Funzionalità tar pit SMTP per Microsoft Windows Server 2003

Traduzione articoli Traduzione articoli
Identificativo articolo: 842851 - Visualizza i prodotti a cui si riferisce l?articolo.
Importante In questo articolo sono contenute informazioni su come modificare il Registro di sistema. Assicurarsi di eseguire il backup del Registro di sistema prima di modificarlo. Assicurarsi di sapere come ripristinare il Registro di sistema qualora si verifichino dei problemi. Per informazioni su come eseguire il backup, ripristinare e modificare il Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
256986 Descrizione del Registro di sistema di Microsoft Windows
Espandi tutto | Chiudi tutto

In questa pagina

Aggiornamento tecnico: 1 giugno 2001

Microsoft ha rilasciato un Advisory Microsoft sulla sicurezza su questo problema per esperti IT. L'articolo sulla protezione contiene ulteriori informazioni correlate alla protezione relative a questo problema. Per visualizzare il testo di questo Bollettino Microsoft sulla sicurezza, visitare la pagina Web al seguente indirizzo:
http://www.microsoft.com/italy/technet/security/advisory/842851.mspx

INTRODUZIONE

In questo articolo viene descritto il "tar pitting" SMTP (Simple Mail Transfer Protocol). La funzionalità tar pit è una funzionalità SMTP disponibile in un computer in cui è installato Microsoft Windows Server 2003 Service Pack 1 (SP1). In base all'impostazione predefinita, tale funzionalità è disattivata. Per utilizzare la funzionalità tar pit, un amministratore deve attivarla configurando la voce del Registro di sistema TarpitTime.

Informazioni

Cos'è il tar pitting SMTP?

Il tar pitting è la procedura per l'inserimento deliberato di un ritardo in alcune comunicazioni SMTP che sono associate alla posta indesiderata o ad altro traffico indesiderato. Perché siano efficaci, questi tipi di comunicazione si basano in genere sulla generazione di un elevato volume di traffico. Rallentando una conversazione SMTP, è possibile ridurre drasticamente la velocità con cui i messaggi indesiderati automatici possono essere inviati o con cui può essere effettuato l'attacco di tipo "dizionario". Anche il traffico normale può essere rallentato dal tar pitting.

La funzionalità tar pit è disponibile in Microsoft Windows Server 2003 e in numerosi server SMTP di terze parti. La funzionalità tar pit di Windows Server 2003 funziona rallentando tutte le risposte che contengono i codici di errore 5.x.x del protocollo SMTP. Un amministratore può configurare il ritardo introdotto dalla funzionalità tar pit. Per informazioni sulla configurazione del ritardo introdotto dalla funzionalità tar pit, vedere la sezione "Attivazione della funzionalità tar pit".

Stabilire se è necessario il tar pitting

Se è attivo il filtro destinatari di Microsoft Exchange Server 2003, si dovrebbe tenere in considerazione l'utilizzo del tar pitting. Se il filtro non è attivo, il tar pitting potrebbe non avere un vantaggio significativo per Exchange Server.

Se si attiva la funzionalità tar pit, è necessario controllare con attenzione le prestazioni del server SMTP. Occorre inoltre analizzare gli schemi di traffico sul server per assicurarsi che il tar pitting non stia disturbando o ritardando il traffico ordinario.

Il tar pitting influisce solo sulle connessioni SMTP anonime, per cui le sessioni autenticate non vengono influenzate. Pertanto se si scambiano regolarmente molti messaggi di posta elettronica SMTP con un'altra società e si scopre che il tar pitting sta influendo sul traffico, è possibile ignorare il tar pitting per tale società autenticando le comunicazioni SMTP.

Cos'è il filtro destinatari?

Il filtro destinatari è una nuova funzionalità di Exchange 2003, che consente di filtrare o rifiutare i messaggi in arrivo per destinatari definiti in modo specifico e per qualsiasi destinatario in ingresso non elencato nel servizio directory di Active Directory della società.

Per ulteriori informazioni sull'attivazione e sulla configurazione del filtro destinatari, vedere la Guida in linea di Microsoft Exchange Server 2003.

Dopo avere attivato il filtro destinatari, i mittenti non potranno più inviare messaggi indirizzati a destinatari non validi o a destinatari filtrati. Questi messaggi verranno rifiutati durante la conversione SMTP prima che il corpo del messaggio venga trasmesso.

