Comportamento de retransmissão do SMTP no Windows 2000, Windows XP e Exchange Server

Traduções de Artigos Traduções de Artigos
Artigo: 304897 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

INTRODUÇÃO

A retransmissão do protocolo simples de transferência de correio (SMTP, Microsoft Simple Mail Transfer Protocol) é uma funcionalidade que que permite ao cliente de SMTP utilizar um servidor de SMTP para encaminhar mensagens de correio electrónico para um domínio remoto. Tal como descrito no RFC (Request for Comments) 282, secções 2.1 e 3.7, o SMTP foi concebido com a capacidade de retransmitir mensagens de correio electrónico.

Contudo, se a retransmissão não for controlada, um utilizador malicioso pode utilizar a retransmissão para enviar mensagens de correio electrónico não solicitadas em massa. Um anfitrião não controlado é conhecido como um anfitrião de "retransmissão aberta" ("open relay"). Ao enviar estas mensagens de correio electrónico não solicitadas ao anfitrião intermédio, o utilizador malicioso pode disfarçar a sua identidade. Isto pode igualmente provocar uma utilização excessiva de recursos no anfitrião da retransmissão e impedi-lo de enviar mensagens de correio electrónico válidas. Em particular, um utilizador malicioso que envia mensagens de correio electrónico não solicitado pode enviar uma única mensagem para vários destinatários sem utilizar a sua própria largura de banda.

Por predefinição, os produtos da Microsoft listados na secção "Aplica-se a" não estão configurados para retransmissão aberta.

Mais Informação

Quando utiliza algumas ferramentas de outros fabricantes para testar a retransmissão em servidores de SMTP, o servidor de SMTP pode, aparentemente, falhar o teste e o produto SMTP da Microsoft pode aparentar estar aberto para retransmissão, mas não está de facto aberto. Isto ocorre porque o servidor de SMTP pode não rejeitar imediatamente a mensagem de correio electrónico. Em vez disso, o servidor de SMTP processa a mensagem de correio electrónico e, em seguida, envia um relatório de falha de entrega (NDR, Non-Delivery Report). Para obter mais informações sobre a resposta do servidor de SMTP à retransmissão, consulte a secção relativa a este assunto. Para obter mais informações sobre como testar a retransmissão em servidores de SMTP, consulte a secção "Testar a retransmissão".

Todos os endereços PARA ou DE numa conversação do protocolo SMTP contêm duas partes: a parte local e a parte do domínio. Se a parte do domínio, ou seja, a parte imediatamente a seguir ao símbolo de arroba (@) não for especificada, pressupõem-se que a mensagem de correio electrónico seja local. Alguns produtos SMTP da Microsoft acrescentam o domínio local porque alguns utilizadores configuram os respectivos clientes de SMTP para utilizarem apenas um nome de utilizador como endereço de correio electrónico. Ao adicionar o domínio local predefinido, o servidor da Microsoft pode adicionar o domínio local mais provável para reduzir os custos de suporte.

Este comportamento ocorre porque alguns produtos SMTP da Microsoft não efectuam uma pesquisa no directório antes de aceitarem mensagens de correio electrónico para entrega. Os produtos SMTP da Microsoft apenas verificam o domínio do destinatário para verificar se se trata de um domínio local ou de um domínio explicitamente permitido. Se o domínio do destinatário não for um domínio local ou permitido, o servidor de SMTP responde com uma mensagem de erro semelhante à seguinte:
550 5.7.1 Relaying prohibited
O único requisito para impedir a retransmissão é a verificação de que a parte do domínio do endereço PARA é local. Uma verificação do directório do servidor de correio electrónico para verificar se o destinatário é válido pode ser uma opção, mas não é necessária. Se um servidor de correio aceitar uma mensagem e mais tarde decidir que não a pode entregar, deverá gerar um NDR. Os produtos SMTP da Microsoft respeitam este requisito.

Nota: o Microsoft Exchange Server 2003 pode efectuar pesquisas no directório durante a conversação do protocolo SMTP. Esta funcionalidade pode ser activada no System Manager. Para obter mais informações sobre a filtragem de destinatários no Exchange Server 2003, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
823866 How to configure connection filtering to use Realtime Block Lists (RBLs) and how to configure recipient filtering in Exchange 2003

