Microsoft Windows Server 2003 中 SMTP 的 Tar Pit 功能

文章翻譯 文章翻譯
文章編號: 842851 - 檢視此文章適用的產品。
重要 本文包含有關修改登錄的相關資訊。修改登錄之前,請務必將它備份起來,並瞭解如何在發生問題時還原登錄。如需有關如何備份、還原和編輯登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
256986 Microsoft Windows 登錄說明
全部展開 | 全部摺疊

在此頁中

技術更新:2005 年 5 月 10 日

Microsoft 已經針對這個問題為 IT 專業人員發佈 Microsoft Security Advisory。此安全性公告包含這個問題的其他安全性相關資訊。如果要檢視此安全性公告,請造訪下列 Microsoft 網站:
http://www.microsoft.com/technet/security/advisory/842851.mspx

簡介

本文將告訴您 Simple Mail Transfer Protocol (SMTP) 的 Tar Pit 功能。Tar Pit 是執行 Microsoft Windows Server 2003 Service Pack 1 (SP1) 的電腦所提供 SMTP 的功能。Tar Pit 功能預設是停用的。如果要使用 Tar Pit 功能,系統管理員必須設定 TarpitTime 登錄項目,才能啟用此功能。

其他相關資訊

何謂 SMTP Tar Pit?

Tar Pit 是指,故意在與垃圾郵件或其他不想收到的流量相關的特定 SMTP 通訊中插入延遲的作法。為求發揮效率,這類通訊通常需要產生大量的流量。藉由減慢 SMTP 通訊,您可以大幅地降低垃圾郵件自動傳送或字典攻擊發動的速度。合法的流量可能也會因為 Tar Pit 而變慢。

Microsoft Windows Server 2003 和數個協力廠商的 SMTP 伺服器中都有 Tar Pit 功能。Windows Server 2003 中的 Tar Pit 功能,是以減慢含有 SMTP 通訊協定 5.x.x 錯誤碼的所有回應的方式來運作。系統管理員可以設定因 Tar Pit 功能而產生的延遲。如需有關如何設定 Tar Pit 功能所產生延遲的資訊,請參閱<如何啟用 Tar Pit 功能?>一節。

如何判斷是否應該啟用 Tar Pit 功能?

如果您已經啟用 Microsoft Exchange Server 2003 收件者篩選,應該考慮使用 Tar Pit 功能。如果您尚未啟用收件者篩選,使用 Tar Pit 功能並不會為 Exchange Server 帶來顯著的幫助。

如果您啟用 Tar Pit 功能,請仔細地監控 SMTP 伺服器的效能。此外,請分析伺服器上的流量模式,確定 Tar Pit 功能不會干擾或延遲一般流量。

Tar Pit 功能只會影響到匿名 SMTP 連線,已驗證的工作階段並不會受影響。因此,如果您與其他組織常有大量 SMTP 郵件往來,並且發現 Tar Pit 功能影響到該流量,您可以藉由驗證 SMTP 通訊,以略過對該組織進行 Tar Pit。

何謂收件者篩選?

收件者篩選是 Exchange 2003 中的新功能,可以讓您針對已明確拒絕的收件者,以及不在組織 Active Directory 目錄服務中的任何傳入收件者所傳送的傳入郵件加以篩選或拒絕。

如何有關如何啟用和設定收件者篩選的詳細資訊,請參閱 Microsoft Exchange Server 2003 線上說明。

啟用收件者篩選功能之後,寄件者就無法將送至無效收件者的郵件傳送給您。在郵件內文傳輸出去之前,這類郵件就會在 SMTP 通訊中遭到拒絕。

一般而言,這種情形會減少 Exchange 伺服器上處理無效郵件的作業要求。您不必接受和儲存郵件,也不需要為無效郵件傳送未傳遞報告 (NDR),因為郵件從未被接受。

如果您未使用收件者篩選,您的 Exchange 伺服器就不會接受和處理傳送至 Exchange 組織中無效電子郵件地址的郵件。在 Exchange 伺服器處理此郵件之後,伺服器必須為所有無效郵件產生並傳送 NDR。

注意 在 Microsoft Exchange 2000 Server 和 Exchange 2003 中可能會將 NDR 隱藏起來。然而,RFC 2821 指出,如果您接受了電子郵件,就必須針對無效的收件者傳送 NDR。如需有關如何設定 NDR 隱藏的詳細資訊,請參閱 Exchange Server 2003 線上說明。

Tar Pit 和收件者篩選如何一起運作?

