Режим замедления ответов SMTP в Microsoft Windows Server 2003

Переводы статьи Переводы статьи
Код статьи: 842851 - Vizualiza?i produsele pentru care se aplic? acest articol.
Внимание! Статья содержит сведения о внесении изменений в системный реестр. Перед внесением изменений рекомендуется создать резервную копию системного реестра и изучить процедуру его восстановления. Дополнительные сведения об архивации, восстановлении и изменении реестра см. в следующей статье базы знаний Майкрософт:
256986 Описание реестра Microsoft Windows
Развернуть все | Свернуть все

В этой статье

Обновление: 10 мая 2005 г.

Корпорация Майкрософт выпустила рекомендации по безопасности Microsoft Security Advisory, предназначенные для специалистов в области информационных технологий и содержащие дополнительные сведения о рассматриваемой проблеме. Полный текст данных рекомендаций по безопасности см. на веб-узле Майкрософт по адресу
http://www.microsoft.com/technet/security/advisory/842851.mspx

Введение

В данной статье рассматривается режим замедления ответов протокола SMTP (Simple Mail Transfer Protocol). Данный режим доступен на компьютерах под управлением Microsoft Windows Server 2003 с пакетом обновления 1 (SP1). По умолчанию этот режим отключен. Чтобы включить режим замедления, необходимо изменить параметр TarpitTime в системном реестре.

Дополнительная информация

Что такое «замедление ответов SMTP»?

Замедление ответов SMTP – это принудительное увеличение времени ответа SMTP-сервера на некоторые запросы, часто используемые средствами рассылки нежелательных сообщений и другими вредоносными средствами. Для обеспечения эффективной работы подобные средства, как правило, выполняют интенсивный обмен данными с сервером. Увеличение времени ответов SMTP-сервера позволяет значительно замедлить скорость автоматической рассылки нежелательных сообщений, а также снизить эффективность атак, использующих подбор пароля по словарю. Однако включение этого режима замедляет также прохождение пакетов обычных пользователей.

Данная возможность доступна на SMTP-серверах под управлением Microsoft Windows Server 2003 с пакетом обновления 1 (SP1), а также на некоторых SMTP-серверах сторонних разработчиков. В Windows Server 2003 включение режима замедления приводит к задержке ответов, содержащих коды ошибок протокола SMTP вида 5.x.x. Величина задержки может регулироваться администратором. Сведения об установке величины задержки, вносимой в режиме замедления, см. в разделе «Как включить режим замедления» данной статьи.

Как определить, нужно ли включать режим замедления?

Если на сервере Microsoft Exchange Server 2003 включена фильтрация получателей, рекомендуется использовать режим замедления. Если фильтрация получателей отключена, использование данного режима не предоставит значительных преимуществ.

После включения режима замедления следует тщательно следить за производительностью SMTP-сервера. Кроме того, следует анализировать характер обрабатываемого сервером трафика, чтобы убедиться, что режим замедления не нарушает обработку обычных сообщений.

Режим замедления вносит задержку только при обработке анонимных SMTP-подключений. Сеансы, в ходе которых была выполнена проверка подлинности, не затрагиваются. Поэтому, если в организации регулярно выполняется обмен большим количеством SMTP-сообщений с другой организацией и если режим замедления снижает скорость обмена сообщениями, можно включить проверку подлинности для SMTP-сеансов обмена сообщениями с данной организацией. Это позволит не применять режим замедления для подобных сеансов.

Что такое фильтрация получателей?

Фильтрация получателей – это новая возможность сервера Exchange Server 2003, позволяющая принимать или отклонять сообщения, предназначенные для определенных получателей, а также для любых получателей, отсутствующих в базе данных служб Active Directory.

Дополнительные сведения о включении и настройке параметров фильтрации получателей см. в справке к Microsoft Exchange Server 2003.

После включения фильтрации получателей отправители не смогут прислать сообщения, адресованные получателю, адрес которого указан неверно, или получателю, для которого запрещен прием сообщений. SMTP-сервер откажется принимать подобные письма. Это произойдет на начальных этапах сеанса SMTP, до приема тела SMTP-сообщения.

