SMTP-Tar Pit-Feature für Microsoft Windows Server 2003

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 842851 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
842851 SMTP tar pit feature for Microsoft Windows Server 2003
Wichtig: Dieser Artikel enthält Informationen zum Bearbeiten der Registrierung. Sie sollten eine Sicherungskopie der Registrierung erstellen, bevor Sie die Registrierung bearbeiten. Sie müssen wissen, wie die Registrierung wiederhergestellt werden kann, wenn ein Problem auftritt. Weitere Informationen zum Erstellen einer Sicherungskopie, zum Wiederherstellen und Bearbeiten der Registrierung finden Sie in folgendem Artikel der Microsoft Knowledge Base:
256986 Beschreibung der Microsoft Windows-Registrierung
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Technische Aktualisierung: 10. Mai 2005

Microsoft stellt eine Sicherheitsempfehlung zu diesem Thema für IT-Experten zur Verfügung. Diese Sicherheitsempfehlung enthält zusätzliche sicherheitsrelevante Informationen. Sie finden die Sicherheitsempfehlung auf folgender Microsoft-Website:
http://www.microsoft.com/germany/technet/sicherheit/empfehlungen/842851.mspx

Einführung

Dieser Artikel beschreibt die Tar Pit-SMTP-Funktion (Simple Mail Transfer Protocol = SMTP). Hierbei handelt es sich um eine SMTP-Funktion, die auf Computern mit Microsoft Windows Server 2003 Service Pack 1 (SP1) zur Verfügung steht. Die Tar Pit-Funktion ist standardmäßig deaktiviert. Um die Tar Pit-Funktion verwenden zu können, muss der Administrator die Funktion durch Konfigurieren des Registrierungseintrags "TarpitTime" aktivieren.

Weitere Informationen

Was ist das SMTP-Tar Pit-Feature?

Beim SMTP-"Tar pitting" werden Serverantworten für bestimmte SMTP-Kommunikationsmuster künstlich verzögert. Diese Muster treten in der Regel in Zusammenhang mit Spam-Verkehr oder anderen unerwünschten Nachrichten auf, und das Verkehrsvolumen bei solchen Angriffen ist normalerweise sehr hoch. Durch das Verzögern der SMTP-Kommunikation kann die Übertragungsgeschwindigkeit von automatischen Spam-Nachrichten verlangsamt werden, die an eine große Anzahl ungültiger E-Mail-Adressen gesendet werden. Auf diese Weise lässt sich auch die Geschwindigkeit drastisch verringern, mit der Wörterbuchangriffe durchgeführt werden können. Das "Tar Pitting" verzögert eventuell auch legitimen Datenverkehr.

Die Tar Pit-Funktion ist nicht nur bei Microsoft Windows Server 2003, sondern auch bei anderen SMTP-Servern verfügbar. Mithilfe der Tar Pit-SMTP-Funktion von Windows Server 2003 kann ein Administrator alle Serverantworten verzögern, die "5.x.x"-SMTP-Protokollfehlercodes enthalten. Die von der Tar Pit-Funktion eingefügte Verzögerung ist vom Administrator konfigurierbar. Weitere Informationen zum Konfigurieren der Verzögerung, die von der Tar Pit-Funktion eingefügt wird, finden Sie im Abschnitt "Wie wird die Tar Pit-Funktion aktiviert?".

Wann empfiehlt sich die Aktivierung der Tar Pit-Funktion?

Verwenden Sie die Tar Pit-Funktion, wenn Sie die Microsoft Exchange Server 2003-Empfängerfilterung aktiviert haben. Falls Sie die Empfängerfilterung nicht aktiviert haben, ergibt die Tar Pit-Funktion wahrscheinlich keine signifikanten Vorteile für Exchange Server.

Wenn Sie die Tar Pit-Funktion aktivieren, sollten Sie die Leistungswerte Ihres SMTP-Servers sorgfältig überwachen. Analysieren Sie außerdem die Verkehrsmuster auf dem Server, um sicherzustellen, dass die Tar Pit-Funktion den normalen Datenverkehr nicht beeinträchtigt oder verzögert.

