Cómo restringir el acceso a la autenticación SMTP a una dirección IP específica en Microsoft 365 mediante una directiva de CA.
Configurar la autenticación SMTP de forma segura para un solo buzón y desde una IP específica en Microsoft 365 puede ser un poco complicado, sobre todo porque el sistema está diseñado para ser flexible, pero no siempre sencillo. Si te pasa como a mí, probablemente te hayas encontrado con problemas como correos que no se envían, errores como «Cliente no autenticado» o simplemente no saber cómo proteger el sistema sin abrir la puerta a un flujo incontrolable de correos. El objetivo es permitir la autenticación SMTP solo desde una IP de confianza en un buzón específico, sin dejar otras vulnerabilidades. El truco consiste en combinar algunas configuraciones: habilitar SMTP en el buzón, crear una ubicación con nombre con tu IP y restringir el acceso mediante una directiva de acceso condicional. Aquí encontrarás los pasos detallados que he probado, a menudo mediante ensayo y error, pero en general, esto funciona.
Cómo solucionar las restricciones de autenticación SMTP para una única dirección IP y buzón de correo en Microsoft 365
Requisitos previos:
- Privilegios de administrador en Microsoft 365 y el centro de administración de Entra
- Una dirección IP pública estática exacta del dispositivo/aplicación que envía correos electrónicos; la necesitará para el rango de IP.
- La autenticación SMTP debe estar habilitada para el buzón de correo específico.
- Nombre de usuario y contraseña para ese buzón (preferiblemente una contraseña de aplicación si se utiliza la autenticación multifactor).
Habilitar la autenticación SMTP para el buzón de correo
Es bastante sencillo, pero si lo omites, nada más funcionará. En algunas configuraciones, SMTP seguirá sin enviar correos si esta opción no está activada, aunque todo lo demás parezca correcto.
- Dirígete al centro de administración de Microsoft 365. Busca Usuarios > Usuarios activos y, a continuación, haz clic en el usuario o buzón que te interese.
- Ve a la pestaña Correo y luego elige Administrar aplicaciones de correo electrónico.
- Marque la casilla de SMTP autenticado y haga clic en Guardar. A veces, este paso se olvida o requiere una actualización rápida; en algunas configuraciones, es necesario reiniciar el buzón o esperar unos minutos para que el cambio surta efecto.
Configura una ubicación con nombre con tu IP estática.
Aquí es donde la cosa se pone importante: definir tu dirección IP de confianza específica para que el acceso se pueda restringir según la ubicación. Aunque parezca complejo, se trata simplemente de crear una lista de excepciones para tu IP.
- Vaya al centro de administración de Entra y luego navegue a Acceso condicional > Ubicaciones con nombre.
- Haz clic en + Ubicación de rangos de IP. Asígnale un nombre descriptivo como «IP permitidas para SMTP».
- Escriba su IP pública en el formato: Dirección IP/32. Por ejemplo, si su IP es 165.74.201.110, ingrese
165.74.201.110 /32. Esta máscara /32 garantiza que solo se muestre esa IP específica. - Pulsa Agregar y luego Crear. Ahora tienes una ubicación con nombre que apunta directamente a tu IP de confianza.
Cree una política de acceso condicional para restringir la autenticación SMTP a su dirección IP.
Esta es la parte fundamental: indicarle a Microsoft 365 que solo permita la autenticación SMTP para ese usuario cuando se conecte desde tu IP específica. En una configuración funcionó de inmediato; en otra, tardó unos minutos o un ciclo de cierre y reinicio de sesión. Tenlo en cuenta.
- De vuelta en el centro de administración de Entra, vaya a Políticas > Nueva política.
- Nómbralo algo como «Autenticación SMTP restringida».
- En *Incluir*, elija Seleccionar usuarios y grupos y seleccione el usuario/buzón habilitado anteriormente.
- Para *Recursos*, seleccione Office 365 Exchange Online.
- En *Condiciones*, configure *Ubicaciones*:
- Establezca *Configurar* en Sí.
- En *Incluir*, seleccione Cualquier ubicación.
- En *Excluir*, agregue su ubicación con nombre (como «Dirección IP permitida para SMTP») para que las conexiones desde allí no se bloqueen.
- Para las aplicaciones cliente, asegúrese de que la opción Configurar esté en Sí y, a continuación, configúrela para que incluya solo otros clientes. Esto detectará protocolos de correo antiguos, lo cual podría ser necesario.
- En *Conceder*, seleccione Bloquear acceso ; esto bloquea todos los demás intentos fuera de su IP.
Configura una contraseña de aplicación para el buzón de correo.
Dado que la autenticación SMTP suele requerir una contraseña de aplicación (sobre todo si la autenticación multifactor está habilitada), deberá generarla. No es lo más elegante, pero es necesario.
- Visita la página de seguridad de la cuenta de Microsoft.
- Inicie sesión con las credenciales del buzón de correo para el que habilitó SMTP.
- Ve a Información de seguridad y selecciona Agregar método de inicio de sesión, luego elige Contraseña de la aplicación. Genérala y guárdala en un lugar seguro.
Configure su cliente o dispositivo.
Es hora de configurar los ajustes. Asegúrate de que todo coincida, ya que los puertos o modos de cifrado incompatibles pueden causar problemas.
- Nombre del servidor: smtp.office365.com
- Puerto: 587
- Cifrado: STARTTLS o TLS
- Autenticación: Sí
- Nombre de usuario: su dirección de correo electrónico completa
- Contraseña: la contraseña de la aplicación que generaste
Pruébalo
Envía un correo electrónico de prueba desde ese dispositivo o aplicación. Si se envía correctamente, ¡perfecto! Si no, revisa los registros de inicio de sesión en Entra. A veces, el error «530 5.7.57» indica que te saltaste algún paso o que debes esperar un poco para que las políticas surtan efecto. Experimenta con la configuración o vuelve a iniciar sesión si es necesario.
Resumen
En resumen, para proteger la autenticación SMTP a una única IP y buzón de correo, es necesario activar SMTP en el buzón, definir la IP de confianza con una ubicación con nombre y, a continuación, crear una política de acceso condicional que restrinja el acceso SMTP solo desde esa IP para ese usuario. Es un proceso algo complejo, pero una vez configurado, ofrece una buena capa de seguridad sin bloquear por completo los clientes o dispositivos antiguos que dependen de la autenticación SMTP.
Resumen
Espero que esto aclare un poco las cosas, porque, claro, a Microsoft le encanta incluir muchísimas opciones en diferentes portales. Una vez configurado, prácticamente puedes olvidarte del tema. La clave es la paciencia: estas políticas no siempre se aplican al instante. Pero, en condiciones normales, tu sistema de correo electrónico estará completamente protegido con SMTP solo desde tu IP y buzón de confianza. A mí me funcionó; espero que a ti también.
Lista de verificación
- Se habilitó la autenticación SMTP en el buzón correcto.
- Creé una ubicación con nombre con tu IP estática.
- Se creó una política de acceso condicional que restringe el acceso SMTP a esa IP y usuario.
- Se generó una contraseña de aplicación para el buzón de correo (si la autenticación multifactor está habilitada).
- Configure los ajustes SMTP en su cliente/dispositivo con el servidor, puerto, cifrado, nombre de usuario y contraseña de la aplicación.
- Se realizó una prueba de envío; se revisaron los registros de inicio de sesión si era necesario.