Questo comportamento riduce in genere la richiesta di elaborazione della gestione dei messaggi non validi nel server di Exchange. Non solo non è necessario accettare e archiviare il messaggio, ma non è nemmeno necessario inviare un rapporto di mancato recapito per messaggi non validi, perché il messaggio non è mai stato accettato.

Se non si utilizza il filtro destinatari, il messaggio inviato a indirizzi di posta elettronica non validi nell'organizzazione di Exchange verrà accettato ed elaborato dal server di Exchange. Dopo questa operazione verrà generato e inviato un rapporto di mancato recapito per tutti i messaggi non validi.

Nota I rapporti di mancato recapito possono essere soppressi in Microsoft Exchange 2000 Server e in Exchange 2003. Tuttavia la RFC 2821 stabilisce che i rapporti di mancato recapito debbano essere inviati per destinatari non validi se il mittente accetta il messaggio di posta elettronica. Per ulteriori informazioni sulla configurazione della soppressione dei rapporti di mancato recapito, vedere la Guida in linea di Exchange Server 2003.

Funzionamento del tar pitting e del filtro destinatari

Uno svantaggio del filtro destinatari è costituito dal fatto che aumenta l'efficacia con cui può essere eseguito un attacco che coinvolge gli indirizzi di posta elettronica. In un attacco di questo tipo viene utilizzato un "dizionario" o un elenco di probabili indirizzi di posta elettronica per generare automaticamente un gran numero di messaggi inviati al domini o dell'utente. L'obiettivo è quello di fare in modo che l'utente indichi quali indirizzi di posta elettronica sono validi e quali non lo sono. L'utente malintenzionato utilizza quindi l'elenco degli indirizzi di posta elettronica per inviare messaggi indesiderati o a scopi illegittimi.

Quando il filtro destinatari è attivo, il server indicherà se l'indirizzo di posta elettronica è valido o non valido durante una conversazione SMTP. Quando il filtro destinatari è disattivato, l'utente malintenzionato dovrà attendere la ricezione di un rapporto di mancato recapito per ogni indirizzo supposto.

Quando le funzionalità di filtro destinatari e tar pit sono attive, le risposte a indirizzi di posta elettronica non validi possono essere notevolmente ritardate. Questo comportamento può scoraggiare l'attacco.

Nota Dato che la maggior parte degli utenti malintenzionati si connette con un dominio contraffatto, è poco probabile che riceva realmente i rapporti di mancato recapito generati dal server. Se un rapporto di mancato recapito riesce a raggiungere l'utente malintenzionato, sarà possibile scoprire di chi si tratta. Pertanto il rischio di un attacco di tipo "dizionario" attraverso i rapporti di mancato recapito non è così grande quanto il rischio della divulgazione delle informazioni durante una conversazione SMTP.

Perché non si può semplicemente impedire l'invio di qualsiasi risposta da Exchange che potrebbe essere di aiuto a un utente malintenzionato?

È possibile configurare Exchange in modo da evitare l'invio delle risposte. Per effettuare questa operazione, è necessario disattivare il filtro destinatari e sopprimere i rapporti di mancato recapito.

Come già indicato in precedenza la soppressione dei rapporti di mancato recapito non è una procedura RFC compatibile. Pertanto, sopprimere i rapporti non è in genere consigliabile, poiché disturba anche l'utente ordinario che potrebbe commettere un errore di battitura nell'indirizzo del destinatario durante l'invio di un messaggio di posta elettronica. La previsione comune dei mittenti dei messaggi di posta elettronica riguarda il fatto che se non si riceve un rapporto di mancato recapito, il messaggio ha raggiunto la destinazione.

Se il filtro destinatari è attivo, il rischio di un attacco potrebbe essere più elevato. Tuttavia è anche meno probabile che l'utente venga utilizzato come vettore per un attacco che inonderà l'utente di rapporti di mancato recapito. Questo tipo di attacco si verifica quando un mittente simula deliberatamente l'indirizzo di un dominio valido e invia messaggi di posta elettronica non validi pretendendo che arrivino da quel dominio. Il server inonderà il dominio vittima con numerosi rapporti di mancato recapito.

