Funkcja „tar pit” protokołu SMTP dla systemu Microsoft Windows Server 2003

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 842851 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Ważne Ten artykuł zawiera informacje na temat modyfikowania rejestru. Przed zmodyfikowaniem rejestru wykonaj jego kopię zapasową. Upewnij się, że wiesz, jak przywrócić rejestr w przypadku pojawienia się problemu. Aby uzyskać informacje dotyczące wykonywania kopii zapasowej, przywracania i modyfikowania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
256986 Opis rejestru systemu Microsoft Windows
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Aktualizacja techniczna: 10 maja 2005

Firma Microsoft wydała na ten temat dokument Microsoft Security Advisory dla informatyków. Zawiera on dodatkowe informacje na ten temat związane z zabezpieczeniami. Aby przeczytać ten dokument, należy odwiedzić następującą witrynę firmy Microsoft w sieci Web:
http://www.microsoft.com/technet/security/advisory/842851.mspx

WPROWADZENIE

W tym artykule jest omówiona funkcja protokołu SMTP (Simple Mail Transfer Protocol) o nazwie „tar pit”. Jest to funkcja protokołu SMTP, która jest dostępna na komputerze z systemem Microsoft Windows Server 2003 z dodatkiem Service Pack 1 (SP1). Domyślnie funkcja „tar pit” jest wyłączona. Aby móc korzystać z funkcji „tar pit”, administrator musi ją włączyć, konfigurując wpis rejestru TarpitTime.

Więcej informacji

Co to jest funkcja „tar pit” w protokole SMTP?

Funkcja „tar pit” polega na umyślnym wstawieniu opóźnienia w niektóre połączenia SMTP, które są związane ze spamem lub niepożądanym ruchem. Warunkiem efektywności tych połączeń jest zazwyczaj generowanie masowego ruchu. Spowalniając konwersację SMTP, można zdecydowanie zmniejszyć częstotliwość wysyłania spamu lub przeprowadzania ataku „słownikowego”. Funkcja „tar pit” może również spowodować spowolnienie potrzebnego ruchu.

Funkcja „tar pit” jest dostępna w systemie Microsoft Windows Server 2003 i kilku innych serwerach SMTP innych firm. Funkcja „tar pit” w systemie Windows Server 2003 działa przez spowolnienie wszystkich odpowiedzi, które zawierają kody błędu 5.x.x protokołu SMTP. Administrator może skonfigurować opóźnienie, które jest wywoływane przez funkcję „tar pit”. Aby uzyskać informacje dotyczące konfigurowania opóźnienia wywoływanego przez funkcję „tar pit”, zobacz sekcję „Jak włączyć funkcję tar pit?”.

Jak zdecydować, czy należy włączyć funkcję „tar pit”?

Jeśli zostało włączone filtrowanie adresatów, wskazane jest również użycie funkcji „tar pit”. Jeśli filtrowanie adresatów nie zostało włączone, jest mało prawdopodobne, aby funkcja „tar pit” mogła przynieść znaczące korzyści dla programu Exchange Server.

Jeśli została włączona funkcja „tar pit”, należy uważnie monitorować wydajność serwera SMTP. Ponadto należy analizować strukturę ruchu na serwerze, aby sprawdzać, czy funkcja „tar pit” nie zakłóca ani nie opóźnia zwykłego ruchu.

Funkcja „tar pit” działa jedynie w przypadku anonimowych połączeń SMTP. Sesje uwierzytelnione są wykluczone spod jej działania. Jeśli zatem wymieniana jest duża ilość poczty SMTP z inną organizacją i okaże się, że funkcja „tar pit” spowalnia ten ruch, można uwierzytelnić połączenia SMTP z tą organizacją, aby nie były one obiektem działania funkcji „tar pit”.

Co to jest filtrowanie adresatów?

Filtrowanie adresatów to nowa funkcja w programie Exchange 2003. Filtrowanie adresatów umożliwia filtrowanie lub odrzucanie poczty przychodzącej od zdefiniowanych adresatów i wszelkich adresatów przychodzących, którzy nie figurują w usłudze katalogowej Active Directory dla danej organizacji.

Aby uzyskać więcej informacji o tym, jak włączyć i skonfigurować filtrowanie adresatów, zobacz pomoc online programu Microsoft Exchange Server 2003.

Po włączeniu funkcji filtrowania adresatów nadawcy nie mogą wysyłać poczty przeznaczonej dla nieprawidłowych adresatów lub filtrowanych adresatów. Poczta taka jest odrzucana na wczesnym etapie konwersacji SMTP, przed przekazaniem treści wiadomości.

