Recurso de tar pit SMTP para o Microsoft Windows Server 2003

Traduções deste artigo Traduções deste artigo
ID do artigo: 842851 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Atualização técnica: 10 de maio de 2005

A Microsoft lançou um Microsoft Security Advisory sobre esse problema para profissionais de TI. O comunicado de segurança contém informações adicionais relacionadas à segurança sobre esse problema. Para exibir o comunicado de segurança, visite o seguinte site da Microsoft:
http://www.microsoft.com/technet/security/advisory/842851.mspx

INTRODUÇÃO

Este artigo discute o SMTP (Simple Mail Transfer Protocol) "tar pitting." O recurso tar pit é um recurso de SMTP que está disponível em um computador que está executando o Microsoft Windows Server 2003 Service Pack 1 (SP1). Por padrão, o recurso tar pit é desativado. Para usar o recurso tar pit, um administrador deve habilitar o recurso Configurando a entrada de registro TarpitTime.

Mais Informações

O que é SMTP tar pitting?

O tar pitting é a prática de deliberadamente inserindo um atraso em determinadas comunicações SMTP que são associadas a spam ou outro tráfego indesejado. Para ser eficiente, esses tipos de comunicação tipicamente contam na gerando um grande volume de tráfego. Diminuindo uma conversa SMTP, você pode reduzir significativamente a taxa em que spam automatizada pode ser enviado ou em que um ataque de dicionário pode ser realizado. Também pode ser retardado tráfego legítimo pelo tar pitting.

O recurso "tar pit" está disponível no Microsoft Windows Server 2003 e em vários servidores de SMTP de terceiros. O recurso "tar pit" no Windows Server 2003 funciona por todas as respostas que contêm códigos de erro de protocolo SMTP 5.x.x diminuindo a velocidade. Um administrador pode configurar o atraso introduzidas pelo recurso "tar pit". Para obter informações sobre como configurar o atraso introduzidas pelo recurso "tar pit", consulte a seção "Como habilitar? o recurso tar pit".

Como decidir se deve habilito o tar pitting?

Se você tiver ativado a filtragem de destinatário do Microsoft Exchange Server 2003, você deve considerar o uso o tar pitting. Se você não ativou a filtragem de destinatários, o tar pitting é menos provável que ser do benefício significativo para o Exchange Server.

Se você habilitar o recurso tar pit, você deve monitorar o desempenho do seu servidor SMTP com cuidado. Além disso, você deve analisar os padrões de tráfego no servidor para se certificar que o tar pitting é não interromper ou atrasar tráfego comum.

O tar pitting afeta somente a conexões SMTP anônimas. Sessões autenticadas são isentas. Portanto, se você trocar muita email SMTP com outra organização regularmente e você achar que o tar pitting está afetando esse tráfego, você pode ignorar o tar pitting para a organização por autenticar comunicações SMTP.

O que é filtragem de destinatário?

Filtragem de destinatário é um novo recurso no Exchange 2003. Filtragem de destinatários permite que você filtre ou rejeitar mensagens de entrada para destinatários definidos especificamente e para qualquer destinatário de entrada que não esteja listado no serviço de diretório Active Directory para sua organização.

Para obter mais informações sobre como habilitar e configurar a filtragem de destinatários, consulte Microsoft Exchange Server 2003 ajuda on-line.

Depois de você ativar o recurso de filtragem de destinatário, remetentes não consegue enviar que email destinado para destinatários inválidos ou para destinatários filtrados. Como email será rejeitada logo no início a conversa SMTP antes do corpo do email é transmitido.

Esse comportamento geralmente reduz a demanda de processamento de lidar com email inválido em seu servidor Exchange. Não somente você não é necessário que aceitar e armazenar o email, mas você também não é obrigado a enviar um relatório de não-entrega (NDR) para correio inválido porque o email nunca foi aceita.

Se você não usar a filtragem de destinatários, o email é enviada para endereços de email inválido em sua organização do Exchange será aceita e é processada pelo servidor do Exchange. Depois que o Exchange server processa este email, ele deve gerar e enviar um NDR para todos os emails inválido.

Observação NDRs podem ser individualmente suprimidos no Microsoft Exchange 2000 Server e no Exchange 2003. No entanto, a RFC 2821 informa que NDRs devem ser retornados para destinatários inválidos se você aceitar a mensagem de email. Para obter mais informações sobre como configurar supressão de NDRS, consulte Exchange Server 2003 ajuda on-line.

Como tar pitting e filtragem trabalho juntos por destinatário?

Uma desvantagem de filtragem de destinatários é que ele aumenta a eficiência com que um ataque de coleta de endereço de email pode ser executado contra você. Em uma coleta típica ataque, um "dicionário" ou uma lista de prováveis nomes de email, é usada para gerar automaticamente o grande número de mensagens de email para enviar para seu domínio. O objetivo é para que você indicar se cada endereço de email é válido ou é inválido. O invasor, em seguida, usa a lista de endereços de email descobertas para enviar spam ou para outros fins ilegítimos.

Quando o recurso filtragem de destinatário é habilitado, o servidor irá revelar se um nome de email é válida ou inválida durante uma conversa SMTP. Quando o recurso de filtragem de destinatário está desabilitado, um invasor terá que aguardar o retorno de um NDR para cada nome de adivinhar.

Quando o recurso de filtragem de destinatário e o recurso tar pit são ativados, respostas para nomes de email inválido podem ser muito atrasadas. Esse comportamento pode desencorajar o ataque.

