Comportamento de retransmissão SMTP no Windows 2000, no Windows XP e no Exchange Server

A retransmissão SMTP (Simple Mail Transfer Protocol) da Microsoft é um recurso que permite o uso de um servidor SMTP por um cliente SMTP para encaminhar emails a um domínio remoto. Conforme descrito no RFC (Request for Comments) 282, seções 2.1 e 3.7, o SMTP foi desenvolvido com a capacidade para retransmitir emails.

No entanto, se a retransmissão não for controlada, um usuário mal-intencionado poderá usá-la para enviar emails em massa não solicitados. Um host descontrolado é conhecido como um host de "retransmissão aberta". Ao enviar esses emails não solicitados para o host intermediário, o usuário mal-intencionado disfarça sua identidade. Isso também pode causar o uso excessivo de recursos no host de retransmissão e impedir que o host de retransmissão envie emails válidos. Especificamente, um usuário mal-intencionado que envia emails não solicitados pode enviar uma única mensagem para diversos destinatários sem usar sua própria largura de banda.

Por padrão, os produtos da Microsoft listados na seção "Aplica-se a" não estão configurados para a retransmissão aberta.

Ao usar algumas ferramentas de outras empresas para testar os servidores SMTP com relação a retransmissão, o servidor SMTP podem parecer ter falhado no teste e o produto Microsoft SMTP poderá aparecer como aberto a retransmissão, mesmo se ele não estiver. Isso ocorre porque o servidor SMTP pode não rejeitar imediatamente o email. Em vez disso, ele processa o email e envia um relatório NDR (notificação de falha na entrega). Para obter mais informações sobre a resposta do servidor SMTP à retransmissão, consulte a seção Resposta do servidor SMTP à retransmissão. Para obter mais informações sobre como testar o servidor SMTP para retransmissão, consulte a seção Teste para retransmissão.

Cada endereço PARA ou DE em uma conversação de protocolo SMTP contém duas partes: a parte local e a parte de domínio. Se a parte de domínio, ou seja, a parte imediatamente após o sinal (@), não estiver especificada, o email será considerado local. Alguns produtos Microsoft SMTP acrescentam o domínio local pois alguns usuários configuram seus clientes SMTP para usarem apenas um nome de usuário como o endereço de email. Ao adicionar o domínio local padrão, o servidor Microsoft pode adicionar o que provavelmente é o domínio local para reduzir o custo do suporte.

Esse comportamento ocorre pois alguns produtos Microsoft SMTP não executam uma busca de diretório antes de aceitarem emails SMTP para entrega. Os produtos Microsoft SMTP verificam apenas o domínio do destinatário para constatar se este é um domínio local ou domínio expressamente permitido. Se o domínio do destinatário não for um domínio local ou um domínio permitido, o servidor SMTP responderá com uma mensagem de erro semelhante a seguinte: O único requisito para impedir a retransmissão é a verificação de que a parte do domínio do endereço PARA é local. Uma opção é verificar o diretório do servidor de mensagem para constatar se o destinatário é válido, mas ela não é obrigatória. Se o servidor aceitar a mensagem e, em seguida, decidir que não pode entregá-la, ele deverá gerar um relatório NDR. Os produtos Microsoft SMTP estão em conformidade com este requisito.

Observação O Microsoft Exchange Server 2003 pode realizar pesquisas em diretórios durante a conversação de protocolo SMTP. Esse recurso pode ser ativado no Gerenciador do sistema. Para obter mais informações sobre a filtragem de destinatário no Exchange Server 2003, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
A realização de uma pesquisa de diretório durante a conversação de protocolo SMTP pode ser usada para verificar endereços. Portanto, recomendamos a ativação da funcionalidade TarpitTime descrita no seguinte artigo da Base de Dados de Conhecimento Microsoft (a página pode estar em inglês): Importante Caso precise executar pesquisas de diretório durante a conversação do protocolo SMTP, poderá gravar um receptor de eventos para o protocolo Windows 2000 SMTP. Para obter informações adicionais, consulte o seguinte site do MSDN Platform SDK SMTP Server Events (em inglês):

