En esta entrada voy a explicaros como podemos limitar, en Exchange, el envío de correos a grupos de distribución de tal forma que por ejemplo sólo acepten correos de cuentas corporativas o incluso de una serie de cuentas de correos que definamos.
Limitar el envío de correos sólo a cuentas de correos corporativas
Tenemos 2 formas de hacerlo que paso a explicar.
Opción 1: Mediante Interfaz gráfica
Nos dirigiremos a nuestro controlador de dominio, abriremos la consola Usuarios y equipos de Active Directory y sobre nuestro grupo de distribución pulsaremos con el botón derecho propiedades.
Una vez abierta la ventana de propiedades, seleccionaremos la pestaña Editor de atributos.
Nota: En el caso que nos os aparezca esta pestaña, en la consola de Usuarios y equipos de Active Directory debeis dirigiros a Ver y marcar Características avanzadas.
En la pestaña Editor de atributos buscaremos el atributo msExchRequireAuthToSendTo y cambiaremos su valor a True para que así el grupo sólo reciba correos de cuentas de correos corporativas.
Opción 2: Mediante PowerShell
Si queremos realizarlo mediante consola de PowerShell simplemente tendremos que ejecutar el siguiente comando.
Get-ADGroup -Identity nombre_grupo_distribucion | Set-ADObject -Replace @{msExchRequireAuthToSendTo = $True}
Si queremos cambiar varios grupos de distribución que se encuentren dentro de una misma unidad organizativa (UO) podremos hacerlo de forma fácil y rápida ejecutando el siguiente comando.
Get-ADGroup -filter * -SearchBase "OU=nombre_unidad_organizativa,DC=nombredominio,dc=com" | Set-ADObject -Replace @{msExchRequireAuthToSendTo = $True}
Limitar el envío de correos sólo a una serie de cuentas de correos definidas
Nuevamente podemos hacerlo de 2 formas.
Opción 1: Mediante Interfaz gráfica
Seguiremos los pasos del punto anterior para modificar el valor del atributo msExchRequireAuthToSendTo y además modificaremos el atributo authOrig. En la lista que nos aparecerá tendremos que ir añadiendo el DN (distinguishedName) de las cuentas de correos que queremos permitir que envíen correos al grupo.
Si no sabemos cual es el DN de una cuenta de correos, simplemente tendremos que irnos al contacto en cuestión que tengamos agregado a nuestro Active Directory, dirigirnos nuevamente al Editor de atributos y copiar el valor del atributo distinguishedName.
Opción 2: Mediante PowerShell
Si queremos hacerlo mediante un comando de PowerShell simplemente tendremos que ejecutar la siguiente instrucción por cada uno de los objetos a añadir.
Set-ADObject "distinguishedName del objeto a añadir" -Add @{AuthOrig= "distinguishedName del grupo de distribucion"}
Espero os haya sido de utilidad.
Me dedico a la Administración de Sistemas y he creado este blog para compartir mis conocimientos con toda la comunidad y así aportar mi granito de arena y ayudar a todo el que lo necesite.
Buenos días. Gracias por el tutorial me ha resultado muy útil.
El atributo atuhOrig ¿Admite grupos? En vez de un usuario he puesto un grupo de distribución y otro de seguridad en dicho atributo.
En mi directorio activo si que me permite introducir dicha información pero cuando lo sincronizo con office 365 en el apartado de «administración de entrega» del pertinente grupo no me salen, si en vez de grupos pongo los usuarios si que se sincroniza de forma correcta.
¿Hay alguna forma de poner los grupos en vez de los usuarios? Gracias y un saludo!
Hola Jonathan,
No es posible agregar grupos en el atributo authOrig y que se sincronicen con Office 365.
Lo siento.
Estimado Sergio, buena noche.
Me sirviio mucho este tutorial, pero tengo una duda, ¿con powersshell como puedo restringir una cuenta que esta autorizada a enviar correos a un grupo? o sea que una cuenta ya no pueda enviar correos a un grupo…
Saludos
Hola José Luis,
Simplemente tendrías que quitar esa cuenta de dentro de los valores que tengas en la propiedad AuthOrig del grupo.
Saludos.