Fonctionnalité Tar Pit du protocole SMTP pour Microsoft Windows Server 2003

Traductions disponibles Traductions disponibles
Numéro d'article: 842851 - Voir les produits auxquels s'applique cet article
Cet article peut contenir des liens vers des informations en langue anglaise (pas encore traduites).
Important Cet article contient des informations sur la modification du Registre. Sauvegardez le Registre avant de le modifier. Assurez-vous de savoir comment restaurer le Registre en cas de problème. Pour plus d'informations sur la sauvegarde, la restauration et la modification du Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
256986 Description du Registre de Microsoft Windows
Agrandir tout | Réduire tout

Sommaire

Mise à jour technique : 10 mai 2005

Microsoft a publié un avis de sécurité concernant ce problème à l'attention des informaticiens. Celui-ci contient des informations supplémentaires relatives à la sécurité. Pour afficher cet avis de sécurité, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://www.microsoft.com/france/technet/securite/avisdesecurite/842851.mspx

INTRODUCTION

Cet article décrit la fonctionnalité Tar Pit du protocole SMTP (Simple Mail Transfer Protocol). Cette fonctionnalité est disponible sur les ordinateurs exécutant Microsoft Windows Server 2003 Service Pack 1 (SP1). La fonctionnalité Tar Pit est désactivée par défaut. Pour pouvoir l'utiliser, un administrateur doit l'activer en configurant l'entrée de Registre TarpitTime.

Plus d'informations

Quel est le rôle de la fonctionnalité Tar Pit du protocole SMTP ?

La fonctionnalité Tar Pit a pour objet de retarder délibérément certaines communications SMTP associées au courrier indésirable ou à d'autres trafics de cette nature. Pour être efficaces, ces communications reposent sur la génération d'un grand volume de trafic. En ralentissant les communications SMTP, vous pouvez réduire de manière importante la vitesse à laquelle le courrier indésirable automatisé peut être envoyé ou une attaque par dictionnaire conduite. Le trafic légitime peut également être ralenti par la fonctionnalité Tar Pit.

La fonctionnalité Tar Pit est disponible dans Microsoft Windows Server 2003 et sur différents serveurs SMTP tiers. Dans Windows Server 2003, la fonctionnalité Tar Pit ralentit toutes les réponses contenant les codes d'erreur de protocole SMTP 5.x.x. Un administrateur peut configurer le délai introduit par la fonctionnalité Tar Pit. Pour plus d'informations sur la configuration du délai introduit par la fonctionnalité Tar Pit, reportez-vous à la section « Comment activer la fonctionnalité Tar Pit ? ».

Comment savoir si je dois activer la fonctionnalité Tar Pit ?

Si vous avez activé le filtrage des destinataires dans Microsoft Exchange Server 2003, vous devez envisager d'utiliser la fonctionnalité Tar Pit. Si vous n'avez pas activé le filtrage des destinataires, il est moins probable que la fonctionnalité Tar Pit soit utile à Exchange Server.

Si vous décidez d'activer la fonctionnalité Tar Pit, vous devez analyser avec soin la performance de votre serveur SMTP. Vous devez par ailleurs analyser les schémas de trafic de votre serveur afin de vérifier que la fonctionnalité Tar Pit ne perturbe pas et ne retarde pas le trafic ordinaire.

La fonctionnalité Tar Pit affecte uniquement les connexions SMTP anonymes. Les sessions authentifiées ne sont pas concernées. Par conséquent, si vous échangez régulièrement de nombreux messages SMTP avec une autre organisation et si vous estimez que la fonctionnalité Tar Pit affecte ce trafic, vous pouvez contourner cette fonctionnalité pour cette organisation en authentifiant les communications SMTP.

Qu'est'ce que le filtrage des destinataires ?

Le filtrage des destinataires est une nouvelle fonctionnalité de Microsoft Exchange 2003. Elle vous permet de filtrer ou rejeter le courrier entrant de destinataires que vous spécifiez et de tout destinataire entrant qui n'est pas répertorié dans le service d'annuaire Active Directory de votre organisation.

Pour plus d'informations sur l'activation et la configuration du filtrage des destinataires, reportez-vous à l'Aide en ligne de Microsoft Exchange Server 2003.

Une fois la fonctionnalité de filtrage des destinataires activée, les expéditeurs ne peuvent plus envoyer de courrier à l'attention de destinataires non valides ou filtrés. Ce courrier est rejeté très tôt dans la conversation SMTP, avant même que le corps du message ne soit transmis.