I tipi di attacco descritti nel presente articolo e persino il problema dei messaggi indesiderati si basano sulle funzionalità del protocollo SMTP utili o necessarie per un trasferimento di messaggi di posta elettronica validi. Ci sono conseguenze che occorre tenere in considerazione quando ci si difende da tali minacce, pur consentendo un continuo traffico valido.

Il tar pitting è un'ulteriore opzione per difendersi dall'uso scorretto del protocollo SMTP e ridurre al minimo gli effetti sugli utenti legittimi.

Attivazione della funzionalità tar pit

Avviso L'errato utilizzo dell'editor del Registro di sistema o di un altro metodo può causare seri problemi, che potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non garantisce la soluzione di eventuali problemi derivanti dall'errata modifica del Registro di sistema. La modifica del Registro di sistema è a rischio e pericolo dell'utente.

La funzionalità tar pit può essere attivata e configurata impostando una chiave del Registro di sistema. Per effettuare questa operazione, attenersi alla seguente procedura.

Nota Se la voce del Registro di sistema TarpitTime non esiste, verrà considerata come se fosse impostata su 0. Quando la voce del Registro di sistema ha valore 0, non esiste ritardo nell'invio delle risposte di verifica degli indirizzi SMTP.
  1. Fare clic sul pulsante Start, scegliere Esegui, digitare regedit nella casella Apri, quindi scegliere OK.
  2. Individuare e selezionare la seguente sottochiave del Registro di sistema:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SMTPSVC\Parameters
  3. Scegliere Nuovo dal menu Modifica, quindi Valore DWORD.
  4. Digitare TarpitTime come nome della voce del Registro di sistema, quindi premere INVIO.
  5. Scegliere Modifica dal menu Modifica.
  6. Fare clic su Decimale.
  7. Nella casella Dati valore digitare il numero di secondi per ritardare le risposte di verifica degli indirizzi SMTP per ogni indirizzo inesistente, quindi scegliere OK. Digitare ad esempio 5, quindi scegliere OK. Le risposte di verifica degli indirizzi SMTP verranno ritardate di 5 secondi.
  8. Chiudere l'editor del Registro di sistema.
  9. Riavviare il servizio Simple Mail Transport Protocol (SMTP).

È possibile utilizzare il tar pitting in Windows Server 2003 se non si utilizza Exchange 2003?

Sì. Il tar pitting è una funzionalità del servizio SMTP generico di Windows Server 2003. Il servizio SMTP è utilizzato da Exchange e può essere utilizzato anche da altre applicazioni.

La funzionalità tar pit inserisce ritardi nelle risposte dei codici di errore 5.x.x. Se l'applicazione può trarre vantaggio da questi ritardi, si potrebbe prendere in considerazione l'attivazione della funzionalità tar pit.

Riferimenti

Per una versione precedente del presente articolo, vedere il seguente articolo della Microsoft Knowledge Base:
899492 È disponibile un aggiornamento software per impedire l'enumerazione degli indirizzi di posta elettronica di Exchange Server 2003


La versione corrente del presente articolo è stata aggiornata con ulteriore materiale esplicativo e nuove informazioni sul download. Per ulteriori informazioni sull'utilizzo della funzionalità di filtro destinatari, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
823866 Configurazione del filtro connessioni affinché utilizzi elenchi RBL (Realtime Block List) e del filtro destinatari in Exchange 2003
Per ulteriori informazioni sulla soppressione dei rapporti di mancato recapito di Exchange 5.5, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito (il contenuto potrebbe essere in inglese):
837794 È disponibile un aggiornamento in Exchange Server 5.5 per verificare se il Servizio posta Internet sopprime o invia i rapporti di mancato recapito
Per ulteriori informazioni sull'inoltro SMTP, un'altra funzionalità spesso sfruttata da un utente malintenzionato, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito (il contenuto potrebbe essere in inglese):
304897 Inoltro SMTP predefinito in Windows 2000, Windows XP, e Exchange Server
Per ulteriori informazioni sugli aggiornamenti software Microsoft, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
824684 Descrizione della terminologia standard utilizzata per descrivere gli aggiornamenti software Microsoft

Proprietà

Identificativo articolo: 842851 - Ultima modifica: lunedì 3 dicembre 2007 - Revisione: 9.4
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
Chiavi: 
kbqfe kbhotfixserver kbsecadvisory kbprb kbwinserv2003presp1fix KB842851
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com