To zachowanie generalnie ogranicza zapotrzebowanie na moc obliczeniową, wynikające z konieczności przetwarzania nieprawidłowej poczty przez serwer Exchange. Pozwala to nie tylko uniknąć przyjmowania i przechowywania tej poczty, ale także konieczności wysłania raportu o niedostarczeniu (NDR) dla nieprawidłowej poczty, ponieważ nie została ona przyjęta.

Jeśli filtrowanie adresatów nie jest używane, poczta wysyłana na nieprawidłowe adresy e-mail w organizacji jest przyjmowana i przetwarzana przez serwer Exchange. Po przetworzeniu tej poczty serwer Exchange musi także wygenerować i wysłać raport NDR dla każdej nieprawidłowej poczty.

Uwaga Raporty NDR można pominąć w programach Microsoft Exchange 2000 Server i Exchange 2003. W standardzie RFC 2821 jest jednak określone, że jeśli wiadomość e-mail została przyjęta, muszą zostać zwrócone raporty NDR dla nieprawidłowych adresatów. Aby uzyskać więcej informacji o tym, jak skonfigurować pomijanie raportów NDR, zobacz pomoc online programu Exchange Server 2003.

Jak współpracują funkcje „tar pit” i filtrowanie adresatów?

Wadą filtrowania adresatów jest fakt, że zwiększa skuteczność potencjalnego ataku przeprowadzanego w celu rozpoznania adresów e-mail. W typowym ataku tego typu na podstawie „słownika” lub listy prawdopodobnych nazw e-mail automatycznie generowana jest duża liczba wiadomości e-mail w celu wysłania ich do domeny. Celem ataku jest, aby serwer wskazał, który adres e-mail jest prawidłowy, a który nie. Atakujący wykorzystuje następnie listę rozpoznanych adresów e-mail do wysyłania spamu lub do innych nielegalnych celów.

Jeśli filtrowanie adresatów jest włączone, w trakcie konwersacji SMTP serwer będzie zdradzał, czy dana nazwa e-mail jest prawidłowa czy nie. Jeśli filtrowanie adresatów jest wyłączone, atakujący będzie musiał czekać na odesłanie raportu NDR dla każdej zgadywanej nazwy.

Jeśli włączone jest zarówno filtrowanie adresatów, jak i funkcja „tar pit”, odpowiedzi dla nieprawidłowych nazw e-mail mogą być znacznie opóźnione. To zachowanie zniechęca do ataku.

Uwaga Ponieważ olbrzymia większość atakujących loguje się za pomocą fałszywej domeny, to w rzeczywistości bardzo niewielu spamerów lub innych atakujących dostaje raporty NDR wygenerowane przez serwer. Jeśli raport NDR może znaleźć atakującego, administrator też może to zrobić. W związku z tym ryzyko ataku „słownikowego” za pośrednictwem raportów NDR nie jest tak duże, jak ryzyko ujawnienia informacji w trakcie konwersacji SMTP.

Dlaczego nie wystarczy zapobiec wysyłaniu przez serwer Exchange jakichkolwiek odpowiedzi, które mogą się przydać atakującemu?

Serwer Exchange można skonfigurować tak, aby nie wysyłał żadnych odpowiedzi. W tym celu należy wyłączyć filtrowanie adresatów i pomijać raporty NDR.

Jak już wspomniano, pomijanie raportów NDR jest praktyką niezgodną ze standardami RFC. W związku z tym pomijanie raportów NDR generalnie nie może być zalecane. Pomijanie raportów NDR jest także niewygodne dla zwykłego użytkownika, który popełni błąd literowy w adresie adresata podczas wysyłania wiadomości e-mail. Nadawcy poczty e-mail oczekują na ogół, że jeśli nie dostali raportu NDR, to znaczy, że ich wiadomość e-mail dotarła do miejsca przeznaczenia.

Jeśli filtrowanie adresatów jest włączone, serwer jest bardziej zagrożony atakiem przeprowadzanym w celu rozpoznania adresów e-mail. Z drugiej strony jest też mniej podatny na użycie jako pośrednik „zalewania” raportami NDR. „Zalanie” adresami NDR to atak, w którym nadawca umyślnie fałszuje adres zwrotny w prawidłowej domenie, a następnie wysyła nieprawidłowe wiadomości e-mail udające, że są z tej domeny. Serwer posłusznie zalewa wtedy zaatakowaną domenę dużą liczbą raportów NDR.

Ataki przeprowadzane w celu rozpoznania adresów e-mail, „zalania” raportami NDR, a nawet spam to zagrożenia wykorzystujące te same funkcje protokołu SMTP, które są przydatne lub wymagane do potrzebnego transferu poczty e-mail. Są pewne kompromisy, które trzeba uwzględnić, broniąc się przed takimi zagrożeniami, a jednocześnie zezwalając na kontynuowanie potrzebnego ruchu.

