A Microsoft Windows Server 2003 rendszer SMTP szurokcsapda (tar pit) szolgáltatásának leírása

A cikk fordítása A cikk fordítása
Cikk azonosítója: 842851 - A cikkben érintett termékek listájának megtekintése.
Fontos: Ebben a cikkben a rendszerleíró adatbázis módosításával kapcsolatos tudnivalók olvashatók. A rendszerleíró adatbázis módosítása előtt készítsen arról biztonsági másolatot, illetve győződjön meg arról, hogy szükség esetén helyre tudja állítani azt. A rendszerleíró adatbázis biztonsági mentéséről, visszaállításáról és módosításáról további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
256986 A Microsoft Windows rendszerleíró adatbázisának ismertetése
Az összes kibontása | Az összes összecsukása

A lap tartalma

Technikai frissítés: 2005. május 10.

A Microsoft kiadott egy informatikai szakembereknek szóló, biztonsági tanácsokat tartalmazó dokumentumot (Microsoft Security Advisory) ebben a témában. A biztonsági tanácsokat tartalmazó dokumentum további, biztonsággal kapcsolatos információkat ad erről a problémáról. A biztonsági tanácsok a Microsoft következő webhelyén olvashatók:
http://www.microsoft.com/technet/security/advisory/842851.mspx

BEVEZETÉS

Ez a cikk a Simple Mail Transfer Protocol (SMTP) „szurokcsapda” (tar pit) szolgáltatását ismerteti. A szurokcsapda az SMTP szolgáltatása, amely a Microsoft Windows Server 2003 Service Pack 1 (SP1) rendszerű számítógépeken érhető el. Alapértelmezésben a szurokcsapda szolgáltatás le van tiltva. A szurokcsapda szolgáltatás használatához a rendszergazdának engedélyeznie kell a szolgáltatást a TarpitTime rendszerleíró bejegyzés konfigurálásával.

További információ

Mi az SMTP szurokcsapda?

A szurokcsapda szándékos késleltetést illeszt be egyes SMTP-kommunikációkba, amelyek a levélszeméttel és más nem kívánt forgalommal kapcsolatosak. Az ilyen kommunikációk a hatékonyság érdekében nagy mennyiségű forgalmat generálnak. Az SMTP-kommunikáció lassításával nagy mértékben csökkentheti az automatikus levélszemétküldés és a szótárkészítéses támadások sebességét. A szurokcsapda lelassíthatja a jóhiszemű forgalmat is.

A szurokcsapda szolgáltatás elérhető a Microsoft Windows Server 2003 rendszerben és más SMTP-kiszolgálókon is. A Windows Server 2003 szurokcsapda szolgáltatása úgy működik, hogy lelassít minden olyan választ, amely az SMTP protokoll 5.x.x hibakódjait tartalmazza. A rendszergazda megadhatja a szurokcsapda szolgáltatás általi késleltetést. A szurokcsapda szolgáltatás általi késleltetés konfigurálásával kapcsolatban „A szurokcsapda szolgáltatás engedélyezése” című szakaszban talál további tudnivalókat.

Hogyan dönthetem el, hogy engedélyezzem-e a szurokcsapda használatát?

Ha engedélyezte a Microsoft Exchange Server 2003 címzettszűrését, akkor érdemes használni a szurokcsapda szolgáltatást. Ha nincs engedélyezve a címzettszűrés, a szurokcsapda valószínűleg nem lesz nagy hatással az Exchange Server működésére.

Ha engedélyezi a szurokcsapda szolgáltatást, körültekintően figyelni kell az SMTP-kiszolgáló működését. Elemezni kell a forgalom alakulását is a kiszolgálón annak megállapításához, hogy a szurokcsapda nem hátráltatja-e a normál forgalmat.

A szurokcsapda csak a névtelen SMTP-kapcsolatokra van hatással, a hitelesített munkamenetekre nem vonatkozik. Ezért ha gyakran levelezik SMTP-kapcsolaton keresztül egy másik szervezettel, és azt tapasztalja, hogy a szurokcsapda hátráltatja ezt a forgalmat, kikerülheti a szolgáltatást, ha hitelesíti az SMTP-kommunikációt a szervezettel.

Mi a címzettszűrés?

A címzettszűrés az Exchange 2003 új szolgáltatása. A címzettszűrés lehetővé teszi azon bejövő levelek kiszűrését vagy elutasítását, amelyek megadott címzettek részére, valamint a szervezet Active Directory címtárszolgáltatásában nem szereplő bejövő címzettek részére érkeznek.

A címzettszűrés engedélyezésével és konfigurálásával kapcsolatos további tudnivalókat a Microsoft Exchange Server 2003 online súgója tartalmazza.

Miután engedélyezte a címzettszűrést, nem érkezhetnek olyan levelek, amelyek címzettje érvénytelen vagy ki van szűrve. Az ilyen üzenetek még az SMTP-kommunikáció elején elutasításra kerülnek, az üzenet törzsének átvitele előtt.