Das Tar Pitting wirkt sich nur auf anonyme SMTP-Verbindungen aus. Authentifizierte Sitzungen sind hiervon nicht betroffen. Wenn Sie regelmäßig in großem Umfang SMTP-E-Mail-Nachrichten mit einer anderen Organisation austauschen und feststellen, dass sich das Tar Pitting auf diesen Datenverkehr auswirkt, können Sie das Tar Pitting für diese Organisation umgehen, indem Sie die SMTP-Kommunikation authentifizieren.

Was ist die Empfängerfilterung?

Die Empfängerfilterung ist eine neue Funktion von Exchange 2003. Sie erlaubt das Filtern oder Zurückweisen eingehender E-Mails von speziell definierten Empfängern sowie von Empfängern, die nicht im Active Directory-Verzeichnisdienst der Organisation aufgelistet sind.

Weitere Informationen zum Aktivieren und Konfigurieren der Empfängerfilterung finden Sie in der Onlinehilfe von Microsoft Exchange Server 2003.

Wenn Sie die Empfängerfilterung aktivieren, werden E-Mails an ungültige Empfänger bzw. an gefilterte Empfänger nicht mehr akzeptiert. Solche E-Mail-Nachrichten werden zu einem frühen Zeitpunkt des SMTP-Kommunikationsprozesses zurückgewiesen, bevor der Textkörper der Nachricht überhaupt übertragen wird.

Durch dieses Verhalten wird der Verarbeitungsaufwand für ungültige E-Mail-Nachrichten auf dem Exchange-Server im Allgemeinen reduziert. Ungültige E-Mail-Nachrichten müssen nicht mehr akzeptiert und gespeichert werden. Es muss kein Unzustellbarkeitsbericht mehr für ungültige E-Mail-Nachrichten gesendet werden, da die E-Mail-Nachrichten nicht mehr akzeptiert werden.

Wenn Sie die Empfängerfilterung nicht aktivieren, werden E-Mail-Nachrichten an ungültige E-Mail-Adressen in Ihrer Exchange-Organisation akzeptiert und vom Exchange-Server verarbeitet. Sobald der Exchange-Server die E-Mail verarbeitet, muss er für ungültige Nachrichten einen Unzustellbarkeitsbericht generieren und senden.

Hinweis: Das Senden von Unzustellbarkeitsberichten kann in Microsoft Exchange 2000 Server und Exchange 2003 unterdrückt werden. Das RFC-Dokument 2821 besagt jedoch, dass für ungültige Empfänger ein Unzustellbarkeitsbericht zurückgesendet werden muss, wenn die E-Mail-Nachricht akzeptiert wird. Weitere Informationen zum Unterdrücken von Unzustellbarkeitsberichten finden Sie in der Onlinehilfe von Exchange Server 2003.

Was bewirkt die Kombination aus Tar Pitting und Empfängerfilterung?

Der Nachteil der Empfängerfilterung besteht darin, dass sie es einem Angreifer erleichtert, sich gültige E-Mail-Adressen Ihrer Organisation zu beschaffen. Bei einem typischen Spam-Angriff wird anhand eines "Wörterbuchs" oder einer Liste wahrscheinlicher E-Mail-Adressen automatisch eine große Anzahl von E-Mail-Nachrichten generiert, die an Ihre Domäne gesendet werden. Das Ziel besteht darin, vom Server zu erfahren, ob die E-Mail-Adressen gültig oder ungültig sind. Der Angreifer nutzt die Liste der erkannten E-Mail-Adressen anschließend, um Spam-Nachrichten zu versenden oder verwendet sie zu anderen unzulässigen Zwecken.

Wenn die Empfängerfilterung aktiviert ist, meldet der Server im Verlauf der SMTP-Kommunikation, ob eine E-Mail-Adresse gültig oder ungültig ist. Ist die Empfängerfilterung hingegen deaktiviert, muss der Angreifer den Unzustellbarkeitsbericht für jede automatisch generierte E-Mail-Adresse abwarten.

