Funcionalidade "tar pit" de SMTP do Microsoft Windows Server 2003

Traduções de Artigos Traduções de Artigos
Artigo: 842851 - Ver produtos para os quais este artigo se aplica.
Importante: este artigo contém informações sobre como modificar o registo. Certifique-se de que cria uma cópia de segurança do registo antes de o modificar. Certifique-se de que sabe como restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança, restaurar e modificar o registo, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
256986 Descrição do registo do Microsoft Windows

Este artigo poderá conter hiperligações para conteúdo em inglês (ainda não traduzido).
Expandir tudo | Reduzir tudo

Nesta página

Actualização técnica: 10 de Maio de 2005

A Microsoft disponibilizou um Aviso de Segurança da Microsoft sobre este problema para profissionais de TI. O aviso de segurança contém informações adicionais relacionadas com segurança sobre este problema. Para ver o aviso de segurança, visite o seguinte Web site da Microsoft:
http://www.microsoft.com/portugal/technet/seguranca/advisory/842851.mspx

INTRODUÇÃO

Este artigo aborda a funcionalidade "tar pit" do protocolo simples de transporte de correio (SMTP, Simple Mail Transfer Protocol). A funcionalidade tar pit é uma funcionalidade de SMTP que se encontra disponível num computador com o Microsoft Windows Server 2003 Service Pack 1 (SP1) em execução. Por predefinição, esta funcionalidade está desactivada. Para utilizar a funcionalidade tar pit, esta tem de ser activada por um administrador, através da configuração da entrada de registo TarpitTime.

Mais Informação

O que é a funcionalidade tar pit do SMTP?

A funcionalidade tar pit é utilizada para introduzir deliberadamente um atraso em determinadas comunicações SMTP associadas a correio electrónico publicitário não solicitado ou outro tráfego indesejado. Para ser eficaz, estes tipos de comunicações dependem normalmente da geração de um elevado volume de tráfego. Ao tornar mais lenta uma conversação SMTP, pode reduzir drasticamente a velocidade a que pode ser enviado correio electrónico publicitário não solicitado automático ou a que pode ser efectuado um ataque dictionary attack. A funcionalidade tar pit também poderá diminuir a velocidade de tráfego legitimo.

A funcionalidade tar pit está disponível no Microsoft Windows Server 2003 e em diversos servidores SMTP de outros fabricantes. A funcionalidade tar pit no Windows Server 2003 funcionada diminuindo a velocidade de todas as respostas que contenham códigos de erro 5.x.x do protocolo SMTP. O atraso introduzido pela funcionalidade tar pit pode ser configurado por um administrador. Para obter informações sobre como configurar o atraso introduzido pela funcionalidade tar pit, consulte a secção "Como posso activar a funcionalidade tar pit?".

Como posso saber se devo activar a funcionalidade tar pit?

Se tiver activado a filtragem de destinatários do Microsoft Exchange Server 2003, deve considerar utilizar esta funcionalidade. Se não tiver activado a filtragem de destinatários, a funcionalidade tar pit será, provavelmente, menos vantajosa para o Exchange Server.

Se activar a funcionalidade tar pit, deverá monitorizar cuidadosamente o desempenho do servidor SMTP. Além disso, deverá analisar os padrões de tráfego no servidor para se certificar de que a funcionalidade tar pit não está a perturbar ou atrasar tráfego normal.

A funcionalidade tar pit afecta apenas as ligações SMTP anónimas. As sessões autenticadas não são afectadas. Por este motivo, se trocar regularmente muito correio SMTP com outra organização, e achar que a funcionalidade tar pit está a afectar esse tráfego, pode contornar esta funcionalidade para essa organização autenticando comunicações SMTP.

O que é a filtragem de destinatários?

A filtragem de destinatários é uma nova funcionalidade do Exchange 2003. Esta funcionalidade permite-lhe filtrar ou rejeitar correio a receber de destinatários especificamente definidos e de qualquer destinatário que não se encontre listado no serviço de directório do Active Directory da organização.

Para obter mais informações sobre como activar e configurar a filtragem de destinatários, consulte a ajuda online do Microsoft Exchange Server 2003.

