A Microsoft Windows Server 2003 rendszer SMTP szurokcsapda (tar pit) szolgáltatásának leírása

BUG #: 109611 (Windows SE)BUG #: 102217 (Windows SE)BUG #: 211676 (Exchange)Fontos: Ebben a cikkben a rendszerleíró adatbázis módosításával kapcsolatos tudnivalók olvashatók. A rendszerleíró adatbázis módosítása előtt készítsen arról biztonsági másolatot, illetve győződjön meg arról, hogy szükség esetén helyre tudja állítani azt. A rendszerleíró adatbázis biztonsági mentéséről, visszaállításáról és módosításáról további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
256986 A Microsoft Windows rendszerleíró adatbázisának ismertetése

Technikai frissítés: 2005. május 10.

A Microsoft kiadott egy informatikai szakembereknek szóló, biztonsági tanácsokat tartalmazó dokumentumot (Microsoft Security Advisory) ebben a témában. A biztonsági tanácsokat tartalmazó dokumentum további, biztonsággal kapcsolatos információkat ad erről a problémáról. A biztonsági tanácsok a Microsoft következő webhelyén olvashatók:

BEVEZETÉS

Ez a cikk a Simple Mail Transfer Protocol (SMTP) „szurokcsapda” (tar pit) szolgáltatását ismerteti. A szurokcsapda az SMTP szolgáltatása, amely a Microsoft Windows Server 2003 Service Pack 1 (SP1) rendszerű számítógépeken érhető el. Alapértelmezésben a szurokcsapda szolgáltatás le van tiltva. A szurokcsapda szolgáltatás használatához a rendszergazdának engedélyeznie kell a szolgáltatást a TarpitTime rendszerleíró bejegyzés konfigurálásával.

További információ

Mi az SMTP szurokcsapda?

A szurokcsapda szándékos késleltetést illeszt be egyes SMTP-kommunikációkba, amelyek a levélszeméttel és más nem kívánt forgalommal kapcsolatosak. Az ilyen kommunikációk a hatékonyság érdekében nagy mennyiségű forgalmat generálnak. Az SMTP-kommunikáció lassításával nagy mértékben csökkentheti az automatikus levélszemétküldés és a szótárkészítéses támadások sebességét. A szurokcsapda lelassíthatja a jóhiszemű forgalmat is.

A szurokcsapda szolgáltatás elérhető a Microsoft Windows Server 2003 rendszerben és más SMTP-kiszolgálókon is. A Windows Server 2003 szurokcsapda szolgáltatása úgy működik, hogy lelassít minden olyan választ, amely az SMTP protokoll 5.x.x hibakódjait tartalmazza. A rendszergazda megadhatja a szurokcsapda szolgáltatás általi késleltetést. A szurokcsapda szolgáltatás általi késleltetés konfigurálásával kapcsolatban „A szurokcsapda szolgáltatás engedélyezése” című szakaszban talál további tudnivalókat.

Hogyan dönthetem el, hogy engedélyezzem-e a szurokcsapda használatát?

Ha engedélyezte a Microsoft Exchange Server 2003 címzettszűrését, akkor érdemes használni a szurokcsapda szolgáltatást. Ha nincs engedélyezve a címzettszűrés, a szurokcsapda valószínűleg nem lesz nagy hatással az Exchange Server működésére.

Ha engedélyezi a szurokcsapda szolgáltatást, körültekintően figyelni kell az SMTP-kiszolgáló működését. Elemezni kell a forgalom alakulását is a kiszolgálón annak megállapításához, hogy a szurokcsapda nem hátráltatja-e a normál forgalmat.

A szurokcsapda csak a névtelen SMTP-kapcsolatokra van hatással, a hitelesített munkamenetekre nem vonatkozik. Ezért ha gyakran levelezik SMTP-kapcsolaton keresztül egy másik szervezettel, és azt tapasztalja, hogy a szurokcsapda hátráltatja ezt a forgalmat, kikerülheti a szolgáltatást, ha hitelesíti az SMTP-kommunikációt a szervezettel.

Mi a címzettszűrés?

A címzettszűrés az Exchange 2003 új szolgáltatása. A címzettszűrés lehetővé teszi azon bejövő levelek kiszűrését vagy elutasítását, amelyek megadott címzettek részére, valamint a szervezet Active Directory címtárszolgáltatásában nem szereplő bejövő címzettek részére érkeznek.

A címzettszűrés engedélyezésével és konfigurálásával kapcsolatos további tudnivalókat a Microsoft Exchange Server 2003 online súgója tartalmazza.

Miután engedélyezte a címzettszűrést, nem érkezhetnek olyan levelek, amelyek címzettje érvénytelen vagy ki van szűrve. Az ilyen üzenetek még az SMTP-kommunikáció elején elutasításra kerülnek, az üzenet törzsének átvitele előtt.

Ez csökkenti az érvénytelen levelek feldolgozásából eredő terhelést az Exchange-kiszolgálón. Ez nem csak azt jelenti, hogy nem kell fogadni és tárolni az ilyen leveleket, hanem azt is, hogy nem kell a kézbesíthetetlenségről jelentést küldeni, mert a levelet a kiszolgáló nem is fogadta.

Ha nem használ címzettszűrést, az Exchange-kiszolgálót használó szervezetbe, érvénytelen e-mail címre érkező leveleket az Exchange-kiszolgáló fogadja és feldolgozza. Miután az Exchange-kiszolgáló feldolgozta a levelet, létre kell hoznia és el kell küldenie egy kézbesíthetetlenségi jelentést az összes érvénytelen levélhez.