Uma pesquisa do directório durante a conversação do protocolo SMTP pode ser utilizada para verificar endereços. Assim, a Microsoft recomenda que active a funcionalidade TarpitTime descrita no seguinte artigo da base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base).
842851 Funcionalidade "tar pit" de SMTP do Microsoft Windows Server 2003
Importante: caso seja necessário efectuar pesquisas no directório durante a conversação do protocolo SMTP, pode escrever um receptor de eventos do protocolo SMTP do Microsoft Windows 2000. Para obter informações adicionais, visite o seguinte Web site do Platform SDK na MSDN sobre eventos do servidor de SMTP:
http://msdn.microsoft.com/library/en-us/smtpevt/html/0e0c3b0d-5b08-42b5-8312-59a9f3cd8fd9.asp?frame=true

Resposta do servidor de SMTP à retransmissão

A resposta recomendada de acordo com o RFC é semelhante à seguinte:
550 5.1.1 NomeUtilizador@NomeDomínio.tld... User unknown
Nos produtos listados na secção "Aplica-se a", a Microsoft optou por não efectuar as pesquisas no directório durante a conversação do protocolo SMTP pelas seguintes razões:
  • Se o servidor de SMTP devolver um erro 5xx a um utilizador malicioso que esteja a tentar enviar mensagens de correio electrónico não solicitadas em massa, o utilizador malicioso saberá imediatamente quais os endereços reais. Se o utilizador malicioso enviar um dicionário de nomes através do protocolo SMTP, poderá facilmente recolher uma lista de endereços de correio electrónico válidos. Isto também pode representar um risco para os utilizadores locais porque os nomes das contas de utilizador são frequentemente iguais aos endereços de correio electrónico.
  • Um utilizador malicioso pode utilizar os endereços DE para obter acesso não autorizado a um sistema e utilizar o servidor da vítima para enviar NDRs ao destinatário pretendido. Este ataque, conhecido como fraude de identidade (spoofing), apenas atinge este servidor com a mesma quantidade de dados que o atacante lhe envia. Por outras palavras, se o utilizador malicioso pretender enviar 1 megabyte (MB) de dados a um terceiro, o utilizador malicioso deve gastar 1 MB da sua própria largura de banda para enviar 1 MB de dados ao servidor de SMTP. Geralmente, um tal utilizador malicioso tenta enviar 1 MB de dados, mas faz com que dezenas ou centenas de MB de dados atinjam a vítima ou o grupo de vítimas através da Internet.
  • Se for efectuada uma pesquisa no directório durante a conversação do protocolo SMTP, esta poderá ser muito mais lenta. Quando este artigo foi publicado, a Microsoft acreditava que o servidor de SMTP deveria funcionar o mais rapidamente possível para impedir o bloqueio de mensagens SMTP na Internet ou em clientes de SMTP de ambiente de trabalho. Por vezes, o directório pode também estar indisponível, ou pode ser necessária a retransmissão de um determinado domínio, mas pode não estar disponível uma cópia do directório. Este comportamento pode ocorrer num ambiente de hospedagem de um fornecedor de serviços Internet (ISP, Internet Service Provider).

Como testar a retransmissão

Pode testar o servidor de SMTP para determinar se está configurado para retransmitir mensagens de correio electrónico. Nos exemplos que se seguem, os testes de retransmissão 1 a 5 não são aceites pelo servidor de SMTP e são imediatamente rejeitados. Os testes 6 e 7 são aceites pelo servidor de SMTP, mas a mensagem de correio electrónico não é retransmitida e o servidor acaba por gerar um NDR.

Para executar os testes de retransmissão que se seguem, inicie primeiro uma sessão de Telnet e ligue à porta 25 do servidor de SMTP.
  1. Inicie uma linha de comandos.
  2. Escreva telnet NomeServidor 25, where NomeServidor é o nome ou endereço IP do servidor de SMTP e 25 é o número da porta, e prima ENTER.
  3. Escreva EHLO e prima ENTER.

Teste de retransmissão 1

Este é o teste padrão para a retransmissão de SMTP. Um cliente de SMTP não deve ser autorizado a retransmitir desta forma a não ser que o administrador o tenha especificamente permitido ou a não ser que o cliente seja autenticado primeiro. Para efectuar este teste, siga estes passos:
  1. Na linha de comandos da sessão de Telnet, escreva RSET.

    A sessão de telnet responde com texto semelhante ao seguinte:
    250 2.0.0 Resetting
  2. Escreva MAIL FROM:NomeUtilizador@NomeDomínio.tld, where NomeUtilizador é o nome do utilizador, NomeDomínio é o nome do domínio e tld é o domínio de nível superior, como .com ou .net.

    A sessão de telnet responde com texto semelhante ao seguinte:
    250 2.1.0 NomeUtilizador@NomeDomínio.tld....Sender OK
  3. Escreva RCPT TO:NomeDestinatário@NomeDomínio.tld, where NomeDestinatário é o endereço de correio electrónico do destinatário.

