Microsoft Windows Server 2003 の SMTP タール ピット機能

文書翻訳 文書翻訳
文書番号: 842851 - 対象製品
重要 : この資料には、レジストリの編集方法が記載されています。万一に備えて、編集の前には必ずレジストリをバックアップし、レジストリの復元方法を理解しておいてください。バックアップ、復元、および編集方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
256986 Microsoft Windows レジストリの説明
すべて展開する | すべて折りたたむ

目次

技術的な更新 : 2005 年 5 月 10 日

マイクロソフトでは、この問題に関して、IT 担当者向けのマイクロソフト セキュリティ アドバイザリをリリースしました。セキュリティ アドバイザリには、この問題に関連する追加のセキュリティ関連の情報が含まれています。セキュリティ アドバイザリを参照するには、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/japan/technet/security/advisory/842851.mspx

はじめに

この資料では、SMTP (Simple Mail Transfer Protocol) "タール ピット (tar pitting)" について説明します。タール ピット機能は、Microsoft Windows Server 2003 Service Pack 1 (SP1) ベースのコンピュータで使用できる SMTP の機能です。デフォルトでは、タール ピット機能は無効です。タール ピット機能を使用するには、管理者が、TarpitTime レジストリ エントリを構成して、機能を有効にする必要があります。

詳細

SMTP タール ピットについて

タール ピットとは、スパムや迷惑なトラフィックに関連する特定の SMTP 通信において、意図的に遅延を挿入する動作のことです。通常、この種類の通信では、スパムや迷惑なトラフィックを効率的に送信するために大量のトラフィックが発生します。SMTP 通信に遅延を導入することにより、スパムの送信率や辞書攻撃の実行率を大幅に低減することができます。有効なトラフィックもタール ピット機能によって遅くなる可能性があります。

タール ピット機能は、Microsoft Windows Server 2003 および一部のサードパーティの SMTP サーバーで使用できます。Windows Server 2003 のタール ピット機能は、SMTP プロトコル 5.x.x エラー コードが含まれるすべての応答を遅延させることで目的を達成します。タール ピット機能によって発生する遅延は、管理者が構成できます。タール ピット機能によって発生する遅延を構成する方法については、この資料の「タール ピット機能を有効にする方法」を参照してください。

タール ピット機能を有効にする必要があるかどうかの判断基準

Microsoft Exchange Server 2003 受信者フィルタ機能を有効にしている場合、タール ピット機能を有効にすることを検討する必要があります。受信者フィルタ機能を有効にしていない場合、タール ピット機能を有効にしても、Exchange Server では十分な効果が得られません。

タール ピット機能を有効にする場合、SMTP サーバーのパフォーマンスを注意深く監視する必要があります。また、サーバー上のトラフィックのパターンを解析し、タール ピット機能が通常のトラフィックに影響を与えたり、遅延が発生したりしていないかどうかを確認する必要もあります。

タール ピットの影響を受けるのは、匿名の SMTP 接続のみです。認証されたセッションはタール ピットの影響を受けません。そのため、SMTP メールを他の組織と頻繁にやり取りし、そのトラフィックがタール ピットの影響を受けている場合には、SMTP 通信を認証することで、その組織に対してタール ピットが行われないようにすることができます。

受信者フィルタ機能について

受信者フィルタ機能は、Exchange Server 2003 の新しい機能です。受信者フィルタ機能を使用することにより、特定の受信者宛ての受信メール、および、組織の Active Directory ディレクトリ サービスに存在しない受信者に送信されたすべての受信メールに対して、フィルタ処理を行ったり、受信メールを拒否したりすることができます。

受信者フィルタ機能を有効にする方法および構成方法の詳細については、Microsoft Exchange Server 2003 のオンライン ヘルプを参照してください。

受信者フィルタ機能を有効にした後、攻撃者は無効な受信者、またはフィルタが適用された受信者宛てのメールを送信できなくなります。これらのメールは、メール本文が転送される前の SMTP 通信の初期の段階で拒否されます。

通常、この処理により、Exchange サーバーで無効なメールを処理する必要性が低下します。メールの受信や保存が不要になるだけではなく、無効なメールを受信することがなくなるため、無効なメールに関する配信不能レポート (NDR) を返す必要もなくなります。

受信者フィルタ機能を使用しない場合、Exchange 組織に存在しない電子メール アドレスに送信されたメールが受信され、Exchange サーバーにより処理されます。Exchange サーバーがこれらのメールを処理した後は、無効なメールすべてに対して NDR を生成し、送信する必要が生じます。

: NDR の生成は、Microsoft Exchange 2000 Server および Exchange Server 2003 で無効にできます。しかし、RFC 2821 では、電子メール メッセージを受け入れた場合、無効な受信者に対して NDR を返す必要があると規定されています。NDR が生成されないようにする方法の詳細については、Exchange Server 2003 のオンライン ヘルプを参照してください。

タール ピット機能と受信者フィルタ機能を一緒に使用する

受信者フィルタ機能には、電子メール アドレス ハーベスト攻撃の効率を高めるという問題があります。典型的なハーベスト攻撃では、"辞書" (存在する可能性のある電子メール名の一覧) を使用して、自動的に大量の電子メール メッセージを生成し、攻撃対象のドメインに送信します。この攻撃の目的は、どの電子メール アドレスが有効または無効であるかに関する情報を攻撃対象から引き出すことです。この攻撃の後、攻撃者は、存在が確認できた電子メール アドレスの一覧をスパムの送信などの悪質な目的で使用します。