Подобное поведение позволяет снизить нагрузку на сервер Exchange Server по обработке сообщений с недействительными адресами. При этом сервер не принимает подобные сообщения, не хранит их и может не отправлять извещение о невозможности доставки (NDR) таких сообщений, поскольку эти сообщения не принимаются сервером.

Если фильтрация получателей не используется, сообщения, отправленные на ошибочные адреса в текущей организации, принимаются и обрабатываются сервером Exchange Server. После того как сервер Exchange Server обработает подобные сообщения, он должен создать и отправить оповещения NDR для всех сообщений с недействительными адресами.

Примечание. Microsoft Exchange 2000 Server и Exchange Server 2003 позволяют отключить отправку оповещений NDR. Однако в соответствии с требованиями стандарта RFC 2821, если сервер принял сообщение, имеющее недействительный адрес получателя, он обязан отправить оповещение NDR. Дополнительные сведения об отключении отправки оповещений NDR см. в справке к серверу Exchange Server 2003.

Как работает режим замедления при включенной фильтрации получателей?

Недостатком фильтрации получателей является то, что она повышает уязвимость системы к атакам, направленным на получение списка адресов электронной почты. Как правило, для реализации подобной атаки применяется словарь, содержащий наиболее распространенные имена, используемые в адресах электронной почты. На основании этих имен автоматически создается большое количество сообщений электронной почты, которые отправляются в атакуемый домен. Это делается для того, чтобы определить имена, которые используются в адресах электронной почты данного домена. В дальнейшем злоумышленник использует полученный список адресов для отправки нежелательных сообщений (спама) и выполнения других вредоносных действий.

Если на сервере включена фильтрация получателей, то при получении сообщения с недействительным адресом электронной почты сервер сообщает об этом отправителю во время сеанса SMTP. Если фильтрация получателей отключена, то для определения существования в домене того или иного адреса злоумышленник должен дождаться получения сообщения NDR от каждого.

Одновременное использование фильтрации получателей и режима замедления позволяет значительно увеличить время оповещения отправителя о том, что указан недействительный адрес электронной почты, и снизить эффективность подобной атаки.

Примечание. Поскольку большинство злоумышленников указывает при входе в систему фиктивное имя домена, то, как правило, они не получают отправленные сервером оповещения NDR. Если злоумышленник указывает настоящий адрес, по которому может быть доставлено сообщение NDR, то, используя этот адрес, можно попытаться обнаружить самого злоумышленника. Поэтому риск подбора адресов электронной почты путем анализа сообщений NDR намного меньше, чем вероятность осуществления подобной атаки путем анализа ответов SMTP-сервера.

Можно ли отключить на сервере Exchange Server отправку оповещений, которые могут использоваться злоумышленниками?

Сервер Exchange Server можно настроить таким образом, что никакие оповещения отправляться не будут. Для этого необходимо отключить фильтрацию получателей и отправку оповещений NDR.

Однако корпорация Майкрософт рекомендует не отключать отправку оповещений NDR, поскольку это противоречит стандарту RFC. Кроме того, это может причинить неудобства обычным пользователям, которые при отправке сообщений неправильно указывают адрес получателя. Как правило, если отправитель не получает оповещение о невозможности доставить сообщение, он считает, что сообщение доставлено получателю.

Включение фильтрации получателей повышает эффективность атак, направленных на подбор адресов электронной почты, однако снижает риск использования сервера в качестве промежуточного звена для атаки типа «NDR flood». При реализации этой атаки злоумышленник отправляет сообщения электронной почты, содержащие недействительный адрес получателя, и указывает в качестве адреса возврата реальный адрес электронной почты. В результате сервер, принимающий эти сообщения, отправляет на указанный адрес большое количество оповещений NDR.

