คุณลักษณะ tar pit SMTP สำหรับ Microsoft Windows Server 2003

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 842851 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

การปรับปรุงทางเทคนิค: 10 พฤษภาคม 2005

Microsoft ได้ออก Microsoft Security Advisory เกี่ยวกับปัญหานี้สำหรับผู้เชี่ยวชาญด้าน IT คำแนะนำความปลอดภัยประกอบด้วยข้อมูลเกี่ยวกับการรักษาความปลอดภัยที่เพิ่มเติมเกี่ยวกับปัญหานี้ หากต้องการอ่านคำแนะนำความปลอดภัย ให้แวะไปที่เว็บไซต์ ต่อไปนี้ของ Microsoft::
http://www.microsoft.com/technet/security/advisory/842851.mspx

บทนำ

บทความนี้อธิบายถึงแบบธรรมดา Mail Transfer Protocol (SMTP) "tar pitting ลักษณะการทำงานในการ tar pit ไม่มีคุณลักษณะ SMTP ที่มีอยู่บนคอมพิวเตอร์ที่ใช้ Microsoft Windows Server 2003 Service Pack 1 (SP1) โดยค่าเริ่มต้น ลักษณะการทำงานในการ tar pit ถูกปิดใช้งาน เมื่อต้องการใช้ลักษณะการทำงานในการ tar pit ผู้ดูแลระบบต้องเปิดใช้งานลักษณะการทำงานที่ ด้วยการกำหนดค่ารายการรีจิสทรี TarpitTime

ข้อมูลเพิ่มเติม

SMTP tar pitting คืออะไร

tar pitting เป็นวิธีปฏิบัติการโดยเจตนาแทรกความล่าช้าลงในการสื่อสาร SMTP บางอย่างที่เกี่ยวข้อง กับ spam หรือที่ มีการรับส่งข้อมูลอื่น ๆ ที่ไม่พึงประสงค์ จะมีผลบังคับใช้ การสื่อสารชนิดเหล่านี้มักจะอาศัยสร้างไดรฟ์ข้อมูลสูงสุดของปริมาณการใช้งาน โดย slowing การสนทนา SMTP คุณสามารถลดอัตรา ที่ spam อัตโนมัติซึ่งสามารถส่ง หรือ ที่ซึ่งการโจมตีพจนานุกรมสามารถถูกดำเนินจจะ การรับส่งข้อมูลที่ถูกต้องตามกฎหมายอาจถูก slowed โดย tar pitting เช่นกัน

ลักษณะการทำงานในการ tar pit จะพร้อมใช้งาน ใน Microsoft Windows Server 2003 และ ในเซิร์ฟเวอร์ SMTP อื่น ๆ หลาย คุณลักษณะ tar pit ใน Windows Server 2003 ทำงาน โดย slowing ตอบรับทั้งหมดที่ประกอบด้วยรหัสข้อผิดพลาด 5.x.x โพรโทคอล SMTP ผู้ดูแลระบบสามารถกำหนดค่าการหน่วงเวลาที่นำมาใช้ โดยลักษณะการทำงานในการ tar pit สำหรับข้อมูลเกี่ยวกับวิธีการตั้งค่าคอนฟิกการหน่วงเวลาที่นำมาใช้ โดยลักษณะการทำงานในการ tar pit ให้ดูที่ส่วน "วิธีทำฉันเปิดใช้งานลักษณะการทำงานในการ tar pit หรือไม่"

วิธีทำฉันกำหนดถ้า ฉันควรใช้ tar pitting หรือไม่

ถ้าคุณได้ใช้การกรองข้อมูลผู้รับของ Microsoft Exchange Server 2003 คุณควรพิจารณาการใช้ tar pitting หากคุณมีไม่ใช้การกรองข้อมูลผู้รับ tar pitting มีแนวโน้มน้อยกว่าที่จะเป็นประโยชน์ที่สำคัญสำหรับ Exchange Server