受信者フィルタ機能が有効である場合、サーバーの電子メール名が有効であるか無効であるかという情報が SMTP 通信によって外部から参照されます。受信者フィルタ機能が無効である場合、攻撃者は、予想した名前ごとに NDR の返信を待つ必要があります。

受信者フィルタ機能とタール ピット機能の両方が有効である場合、無効な電子メール名に対する応答が大幅に遅れるため、攻撃を躊躇させることができます。

: 多くの攻撃者はログオン時に偽装ドメインを使用するため、サーバーが生成する NDR は、実際にはスパムの送信者や攻撃者には届きません。NDR が攻撃者に届くと、攻撃を受けた側のコンピュータから攻撃者を特定できるためです。そのため、NDR を使用する辞書攻撃が発生する危険性は、SMTP 通信によって情報が漏えいする危険性と比べて高くありません。

攻撃者に悪用される可能性のある応答を一切送信しないように Exchange を構成した場合の影響

応答を一切送信しないように Exchange を構成することもできます。これを行うには、受信者フィルタ機能を無効にし、次に NDR の配信を停止します。

既に説明したように、NDR を送信しないように構成することは、RFC に準拠しない行為です。そのため、NDR を送信しないように構成することは一般にお勧めできません。また、NDR の配信を停止すると、通常の送信者が受信者のアドレスを正しく入力せずに電子メール メッセージを送信した場合に、送信者に不便を強いることになります。通常、送信者が電子メールを送信する場合、NDR が返されない限り、電子メール メッセージは宛先に届いたものと想定するためです。

受信者フィルタ機能を有効にすると、ハーベスト攻撃の危険性は増加しますが、サーバーが NDR フラッディング (flooding) 攻撃の道具として使用される危険性は減少します。NDR フラッディング攻撃とは、攻撃者が、実際に存在するドメインへの返信アドレスを詐称し、そのドメインから送信されたかのように偽って、複数の無効な電子メール メッセージを第三者のサーバーに送信することです。これらのメールを受信したサーバーは、被害者であるドメインに対して、複数の NDR レポートを大量に送信します。

電子メール ハーベスト攻撃や NDR フラッディング攻撃は SMTP プロトコルの機能に依存しています。スパム問題自体も SMTP に依存しています。SMTP は正規のプロトコルであり、電子メール転送に有用または不可欠です。有効なトラフィックに支障が生じないようにしながら攻撃を防止するには、さまざまなトレードオフについて考慮する必要があります。

タール ピット機能は、有効なユーザーへの影響を最小限に抑えながら、SMTP の悪用を防止する代替のオプションです。

タール ピット機能を有効にする方法

警告 : レジストリ エディタまたは別の方法を使用してレジストリを誤って変更すると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、レジストリの変更により発生した問題に関しては、一切責任を負わないものとします。レジストリの変更は、自己の責任において行ってください。

タール ピット機能を有効にし、構成するには、レジストリ キーを設定します。これを行うには、以下の手順を実行します。

: TarpitTime レジストリ エントリが存在しない場合の Exchange の動作は、このレジストリ エントリの値が 0 に設定されたときと同様です。このレジストリ エントリの値が 0 の場合、SMTP アドレス確認応答が送信される際の遅延は行われません。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。[名前] ボックスに regedit と入力し、[OK] をクリックします。
  2. 次のレジストリ サブキーを見つけてクリックします。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SMTPSVC\Parameters
  3. [編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。
  4. レジストリ エントリの名前として TarpitTime と入力し、Enter キーを押します。
  5. [編集] メニューの [修正] をクリックします。
  6. [10 進] をクリックします。
  7. [値のデータ] ボックスに、存在しない各アドレスに対する SMTP アドレス確認応答を遅延させる秒数を入力し、[OK] をクリックします。たとえば、5 と入力して [OK] をクリックします。これによって、SMTP アドレス確認応答を 5 秒間遅延させることができます。
  8. レジストリ エディタを終了します。
  9. Simple Mail Transfer Protocol (SMTP) サービスを再起動します。

Exchange Server 2003 を使用せずに Windows Server 2003 でタール ピット機能を使用する

Exchange Server 2003 を使用せずに Windows Server 2003 でタール ピット機能を使用することもできます。タール ピット機能は、一般的な Windows Server 2003 SMTP サービスの機能です。この SMTP サービスは Exchange で使用されますが、他のアプリケーションで使用することもできます。

タール ピット機能により、5.x.x エラー応答に遅延が挿入されます。この遅延がアプリケーションで有益な場合に、タール ピット機能を有効にすることを検討できます。

関連情報

この資料の以前のバージョンを参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
899492 Exchange Server 2003 の電子メール アドレスの列挙を防止するソフトウェア更新プログラム


この資料の現在のバージョンは、追加の説明資料およびダウンロード情報により更新されています。 受信者フィルタ機能の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
823866 Exchange 2003 で接続フィルタを構成してリアルタイム ブロック リスト (RBL) を使用する方法と受信者フィルタを構成する方法
Exchange 5.5 で NDR の配信を停止する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
837794 Internet Mail Service における NDR の配信を制御するのに使用できる Exchange Server 5.5 の更新プログラム
攻撃者が頻繁に利用するもう 1 つの機能である、SMTP 中継の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
304897 Windows 2000、Windows XP、および Exchange Server での SMTP の中継動作
Microsoft ソフトウェア更新プログラムの関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
824684 マイクロソフトのソフトウェアの更新で使用される一般的な用語の説明

プロパティ

文書番号: 842851 - 最終更新日: 2007年12月3日 - リビジョン: 9.4
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
キーワード:?
kbqfe kbhotfixserver kbsecadvisory kbprb kbwinserv2003presp1fix KB842851
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com