Funkce vkládání prodlev (tar pit) protokolu SMTP pro Microsoft Windows Server 2003

Překlady článku Překlady článku
ID článku: 842851 - Produkty, které se vztahují k tomuto článku.
Důležité: Tento článek obsahuje informace o úpravě registru. Před úpravami je nutné registr zálohovat. Seznamte se také s postupem při obnovení registru v případě, že nastanou potíže. Další informace o zálohování, obnovení a úpravě registru najdete v následujícím článku znalostní báze Microsoft Knowledge Base:
256986 Popis registru systému Microsoft Windows
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Technická aktualizace: 10. května 2005

Společnost Microsoft k tomuto problému vydala nápovědu k zabezpečení (Microsoft Security Advisory) pro odborníky z oblasti IT. Tato nápověda k zabezpečení obsahuje dodatečné informace o tomto problému týkající se zabezpečení. Chcete-li zobrazit celý obsah nápovědy, navštivte následující webovou stránku společnosti Microsoft:
http://www.microsoft.com/technet/security/advisory/842851.mspx

ÚVOD

Tento článek popisuje techniku vkládání mezer (tar pitting) protokolu SMTP (Simple Mail Transport Protocol). Funkce vkládání prodlev je funkcí protokolu SMTP, která je k dispozici u počítačů se systémem Micorosoft Windows Server 2003 Service Pack 1 (SP1). Ve výchozím nastavení není funkce vkládání prodlev povolena. Chcete-li tuto funkci použít, je nutné, aby ji správce povolil nakonfigurováním položky TarpitTime v registru.

Další informace

Co znamená vkládání prodlev (tar pitting) v protokolu SMTP?

Tento postup představuje záměrné vkládání prodlev do určitých komunikací využívajících protokol SMTP, které souvisejí s nevyžádanou poštou nebo jinými nechtěnými přenosy. Tyto typy komunikací obvykle pro dosažení co nejvyšší účinnosti vytvářejí velký objem přenosů. Zpomalením konverzace pomocí protokolu SMTP lze výrazně snížit frekvenci odesílání automaticky vytvářené nevyžádané pošty nebo provádění tzv. slovníkového útoku (dictionary attack). Vkládáním prodlev může také dojít ke zpomalení standardní (oprávněné) komunikace.

Funkce vkládání prodlev je k dispozici v systému Microsoft Windows Server 2003 a u některých serverů SMTP jiných společností. Funkce vkládání prodlev v systému Windows Server 2003 funguje tak, že zpomaluje všechny odpovědi, které obsahují kódy chyb protokolu SMTP ve tvaru 5.x.x. Správce může vkládané prodlevy konfigurovat. Informace o konfiguraci vkládaných prodlev naleznete v části Povolení funkce vkládání prodlev.

Jak rozhodnout o povolení funkce vkládání prodlev?

Pokud je u serveru Microsoft Exchange Server 2003 povoleno filtrování příjemců, je vhodné zvážit použití funkce vkládání prodlev. Jestliže filtrování příjemců není povoleno, nebude pravděpodobně funkce vkládání prodlev pro server Exchange představovat větší přínos.

Pokud funkci vkládání prodlev povolíte, měli byste pozorně sledovat výkon serveru SMTP. Dále byste měli provést analýzu rozložení přenosů na serveru a zkontrolovat, zda funkce vkládání prodlev neruší nebo nezpomaluje běžnou komunikaci.

Vkládání prodlev má vliv pouze na anonymní připojení prostřednictvím protokolu SMTP. Na ověřené relace nemá vliv. Pokud si tedy s jinou organizací vzájemně předáváte velké množství e-mailů prostřednictvím protokolu SMTP a funkce vkládání prodlev by tuto komunikaci ovlivňovala, můžete tuto funkci pro danou organizaci obejít ověřováním komunikace prostřednictvím protokolu SMTP.

Co je filtrování příjemců?

Filtrování příjemců je nová funkce serveru Exchange 2003. Umožňuje filtrovat a odmítnout příchozí e-maily pro konkrétní příjemce a pro kteréhokoli příjemce příchozích e-mailů, který není uveden v adresářové službě Active Directory vaší organizace.

Další informace o povolení a konfiguraci filtrování příjemců naleznete v nápovědě online k serveru Microsoft Exchange Server 2003.