Depois de activar a funcionalidade de filtragem de destinatários, os remetentes não conseguirão enviar-lhe correio destinado a destinatários inválidos ou filtrados. Este correio é rejeitado numa fase inicial da conversação SMTP, antes da transmissão do corpo da mensagem.

Este comportamento reduz, normalmente, as exigências do processamento de correio inválido no Exchange Server. Não só não tem de aceitar e armazenar o correio, como não é obrigado a enviar um relatório de falha de entrega (NDR, non-delivery report) relativo ao correio inválido, uma vez que não chegou a ser aceite.

Se não utilizar a filtragem de destinatários, o correio enviado para endereços de correio electrónico inválidos na organização do Exchange é aceite e processado pelo Exchange Server. Depois de o Exchange Server processar este correio, tem de gerar e enviar um NDR para todos as mensagens inválidas.

Nota: os NDRs podem ser suprimidos no Microsoft Exchange 2000 Server e no Exchange 2003. No entanto, o RFC 2821 afirma que os NDRs têm de ser devolvidos para destinatários inválidos se aceitar a mensagem de correio electrónico. Para obter mais informações sobre como configurar a supressão de NDRs, consulte a ajuda online do Exchange Server 2003.

Como interagem as funcionalidades de filtragem de destinatários e tar pit?

Uma desvantagem da filtragem de destinatários é o facto de aumentar a eficácia com que um harvest attack de endereços de correio electrónico pode ser efectuado. Num típico ataque deste tipo, um "dictionary", ou lista dos nomes de correio electrónico mais prováveis, é utilizado para gerar automaticamente um grande número de mensagens de correio electrónico para enviar para o seu domínio. O objectivo é fazer com que seja o utilizador a indicar se cada endereço de correio electrónico é válido ou inválido. O atacante utiliza, então, a lista de endereços de correio electrónico descobertos para enviar correio electrónico publicitário não solicitado com outros fins ilegítimos.

Quando a funcionalidade de filtragem de destinatários está activada, o servidor revela se um nome de correio electrónico é válido ou inválido durante uma conversação SMTP. Quando a funcionalidade de filtragem de destinatários está desactivada, um atacante terá de aguardar pela devolução de um NDR por cada nome descoberto.

Quando ambas as funcionalidades estão activadas, as respostas a nomes de correio electrónico inválidos podem ser bastante atrasadas. Este comportamento pode desencorajar o ataque.

Nota: uma vez que a maioria dos atacantes inicia sessão num domínio fraudulento, poucos remetentes de correio electrónico publicitário não solicitado ou outros atacantes receberão realmente os NDRs gerados pelo seu servidor. Se um NDR chegar ao atacante, também o utilizador poderá fazê-lo. Consequentemente, o risco de um ataque dictionary attack através de NDRs não é tão grande como o risco de divulgação de informações durante uma conversação SMTP.

Por que não impeço simplesmente que o Exchange envie qualquer resposta que possa ajudar um atacante?

Pode configurar o Exchange de forma a não enviar quaisquer respostas. Para o fazer, tem de desactivar a filtragem de destinatários e suprimir os NDRs.

Conforme descrito anteriormente, o procedimento de supressão de NDRs não respeita os RFC. Por este motivo, a supressão de NDRs não é recomendada para todos os casos. A supressão de NDRs também é um inconveniente para o utilizador normal que introduz um erro tipográfico no endereço do destinatário quando envia uma mensagem de correio electrónico. A expectativa normal dos remetentes de correio electrónico é que as suas mensagens chegaram ao destino desde que não recebam um NDR.

Se a funcionalidade de filtragem de destinatários estiver activada, poderá correr um maior risco em relação a um ataque harvest attack. No entanto, a probabilidade de ser utilizado como vector de ataque para um ataque NDR flood attack é menor. Um NDR flood attack acontece quando o remetente utiliza deliberadamente um endereço de resposta fraudulento de um domínio válido e, em seguida, lhe envia mensagens de correio electrónico inválidas supostamente originárias desse domínio. O seu servidor "inunda", então, o domínio alvo com múltiplos relatórios NDR.