Wenn sowohl die Empfängerfilterung als auch die Tar Pit-Funktion aktiviert ist, können Antworten an ungültige E-Mail-Adressen stark verzögert werden. Dieses Verhalten kann Angriffen dieser Art entgegenwirken.

Hinweis: Da die große Mehrheit der Angreifer sich über eine gefälschte Domäne (Spoofing) anmeldet, erhalten nur wenige Spammer oder Angreifer tatsächlich die von Ihrem Server generierten Unzustellbarkeitsberichte. Wenn der Unzustellbarkeitsbericht den Angreifer erreicht, dann lässt sich auch der Angreifer ermitteln. Daher ist das Risiko eines Wörterbuchangriffs über Unzustellbarkeitsberichte nicht so groß wie das Risiko der Offenlegung von Informationen während einer SMTP-Kommunikation.

Warum kann ich nicht einfach verhindern, dass Exchange Antworten sendet, die einem Angreifer Informationen liefern?

Sie können Exchange so konfigurieren, dass keine Antworten gesendet werden. Hierzu müssen Sie die Empfängerfilterung deaktivieren und Unzustellbarkeitsberichte unterdrücken.

Wie bereits erwähnt, ist das Unterdrücken von Unzustellbarkeitsberichten jedoch keine RFC-konforme Praktik. Das Unterdrücken von Unzustellbarkeitsberichten kann daher nicht generell empfohlen werden. Es benachteiligt außerdem normale Benutzer, die beim Senden einer E-Mail-Nachricht einen Tippfehler in der Empfängeradresse machen. Der E-Mail-Absender erwartet typischerweise, dass die E-Mail-Nachricht beim Empfänger eingegangen ist, wenn kein Unzustellbarkeitsbericht zurückgegeben wird.

Wenn die Empfängerfilterung aktiviert ist, besteht ein höheres Risiko für einen Angriff zur Beschaffung gültiger E-Mail-Adressen. Ihre Organisation ist jedoch auch weniger anfällig dafür, als Vektor für einen Überflutungsangriff mittels Unzustellbarkeitsberichten zu dienen. Bei einem Überflutungsangriff mittels Unzustellbarkeitsberichten fälscht der Absender absichtlich die Antwortadresse für eine gültige Domäne und sendet anschließend ungültige E-Mail-Nachrichten an Sie, die anscheinend von dieser Domäne stammen. Ihr Server überflutet die entsprechende Domäne dann mit einer Vielzahl von Unzustellbarkeitsberichten.

Angriffe zur Beschaffung gültiger E-Mail-Adressen, Überflutungsangriffe mittels Unzustellbarkeitsberichten oder Spam-Angriffe machen sich Funktionen des SMTP-Protokolls zunutze, die für die Übertragung von legitimem E-Mail-Verkehr hilfreich bzw. erforderlich sind. Es gibt Kompromisse, die Sie abwägen müssen, wenn Sie sich zwar gegen solche Bedrohungen schützen, den legitimen Datenverkehr aber nicht beeinträchtigen möchten.

Das Tar Pitting ist eine weitere Möglichkeit zum Schutz vor SMTP-Missbrauch, die sich nur in geringem Umfang auf legitime Nutzer auswirkt.

Wie wird die Tar Pit-Funktion aktiviert?

Warnung Durch die falsche Bearbeitung der Registrierung mithilfe des Registrierungs-Editors oder einer anderen Methode können schwerwiegende Probleme verursacht werden. Diese Probleme können eine Neuinstallation des Betriebssystems erforderlich machen. Microsoft kann nicht dafür garantieren, dass Probleme, die von einer falschen Verwendung des Registrierung-Editors herrühren, behoben werden können. Änderungen in der Registrierung geschehen auf eigene Verantwortung.

Die Tar Pit-Funktion kann durch Einfügen eines Registrierungsschlüssels aktiviert und konfiguriert werden. Gehen Sie hierzu folgendermaßen vor.