Resposta do servidor SMTP para Retransmissão

A resposta compatível com RFC é semelhante ao seguinte: Nos produtos listados na seção "Aplica-se a", a Microsoft escolheu não realizar as pesquisas de diretório durante a conversação de protocolo SMTP pelas seguintes razões:

• Se o servidor SMTP retornar um erro 5xx para um usuário mal-intencionado que está tentando enviar emails em massa não solicitados, esse usuário saberá instantaneamente quais endereços são reais. Se o usuário mal-intencionado enviar um dicionário de nomes por meio do protocolo SMTP, ele poderá facilmente obter uma lista de endereços de email válidos. Isso também pode ser um risco para os usuários locais, pois os nomes das contas geralmente são os mesmos dos endereços de email.
• Um usuário mal-intencionado pode usar o endereço DE para obter um acesso não autorizado a um sistema e usar o servidor da vítima para enviar NDRs ao destinatário pretendido. Esse ataque, conhecido como falsificação, atinge apenas esse servidor com todos os dados enviados pelo invasor. Em outras palavras, se o usuário mal-intencionado deseja enviar um 1 megabyte (MB) de dados para um terceiro, ele deverá utilizar 1 MB da sua largura de banda para enviar um 1 MB de dados para o servidor SMTP. Geralmente, esse usuário mal-intencionado tenta enviar 1 MB de dados, mas faz com que dezenas ou centenas de MBs de dados ataquem uma vítima ou um conjunto de vítimas na Internet.
• Se uma pesquisa de diretório for realizada durante a conversação de protocolo SMTP, a conversação poderá ser muito mais lenta. Quando esse artigo foi publicado, a Microsoft estava operando sob a premissa de que o servidor SMTP deve ser o mais rápido possível para impedir bloqueios de mensagens SMTP na Internet ou na área de trabalho dos clientes SMTP. Algumas vezes o diretório também pode estar indisponível ou a retransmissão de um domínio específico pode ser necessária, mas uma cópia do diretório pode não estar disponível. Esse comportamento pode ocorrer em um ambiente de hospedagem do ISP (provedor de serviços de Internet ).

Como testar a retransmissão

É possível testar o servidor SMTP para determinar se ele está configurado para retransmitir emails. Nos seguintes exemplos, os testes de retransmissão 1 a 5 não são aceitos pelo servidor SMTP e são imediatamente rejeitados. Os testes 6 e 7 são aceitos pelo servidor STMP, mas o email não é retransmitido e o servidor eventualmente gera um NDR.

Para executar os seguintes testes de retransmissão, primeiro inicie uma sessão Telnet e conecte-se à porta 25 no servidor SMTP:

1. Inicie um prompt de comando.
2. Digite telnet Nome_do_servidor 25, no qual Nome_do_servidor é o nome do servidor SMTP ou endereço IP e 25 é o número da porta, e pressione ENTER.
3. Digite EHLO e pressione ENTER.

Teste de retransmissão 1

Este é o teste padrão para retransmissão SMTP. Um cliente SMTP não deve ter permissão para retransmitir dessa maneira, a menos que o administrador tenha autorizado especificamente ou o cliente tenha autenticado primeiro. Para fazer esse teste, execute as seguintes etapas:

1. No prompt de sessão do Telnet, digite RSET.
   
   A sessão do telnet responde com um texto semelhante ao seguinte:
   250 2.0.0 Reiniciando
2. Digite MAIL FROM:NomeDoUsuário@NomeDoDomínio.tld, no qual NomeDoUsuário é o nome do usuário, NomeDoDomínio é o nome do domínio e tld é o domínio de nível superior como .com ou .net.
   
   A sessão do telnet responde com um texto semelhante ao seguinte:
   250 2.1.0 NomeDoUsuário@NomeDoDomínio.tld....Remetente OK
3. Digite RCPT TO:Nome_do_destinatário@NomeDoDomínio.tld, no qual Nome_do_destinatário é o endereço de email do destinatário.
   
