La funcionalidad "pozo de brea" de SMTP para Microsoft Windows Server 2003

Seleccione idioma Seleccione idioma
Id. de artículo: 842851 - Ver los productos a los que se aplica este artículo
Importante
Este artículo contiene información sobre cómo modificar el Registro. Compruebe que ha hecho una copia de seguridad del Registro antes de modificarlo. Compruebe que sabe restaurar el Registro en caso de que se produzca algún problema. Para obtener más información acerca de cómo realizar una copia de seguridad, restaurar y modificar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
256986 Definición del Registro de Microsoft Windows
Expandir todo | Contraer todo

En esta página

Actualización técnica: 10.05.05

Microsoft ha publicado un asesoramiento de seguridad sobre este problema destinado a los profesionales de IT. El asesoramiento de seguridad contiene información adicional relacionada con la seguridad acerca de este problema. Para ver el asesoramiento de seguridad, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/technet/security/advisory/842851.mspx

INTRODUCCIÓN

Este artículo analiza la función "pozo de brea" del Protocolo simple de transferencia de correo (SMTP). La función de pozo de brea es una funcionalidad de SMTP que está disponible en un equipo que ejecuta el Service Pack 1 (SP1) de Microsoft Windows Server 2003. De manera predeterminada, la característica pozo de brea está deshabilitada. Para usar la característica, un administrador debe habilitar la característica configurando la entrada TarpitTime en el Registro.

Más información

¿Qué es el pozo de brea de SMTP?

Es la práctica de insertar deliberadamente un retraso en determinadas comunicaciones de SMTP relacionadas con el correo electrónico no deseado o cualquier otro tráfico de ese tipo. Para ser eficaces, las comunicaciones de este tipo suelen estar basadas en la generación de un alto volumen de tráfico. Al hacer más lenta una conversación, puede reducir espectacularmente la tasa en la que el correo no deseado automatizado puede ser enviado o qué ataque puede ser conducido. Con esta funcionalidad de pozo de brea también puede volverse más lento el tráfico legítimo.

Esta funcionalidad está disponible en Microsoft Windows Server 2003 y en varios servidores SMTP de otros proveedores. La característica pozo de brea de Windows Server 2003 imprime mayor lentitud a todas las respuestas que contienen códigos de error 5.x.x del protocolo SMTP. Un administrador puede configurar el retraso que es introducido por la característica pozo de brea. Para la información acerca de cómo configurar el retraso que es introducido por la característica, consulte la sección "¿Cómo habilito la característica pozo de brea?".

¿Cómo decido si debo habilitar la funcionalidad de pozo de brea?

Si ha habilitado el filtrado de destinatarios de Microsoft Exchange Server 2003, debería considerar el uso de esta característica. Si no ha habilitado el filtrado de destinatarios, es menos probable que la funcionalidad de pozo de brea signifique un gran beneficio para Exchange Server.

Si habilita la funcionalidad de pozo de brea, deberá supervisar cuidadosamente el rendimiento de su servidor SMTP. Adicionalmente, debería analizar las pautas de tráfico en el servidor para garantizar que el pozo de brea no interrumpa ni retrase el tráfico ordinario.

La funcionalidad afecta sólo a las conexiones SMTP anónimas. Las sesiones autenticadas están exentas. Por tanto, si con regularidad intercambia mucho correo SMTP con otra organización y descubre que esta funcionalidad está afectando al tráfico, puede evitar la funcionalidad para esa organización autenticando las comunicaciones SMTP.

¿Qué es el filtrado de destinatarios?

Es una nueva característica de Exchange 2003 que le permite filtrar o rechazar el correo entrante para destinatarios específicamente definidos y para cualquier destinatario entrante que no esté enumerado en el servicio de directorios Active Directory de su organización.

Para obtener más información acerca de cómo habilitar y configurar el filtrado de destinatarios, consulte la Ayuda en línea de Microsoft Exchange Server.

Después de habilitar el filtrado de destinatarios, los remitentes no le pueden enviar correo que está destinado a destinatarios no válidos o filtrados. Ese correo es rechazado pronto en la conversación SMTP antes de que el cuerpo del correo sea transmitido.