Funkcja „tar pit” to kolejna metoda pozwalająca bronić się przed nadużywaniem protokołu SMTP tak, aby było to jak najmniej odczuwalne dla pełnoprawnych użytkowników.

Jak włączyć funkcję „tar pit”?

Ostrzeżenie Niepoprawne zmodyfikowanie rejestru za pomocą Edytora rejestru lub innej metody może stać się przyczyną poważnych problemów. Problemy te mogą spowodować, że konieczna będzie ponowna instalacja systemu operacyjnego. Firma Microsoft nie może zagwarantować, że rozwiązanie tych problemów będzie możliwe. Możesz modyfikować rejestr na własną odpowiedzialność.

Funkcję „tar pit” można włączyć i skonfigurować, ustawiając klucz rejestru. Aby to zrobić, wykonaj następujące kroki.

Uwaga Jeśli w rejestrze nie nie ma wpisu TarpitTime, program Exchange zachowuje się tak, jakby wartość tego wpisu rejestru była równa 0. Jeśli wartość wpisu rejestru jest równa 0, odpowiedzi na weryfikację adresów SMTP są wysyłane bez opóźnienia.
  1. Kliknij przycisk Start, kliknij polecenie Uruchom wpisz polecenie regedit w polu Otwórz, a następnie kliknij przycisk OK.
  2. Zlokalizuj, a następnie kliknij następujący podklucz rejestru, aby go zaznaczyć:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SMTPSVC\Parameters
  3. W menu Edycja wskaż polecenie Nowy, a następnie kliknij polecenie Wartość DWORD.
  4. Wpisz TarpitTime jako nazwę wpisu rejestru, a następnie naciśnij klawisz ENTER.
  5. W menu Edycja kliknij polecenie Modyfikuj.
  6. Kliknij opcję Dziesiętny.
  7. W polu Dane wartości wpisz liczbę sekund, o ile ma być opóźnione wysyłanie odpowiedzi na weryfikację adresu SMTP w przypadku nieistniejących adresów. Następnie kliknij przycisk OK. Na przykład wpisz 5, a następnie kliknij przycisk OK. Spowoduje to opóźnienie wysyłania odpowiedzi na weryfikację adresu SMTP o 5 sekund.
  8. Zamknij Edytor rejestru.
  9. Uruchom ponownie usługę SMTP (Simple Mail Transport Protocol).

Czy funkcji „tar pit” można używać w systemie Windows Server 2003, w którym nie jest używany program Exchange 2003?

Tak, można. Funkcja „tar pit” jest częścią ogólnej usługi SMTP systemu Windows Server 2003. Usługa SMTP jest używana przez program Exchange i może być używana również przez inne aplikacje.

Funkcja „tar pit” wstawia opóźnienia w odpowiedzi na błędy 5.x.x. Jeśli dana aplikacja potrafi wykorzystać takie opóźnienia, można zastanowić się nad włączeniem funkcji „tar pit”.

Materiały referencyjne

Poprzednia wersja tego artykułu znajduje się pod adresem:
899492 Dostępna jest aktualizacja oprogramowania zapobiegająca wyliczaniu adresów e-mail programu Exchange Server 2003


Bieżąca wersja artykułu została zaktualizowana o dodatkowe wyjaśnienia i nowe informacje dotyczące pobierania. Aby uzyskać więcej informacji o filtrowaniu adresatów, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
823866 Jak skonfigurować filtrowanie połączeń do korzystania z list RBL (Realtime Block List) i jak skonfigurować filtrowanie adresatów w programie Exchange 2003
Aby uzyskać więcej informacji dotyczących pomijania raportów o niedostarczeniu w programie Exchange 5.5, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
837794 Update available in Exchange Server 5.5 to control whether the Internet Mail Service suppresses or delivers NDRs
Aby uzyskać więcej informacji o przekazywaniu SMTP, kolejnej funkcji, która jest często wykorzystywana do ataków, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
304897 Opis funkcji przekazywania protokołu SMTP w systemach Windows 2000 i Windows XP oraz w programie Exchange Server
Aby uzyskać więcej informacji dotyczących aktualizacji oprogramowania firmy Microsoft, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
824684 Opis standardowej terminologii używanej do opisywania aktualizacji oprogramowania firmy Microsoft

Właściwości

Numer ID artykułu: 842851 - Ostatnia weryfikacja: 3 grudnia 2007 - Weryfikacja: 9.4
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
Słowa kluczowe: 
kbqfe kbhotfixserver kbsecadvisory kbprb kbwinserv2003presp1fix KB842851

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com