Ez csökkenti az érvénytelen levelek feldolgozásából eredő terhelést az Exchange-kiszolgálón. Ez nem csak azt jelenti, hogy nem kell fogadni és tárolni az ilyen leveleket, hanem azt is, hogy nem kell a kézbesíthetetlenségről jelentést küldeni, mert a levelet a kiszolgáló nem is fogadta.

Ha nem használ címzettszűrést, az Exchange-kiszolgálót használó szervezetbe, érvénytelen e-mail címre érkező leveleket az Exchange-kiszolgáló fogadja és feldolgozza. Miután az Exchange-kiszolgáló feldolgozta a levelet, létre kell hoznia és el kell küldenie egy kézbesíthetetlenségi jelentést az összes érvénytelen levélhez.

Megjegyzés: A kézbesíthetetlenségi jelentések letilthatók a Microsoft Exchange 2000 Server és az Exchange 2003 rendszerben. Azonban a 2821-es RFC ajánlás szerint érvénytelen címre érkező levél fogadása esetén kézbesíthetetlenségi jelentést kell küldeni. A kézbesíthetetlenségi jelentések letiltásának konfigurálásával kapcsolatos további tudnivalókat a Microsoft Exchange Server 2003 online súgója tartalmazza.

Hogyan működik együtt a szurokcsapda és a címzettszűrés?

A címzettszűrés hátránya, hogy növeli az e-mail címeket gyűjtő támadások hatékonyságát. Egy tipikus gyűjtéskor a valószínű e-mail címek listája („szótára”) segítségével automatikusan nagy számú e-mail üzenetet generálnak, és ezeket elküldik a tartományba. A cél az, hogy visszajelzést kapjanak arról, hogy melyik e-mail cím valódi. A támadó ezután az így begyűjtött e-mail címekre levélszemetet küld, vagy más célra használja azokat.

Ha a címzettszűrés engedélyezve van, a kiszolgáló az SMTP-kommunikáció során elárulja, hogy melyik e-mail cím valódi. Ha a címzettszűrés le van tiltva, a támadónak minden valószínű címhez meg kell várnia a kézbesíthetetlenségi jelentést.

Ha mind a címzettszűrés, mind a szurokcsapda szolgáltatás engedélyezve van, az érvénytelen e-mail címekre adott válaszok sokat késhetnek, ami eltántoríthatja a támadót.

Megjegyzés: Mivel a támadók többsége hamis tartománynévvel jelentkezik be, valószínűleg kevés levélszemétküldő kapja meg a kiszolgáló által küldött kézbesíthetetlenségi jelentést. Ha a kézbesíthetetlenségi jelentés megtalálhatná a támadót, akkor Ön is megtalálhatná. Emiatt a kézbesíthetetlenségi jelentést felhasználó szótárkészítéses támadás veszélye nem olyan nagy, mint az információk SMTP-kommunikáció során történő elárulásának veszélye.

Miért nem elég letiltani az Exchange-kiszolgálón a támadókat segítő válaszokat?

Beállíthatja úgy az Exchange-kiszolgálót, hogy ne válaszoljon. Ehhez le kell tiltani a címzettszűrést és a kézbesíthetetlenségi jelentéseket.

Ahogy korábban már említettük, a kézbesíthetetlenségi jelentések letiltása nincs összhangban az RFC ajánlással, ezért általános megoldásként nem javasolható. A kézbesíthetetlenségi jelentések letiltása problémát okozhat azoknak az egyszerű felhasználóknak, akik elgépelik az e-mail címet egy üzenet küldésekor. Az e-mail küldők általában arra számítanak, hogy ha nem kapnak kézbesíthetetlenségi jelentést, akkor a címzett megkapta az üzenetet.

Ha a címzettszűrés engedélyezett, jobban ki lehet téve egy gyűjtő célú támadásnak. Azonban így kisebb eséllyel használják fel a kiszolgálóját arra, hogy egy másik kiszolgálót kézbesíthetetlenségi jelentésekkel árasszanak el. A kiszolgálót kézbesíthetetlenségi jelentésekkel elárasztó támadás abból áll, hogy a feladó szándékosan meghamisítja a válaszcímet egy létező tartományra, majd érvénytelen e-mail üzeneteket küld a kiszolgálóra, látszólag a hamisított tartományból. A kiszolgáló ezután kötelességtudóan elárasztja a célpontként kiszemelt tartományt a kézbesíthetetlenségi jelentések tömegével.

Az e-mail címeket gyűjtő támadások és a kiszolgálót kézbesíthetetlenségi jelentésekkel elárasztó támadások, valamint a levélszemétküldés az SMTP protokoll olyan szolgáltatásait használják ki, amelyek szükségesek vagy hasznosak a jóhiszemű üzenetátvitelhez. Szükségesek lehetnek bizonyos kompromisszumok, ha úgy kíván védekezni az ilyen veszélyek ellen, hogy közben a normál forgalom is működhessen.