   A sessão do telnet responde com um texto semelhante ao seguinte:
   550 5.7.1 Não foi possível retransmitir para Nome_do_destinatário@ NomeDoDomínio.tld

Teste de retransmissão 2

Este teste é quase quase igual ao teste de retransmissão 1, mas o remetente é um usuário local em vez de um usuário em um domínio remoto. Como os endereços DE são normalmente usados para obter acesso não-autorizado a um sistema, o servidor não deve retransmitir o email. Para fazer esse teste, execute as seguintes etapas:

1. No prompt de sessão do Telnet, digite RSET.
   
   A sessão do telnet responde com um texto semelhante ao seguinte:
   250 2.0.0 Reiniciando
2. Digite MAIL FROM:Usuário_local, no qual Usuário_local é o nome do email local para uma conta de usuário no domínio, e pressione ENTER.
   
   A sessão do telnet responde com um texto semelhante ao seguinte:
   250 2.1.0 Usuário_local@NomeDoDomínio.tld....Remetente OK
3. Digite RCPT TO:Nome_do_destinatário@NomeDoDomínio.tld
   
   A sessão do telnet responde com um texto semelhante ao seguinte:
   550 5.7.1 Não foi possível retransmitir para Nome_do_destinatário@NomeDoDomínio.tld

Teste de retransmissão 3

Este teste é para um endereço do destinatário NULO ou DE em branco. Os NDRs e as demais notificações têm um endereço DE NULO. No entanto, as notificações não devem ser retransmitidas a menos que o domínio no endereço PARA seja um domínio local. Para fazer esse teste, execute as seguintes etapas:

1. No prompt de sessão do Telnet, digite RSET.
   
   A sessão do telnet responde com um texto semelhante ao seguinte:
   250 2.0.0 Reiniciando
2. Digite MAIL FROM:<> e pressione ENTER.
   
   A sessão do telnet responde com um texto semelhante ao seguinte:
   250 2.1.0 <>....Remetente OK
3. Digite RCPT TO:Nome_do_destinatário@NomeDoDomínio.tld
   
   A sessão do telnet responde com um texto semelhante ao seguinte:
   550 5.7.1 Não foi possível retransmitir para Nome_do_destinatário@NomeDoDomínio.tld

Teste de retransmissão 4

Este teste é igual ao teste de retransmissão 2, mas o domínio local é explicitamente adicionado ao endereço de email. Um servidor SMTP fechado para a retransmissão não deve retransmitir esse email. Para fazer esse teste, execute as seguintes etapas:

1. No prompt de sessão do Telnet, digite RSET.
   
   A sessão do telnet responde com um texto semelhante ao seguinte:
   250 2.0.0 Reiniciando
2. Digite MAIL FROM:NomeDoUsuário@NomeDoDomínio.tld, no qual NomeDoDomínio é o nome do domínio local e pressione ENTER.
   
   A sessão do telnet responde com um texto semelhante ao seguinte:
   250 2.1.0 NomeDoUsuário@NomeDoDomínio.tld....Remetente OK
3. Digite RCPT TO:NomeDoUsuário@NomeDoDomínio.tld e pressione ENTER.
   
   A sessão do telnet responde com um texto semelhante ao seguinte:
   550 5.7.1 Não foi possível retransmitir para NomeDoUsuário@NomeDoDomínio.tld

Teste de retransmissão 5

Este teste também é igual ao teste de retransmissão 2, mas o endereço IP do servidor é usado no lugar no nome do domínio. Apesar do formato desse endereço ser normalmente aceito, o servidor não deve aceitar a retransmissão para o domínio remoto. Em diversos outros testes que usam o nome do "localhost" ou do DNS (Sistema de nomes de domínios ) do servidor no endereço DE, o servidor não deverá retransmitir emails que usem esse método. Para fazer esse teste, execute as seguintes etapas:

1. No prompt de sessão do Telnet, digite RSET.
   
   A sessão do telnet responde com um texto semelhante ao seguinte:
   250 2.0.0 Reiniciando
2. Digite MAIL FROM:NomeDoUsuário@10.10.10.10 e pressione ENTER.
   
   A sessão do telnet responde com um texto semelhante ao seguinte:
   250 2.1.0 NomeDoUsuário@10.10.10.10....Remetente OK
3. Digite RCPT TO:NomeDoUsuário@NomeDoDomínio.tld e pressione ENTER.
   