Ataques harvest attack de correio electrónico, NDR flood attack e até o problema de correio electrónico publicitário não solicitado, dependem de funcionalidades do protocolo SMTP que são úteis ou necessárias para transferência de correio electrónico legítimo. Existem outras medidas que deve considerar para defesa contra estas ameaças permitindo, ainda assim, a transferência de tráfego legítimo.

A funcionalidade tar pit é mais uma opção para defesa contra a utilização abusiva de SMTP, minimizando os efeitos em utilizadores legítimos.

Como posso activar a funcionalidade tar pit?

Aviso: poderão ocorrer problemas graves se modificar o registo de forma incorrecta utilizando o Editor de registo (Registry Editor) ou qualquer outro método. Estes problemas poderão forçar a reinstalação do sistema operativo. A Microsoft não garante que estes problemas possam ser resolvidos. Todo e qualquer risco decorrente da modificação do registo é da responsabilidade do utilizador.

A funcionalidade tar pit pode ser activada e configurada pela definição de uma chave de registo. Para tal, siga estes passos.

Nota: se a entrada de registo TarpitTime não existir, o Exchange comporta-se como se o valor desta entrada estivesse definido como 0. Quando a entrada de registo tem o valor 0, não existe atraso no envio de respostas de verificação de endereços SMTP.
  1. Clique em Iniciar (Start), clique em Executar (Run), escreva regedit na caixa Abrir (Open) e clique em OK.
  2. Localize e clique na seguinte subchave de registo:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SMTPSVC\Parameters
  3. No menu Editar (Edit), aponte para Novo (New) e clique em Valor DWORD (DWORD Value).
  4. Escreva TarpitTime como nome da entrada de registo e prima ENTER.
  5. No menu Editar (Edit), clique em Modificar (Modify).
  6. Clique em Decimal.
  7. Na caixa Dados do valor (Value data), escreva o número de segundos em que pretende atrasar as respostas de verificação de endereços SMTP para cada endereço que não exista. Em seguida, clique em OK. Por exemplo, escreva 5 e clique em OK. Isto atrasa as respostas de verificação de endereços SMTP em 5 segundos.
  8. Saia do Editor de registo (Registry Editor).
  9. Reinicie o serviço SMTP.

Posso utilizar a funcionalidade tar pit no Windows Server 2003 se não utilizar o Exchange 2003?

Sim. A funcionalidade tar pit é uma funcionalidade do serviço SMTP genérico do Windows Server 2003. Este serviço SMTP é utilizado pelo Exchange e também pode ser utilizado por outras aplicações.

A funcionalidade tar pit introduz atrasos em respostas de erro 5.x.x. Se a aplicação conseguir fazer uma boa utilização destes atrasos, poderá pretender considerar a activação da funcionalidade tar pit.

Referências

Segue-se a versão anterior deste artigo:
899492 Está disponível uma actualização de software para ajudar a impedir que o Exchange Server 2003 enumere endereços de correio electrónico


A versão actual do artigo foi actualizada com material explicativo adicional e novas informações de transferência. Para obter mais informações sobre a funcionalidade de filtragem de destinatários, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
823866 How to configure connection filtering to use Realtime Block Lists (RBLs) and how to configure recipient filtering in Exchange 2003
Para obter mais informações sobre como suprimir relatórios de falha de entrega no Exchange 5.5, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
837794 Update available in Exchange Server 5.5 to control whether the Internet Mail Service suppresses or delivers NDRs
Para obter mais informações sobre a retransmissão de SMTP, outra funcionalidade que é frequentemente aproveitada por atacantes, clique no seguinte número de artigo para visualizá-lo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
304897 Comportamento de retransmissão do SMTP no Windows 2000, Windows XP e Exchange Server
Para obter mais informações sobre actualizações de software da Microsoft, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
824684 Description of the standard terminology that is used to describe Microsoft software updates

Propriedades

Artigo: 842851 - Última revisão: 3 de dezembro de 2007 - Revisão: 10.4
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
Palavras-chave: 
kbsecadvisory kbprb kbwinserv2003presp1fix kbhotfixserver kbqfe KB842851

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com