Атаки, предназначенные для получения списка адресов, атаки типа «NDR flood», а также проблемы, делающие возможной рассылку спама, основываются на возможностях протокола SMTP, которые необходимы или желательны при обычной передаче сообщений. Поэтому при создании системы защиты от подобных угроз необходимо следить, чтобы принимаемые меры не мешали обработке обычных почтовых сообщений.

Включение режима замедления помогает предотвратить использование SMTP-сервера злоумышленниками и не оказывает существенного влияния на работу обычных пользователей.

Как включить режим замедления?

Предупреждение. Неправильное изменение параметров реестра системы с помощью редактора реестра или любым иным путем может привести к серьезным неполадкам и к необходимости переустановки операционной системы. Корпорация Майкрософт не гарантирует устранения этих неполадок. Ответственность за результаты произведенных действий несет пользователь.

Чтобы включить и настроить режим замедления, необходимо внести изменения в системный реестр, выполнив следующие действия.

Примечание. Если параметр реестра TarpitTime отсутствует, Exchange работает так, как если бы этому параметру было присвоено значение 0. Когда значение данного параметра равно 0, результаты проверки SMTP-адресов отправляются без задержки.
  1. Выберите в меню Пуск пункт Выполнить, введите в поле Открыть команду regedit и нажмите кнопку ОК.
  2. Найдите и раскройте следующий раздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SMTPSVC\Parameters
  3. В меню Правка выберите пункт Создать, а затем – Параметр DWORD.
  4. Укажите в качестве названия параметра TarpitTime и нажмите клавишу ВВОД.
  5. В меню Правка выберите команду Изменить.
  6. Выберите вариант Десятичная.
  7. В поле Значение введите время (в секундах), на которое будет задерживаться отправка сообщений об отрицательных результатах проверки SMTP-адресов, и нажмите кнопку ОК. Например, введите значение 5 и нажмите кнопку ОК. В результате отправка сообщений о результатах проверки SMTP-адресов будет задерживаться на 5 секунд.
  8. Закройте редактор реестра.
  9. Перезапустите службу протокола SMTP (Simple Mail Transport Protocol).

Можно ли включить режим замедления в Windows Server 2003, если на компьютере не установлен сервер Exchange Server 2003?

Да, этот режим включить можно — режим замедления поддерживается службой SMTP, входящей в состав Windows Server 2003. Данная служба используется сервером Exchange Server и может использоваться другими приложениями.

После включения режима замедления при отправке ответов, содержащих код ошибки вида 5.x.x, перед отправкой делается пауза. Если пользовательские приложения могут работать при наличии подобной паузы, на сервере можно включить режим замедления.

Ссылки

Чтобы ознакомиться с предыдущей версией данной статьи, обратитесь к следующей статье базы знаний Майкрософт:
899492 Обновление, предотвращающее получение списка адресов сервера Exchange Server 2003 путем перебора


В текущую версию данной статьи добавлены теоретические сведения, а также сведения о загрузке. Дополнительные сведения о фильтрации получателей см. в следующей статье базы знаний Майкрософт:
823866 Настройка фильтрации получателей и настройка фильтрации подключений для использования списков блокировки в Exchange 2003 Server
Дополнительные сведения об отключении отправки оповещений NDR на сервере Exchange Server 5.5 см. в следующей статье базы знаний Майкрософт:
837794 Исправление для Exchange Server 5.5, позволяющее контролировать обработку отчетов о невозможности доставки службой почты Интернета
Злоумышленники часто используют ретрансляцию сообщений серверами SMTP. Дополнительные сведения об этой возможности см. в следующей статье базы знаний Майкрософт:
304897 Выполнение пересылки SMTP в Windows 2000, Windows XP и Exchange Server
Дополнительные сведения об обновлениях программного обеспечения Майкрософт см. в следующей статье базы знаний Майкрософт:
824684 Стандартные термины, используемые при описании обновлений программных продуктов Майкрософт

Свойства

Код статьи: 842851 - Последний отзыв: 3 декабря 2007 г. - Revision: 10.4
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
Ключевые слова: 
kbsecadvisory kbprb kbwinserv2003presp1fix kbhotfixserver kbqfe KB842851

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com