Generalmente, este comportamiento reduce el procesado de la demanda de tratar con correo no válido en su servidor de Exchange. No sólo no tiene que aceptar y almacenar el correo, sino que además no está obligado a enviar un informe de no entrega (NDR) del correo no válido, porque el correo no fue nunca aceptado.

Si no usa el filtrado de destinatarios, el correo que se envía a las direcciones no válidas de correo electrónico de su organización Exchange es aceptado y procesado por su servidor Exchange. Después de que el servidor Exchange procesa este correo, debe generar y enviar un mensaje NDR para todos los correos no válidos.

Nota
Los mensajes NDR se pueden suprimir en Microsoft Exchange 2000 Server y en Exchange 2003. Sin embargo, la norma RFC 2821 afirma que los NDR debe ser devueltos para los destinatarios no válidos si acepta el mensaje de correo electrónico. Para obtener más información acerca de cómo configurar la supresión de NDR, consulte la Ayuda en pantalla de Exchange Server 2003.

¿Cómo funcionan conjuntamente el pozo de brea y el filtrado de destinatarios?

Una desventaja del filtrado de destinatarios es que incrementa la eficiencia con la que le pueden hacer un ataque de cosecha de direcciones de correo electrónico. En un ataque de cosecha típico, se usa un "diccionario" o una lista de nombres de correo electrónico probables para generar automáticamente un gran número de mensajes de correo electrónico para enviar a su dominio. El objetivo es hacerle proporcionar indicaciones de si cada dirección de correo electrónico es válida o no válida. El atacante usa entonces la lista de direcciones de correo electrónico descubiertas para enviar correo no deseado o para otros fines ilegítimos.

Cuando la funcionalidad de filtrado de destinatarios está habilitada, su servidor revelará durante una conversación SMTP si un nombre de correo electrónico es o no válido. Cuando está deshabilitada la función de filtrado de destinatarios, un atacante habrá de aguardar al retorno de un NDR con cada nombre conjeturado.

Cuando están habilitadas las funcionalidades de filtrado de destinatarios y de pozo de brea, las respuestas a los nombres de correo electrónico no válidos se pueden retrasar mucho. Este comportamiento puede quitar estímulos al ataque.

Nota
Como la gran mayoría de los atacantes inicia sesión con un dominio falseado. probablemente serán pocos los atacantes o remitentes de correo no deseado que reciban los NDR generados por su servidor. Si un NDR puede encontrar al atacante, usted puede encontrar al atacante. Por tanto, el riesgo de un ataque de diccionario mediante los NDR no es tan grande como el riesgo de revelación de información durante una conversación SMTP.

¿Por qué no me limito a prevenir que Exchange envíe respuestas que podrían ayudar a un atacante?

Puede configurar Exchange para que no envíe respuestas. Para ello, debe deshabilitar el filtrado de destinatarios y suprimir los NDR.

Como analizamos previamente, suprimir los NDR no es una práctica que esté de acuerdo con los RFC. Por tanto, no se puede recomendar de manera general la supresión de los NDR. Suprimir los NDR también produce inconvenientes al usuario ordinario que comete un error tipográfico en la dirección del destinatario cuando envía un mensaje de correo electrónico. La expectativa típica de los remitentes de correo electrónico es que, a menos que se devuelva un NDR, el mensaje de correo ha llegado a su destino.

Si está habilitada la característica de filtrado de destinatarios, puede tener un riesgo mayor de ataque de cosecha. Sin embargo, también es menos susceptible de ser usado como el vector de un ataque de inundación de NDR. Un ataque de inundación de NDR es aquel en el que un remitente finge deliberadamente la dirección de retorno de un dominio válido y después le envía mensajes de correo no válidos simulando que proceden de ese dominio. Después su servidor inunda el dominio de la víctima con múltiples informes de NDR.