Cela permet généralement de réduire le traitement nécessaire pour gérer le courrier non valide sur votre serveur Exchange. Non seulement vous n'avez pas besoin d'accepter et de stocker le courrier, mais vous n'êtes pas non plus obligé d'envoyer un rapport de non-remise pour courrier non valide car le courrier n'a jamais été accepté.

Si vous n'utilisez pas le filtrage des destinataires, le courrier envoyé à des adresses de messagerie non valides dans votre organisation Exchange est accepté et traité par votre serveur Exchange. Une fois que le serveur Exchange a traité ce courrier, il doit générer et envoyer un rapport de non-remise pour tout le courrier non valide.

Remarque Les rapports de non-remise peuvent être supprimés dans Microsoft Exchange 2000 Server et dans Exchange 2003. Néanmoins, la spécification RFC 2821 indique que des rapports de non-remise doivent être renvoyés aux destinataires non valides si vous acceptez le message électronique. Pour plus d'informations sur la configuration de la suppression des rapports de non-remise, reportez-vous à l'Aide en ligne de Microsoft Exchange Server 2003.

Quel est l'apport mutuel de la fonctionnalité Tar Pit et du filtrage des destinataires lorsqu'ils sont utilisés conjointement ?

L'inconvénient du filtrage des destinataires est qu'il augmente l'efficacité avec laquelle les attaques visant à récupérer des adresses électroniques peuvent être réalisées à votre encontre. Dans une attaque de ce type, un « dictionnaire » ou une liste d'adresses électroniques possibles, est utilisé pour générer automatiquement un grand nombre de messages électroniques envoyés à votre domaine. Le but est de vous amener à indiquer pour chaque adresse électronique si elle est valide ou non valide. La liste des adresses électroniques ainsi découvertes est ensuite utilisée par le pirate pour envoyer du courrier indésirable ou à d'autres fins illégitimes.

Lorsque la fonctionnalité de filtrage des destinataires est activée, votre serveur révèlera si une adresse électronique est valide ou non valide au cours d'une conversation SMTP. Lorsque la fonctionnalité de filtrage des destinataires est désactivée, un pirate devra attendre le retour d'un rapport de non-remise pour chaque adresse électronique devinée.

Lorsque la fonctionnalité de filtrage des destinataires et la fonctionnalité Tar Pit sont toutes deux activées, les réponses renvoyées pour les adresses électroniques non valides peuvent être retardées de manière importante. Cette lenteur peut décourager le pirate.

Remarque Dans la mesure où la grande majorité des pirates ouvrent une session avec un domaine usurpé, peu d'entre-eux recevront les rapports de non-remise générés par votre serveur. Si un rapport de non-remise parvient à trouver le pirate, vous pouvez en effet vous aussi le trouver. Le risque d'attaque par dictionnaire par le biais des rapports de non-remise est par conséquent moins fort que la divulgation d'informations au cours d'une conversation SMTP.

Pourquoi ne pas tout simplement empêcher Microsoft Exchange d'envoyer des réponses susceptibles d'informer un pirate ?

Vous pouvez configurer Microsoft Exchange afin qu'il n'envoie aucune réponse. Pour ce faire, vous devez désactiver le filtrage des destinataires et supprimer les rapports de non-remise.

Comme nous l'avons indiqué précédemment, la suppression des rapports de non-remise n'est pas une pratique conforme aux spécifications RFC. Ainsi, elle n'est généralement pas recommandée. La suppression des rapports de non-remise présente également des inconvénients pour les utilisateurs ordinaires qui peuvent mal orthographier l'adresse d'un destinataire lors de l'envoi d'un message électronique. S'il ne reçoit pas de rapport de non-remise, l'utilisateur considère généralement que le message électronique a atteint sa destination.

Si la fonctionnalité de filtrage des destinataires est activée, vous êtes davantage exposé aux attaques visant à récupérer des adresses électroniques. Néanmoins, vous avez également moins de risque d'être utilisé comme vecteur d'une attaque par inondation de rapports de non-remise. Une attaque par inondation de rapports de non-remise est une attaque dans laquelle un expéditeur usurpe délibérément l'adresse de retour d'un domaine valide, puis vous envoie des messages électroniques non valides en prétendant appartenir à ce domaine. Votre serveur inonde ensuite consciencieusement le domaine victime avec de nombreux rapports de non-remise.