收件者篩選的缺點會助長攻擊者對您發出電子郵件蒐集攻擊。常見的蒐集攻擊會利用字典或適用的電子郵件名稱清單來自動產生大量電子郵件,進而傳送至您的網域。目的就是要讓您指示哪個電子郵件地址是有效,哪個是無效。接著,攻擊者會利用所發現的電子郵件地址清單來傳送垃圾郵件,或進行其他非法的行為。

如果啟用了收件者篩選功能,您的伺服器將會在 SMTP 通訊期間洩露電子郵件名稱是否有效。如果停用收件者篩選功能,攻擊者就必須等待每個猜測得來的收件者名稱傳回 NDR。

如果收件者篩選功能和 Tar Pit 功能都是啟用的,可以大大地延遲對無效電子郵件名稱的回應。這種作法能夠防範攻擊者發出攻擊。

注意 由於有相當多的攻擊者會以詐騙網域進行登入,因此,少數 Spammer 或其他攻擊者可能真的會收到您的伺服器所產生的 NDR。如果 NDR 找得到攻擊者,那麼您也可以找到攻擊者。因此,透過 NDR 的字典攻擊所帶來的風險,不如 SMTP 通訊期間資訊洩露所造成的風險來得大。

為什麼我不能乾脆阻止 Exchange 傳送任何可能幫助攻擊的回應?

您可以將 Exchange 設定為不傳送任何回應。如果要執行這項操作,您必須停用收件者篩選功能並隱藏 NDR。

如前面所述,隱藏 NDR 並非 RFC 相容的作法。因此,我們通常不建議隱藏 NDR。此外,對於傳送電子郵件時,收件者地址輸入錯誤的一般使用者而言,隱藏 NDR 也會帶來不便。電子郵件寄件者通常預期電子郵件已經送達目的地,除非有 NDR 回傳。

如果啟用了收件者篩選功能,您可能更容易遭受蒐集攻擊。不過,您也比較不會成為 NDR 大量攻擊的媒介。所謂的 NDR 大量攻擊是指,寄件者故意詐騙有效網域的回覆地址,接著,傳送無效電子郵件給您,聲稱來自該有效網域。然後,您的伺服器就會以多個 NDR 報告塞爆受害的網域。

電子郵件蒐集攻擊、NDR 大量攻擊,甚至是垃圾郵件的問題,都必須利用 SMTP 通訊協定中,用於合法電子郵件傳輸所需或很有用的功能。在對抗這類威脅的同時,若仍要允許繼續傳輸合法流量,必須考慮到一些條件。

Tar Pit 是另一個防止 SMTP 遭到誤用的選擇,同時還能將對合法使用者的影響降至最低。

如何啟用 Tar Pit 功能?

警告 如果您使用「登錄編輯程式」或其他方法不當地修改登錄,可能會發生嚴重問題。這些問題可能會需要您重新安裝作業系統才能解決。Microsoft 不保證可以解決這些問題。請自行承擔修改登錄的一切風險。

藉由設定登錄機碼,即可啟用和設定 Tar Pit。如果要執行這項操作,請依照下列步驟執行。

注意 如果 TarpitTime 登錄項目不存在,Exchange 就會以此登錄項目設定為 0 的方式來執行。如果登錄項目的值為 0,那麼在 SMTP 地址驗證回應送出時,就不會出現延遲的情形。
  1. 按一下 [開始],再按一下 [執行],在 [開啟] 方塊中輸入 regedit,然後按一下 [確定]
  2. 找出並按一下以選取下列登錄子機碼:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SMTPSVC\Parameters
  3. [編輯] 功能表上,指向 [新增],再按一下 [DWORD 值]
  4. 輸入 TarpitTime 做為登錄項目名稱,然後按下 ENTER。
  5. [編輯] 功能表上,按一下 [修改]
  6. 按一下 [十進位]
  7. [數值資料] 方塊中,輸入對於每個不存在的地址您想要延遲 SMTP 地址驗證回應的秒數。然後,按一下 [確定]。例如,輸入 5,然後按一下 [確定]。此設定將會延遲 SMTP 地址驗證回應 5 秒。
  8. 結束 [登錄編輯程式]。
  9. 重新啟動 Simple Mail Transport Protocol (SMTP) 服務。

如果沒有 Exchange 2003,可以使用 Windows Server 2003 上的 Tar Pit 嗎?

可以。Tar Pit 是一般 Windows Server 2003 SMTP 服務的功能。此 SMTP 服務是由 Exchange 所使用,也可以由其他應用程式使用。

Tar Pit 功能會將延遲插入 5.x.x 錯誤回應。如果您的應用程式能夠善用這種延遲,可以考慮啟用 Tar Pit 功能。

?考

您可以在這裡找到本文的前一版:
899492 現已提供軟體更新,協助防止列舉 Exchange Server 2003 電子郵件地址


目前版本的文件是由其他解釋資料和新的下載資訊所更新。 如需有關收件者篩選功能的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
823866 How to configure connection filtering to use Realtime Block Lists (RBLs) and how to configure recipient filtering in Exchange 2003
如需有關隱藏 Exchange 5.5 未傳遞報告的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
837794 Update available in Exchange Server 5.5 to control whether the Internet Mail Service suppresses or delivers NDRs
如需有關 SMTP 轉送和其他經常遭到攻擊者利用的功能的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
304897 XIMS:在協力廠商測試中,Microsoft SMTP Server 似乎接受並轉送電子郵件
如需有關 Microsoft 軟體更新的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
824684 用來描述 Microsoft 軟體更新的標準術語說明

屬性

文章編號: 842851 - 上次校閱: 2007年12月3日 - 版次: 9.4
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
關鍵字:?
kbqfe kbhotfixserver kbsecadvisory kbprb kbwinserv2003presp1fix KB842851
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com