ถ้าคุณเปิดใช้งานลักษณะการทำงานในการ tar pit คุณควรติดตามประสิทธิภาพการทำงานของเซิร์ฟเวอร์ SMTP ของคุณอย่างระมัดระวัง นอกจากนี้ คุณควรวิเคราะห์ลวดลายของปริมาณการใช้งานบนเซิร์ฟเวอร์เพื่อให้แน่ใจว่า tar pitting ไม่ disrupting หรือ delaying ปริมาณการใช้งานปกติ

tar pitting มีผลต่อเชื่อมเฉพาะแบบไม่ระบุชื่อ SMTP ต่อกัน เซสชัน authenticated ได้ยกเว้น ดังนั้น ถ้าอัตราแลกเปลี่ยนจำนวนมากจดหมาย SMTP กับองค์กรอื่นอย่างสม่ำเสมอ และคุณพบผลกระทบที่ tar pitting อยู่กับปริมาณการใช้งานนั้น คุณสามารถข้าม tar pitting สำหรับองค์กรนั้น โดย authenticating การสื่อสาร SMTP

อะไรคือผู้รับกรองหรือไม่

ผู้รับที่กรองคือ คุณลักษณะใหม่ใน Exchange 2003 การกรองข้อมูลผู้รับช่วยให้คุณสามารถกรอง หรือปฏิเสธจดหมายขาเข้า สำหรับผู้รับที่กำหนดเป็นพิเศษ และผู้รับใด ๆ ขาเข้าที่ไม่มีอยู่ในบริการไดเรกทอรี Active Directory สำหรับองค์กรของคุณ

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการเปิดใช้งาน และการตั้งค่าคอนฟิกการกรองข้อมูลผู้รับ ให้ดูที่ Microsoft Exchange Server 2003 วิธีใช้แบบออนไลน์

หลังจากที่คุณเปิดใช้งานคุณลักษณะการกรองข้อมูลผู้รับ ผู้ส่งไม่สามารถส่งคุณส่งจดหมายที่ destined สำหรับผู้รับที่ไม่ถูกต้อง หรือ สำหรับผู้รับที่ถูกกรอง เช่นจดหมายถูกปฏิเสธก่อนในการสนทนาที่ SMTP ก่อนมีส่งเนื้อหาของอีเม

ลักษณะการทำงานนี้ลดความต้องการประมวลผลของการใช้จดหมายไม่ถูกต้องบนเซิร์ฟเวอร์ Exchange ของคุณโดยทั่วไป ไม่เดียวคุณไม่มีการยอมรับ และเก็บอีเม แต่คุณยังจะไม่สามารถส่งรายงานไม่ได้จัดส่ง (NDR) สำหรับจดหมายที่ไม่ถูกต้องเนื่องจากไม่มีการยอมรับอีเม

ถ้าคุณไม่สามารถใช้การกรองข้อมูลผู้รับ จดหมายที่ส่งไปยังที่อยู่อีเมลที่ถูกต้องในองค์กรของคุณแลกเปลี่ยน ยอมรับ และมีการประมวลผล โดยเซิร์ฟเวอร์ Exchange ของคุณ หลังจากที่เซิร์ฟเวอร์ Exchange ประมวลผลจดหมายนี้ คุณต้องสร้าง และส่ง NDR สำหรับจดหมายทั้งหมดที่ไม่ถูกต้อง

หมายเหตุ:สามารถถูกยับยั้ง ndr ใน Microsoft Exchange 2000 Server และ ใน Exchange 2003 อย่างไรก็ตาม RFC 2821 แจ้งว่า ndr ต้องถูกส่งกลับสำหรับผู้รับที่ไม่ถูกต้องหากคุณยอมรับข้อความแสดงข้อความอีเมล์ สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการกำหนดค่า NDR suppression ให้ดูที่ Exchange Server 2003 วิธีใช้แบบออนไลน์

