SMTP tar pit-functie voor Microsoft Windows Server 2003

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 842851 - Bekijk de producten waarop dit artikel van toepassing is.
Belangrijk Dit artikel bevat informatie over het bewerken van het register. Maak eerst een reservekopie van het register voordat u dit gaat bewerken. Ga eerst na of u weet hoe u het register kunt herstellen als er een probleem optreedt. Als u meer informatie wilt over het maken van een back-up van het register en het herstellen of wijzigen van het register, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
256986 Beschrijving van het Microsoft Windows-register
Alles uitklappen | Alles samenvouwen

Op deze pagina

Technische update: 10 mei 2005

Microsoft heeft een Microsoft Security Advisory voor IT-professionals over dit probleem uitgebracht. Dit beveiligingsbulletin bevat aanvullende beveiligingsinformatie over dit probleem. Het beveiligingsbulletin kunt u vinden op de volgende website van Microsoft:
http://www.microsoft.com/technet/security/advisory/842851.mspx

Inleiding

In dit artikel wordt de functie 'tar pitting' van Simple Mail Transfer Protocol (SMTP) beschreven. De tar pit-functie is een SMTP-functie die beschikbaar is op een computer met Microsoft Windows Server 2003 Service Pack 1 (SP1). Standaard is de tar pit-functie uitgeschakeld. Als u deze functie wilt gebruiken, moet deze door een beheerder worden ingeschakeld door de registervermelding TarpitTime te configureren.

Meer informatie

Wat is de tar pit-functie van SMTP?

Tar pitting is het opzettelijk invoegen van een vertragingsmoment in bepaalde SMTP-berichten die in verband worden gebracht met spam of ander ongewenst verkeer. Dit soort berichten is pas effectief als het veel berichtenverkeer kan genereren. Door een SMTP-conversatie te vertragen, kunt u de snelheid waarmee geautomatiseerde spam kan worden verzonden of de snelheid waarmee lijsten met e-mailadressen kunnen worden verzameld, aanzienlijk verlagen. Tar pitting kan echter ook legitiem berichtenverkeer vertragen.

De tar pit-functie is beschikbaar in Microsoft Windows Server 2003 en in verschillende SMTP-servers van andere fabrikanten. De tar pit-functie in Windows Server 2003 vertraagt alle reacties die foutcodes van het SMTP-protocol 5.x.x bevatten. De vertraging die de tar pit-functie invoegt, kan door een beheerder worden ingesteld. Zie de sectie 'Hoe kan ik de tar pit-functie inschakelen?' voor meer informatie over het instellen van de vertraging die door de tar pit-functie moet worden ingevoegd.

Hoe bepaal ik of tar pitting moet worden ingeschakeld?

Als u het filteren van geadresseerden in Microsoft Exchange Server 2003 hebt ingeschakeld, is het de moeite waard om tar pitting in te schakelen. Als het filteren van geadresseerden niet is ingeschakeld, is tar pitting waarschijnlijk niet een gunstige optie voor Exchange Server.

Als u de tar pit-functie inschakelt, moet u de prestaties van de SMTP-server nauwgezet volgen. Bovendien moet u de verkeerspatronen op de server analyseren om te kunnen vaststellen of tar pitting het gewone verkeer ontregelt of vertraagt.

Tar pitting heeft alleen invloed op anonieme SMTP-verbindingen. Geverifieerde sessies worden ongemoeid gelaten. Als u dus geregeld veel SMTP-berichten uitwisselt met een andere organisatie en u merkt dat tar pitting dat verkeer belemmert, kunt u het tar pitting voor die organisatie overslaan door verificatie voor het SMTP-verkeer te introduceren.

Wat is het filteren van geadresseerden?

Het filteren van geadresseerden is een nieuwe functie in Exchange 2003. Hiermee kunt u inkomende berichten filteren of afwijzen voor specifieke geadresseerden en voor alle inkomende geadresseerden die niet worden vermeld in de Active Directory-lijst voor uw organisatie.

Zie de on line Help voor Microsoft Exchange Server 2003 voor meer informatie over het inschakelen en instellen van het filteren van geadresseerden.

Nadat u de functie voor het filteren van geadresseerden hebt ingeschakeld, kunnen afzenders u geen berichten sturen die aan ongeldige of gefilterde geadresseerden zijn gericht. Dergelijke berichten worden al vroeg in de SMTP-conversatie geweerd, al voordat de tekst van het bericht wordt overgebracht.

