Si tienes una infraestructura híbrida de exchange con nodos con versiones Exchange 2016 o Exchange 2019 y estas teniendo problemas de retrasos de entrega de correo desde on-prem hacia internet o el propio tenant desde marzo y no sabes el porqué, esto te interesa.
¿Qué es la Limitación y el Bloqueo de Correos Electrónicos?
La limitación (throttling) y el bloqueo (blocking) son mecanismos de control utilizados por Microsoft para gestionar el flujo de correos electrónicos entre servidores Exchange onprem y Exchange Online. La limitación reduce temporalmente la tasa de envío de correos electrónicos cuando se detectan comportamientos sospechosos o potencialmente dañinos. El bloqueo, por otro lado, es una medida más drástica que impide completamente el envío de correos desde servidores considerados inseguros.
¿Por qué es Necesaria Esta Medida?
La implementación de estas medidas de seguridad responde a la creciente necesidad de proteger los sistemas de correo electrónico contra ataques, como el phishing, malware y otras formas de intrusiones maliciosas. Los servidores Exchange onprem que no se mantienen actualizados con los últimos parches de seguridad representan una vulnerabilidad significativa.
¿Cómo funciona esta limitación y bloqueo?
Microsoft monitoriza continuamente el estado de seguridad de los servidores Exchange onprem que se conectan a Exchange Online. Cuando se detecta que un servidor no cumple con los estándares de seguridad necesarios —por ejemplo, si está utilizando una versión de software que ya no recibe soporte o no tiene los parches de seguridad más recientes— se activa la limitación o el bloqueo.
- Limitación Temporal: Se reduce la velocidad a la que se pueden enviar correos electrónicos desde el servidor vulnerable. Esto permite que el servidor continúe operando, pero a una capacidad reducida, incentivando a los administradores a solucionar las vulnerabilidades.
- Bloqueo Completo: Si el servidor permanece vulnerable por un período prolongado o si presenta riesgos graves de seguridad, se bloqueará el envío de correos electrónicos desde dicho servidor a Exchange Online. Esto garantiza que los correos potencialmente peligrosos no lleguen a los usuarios de Exchange Online.
A nivel de sistema observaremos uno o ambos de estos errores en los registros de correo electrónico de los servidores onprem:
4.7.230 Connecting Exchange server version is out-of-date; connection to Exchange Online throttled for n mins/hr.
5.7.230 Connecting Exchange server version is out-of-date; connection to Exchange Online blocked for n mins/hr. El proceso no es inmediato y podemos decir que consta de 8 fases:
Fase 1: Modo solo informe, y comienza cuando se detecta por primera vez un servidor que no cumple con las medidas de seguridad establecidas por Microsof. Una vez detectado tendremos 30 días para remediar el servidor.
Fase 2-4: Si el servidor no se remedia dentro de los 30 días, comenzará la limitación, la cual aumentará cada 10 días durante los próximos 30 días.
Fase 5-7: Si el servidor no se remedia dentro de los 60 días desde la detección, comenzará la limitación y el bloqueo, y el bloqueo aumentará cada 10 días durante los próximos 30 días.
Fase 8: Si, después de 90 días desde la detección, el servidor no ha sido remediado, se llega a la Fase 8, y Exchange Online ya no aceptará ningún mensaje del servidor. Si el servidor se actualiza después de ser bloqueado permanentemente, entonces Exchange Online volverá a aceptar mensajes del servido. Si un servidor no puede ser actualizado, debe ser retirado del servicio de manera permanente.
¿Qué podemos hacer?
Para evitar la limitación y el bloqueo deberemos tener políticas de mantenimiento de los servidores Exchange onprem. Algunas recomendaciones serían:
- Actualizar Regularmente: Asegurarse de que los servidores Exchange estén actualizados con los últimos parches de seguridad y actualizaciones de software.
- Monitorización Continua: Implementar sistemas de monitorizar para detectar y abordar rápidamente cualquier vulnerabilidad.
- Migración a la Nube: Considerar la migración completa a Exchange Online, que ofrece un entorno más seguro y gestionado por Microsoft, reduciendo la carga de mantenimiento para el equipo de TI.
¿Es posible pausar el proceso?
Desde Centro de Administración de Exchange (EAC) permite a los administradores solicitar una pausa temporal en la limitación y el bloqueo. Esta pausa consta de 90 días a través de un año natural, es decir, podemos solicitar varias pausas siempre y cuando no superen los 90 días durante un año.
Este proceso implica:
- Acceso al EAC: Iniciar sesión en el EAC con credenciales de administrador.
- Solicitud de Pausa: Navegar a la sección de informes de flujo de correo y solicitar una pausa temporal en la aplicación de limitaciones.
- Duración de la Pausa: Especificar la duración de la pausa, que puede ser de hasta 90 días por año.
Desde Exchange Online Powershell, ejecutaremos el siguiente comando:
New-TenantExemptionInfo -BlockingScenario UnpatchedOnPremServer -NumberOfDays nDaysnDays: valor en días de la duración de la pausa.
Para comprobar que se activó correctamente ejecutaremos:
Get-TenantExemptionInfo -BlockingScenario UnpatchedOnPremServerNo lo dejes, mantén tus servidores actualizados al menos dentro de los 2 últimos CU.