วิธี tar pitting และผู้รับที่กรองข้อมูลการทำงานร่วมกันหรือไม่

disadvantage ตัวของการกรองข้อมูลผู้รับกำลังจะเพิ่มประสิทธิภาพในการที่สามารถทำได้ถูกโจมตี harvest ที่อยู่อีเมกับคุณ ใน harvest ทั่วไปการ โจมตี "พจนานุกรม" หรือรายชื่ออีเมลที่น่า ถูกใช้ในการสร้างหมายเลขที่มีขนาดใหญ่ของข้อความอีเมล์ที่ส่งไปยังโดเมนของคุณโดยอัตโนมัติ เป้าหมายเป็นไป ได้คุณสามารถบ่งชี้ว่า แต่ละที่อยู่อีเมลที่ถูกต้อง หรือไม่ถูกต้อง ผู้โจมตีใช้รายการที่อยู่อีเมล์ที่พบในการส่ง spam หรือ สำหรับวัตถุประสงค์อื่น illegitimate แล้ว

เมื่อมีการใช้คุณลักษณะการกรองข้อมูลผู้รับ เซิร์ฟเวอร์ของคุณจะเปิดเผยชื่ออีเมลที่มีว่าถูกต้อง หรือไม่ถูกต้องในระหว่างการสนทนาของ SMTP When the recipient filtering feature is disabled, an attacker will have to wait for the return of an NDR for each guessed name.

When both the recipient filtering feature and the tar pit feature are enabled, responses to invalid e-mail names can be greatly delayed. This behavior can discourage the attack.

หมายเหตุ:Because the great majority of attackers log on with a spoofed domain, few spammers or other attackers are likely to actually receive the NDRs that are generated by your server. If an NDR can find the attacker, you can find the attacker. Therefore, the risk of dictionary attack through NDRs is not as great as the risk from disclosure of information during an SMTP conversation.

Why should I not just prevent Exchange from sending any responses that might help an attacker?

You can configure Exchange not to send any responses. To do this, you must disable recipient filtering and suppress NDRs.

As previously discussed, suppressing NDRs is not an RFC-compliant practice. Therefore, suppressing NDRs cannot be generally recommended. Suppressing NDRs also inconveniences the ordinary user who makes a typographical error in the recipient address when he or she sends an e-mail message. The typical expectation of e-mail senders is that unless an NDR is returned, the e-mail message has reached its destination.

If the recipient filtering feature is enabled, you may be more at risk from a harvest attack. However, you are also less susceptible to being used as the vector for an NDR flood attack. An NDR flood attack is where a sender deliberately spoofs the return address for a valid domain and then sends invalid e-mail messages to you purporting to be from that domain. Your server then dutifully floods the victim domain with multiple NDR reports.

E-mail harvest attacks, NDR flood attacks, and even the problem of spam itself rely on features in the SMTP protocol that are useful or required for legitimate e-mail transfer. There are trade-offs that you must consider when you defend against such threats while still letting legitimate traffic continue.

Tar pitting is one more option to defend against the misuse of SMTP while minimizing the effect on legitimate users.

How do I enable the tar pit feature?

สิ่งสำคัญนี้ส่วน วิธี หรืองานประกอบด้วยขั้นตอนที่บอกวิธีการแก้ไขรีจิสทรี อย่างไรก็ตาม ปัญหาร้ายแรงอาจเกิดขึ้นหากคุณปรับเปลี่ยนรีจิสทรีไม่ถูกต้อง ดังนั้น โปรดตรวจสอบให้แน่ใจว่าคุณได้ทำตามขั้นตอนเหล่านี้อย่างระมัดระวัง สำหรับการป้องกันเพิ่มเติม ให้สำรองรีจิสทรีก่อนทำการปรับเปลี่ยน เพื่อที่คุณจะสามารถคืนค่ารีจิสทรีได้หากมีปัญหาเกิดขึ้น สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการสำรองข้อมูลและคืนค่ารีจิสทรี โปรดคลิกที่หมายเลขบทความต่อไปนี้ เพื่อดูบทความในฐานความรู้ของ Microsoft::
322756วิธีการสำรองข้อมูลและคืนค่ารีจิสทรีใน Windows