    A sessão de telnet responde com texto semelhante ao seguinte:
    550 5.7.1 Unable to relay for NomeDestinatário@ NomeDomínio.tld

Teste de retransmissão 2

Este teste é quase igual ao teste 1, mas o remetente é um utilizador local em vez de um utilizador num domínio remoto. Como os endereços DE são geralmente utilizados para obter acesso não autorizado a um sistema, o servidor não deve retransmitir a mensagem de correio electrónico. Para efectuar este teste, siga estes passos:
  1. Na linha de comandos da sessão de Telnet, escreva RSET.

    A sessão de telnet responde com texto semelhante ao seguinte:
    250 2.0.0 Resetting
  2. Escreva MAIL FROM:UtilizadorLocal, where UtilizadorLocal é um nome de correio electrónico local de uma conta de utilizador do domínio, e prima ENTER.

    A sessão de telnet responde com texto semelhante ao seguinte:
    250 2.1.0 UtilizadorLocal@NomeDomínio.tld....Sender OK
  3. Escreva RCPT TO:NomeDestinatário@NomeDomínio.tld

    A sessão de telnet responde com texto semelhante ao seguinte:
    550 5.7.1 Unable to relay for NomeDestinatário@NomeDomínio.tld

Teste de retransmissão 3

Este teste destina-se a um remetente DE nulo ou em branco. Os NDRs e outras notificações têm um remetente DE nulo. Contudo, as notificações não podem ser retransmitidas, a não ser que o domínio no endereço PARA seja um domínio local. Para efectuar este teste, siga estes passos:
  1. Na linha de comandos da sessão de Telnet, escreva RSET.

    A sessão de telnet responde com texto semelhante ao seguinte:
    250 2.0.0 Resetting
  2. Escreva MAIL FROM:<> e prima ENTER.

    A sessão de telnet responde com texto semelhante ao seguinte:
    250 2.1.0 <>....Sender OK
  3. Escreva RCPT TO:NomeDestinatário@NomeDomínio.tld

    A sessão de telnet responde com texto semelhante ao seguinte:
    550 5.7.1 Unable to relay forNomeDestinatário@NomeDomínio.tld

Teste de retransmissão 4

Este teste é igual ao teste 2, mas o domínio local é explicitamente adicionado ao endereço de correio electrónico. Um servidor de SMTP fechado para retransmissão não deve retransmitir esta mensagem de correio electrónico. Para efectuar este teste, siga estes passos:
  1. Na linha de comandos da sessão de Telnet, escreva RSET.

    A sessão de telnet responde com texto semelhante ao seguinte:
    250 2.0.0 Resetting
  2. Escreva MAIL FROM:NomeUtilizador@NomeDomínio.tld, where NomeDomínio corresponde ao nome do domínio local, e prima ENTER.

    A sessão de telnet responde com texto semelhante ao seguinte:
    250 2.1.0 NomeUtilizador@NomeDomínio.tld....Sender OK
  3. Escreva RCPT TO:NomeUtilizador@NomeDomínio.tld e prima ENTER.

    A sessão de telnet responde com texto semelhante ao seguinte:
    550 5.7.1 Unable to relay forNomeUtilizador@NomeDomínio.tld

Teste de retransmissão 5

Este teste também é igual ao teste 2, mas é utilizado o endereço IP do servidor em vez do nome de domínio. Apesar de este formato de endereço ser geralmente aceite, o servidor não deve aceitar a retransmissão para um domínio remoto. Em vários outros testes que utilizam "localhost" ou o nome de DNS do servidor no endereço DE, o servidor não deve retransmitir mensagens de correio electrónico que utilizem esta abordagem. Para efectuar este teste, siga estes passos:
  1. Na linha de comandos da sessão de Telnet, escreva RSET.

    A sessão de telnet responde com texto semelhante ao seguinte:
    250 2.0.0 Resetting
  2. Escreva MAIL FROM:NomeUtilizador@10.10.10.10 e prima ENTER.

    A sessão de telnet responde com texto semelhante ao seguinte:
    250 2.1.0 NomeUtilizador@10.10.10.10....Sender OK
  3. Escreva RCPT TO:NomeUtilizador@NomeDomínio.tld e prima ENTER.