Hierdoor wordt de druk van het verwerken van ongeldige e-mailberichten op de Exchange-server verminderd. Het is niet alleen niet nodig om dergelijke berichten te accepteren en op te slaan, maar u hoeft evenmin NDR-rapporten (Non-Delivery Report) te verzenden voor ongeldige e-mailberichten omdat deze berichten nooit zijn geaccepteerd.

Als u geen filtering van geadresseerden gebruikt, worden berichten die naar ongeldige e-mailadressen in uw Exchange-organisatie worden verzonden, geaccepteerd en verwerkt door de Exchange-server. Na verwerking van de berichten moeten NDR-rapporten worden gegenereerd en verzonden voor alle ongeldige e-mailberichten.

Opmerking NDR-rapporten kunnen in Microsoft Exchange 2000 Server en in Exchange 2003 worden onderdrukt. Volgens RFC 2821 (Request for Comment) moeten NDR-rapporten voor ongeldige geadresseerden worden teruggestuurd als u het e-mailbericht accepteert. Zie de on line Help van Exchange Server 2003 voor meer informatie over het onderdrukken van NDR-rapporten.

Hoe werken tar pitting en het filteren van geadresseerden samen?

Een nadeel van het filteren van geadresseerden is dat het het verzamelen van e-mailadressen in uw organisatie door kwaadwillende gebruikers effectiever kan maken. In dergelijke aanvallen op uw systeem wordt een lijst met waarschijnlijke e-mailadressen gebruikt om grote hoeveelheden e-mailberichten te genereren die naar uw domein moeten worden verzonden. Het is dan de bedoeling dat u aangeeft welke e-mailadressen geldig zijn en welke niet. De lijst met geldige e-mailadressen wordt vervolgens door de aanvaller gebruikt om spam te versturen of om andere illegale doelen te dienen.

Wanneer de functie voor het filteren van geadresseerden is ingeschakeld, maakt uw server tijdens een SMTP-conversatie bekend of een e-mailadres geldig of ongeldig is. Wanneer het filteren van geadresseerden is uitgeschakeld, moet een aanvaller wachten totdat een NDR-rapport voor elke verzonnen naam wordt teruggestuurd.

Als zowel tar pitting als het filteren van geadresseerden is ingeschakeld, kunnen de antwoorden naar ongeldige e-mailadressen lange vertragingen oplopen. Dit kan kwaadwillenden ontmoedigen.

Opmerking Omdat de meeste kwaadwillenden zich met een nepdomein aanmelden, zullen slechts weinig spammers of andere aanvallers de NDR-rapporten van uw server ontvangen. Als een aanvaller door een NDR-rapport kan worden gevonden, kunt u de aanvaller ook vinden. Het risico van dergelijke aanvallen via NDR-rapporten is daardoor niet zo groot als het risico door openbaarmaking van informatie tijdens een SMTP-conversatie.

Waarom kan ik niet gewoon zorgen dat Exchange geen reacties stuurt die aanvallers in de kaart spelen?

U kunt Exchange instellen om helemaal geen reacties te sturen. Dit kunt u doen door het filteren van geadresseerden uit te schakelen en NDR-rapporten te onderdrukken.

Zoals hiervoor al is aangegeven, is dat een praktijk die niet conform RFC (Request for Comment) is. Daarom wordt het onderdrukken van NDR-rapporten in het algemeen niet aanbevolen. Het onderdrukken van NDR-rapporten kan ook tot ongemak leiden voor de gewone gebruiker die bij het verzenden van een e-mailbericht een typefout in het e-mailadres maakt. Wanneer geen NDR-rapport wordt teruggestuurd, verwacht de afzender doorgaans dat het bericht zijn bestemming heeft bereikt.

Als de functie voor het filteren van geadresseerden is ingeschakeld, loopt u een groter risico op het ongewenst verzamelen van uw e-mailadressen. Tegelijkertijd is echter het risico van het fungeren als doorgeefluik voor flooding van NDR-rapporten kleiner. Flooding van NDR-rapporten wil zeggen dat een afzender opzettelijk een vervalst retouradres gebruikt van een geldig domein en vervolgens ongeldige e-mailberichten naar u stuurt die van dat domein afkomstig zouden zijn. Het domein wordt dan slachtoffer van uw server, die het overspoelt met NDR-rapporten.

