Hay una necesidad silenciosa en casi toda red empresarial: dispositivos que necesitan enviar correo pero no saben cómo hacerlo a la manera moderna. La impresora multifunción que manda los escaneos por correo. El servidor HPE que avisa por correo cuando un disco falla. El UPS que notifica un corte de energía. El ERP o la aplicación interna que envía reportes automáticos. Todos ellos quieren mandar un correo, pero muchos solo saben hablar SMTP básico, sin la autenticación ni el cifrado que exigen los servicios modernos como Microsoft 365. La pieza que resuelve esto es un relay de correo interno.
El problema concreto
Un servidor de correo moderno, con razón, no acepta que cualquiera le entregue correo para reenviar al mundo: eso es un open relay, y es exactamente lo que los spammers sueñan encontrar. Por eso exige que quien envíe se autentique (usuario y contraseña) y use cifrado TLS. El problema: muchos dispositivos empresariales no pueden con eso. Un controlador iLO de un servidor HPE —o su equivalente iDRAC en Dell— a menudo solo soporta enviar alertas por SMTP simple, sin autenticación moderna. Una impresora o un escáner viejo, igual. Una aplicación heredada, igual. Les pides que se autentiquen con OAuth y te miran con cara de "yo solo sé mandar un correo a la antigua".
El relay como traductor
Un relay de correo interno es un servidor (o un servicio) dentro de tu red que hace de intermediario. Su trabajo: recibir el correo simple y sin autenticar de esos dispositivos —pero solo de ellos, solo desde dentro de la red, en un ambiente controlado— y reenviarlo hacia afuera de la forma correcta: autenticado y cifrado hacia Microsoft 365 o hacia internet. Es un traductor entre el mundo viejo de tus equipos y el mundo moderno del correo. Los dispositivos hablan SMTP básico con el relay; el relay habla SMTP moderno con el destino.
Las formas de resolverlo
- Relay interno dedicado. Levantar un servicio SMTP en la red (en Windows Server, en un Linux con Postfix, en un appliance) configurado para aceptar solo a tus dispositivos por IP y reenviar autenticado. Máximo control; requiere administrarlo.
- Conector de Microsoft 365. Si usas M365, puedes configurar un conector que permite a tus dispositivos enviar a través de tu tenant. Microsoft ofrece esquemas para esto (por IP autorizada de tu red, entre otros). Es la vía natural cuando ya vives en M365.
- Direct send / servicios de terceros. Para volúmenes bajos hay modos de envío directo, y para envíos transaccionales serios (una app que manda miles de correos) existen servicios especializados de entrega. La elección depende del volumen y de quién envía.
El cuidado que no se puede saltar
Un relay mal hecho es un peligro real. Si tu relay acepta correo de cualquiera y lo reenvía, acabas de montar un open relay que los spammers usarán para enviar basura en tu nombre —hundiendo tu reputación y llevándote a las listas negras—. Un relay bien hecho es estricto: solo acepta de las IP específicas de tus dispositivos, solo dentro de la red, y con reglas claras de qué puede enviar y a dónde. Bien montado, es una pieza invisible y confiable; mal montado, es una brecha. Por eso conviene que lo diseñe quien entiende el flujo de correo completo, no improvisarlo.