The tar pit feature can be enabled and configured by setting a registry key. โดยให้ทำตามขั้นตอนต่อไปนี้:

หมายเหตุ:If the TarpitTime registry entry does not exist, Exchange behaves as if the value of this registry entry were set to 0. When the registry entry has a value of 0, there is no delay when the SMTP address verification responses are sent.
  1. คลิกเริ่มการทำงานคลิกเรียกใช้ประเภท:regeditในการOPENกล่อง แล้วคลิกตกลง.
  2. Locate and then click to select the following registry subkey:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SMTPSVC\Parameters
  3. ในการแก้ไขเมนู ให้ชี้ไปที่ใหม่แล้ว คลิกค่า DWORD.
  4. ประเภท:TarpitTimeas the registry entry name, and then press ENTER.
  5. ในการแก้ไขเมนู คลิกปรับเปลี่ยน.
  6. คลิกฐานสิบ.
  7. ในการข้อมูลค่า:box, type the number of seconds that you want to delay SMTP address verification responses for each address that does not exist. จากนั้น คลิกตกลง. ตัวอย่างเช่น พิมพ์5แล้ว คลิกตกลง. This delays SMTP address verification responses for 5 seconds.
  8. ออกจากโปรแกรม Registry Editor
  9. Restart the Simple Mail Transport Protocol (SMTP) service.

Can I use tar pitting on Windows Server 2003 if I do not use Exchange 2003?

ใช่ คุณสามารถ tar pitting คือ คุณลักษณะของบริการ Windows Server 2003 SMTP ทั่วไป บริการ SMTP นี้ถูกใช้ โดย Exchange และยังสามารถใช้ โดยโปรแกรมประยุกต์อื่น

ลักษณะการทำงานในการ tar pit แทรกความล่าช้าในการตอบสนองข้อผิดพลาด 5.x.x ถ้าโปรแกรมประยุกต์ของคุณสามารถทำการดีใช้เช่นความล่าช้า คุณอาจต้องพิจารณาการเปิดใช้งานลักษณะการทำงานในการ tar pit

ข้อมูลอ้างอิง

รุ่นก่อนหน้าของบทความนี้สามารถพบต่อไปนี้:
899492การปรับปรุงซอฟต์แวร์ที่มีไว้เพื่อช่วยป้องกันการแจงนับของที่อยู่อีเมล์ของ Exchange Server 2003


รุ่นปัจจุบันของบทความมีการปรับปรุง ด้วยการใช้วัสดุที่อธิบายเพิ่มเติมและข้อมูลการดึงข้อมูลใหม่For more information about the recipient filtering feature, click the following article number to view the article in the Microsoft Knowledge Base:
823866How to configure connection filtering to use Realtime Block Lists (RBLs) and how to configure recipient filtering in Exchange 2003
For more information about suppressing non-delivery reports in Exchange 5.5, click the following article number to view the article in the Microsoft Knowledge Base:
837794Update available in Exchange Server 5.5 to control whether the Internet Mail Service suppresses or delivers NDRs
For more information about SMTP relaying, another feature that is frequently taken advantage of by an attacker, click the following article number to view the article in the Microsoft Knowledge Base:
304897SMTP relay behavior in Windows 2000, Windows XP, and Exchange Server
For more information about Microsoft software updates, click the following article number to view the article in the Microsoft Knowledge Base:
824684คำอธิบายของคำศัพท์มาตรฐานที่ใช้เพื่ออธิบายปรับปรุงซอฟต์แวร์ของ Microsoft

คุณสมบัติ

หมายเลขบทความ (Article ID): 842851 - รีวิวครั้งสุดท้าย: 15 มกราคม 2554 - Revision: 2.0
ใช้กับ
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
Keywords: 
kbqfe kbhotfixserver kbsecadvisory kbprb kbwinserv2003presp1fix kbmt KB842851 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:842851

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com