Je-li funkce filtrování příjemců povolena, odesílatelé vám nemohou odesílat e-maily určené neplatným nebo filtrovaným příjemcům. Takové e-maily budou odmítnuty v rané fázi konverzace protokolu SMTP ještě před přenesením obsahu zprávy.

Tím obvykle dojde k omezení nároků na zpracování neplatných e-mailů na serveru Exchange. E-mail nejen není nutné přijmout a uložit, ale u neplatného e-mailu není nutné ani odesílat zprávu o nedoručení, protože e-mail nebyl vůbec přijat.

Pokud filtrování příjemců nepoužíváte, bude e-mail odeslaný na neplatnou e-mailovou adresu organizace používající server Exchange přijat a zpracován serverem Exchange. Jakmile server Exchange e-mail zpracuje, musí vytvořit a odeslat zprávu o nedoručitelnosti neplatného e-mailu.

Poznámka: Zprávy o nedoručitelnosti lze u serverů Microsoft Exchange 2000 a Exchange 2003 potlačit. Specifikace RFC 2821 však stanovuje, že po přijetí e-mailu musí být zprávy o nedoručitelnosti u neplatných příjemců odeslány. Další informace o konfiguraci potlačení zpráv o nedoručitelnosti naleznete v nápovědě online k serveru Exchange Server 2003.

Jak se doplňují funkce vkládání prodlev a filtrování příjemců?

Nevýhodou filtrování příjemců je zvýšení efektivity útoků pomocí náhodně generovaných e-mailových adres (harvest attack). V typickém případě takového útoku je použit tzv. slovník, tj. seznam pravděpodobných jmen použitých v e-mailových adresách, s jehož využitím je automaticky vygenerováno velké množství e-mailů odeslaných na určitou doménu. Cílem je určit, zda je e-mailová adresa platná nebo neplatná. Útočník poté použije seznam získaných e-mailových adres k odesílání nevyžádané pošty nebo k jiným neoprávněným účelům.

Je-li povolena funkce filtrování příjemců, server v průběhu konverzace protokolu SMTP zjistí, zda je e-mailová adresa platná nebo neplatná. Pokud je filtrování příjemců zakázáno, musí útočník počkat na odeslání zprávy o nedoručitelnosti pro každou náhodnou adresu.

Při použití filtrování příjemců a funkce vkládání prodlev současně mohou být odpovědi na e-maily s neplatnými adresami značně zpožděné. Taková reakce může útočníka odradit.

Poznámka: Jelikož většina útočníků při přihlášení udává falešnou doménu, dostane zprávy o nedoručitelnosti generované vaším serverem pouze velmi málo odesílatelů nevyžádané pošty a jiných útočníků. Pokud je zpráva o nedoručitelnosti útočníkovi doručena, je možné jej najít. Proto není riziko slovníkových útoků využívajících zprávy o nedoručitelnosti tak velké jako riziko vyplývající ze zpřístupnění informací v průběhu konverzace protokolu SMTP.

Proč nelze zabránit serveru Exchange v odesílání všech odpovědí, které by mohly útočníkovi pomoci?

Server Exchange lze konfigurovat tak, aby žádné odpovědi neodesílal. Chcete-li to provést, je třeba zakázat filtrování příjemců a potlačit zprávy o nedoručitelnosti.

Jak je však uvedeno výše, potlačení zpráv o nedoručitelnosti není postup kompatibilní se specifikacemi RFC. Z toho důvodu nelze potlačení zpráv o nedoručitelnosti obecně doporučit. Potlačení zpráv o nedoručitelnosti je také nepříjemné pro běžného uživatele v případě, že při odesílání e-mailu zadá nesprávnou adresu příjemce. Odesílatelé e-mailů obvykle očekávají, že pokud jim není doručena zpráva o nedoručitelnosti, dostal se jejich e-mail na místo určení.

Pokud je filtrování příjemců povoleno, vystavujete se většímu riziku útoku pomocí náhodně generovaných e-mailových adres. Zároveň však omezíte možnost zneužití vaší organizace jako prostředníka pro útok, který zaplavuje jiný server zprávami o nedoručitelnosti. Při tomto typu útoku odesílatel záměrně uvede neplatnou adresu odesílatele na platné doméně a poté vaší organizaci odešle zprávy s neplatnou adresou zdánlivě odeslané z dané domény. Váš server poté zaplaví postiženou doménu velkým množstvím zpráv o nedoručitelnosti.