Hinweis: Falls der Registrierungseintrag "TarpitTime" noch nicht existiert, verhält sich Exchange, als ob der Wert dieses Registrierungseintrags auf "0" gesetzt wäre. Wenn der Registrierungseintrag auf "0" gesetzt ist, erfolgt keine Verzögerung bei der Versendung der Antworten zur SMTP-Adressverifizierung.
  1. Klicken Sie auf Start und auf Ausführen. Geben Sie im Feld Öffnen den Befehl regedit ein, und klicken Sie anschließend auf OK.
  2. Klicken Sie auf den folgenden Registrierungsteilschlüssel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SMTPSVC\Parameters
  3. Zeigen Sie im Menü Bearbeiten auf Neu, und klicken Sie anschließend auf DWORD-Wert.
  4. Geben Sie TarpitTime als Wertnamen ein, und drücken Sie die [EINGABETASTE].
  5. Klicken Sie im Menü Bearbeiten auf Ändern.
  6. Klicken Sie auf Dezimal.
  7. Geben Sie im Feld Wert die Anzahl der Sekunden ein, um die die Antworten zur SMTP-Adressverifizierung für jede nicht existente Adresse verzögert werden sollen. Klicken Sie anschließend auf OK. Geben Sie z. B. 5 ein, und klicken Sie anschließend auf OK. Hierdurch werden die Antworten zur SMTP-Adressverifizierung um 5 Sekunden verzögert.
  8. Beenden Sie den Registrierungs-Editor.
  9. Starten Sie den SMTP-Dienst (SMTP = Simple Mail Transport Protocol) erneut.

Kann die Tar Pit-Funktion in Windows Server 2003 verwendet werden, wenn Exchange 2003 nicht genutzt wird?

Ja. Die Tar Pit-Funktion ist Bestandteil des allgemeinen Windows Server 2003-SMTP-Dienstes. Dieser SMTP-Dienst wird von Exchange und anderen Anwendungen verwendet.

Die Tar Pit-Funktion verzögert daher Antworten, die "5.x.x"-Fehlercodes enthalten. Wenn durch diese Verzögerungen ein positives Ergebnis bewirkt wird, sollten Sie die Tar Pit-Funktion aktivieren.

Informationsquellen

Eine frühere Version dieses Artikels finden Sie hier:
899492 Es steht ein Softwareupdate zur Verfügung, das die Auflistung von E-Mail-Adressen in Exchange Server 2003 verhindert


Die aktuelle Version dieses Artikels enthält zusätzliche Erläuterungen und neue Download-Informationen. Weitere Informationen zur Empfängerfilterung finden Sie in folgendem Artikel der Microsoft Knowledge Base:
823866 Sie konfigurieren Filterverbindung, um Realtime Block Lists (RBL) zu verwenden, und konfigurieren Empfänger Filterung in Exchange 2003
Weitere Informationen zum Unterdrücken von Unzustellbarkeitsberichten in Exchange 5.5 finden Sie in folgendem Artikel der Microsoft Knowledge Base:
837794 Aktualisieren Sie zu Verfügung in Exchange Server 5.5 zu Steuerelement, ob der Internet Mail-Dienst Unzustellbarkeitsberichte unterdrückt oder, übermittelt
Weitere Informationen zur SMTP-Weiterleitung, einer weiteren Funktion, die häufig von böswilligen Angreifern genutzt wird, finden Sie in folgendem Artikel der Microsoft Knowledge Base:
304897 XIMS: Bei Tests von Fremdanbietern scheinen Microsoft SMTP-Server E-Mail-Nachrichten anzunehmen und weiterzuleiten
Weitere Informationen über Softwareupdates von Microsoft finden Sie in folgendem Artikel der Microsoft Knowledge Base:
824684 Erläuterung von Standardbegriffen bei Microsoft Software Updates

Eigenschaften

Artikel-ID: 842851 - Geändert am: Montag, 3. Dezember 2007 - Version: 9.4
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
Keywords: 
kbqfe kbhotfixserver kbsecadvisory kbprb kbwinserv2003presp1fix KB842851
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com