones IP de la organización asociada.

Al establecer estas restricciones, todos los correos enviados a la organización serán de un intervalo de direcciones IP específico. Se rechazará cualquier correo electrónico de Internet que no se origine en este intervalo de direcciones IP.

Ejemplo 5: requerir que todo correo enviado desde el intervalo de direcciones o la dirección IP de la organización asociada se cifre mediante TLS

Para identificar su organización asociada por dirección IP, en el Nuevo EAC, use las opciones durante la instalación, como se muestra en la captura de pantalla siguiente:

Pantalla en la que los correos de la organización asociada se identifican mediante la dirección IP del remitente.

Agregue el requisito de cifrado de TLS mediante esta configuración:

Pantalla en la que se establecen las direcciones IP por las que se identificará la organización asociada.

Para identificar la organización asociada por dirección IP, en el EAC clásico, use las opciones durante la instalación, como se muestra en las capturas de pantalla siguientes:

Elija la dirección IP para identificar su organización asociada.

Escriba la dirección IP de la organización asociada.

Agregue el requisito de cifrado de TLS mediante esta configuración:

Elija TLS para cifrar el correo electrónico de la organización asociada.

Al establecer estas restricciones, se debe usar TLS para enviar todo correo de la organización asociada enviado desde el intervalo de direcciones o la dirección IP que especifique. Se rechazará el correo que no cumpla esta restricción.

Vea también

Configurar el flujo de correo mediante conectores Microsoft 365 o Office 365

Procedimientos recomendados de flujo de correo para Exchange Online, Microsoft 365 y Office 365 (introducción)

Validar conectores

¿Qué sucede cuando tengo varios conectores para el mismo escenario?