Útoky využívající náhodných e-mailových adres, útoky zaplavující servery zprávami o nedoručitelnosti a nevyžádaná pošta jako taková využívají funkce protokolu SMTP, které jsou pro oprávněné přenosy užitečné nebo povinné. Při obraně proti těmto hrozbám je třeba zvážit, jak různá opatření ovlivní oprávněnou komunikaci.

Vkládání prodlev je další možnost obrany proti zneužití protokolu SMTP s minimálním dopadem na oprávněné uživatele.

Povolení funkce vkládání prodlev

Upozornění: Při nesprávných úpravách registru pomocí Editoru registru nebo jiným způsobem může dojít k vážným problémům. Tyto problémy mohou vyžadovat přeinstalaci operačního systému. Společnost Microsoft nezaručuje, že tyto problémy bude možné vyřešit. Úpravy registru provádíte na vlastní nebezpečí.

Funkci vkládání prodlev lze povolit a konfigurovat nastavením klíče registru. Použijte následující postup.

Poznámka: Pokud položka registru TarpitTime neexistuje, chová se server Exchange, jako by tato položka registru byla nastavena na hodnotu 0. Pokud má tato položka registru hodnotu 0, není při odesílání odpovědí na ověření adres protokolu SMTP vkládána žádná prodleva.
  1. Klepněte na tlačítko Start, potom na příkaz Spustit, do pole Otevřít zadejte příkaz regedit a potom klepněte na tlačítko OK.
  2. Vyhledejte následující podklíč registru a klepněte na něj::
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SMTPSVC\Parameters
  3. V nabídce Úpravy přejděte na příkaz Nový a pak klepněte na položku Hodnota DWORD.
  4. Zadejte jako název položky registru název TarpitTime a potom stiskněte klávesu ENTER.
  5. V nabídce Úpravy klepněte na příkaz Změnit.
  6. Klepněte na přepínač Desítková.
  7. Do pole Údaj hodnoty zadejte počet sekund, o které chcete zpozdit odpovědi na ověření adres protokolu SMTP pro každou neexistující adresu. Poté klepněte na tlačítko OK. Zadejte například 5 a klepněte na tlačítko OK. Tím zpozdíte odpověď na ověření adresy protokolu SMTP o 5 sekund.
  8. Ukončete Editor registru.
  9. Restartujte službu SMTP (Simple Mail Transport Protocol).

Je možné funkci vkládání prodlev v systému Windows Server 2003 použít i v případě, že nepoužívám server Exchange 2003?

Ano, je to možné. Vkládání prodlev je funkce obecné služby SMTP systému Windows Server 2003. Tuto službu SMTP využívá server Exchange a mohou ji využívat i jiné aplikace.

Funkce vkládání prodlev vkládá prodlevy do odpovědí, které obsahují kódy chyb ve tvaru 5.x.x. Pokud některá aplikace může takové prodlevy využít, zvažte povolení funkce vkládání prodlev.

Odkazy

Předchozí verzi tohoto článku naleznete zde:
899492 K dispozici je aktualizace softwaru, která napomáhá zabránit vytváření výčtů e-mailových adres serveru Exchange Server 2003


Aktuální verze tohoto článku byla aktualizována dodatečnými vysvětlujícími informacemi a novými informacemi o souborech ke stažení. Další informace o funkci filtrování příjemců získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
823866 Konfigurace filtrování připojení pro použití seznamů blokovaných kontaktů v reálném čase a konfigurace filtrování příjemců na serveru Exchange 2003 (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
Další informace o potlačení zpráv o nedoručitelnosti na serveru Exchange 5.5 naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
837794 K dispozici je aktualizace pro server Exchange 5.5, která kontroluje potlačování a doručování zpráv o nedoručitelnosti službou Internet Mail Service (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
Další informace o předávání pošty protokolem SMTP, další funkci často zneužívané útočníky, naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
304897 Předávání pošty protokolem SMTP v systémech Windows 2000, Windows XP a na serveru Exchange Server (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
Další informace o aktualizacích softwaru společnosti Microsoft naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
824684 Popis standardní terminologie používané při popisu aktualizací softwaru společnosti Microsoft (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)

Vlastnosti

ID článku: 842851 - Poslední aktualizace: 3. prosince 2007 - Revize: 9.4
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
Klíčová slova: 
kbqfe kbhotfixserver kbsecadvisory kbprb kbwinserv2003presp1fix KB842851

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com