    A sessão de telnet responde com texto semelhante ao seguinte:
    550 5.7.1 Unable to relay for NomeUtilizador@NomeDomínio.tld

Teste de retransmissão 6

Este teste é especificamente para servidores baseados em UNIX mais antigos que encaminhem mensagens de correio electrónico acrescentando o domínio local e alterando o símbolo de arroba (@) para um símbolo de percentagem (%). O servidor retransmitirá então o correio. Como um símbolo de percentagem (%) é um carácter válido na parte local do endereço de correio electrónico, o servidor de SMTP pode aceitar a mensagem e, em seguida, enviar um NDR se a pesquisa no directório falhar. Os produtos SMTP da Microsoft não são vulneráveis a este tipo de retransmissão porque a mensagem não é reencaminhada e é gerado um NDR. Para efectuar este teste, siga estes passos:
  1. Na linha de comandos da sessão de Telnet, escreva RSET.

    A sessão de telnet responde com texto semelhante ao seguinte:
    250 2.0.0 Resetting
  2. Escreva MAIL FROM:NomeUtilizador e prima ENTER.

    A sessão de telnet responde com texto semelhante ao seguinte:
    NomeUtilizador@NomeDomínio.tld....Sender OK
  3. Escreva RCPT TO:NomeUtilizador%NomeDomínio.tld e prima ENTER.

    A sessão de telnet responde com texto semelhante ao seguinte:
    250 2.1.5 NomeUtilizador%NomeDomínio.tld@NomeDomínio.tldNomeUtilizador@NomeDomínio.tld
    Nota: o domínio local é acrescentado ao domínio do destinatário no endereço de correio electrónico.

Teste de retransmissão 7

Este teste é uma variação em relação ao teste 6. Como as aspas (") são um carácter válido na parte local do endereço de correio electrónico, o servidor de SMTP aceita a mensagem e envia um NDR se a pesquisa do directório falhar. Os produtos SMTP da Microsoft não são vulneráveis a este tipo de retransmissão porque a mensagem não é reencaminhada e é gerado um NDR. Para efectuar este teste, siga estes passos:
  1. Na linha de comandos da sessão de Telnet, escreva RSET.

    A sessão de telnet responde com texto semelhante ao seguinte:
    250 2.0.0 Resetting
  2. Escreva MAIL FROM:NomeUtilizador e prima ENTER.

    A sessão de telnet responde com texto semelhante ao seguinte:
    NomeUtilizador@NomeDomínio.tld....Sender OK
  3. Escreva RCPT TO:"NomeUtilizador@NomeDomínio.tld" e prima ENTER.

    A sessão de telnet responde com texto semelhante ao seguinte:
    "NomeUtilizador@NomeDomínio.tld"@NomeDomínio.tld
    Nota: o domínio local é acrescentado ao domínio do destinatário no endereço de correio electrónico.

Como determinar se o servidor de SMTP está fechado aos testes de retransmissão 6 e 7

Quando executa os testes de retransmissão 6 e 7 num computador com Exchange 2000, os testes geram uma mensagem relativamente a um destinatário que não é resolvido e são recebidos NDRs na caixa de correio especificada no Exchange System Manager. Pode configurar a caixa de correio de destinatários que não são resolvidos nas propriedades do servidor virtual de SMTP predefinido na caixa Forward all mail with unresolved recipients to host no, separador Messages do Exchange System Manager.

Os NDRs são a prova de que as mensagens de correio electrónico não foram retransmitidas.

Referências

Para obter mais informações sobre como proceder se estiver a executar o Exchange Server 5.5 e pretender configurar o servidor de modo a não estar aberto à retransmissão, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
196626 XFOR: Restringir o encaminhamento no serviço de correio Internet
Para obter mais informações sobre como impedir a retransmissão no Windows 2000, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
310356 How to prevent mail relay in the IIS 5.0 SMTP server in Windows 2000
Existem testes comuns que podem ser utilizados para testar a retransmissão em servidores de SMTP. Por exemplo, pode utilizar os seguintes Web sites e ferramentas de outros fabricantes: A Microsoft fornece informações de contacto de outros fabricantes para o ajudar na obtenção de suporte técnico. Estas informações de contacto poderão ser alteradas sem aviso prévio. A Microsoft não garante o rigor das informações sobre o contacto destes fabricantes.

Os produtos de outros fabricantes referidos neste artigo são fabricados por empresas independentes da Microsoft. A Microsoft não concede nenhuma garantia, implícita ou de outra natureza, relativamente ao desempenho ou à fiabilidade destes produtos.

Propriedades

Artigo: 304897 - Última revisão: 15 de janeiro de 2007 - Revisão: 10.1
A informação contida neste artigo aplica-se a:
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Exchange 2000 Enterprise Server
  • Microsoft Exchange Server 5.5 Standard Edition
  • Microsoft Exchange Server 5.0 Standard Edition
Palavras-chave: 
kbhowto kbwinservnetwork kbnetwork KB304897

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com