   A sessão do telnet responde com um texto semelhante ao seguinte:
   550 5.7.1 Não foi possível retransmitir para NomeDoUsuário@NomeDoDomínio.tld

Teste de retransmissão 6

Este teste é especificamente para os servidores antigos com base em UNIX que roteiam emails anexando o domínio local e alterando o sinal de arroba (@) para um símbolo de porcentagem (%). O servidor então retransmite a mensagem. Como o símbolo de porcentagem (%) é um caractere válido na parte local do endereço de email, o servidor SMTP pode aceitar a mensagem e enviar um NDR caso a pesquisa de diretório falhar. Os produtos Microsoft SMTP não são vulneráveis a esse tipo de retransmissão, pois a mensagem não é encaminhada e um NDR é gerado. Para fazer esse teste, execute as seguintes etapas:

1. No prompt de sessão do Telnet, digite RSET.
   
   A sessão do telnet responde com um texto semelhante ao seguinte:
   250 2.0.0 Reiniciando
2. Digite MAIL FROM:NomeDoUsuário e pressione ENTER.
   
   A sessão do telnet responde com um texto semelhante ao seguinte:
   NomeDoUsuário@NomeDoDomínio.tld....Remetente OK
3. Digite RCPT TO:NomeDoUsuário%NomeDoDomínio.tld e pressione ENTER.
   
   A sessão do telnet responde com um texto semelhante ao seguinte:
   250 2.1.5 NomeDoUsuário%NomeDoDomínio.tld@NomeDoDomínio.tldNomeDoUsuário@NomeDoDomínio.tld
   Observação O domínio local é anexado ao domínio do destinatário no endereço de email.

Teste de retransmissão 7

Este teste é uma variação do teste de retransmissão 6. Como o caractere de aspas (") é um caractere válido na parte local do endereço de email, o servidor SMTP aceita a mensagem e envia um NDR se a pesquisa de diretório falhar. Os produtos Microsoft SMTP não são vulneráveis a esse tipo de retransmissão, pois a mensagem não é encaminhada e um NDR é gerado. Para fazer esse teste, execute as seguintes etapas:

1. No prompt de sessão do Telnet, digite RSET.
   
   A sessão do telnet responde com um texto semelhante ao seguinte:
   250 2.0.0 Reiniciando
2. Digite MAIL FROM:NomeDoUsuário e pressione ENTER.
   
   A sessão do telnet responde com um texto semelhante ao seguinte:
   NomeDoUsuário@NomeDoDomínio.tld....Remetente OK
3. Digite RCPT TO:"NomeDoUsuário@NomeDoDomínio.tld" e pressione ENTER.
   
   A sessão do telnet responde com um texto semelhante ao seguinte:
   "NomeDoUsuário@NomeDoDomínio.tld"@NomeDoDomínio.tld
   Observação O domínio local é anexado ao domínio do destinatário no endereço de email.

Como saber se o servidor SMTP está fechado para os testes de retransmissão 6 e 7

Ao executar os testes de retransmissão 6 e 7 em um computador com o Exchange 2000, os testes geram uma mensagem para um destinatário que não resolve e os NDRs são recebidos pela caixa de correio especificada no Exchange System Manager. É possível configurar a caixa de correio para os destinatários não resolvidos nas propriedades do servidor virtual SMTP padrão na caixa Forward all mail with unresolved recipients to host na guia Messages no Exchange System Manager.

Os NDRs são uma evidência de que os emails não são retransmitidos.

Para obter mais informações sobre o que fazer se estiver executando o Exchange Server 5.5 e quiser configurar o servidor para que ele não seja um retransmissor aberto, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês): Para obter mais informações sobre como impedir a retransmissão no Windows 2000, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês): Existem testes comuns que podem ser usados para testar os servidores SMTP quanto ao direcionamento. Por exemplo, é possível usar os seguintes sites e ferramentas de outras empresas (em inglês):

• http://www.abuse.net/relay.html (http://www.abuse.net/relay.html)

A Microsoft fornece informações para contato com terceiros para ajudá-lo a encontrar suporte técnico. Estas informações podem ser alteradas sem aviso prévio. A Microsoft não garante a precisão destas informações.

Os produtos de terceiros mencionados neste artigo são fabricados por empresas que são independentes da Microsoft. A Microsoft não oferece garantia, implícita ou não, em relação ao desempenho ou à confiabilidade desses produtos.