A szurokcsapda egy újabb lehetőség az SMTP-t rosszindulatúan használó támadások kivédésére a jóhiszemű felhasználók lehető legkisebb korlátozásával.

A szurokcsapda szolgáltatás engedélyezése

Figyelmeztetés: A rendszerleíró adatbázis Rendszerleíróadatbázis-szerkesztő vagy egyéb eszköz segítségével történő nem megfelelő szerkesztése komoly problémákhoz vezethet, melyek akár az operációs rendszer újratelepítését is szükségessé tehetik. A Microsoft nem garantálja ezeknek a problémáknak a megoldhatóságát. A rendszerleíró adatbázist csak saját felelősségére módosíthatja.

A szurokcsapda szolgáltatás engedélyezéséhez és konfigurálásához egy rendszerleíró kulcsot kell beállítani. Ehhez hajtsa végre a következő lépéseket:

Megjegyzés: Ha a TarpitTime rendszerleíró bejegyzés nem létezik, az Exchange Server úgy működik, mintha e bejegyzés értéke 0 lenne. Amikor azonban a TarpitTime bejegyzés értéke 0, az SMTP-címellenőrzési válaszokat a rendszer késlekedés nélkül elküldi.
  1. Kattintson a Start menü Futtatás parancsára, és írja be a regedit parancsot a Megnyitás mezőbe, majd kattintson az OK gombra.
  2. Keresse meg az alábbi rendszerleíró alkulcsot, majd kattintson rá:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SMTPSVC\Parameters
  3. Mutasson a Szerkesztés menü Új pontjára, majd kattintson a Duplaszó parancsra.
  4. Írja be aTarpitTime karakterláncot a rendszerleíró bejegyzés neveként, majd nyomja le az ENTER billentyűt.
  5. Kattintson a Szerkesztés menü Módosítás parancsára.
  6. Kattintson a Decimális értékre.
  7. Az Érték mezőbe írja be másodpercben azt az időtartamot, ameddig az SMTP nem létező címekre adott címellenőrzési válaszait késleltetni szeretné. Kattintson az OK gombra. Példa: 5Kattintson az OK gombra. E beállítás hatására a rendszer 5 másodpercig késlelteti az SMTP-címellenőrzési válaszok elküldését.
  8. Lépjen ki a Rendszerleíróadatbázis-szerkesztőből.
  9. Indítsa újra a Simple Mail Transport Protocol (SMTP) szolgáltatást.

Használhatom a szurokcsapda szolgáltatást Windows Server 2003 rendszeren, ha nem használok Exchange 2003 kiszolgálót?

Igen. A szurokcsapda a Windows Server 2003 általános SMTP-szolgáltatásának része. Ezt az SMTP-szolgáltatást használja az Exchange, és más alkalmazások is használhatják.

A szurokcsapda a késleltetéseket az 5.x.x hibaválaszokba illeszti be. Ha egy alkalmazás hasznosítani tudja az ilyen késleltetéseket, akkor érdemes engedélyezni a szurokcsapda szolgáltatást.

Hivatkozások

A cikk régebbi verziója megtalálható itt:
899492 Rendelkezésre áll egy szoftverfrissítés, amely segít megelőzni az Exchange Server 2003 alapú e-mail címek kigyűjtését


A cikk aktuális verziója frissült további magyarázó anyaggal és új letöltési információval. A címzettszűrési szolgáltatásról a Microsoft Tudásbázis következő cikkében talál további információt a cikk számára kattintva:
823866 Kapcsolatszűrés konfigurálása valós idejű blokkolólistákkal és címzettszűrés konfigurálása az Exchange 2003 kiszolgálóval (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
A kézbesíthetetlenségi jelentések Exchange 5.5 kiszolgálón történő letiltásáról további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
837794 Elérhető egy frissítés az Exchange Server 5.5 kiszolgálóhoz, amellyel megadható, hogy az Internet Mail szolgáltatás letiltsa vagy elküldje a kézbesíthetetlenségi jelentéseket (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
A támadók által gyakran kihasznált SMTP-továbbítási szolgáltatással kapcsolatban további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
304897 Az SMTP-továbbítás működése Windows 2000, Windows XP és Exchange Server rendszeren (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
A Microsoft szoftverfrissítéseiről további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
824684 A Microsoft szoftverfrissítéseinek leírásához használt szabványos terminológia bemutatása

Tulajdonságok

Cikk azonosítója: 842851 - Utolsó ellenőrzés: 2007. december 3. - Verziószám: 9.4
A cikkben található információ a következő(k)re vonatkozik:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
Kulcsszavak: 
kbqfe kbprb kbwinserv2003presp1fix kbsecadvisory KB842851
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Visszajelzés küldése

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com