Les attaques visant à récupérer des adresses électroniques, les attaques par inondation de rapports de non-remise et le problème du courrier indésirable lui-même reposent sur des fonctionnalités du protocole SMTP qui sont utiles ou requises pour le transfert de courrier électronique légitime. Vous devez faire un certain nombre de compromis afin de vous défendre contre ces menaces tout en laissant le trafic légitime se poursuivre.

La fonctionnalité Tar Pit est proposée dans le but de vous défendre contre la mauvaise utilisation du protocole SMTP tout en minimisant les conséquences sur les utilisateurs légitimes.

Comment activer la fonctionnalité Tar Pit ?

Avertissement Des problèmes sérieux peuvent se produire si vous modifiez le Registre de façon incorrecte à l'aide de l'Éditeur du Registre ou toute autre méthode. Ces problèmes peuvent vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir que ces problèmes puissent être résolus. Vous assumez l'ensemble des risques liés à la modification du Registre.

La fonctionnalité Tar Pit peut être activée et configurée en définissant une clé de Registre. Pour cela, procédez comme suit.

Remarque Si l'entrée de Registre TarpitTime n'existe pas, Exchange se comporte comme si cette entrée avait pour valeur 0. Aucun délai n'est alors appliqué à l'envoi des réponses de vérification des adresses SMTP.
  1. Cliquez sur Démarrer, sur Exécuter, tapez regedit dans la zone Ouvrir, puis cliquez sur OK.
  2. Recherchez et cliquez sur la clé de Registre suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SMTPSVC\Parameters
  3. Dans le menu Edition, pointez sur Nouveau, puis cliquez sur Valeur DWORD.
  4. Tapez TarpitTime comme nom de l'entrée de Registre, puis appuyez sur ENTRÉE.
  5. Dans le menu Edition, cliquez sur Modifier.
  6. Cliquez sur Décimale.
  7. Dans la zone Données de la valeur, tapez le nombre de secondes correspondant au délai souhaité avant l'envoi des réponses de vérification des adresses SMTP pour chaque adresse qui n'existe pas. Cliquez ensuite sur OK. Par exemple, tapez 5, puis cliquez sur OK. Les réponses de vérification des adresses SMTP sont alors retardées de 5 secondes.
  8. Quittez l'Éditeur du Registre.
  9. Redémarrez le service SMTP (Simple Mail Transport Protocol).

Puis-je utiliser la fonctionnalité Tar Pit sur Windows Server 2003 si je n'utilise pas Exchange 2003 ?

Oui, vous le pouvez. Tar Pit est une fonctionnalité du service SMTP Windows Server 2003 générique. Ce service SMTP est utilisé par Exchange et peut l'être par d'autres applications.

La fonctionnalité Tar Pit introduit des délais dans les réponses contenant les erreurs 5.x.x. Si ces délais peuvent être utiles à votre application, vous voudrez peut-être envisager d'activer la fonctionnalité Tar Pit.

Références

Une version précédente de cet article est disponible :
899492 Une mise à jour logicielle empêchant l'énumération des adresses électroniques Exchange Server 2003 est disponible


La version actuelle de cet article a été mise à jour et contient désormais des explications supplémentaires ainsi que de nouvelles informations sur le téléchargement. Pour plus d'informations sur la fonctionnalité de filtrage de destinataires, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
823866 Comment faire pour configurer le filtrage de connexion de façon à utiliser des listes rouges en temps réel et pour configurer le filtrage de destinataires dans Exchange 2003
Pour plus d'informations sur la suppression des rapports de non-remise dans Exchange 5.5, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
837794 Mise à jour disponible dans Exchange Server 5.5 afin de contrôler si le service Messagerie Internet supprime ou remet les rapports de non-remise
Pour plus d'informations sur le relais SMTP, une autre fonctionnalité souvent détournée par les pirates, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
304897 XIMS : Les serveurs Microsoft SMTP peuvent sembler accepter et relayer les messages électroniques dans les tests tiers
Pour plus d'informations sur les mises à jour logicielles Microsoft, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
824684 Terminologie standard utilisée pour décrire les mises à jour logicielles Microsoft

Propriétés

Numéro d'article: 842851 - Dernière mise à jour: lundi 3 décembre 2007 - Version: 9.4
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
Mots-clés : 
kbqfe kbhotfixserver kbsecadvisory kbprb kbwinserv2003presp1fix KB842851
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com