Aanvallen door het verzamelen van e-mailadressen, flooding met NDR-rapporten en zelfs het probleem van spam zelf worden mogelijk gemaakt door functies in het SMTP-protocol die nuttig zijn of die voor legitiem e-mailverkeer nodig zijn. Alle maatregelen om dergelijke aanvallen tegen te gaan, hebben nadelen die u moet overwegen als u het normale e-mailverkeer gewoon doorgang wilt laten vinden.

Tar pitting is een van de vele mogelijkheden die u ter beschikking staan om u te beschermen tegen misbruik van SMTP terwijl u de nadelige gevolgen voor normale gebruikers tot een minimum beperkt.

Hoe schakel ik de tar pit-functie in?

Waarschuwing Er kunnen zich ernstige problemen voordoen als u het register met de Register-editor of met een andere methode foutief wijzigt. Wellicht moet u door deze problemen het besturingssysteem opnieuw installeren. Microsoft kan niet garanderen dat deze problemen opgelost kunnen worden. Het wijzigen van het register is dan ook voor uw eigen risico.

U kunt de tar pit-functie inschakelen en configureren door een registersleutel in te stellen. Hiertoe gaat u als volgt te werk:

Opmerking Als de registervermelding TarpitTime niet bestaat, doet Exchange alsof deze vermelding op 0 is ingesteld. Als de registervermelding de waarde 0 heeft, is er geen vertraging wanneer de verificatiereacties van SMTP-adressen worden verzonden.
  1. Klik op Start, klik op Uitvoeren, typ regedit in het vak Openen en klik op OK.
  2. Klik op de volgende registersubsleutel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SMTPSVC\Parameters
  3. Open het menu Bewerken, wijs de optie Nieuw aan en klik op DWORD-waarde.
  4. Typ TarpitTime als naam voor de registervermelding en druk op ENTER.
  5. Open het menu Bewerken en klik op Wijzigen.
  6. Klik op Decimaal.
  7. Typ in het vak Waardegegevens het aantal seconden dat de verificatiereacties op SMTP-adressen moeten worden vertraagd voor elk adres dat niet bestaat. Klik op OK. Typ bijvoorbeeld 5 en klik op OK. Hiermee worden de reacties met 5 seconden vertraagd.
  8. Sluit de Register-editor af.
  9. Start de SMTP-service (Simple Mail Transport Protocol) opnieuw.

Kan ik tar pitting gebruiken in Windows Server 2003 als ik Exchange 2003 niet gebruik?

Ja, dat kan. Tar pitting is een functie van de algemene SMTP-service van Windows Server 2003. Deze SMTP-service wordt door Exchange gebruikt en kan ook door andere toepassingen worden gebruikt.

De tar pit-functie voegt vertragingen in foutreacties van 5.x.x in. Als dergelijke vertragingen van pas komen in uw toepassing, kunt u overwegen de tar pit-functie in te schakelen.

Referenties

Een eerdere versie van dit artikel vindt u hier:
899492 Software-update om opsomming van e-mailadressen van Exchange Server 2003 te voorkomen


De huidige versie van het artikel is bijgewerkt met aanvullende uitleg en nieuwe downloadinformatie. Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie over het filteren van geadresseerden:
823866 Filteren van verbindingen configureren voor gebruik van RBL's (Realtime Block Lists) en configureren van het filteren van geadresseerden in Exchange 2003
Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie over het onderdrukken van afleveringsrapporten in Exchange 5.5:
837794 Update beschikbaar in Exchange Server 5.5 waarmee u kunt bepalen of de Internet Mail-service al dan niet NDR-rapporten (Non-Delivery Report) aflevert
Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie over SMTP-relay, ook een functie die door kwaadwillenden kan worden misbruikt:
304897 Werking van SMTP-relay in Windows 2000, Windows XP en Exchange Server
Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie over Microsoft software-updates:
824684 Beschrijving van de standaardterminologie die wordt gebruikt om software-updates van Microsoft te beschrijven

Eigenschappen

Artikel ID: 842851 - Laatste beoordeling: maandag 3 december 2007 - Wijziging: 10.4
De informatie in dit artikel is van toepassing op:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
Trefwoorden: 
kbqfe kbhotfixserver kbsecadvisory kbprb kbwinserv2003presp1fix KB842851

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com