Observação Porque a grande maioria dos invasores logon com um domínio FALSO, alguns remetentes de spam ou outros invasores provavelmente, na verdade, receber os NDRs são gerados pelo seu servidor. Se um NDR pode localizar o invasor, você pode localizar o invasor. Portanto, o risco de ataque de dicionário por meio de NDRs não é tão grande como o risco de divulgação de informações durante uma conversa SMTP.

Por que deve, não apenas impedir Exchange enviando todas as respostas que podem ajudar um invasor?

Você pode configurar o Exchange não para enviar todas as respostas. Para fazer isso, você deve desativar a filtragem de destinatários e suprimir NDRs.

Conforme anteriormente discutidas, eliminando NDRs não é uma prática compatíveis com RFC. Portanto, eliminando NDRs não pode ser geralmente recomendado. Também eliminando NDRs inconveniences o usuário comum que faz um erro de digitação no endereço do destinatário, quando ele ou ela envia uma mensagem de email. A expectativa típica de remetentes de email é que, a menos que um NDR é retornado, a mensagem de email chegou ao seu destino.

Se o recurso de filtragem de destinatário estiver ativado, talvez seja mais risco de um ataque de coleta. No entanto, você também é menos suscetíveis a que está sendo usado como o vetor de para um ataque de inundação NDR. Um ataque de inundação NDR é onde um remetente deliberadamente imita o endereço do remetente para um domínio válido e, em seguida, envia mensagens de email inválido para você propõe seja a partir desse domínio. Seu servidor, em seguida, obedientemente inunda o domínio vítima com vários relatórios NDR.

Ataques de coleta de email, ataques de inundação NDR e até mesmo o problema de spam próprio dependem de recursos do protocolo SMTP que são úteis ou necessários para transferência de email legítimo. Há trade-offs que você deve considerar quando você se defender contra essas ameaças enquanto ainda permitindo o tráfego legítimo continuar.

O tar pitting é mais uma opção para se defender contra o uso indevido de SMTP ao minimizando o efeito sobre os usuários legítimos.

Como habilitar o recurso tar pit?

importante Esta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer se você modificar o registro incorretamente. Por isso, certifique-se que você execute essas etapas cuidadosamente. Para proteção adicional, fazer backup do registro antes de modificá-lo. Em seguida, você pode restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
322756Como fazer backup e restaurar o registro no Windows


O recurso tar pit pode ser ativado e configurado definindo uma chave do Registro. Para fazer isso, siga estas etapas.

Observação Se a entrada de registro TarpitTime não existir, o Exchange se comporta como se o valor desta entrada do registro foi definido como 0. Quando a entrada do registro tem um valor de 0, não há nenhum atraso quando as respostas de verificação de endereço SMTP são enviadas.
  1. Clique em Iniciar , clique em Executar , digite regedit na caixa Abrir e, em seguida, clique em OK .
  2. Localize e, em seguida, clique para selecionar a seguinte subchave do Registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SMTPSVC\Parameters
  3. No menu Editar , aponte para novo e, em seguida, clique em Valor DWORD .
  4. Digite TarpitTime como o nome da entrada do Registro e, em seguida, pressione ENTER.
  5. No menu Editar , clique em Modificar .
  6. Clique em decimal .
  7. Na caixa dados do valor , digite o número de segundos que você deseja atrasar as respostas de verificação de endereço SMTP para cada endereço que não existe. Em seguida, clique em OK . Por exemplo, digite 5 e, em seguida, clique em OK . Isso atrasa respostas de verificação de endereço SMTP para 5 segundos.
  8. Feche o Editor do Registro.
  9. Reinicie o serviço SMTP (Simple Mail Transport Protocol).

Pode usar o tar pitting no Windows Server 2003 se eu não usar o Exchange 2003?

Sim, você pode. O tar pitting é um recurso do serviço SMTP do Windows Server 2003 genérico. Este serviço SMTP é usado pelo Exchange e também pode ser usado por outros aplicativos.

O recurso tar pit insere atrasos 5.x.x respostas de erros. Se seu aplicativo pode criar bom uso de tais atrasos, talvez você queira habilitar o recurso tar pit.

Referências

Uma versão anterior deste artigo pode ser encontrada aqui:
899492Uma atualização de software está disponível para ajudar a evitar a enumeração de endereços de email do Exchange Server 2003


A versão atual do artigo foi atualizada com novas informações de download e material explicativo adicional. Para obter mais informações sobre o recurso de filtragem de destinatário, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
823866Como configurar a conexão de filtragem para usar listas de bloqueios em tempo real (RBLs) e como configurar a filtragem de destinatários no Exchange 2003
Para obter mais informações sobre eliminando non-delivery reports no Exchange 5.5, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
837794Atualização disponível no Exchange Server 5.5 para o controle se o serviço de email na Internet suprime ou entrega NDRs
Para obter mais informações sobre a retransmissão SMTP, outro recurso que é executado com freqüência aproveitar por um invasor, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
304897Comportamento de retransmissão SMTP no Windows 2000, Windows XP e Exchange Server
Para obter mais informações sobre atualizações de software Microsoft, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
824684Descrição da terminologia padrão que é usada para descrever as atualizações de software

Propriedades

ID do artigo: 842851 - Última revisão: segunda-feira, 3 de dezembro de 2007 - Revisão: 9.9
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
Palavras-chave: 
kbmt kbqfe kbhotfixserver kbsecadvisory kbprb kbwinserv2003presp1fix KB842851 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 842851

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com