Los ataques de cosecha de correo electrónico, los ataques de inundación de NDR e incluso el propio problema del correo no deseado se basan en características del protocolo SMTP que son útiles o que se requieren para la transferencia legítima de correo electrónico. Hay compromisos que debe considerar cuando se defiende contra esas amenazas al tiempo que deja que prosiga el tráfico legítimo.

El pozo de brea es una opción más para defenderse del mal uso de SMTP para minimizar el efecto en usuarios legítimos

¿Cómo habilito la característica de pozo de brea?

Advertencia
Pueden producirse graves problemas si se modifica incorrectamente el Registro mediante el Editor del Registro o con cualquier otro método. Estos problemas pueden requerir que reinstale el sistema operativo. Microsoft no puede garantizar la solución de esos problemas. Modifique el Registro bajo su responsabilidad.

La característica pozo de brea se puede habilitar y configurar con una clave del Registro. Para ello, siga estos pasos.

Nota
Si no existe la entrada TarpitTime del Registro, Exchange se comporta como si el valor de esta entrada del Registro estuviera configurado en 0. Cuando la entrada del Registro tiene un valor de 0, no hay retraso cuando se envían las respuestas de verificación de la dirección SMTP.
  1. Haga clic en Inicio, luego en Ejecutar, escriba regedit en el cuadro Abrir y, a continuación, haga clic en Aceptar.
  2. Para seleccionar la siguiente subclave de Registro, búsquela y haga clic en:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SMTPSVC\Parameters
  3. En el menú Edición señale Nuevo y, a continuación, haga clic en Valor de tipo DWORD.
  4. Escriba TarpitTime como el nombre de entrada del Registro luego presione ENTRAR.
  5. En el menú Edición, haga clic en Modificar.
  6. Haga clic en Decimal.
  7. En el cuadro Información del valor, escriba el número de segundos que desea retrasar las respuestas de verificación de dirección SMTP para cada dirección que no exista. A continuación, haga clic en Aceptar. Por ejemplo, escriba 5 y, a continuación, haga clic en Aceptar. Esto retrasa 5 segundos las respuestas de verificación de dirección SMTP.
  8. Cierre el Editor del Registro.
  9. Reinicie el servicio Protocolo simple de transferencia de correo (SMTP).

¿Puedo utilizar la característica pozo de brea en Windows Server 2003 si no utilizo Exchange 2003?

Sí. El pozo de brea es una característica general del servicio SMTP de Windows Server 2003. Este servicio SMTP es utilizado por Exchange y también puede ser utilizado por otras aplicaciones.

La característica pozo de brea inserta retrasos en las respuestas de error 5.x.x. Si su aplicación puede hacer un buen uso de esos retrasos, quizá quiera considerar habilitar dicha característica.

Referencias

Puede encontrar aquí una versión anterior de este artículo:
899492 Hay una actualización de software que ayuda a impedir la enumeración de direcciones de correo electrónico de Exchange Server 2003


La versión actualizada del artículo contiene material explicativo adicional y nueva información de descargas. Para obtener información adicional acerca de la característica de filtrado de destinatarios, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:
823866 Cómo configurar el filtrado de conexiones para usar Listas de bloqueo en tiempo real (RBL) y cómo configurar el filtrado de destinatarios en Exchange 2003
Para obtener más información acerca de cómo suprimir los informes de no entrega en Exchange 5.5, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:
837794 Actualización disponible en Exchange Server 5.5 para controlar si Internet Mail Service suprime o entrega NDR
Para obtener más información acerca de la retransmisión SMTP, otra característica usada frecuentemente por un atacante, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
304897 Comportamiento de retransmisión de SMTP en Windows 2000, Windows XP y Exchange Server
Para obtener más información acerca de las actualizaciones de software de Microsoft, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
824684 Descripción de la terminología estándar utilizada para describir las actualizaciones de software de Microsoft

Propiedades

Id. de artículo: 842851 - Última revisión: lunes, 03 de diciembre de 2007 - Versión: 9.4
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
Palabras clave: 
kbqfe kbhotfixserver kbsecadvisory kbprb kbwinserv2003presp1fix KB842851

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com