Megjegyzés: A kézbesíthetetlenségi jelentések letilthatók a Microsoft Exchange 2000 Server és az Exchange 2003 rendszerben. Azonban a 2821-es RFC ajánlás szerint érvénytelen címre érkező levél fogadása esetén kézbesíthetetlenségi jelentést kell küldeni. A kézbesíthetetlenségi jelentések letiltásának konfigurálásával kapcsolatos további tudnivalókat a Microsoft Exchange Server 2003 online súgója tartalmazza.

Hogyan működik együtt a szurokcsapda és a címzettszűrés?

A címzettszűrés hátránya, hogy növeli az e-mail címeket gyűjtő támadások hatékonyságát. Egy tipikus gyűjtéskor a valószínű e-mail címek listája („szótára”) segítségével automatikusan nagy számú e-mail üzenetet generálnak, és ezeket elküldik a tartományba. A cél az, hogy visszajelzést kapjanak arról, hogy melyik e-mail cím valódi. A támadó ezután az így begyűjtött e-mail címekre levélszemetet küld, vagy más célra használja azokat.

Ha a címzettszűrés engedélyezve van, a kiszolgáló az SMTP-kommunikáció során elárulja, hogy melyik e-mail cím valódi. Ha a címzettszűrés le van tiltva, a támadónak minden valószínű címhez meg kell várnia a kézbesíthetetlenségi jelentést.

Ha mind a címzettszűrés, mind a szurokcsapda szolgáltatás engedélyezve van, az érvénytelen e-mail címekre adott válaszok sokat késhetnek, ami eltántoríthatja a támadót.

Megjegyzés: Mivel a támadók többsége hamis tartománynévvel jelentkezik be, valószínűleg kevés levélszemétküldő kapja meg a kiszolgáló által küldött kézbesíthetetlenségi jelentést. Ha a kézbesíthetetlenségi jelentés megtalálhatná a támadót, akkor Ön is megtalálhatná. Emiatt a kézbesíthetetlenségi jelentést felhasználó szótárkészítéses támadás veszélye nem olyan nagy, mint az információk SMTP-kommunikáció során történő elárulásának veszélye.

Miért nem elég letiltani az Exchange-kiszolgálón a támadókat segítő válaszokat?

Beállíthatja úgy az Exchange-kiszolgálót, hogy ne válaszoljon. Ehhez le kell tiltani a címzettszűrést és a kézbesíthetetlenségi jelentéseket.

Ahogy korábban már említettük, a kézbesíthetetlenségi jelentések letiltása nincs összhangban az RFC ajánlással, ezért általános megoldásként nem javasolható. A kézbesíthetetlenségi jelentések letiltása problémát okozhat azoknak az egyszerű felhasználóknak, akik elgépelik az e-mail címet egy üzenet küldésekor. Az e-mail küldők általában arra számítanak, hogy ha nem kapnak kézbesíthetetlenségi jelentést, akkor a címzett megkapta az üzenetet.

Ha a címzettszűrés engedélyezett, jobban ki lehet téve egy gyűjtő célú támadásnak. Azonban így kisebb eséllyel használják fel a kiszolgálóját arra, hogy egy másik kiszolgálót kézbesíthetetlenségi jelentésekkel árasszanak el. A kiszolgálót kézbesíthetetlenségi jelentésekkel elárasztó támadás abból áll, hogy a feladó szándékosan meghamisítja a válaszcímet egy létező tartományra, majd érvénytelen e-mail üzeneteket küld a kiszolgálóra, látszólag a hamisított tartományból. A kiszolgáló ezután kötelességtudóan elárasztja a célpontként kiszemelt tartományt a kézbesíthetetlenségi jelentések tömegével.

Az e-mail címeket gyűjtő támadások és a kiszolgálót kézbesíthetetlenségi jelentésekkel elárasztó támadások, valamint a levélszemétküldés az SMTP protokoll olyan szolgáltatásait használják ki, amelyek szükségesek vagy hasznosak a jóhiszemű üzenetátvitelhez. Szükségesek lehetnek bizonyos kompromisszumok, ha úgy kíván védekezni az ilyen veszélyek ellen, hogy közben a normál forgalom is működhessen.

A szurokcsapda egy újabb lehetőség az SMTP-t rosszindulatúan használó támadások kivédésére a jóhiszemű felhasználók lehető legkisebb korlátozásával.

A szurokcsapda szolgáltatás engedélyezése

Figyelmeztetés: A rendszerleíró adatbázis Rendszerleíróadatbázis-szerkesztő vagy egyéb eszköz segítségével történő nem megfelelő szerkesztése komoly problémákhoz vezethet, melyek akár az operációs rendszer újratelepítését is szükségessé tehetik. A Microsoft nem garantálja ezeknek a problémáknak a megoldhatóságát. A rendszerleíró adatbázist csak saját felelősségére módosíthatja.

A szurokcsapda szolgáltatás engedélyezéséhez és konfigurálásához egy rendszerleíró kulcsot kell beállítani. Ehhez hajtsa végre a következő lépéseket:

Megjegyzés: Ha a TarpitTime rendszerleíró bejegyzés nem létezik, az Exchange Server úgy működik, mintha e bejegyzés értéke 0 lenne. Amikor azonban a TarpitTime bejegyzés értéke 0, az SMTP-címellenőrzési válaszokat a rendszer késlekedés nélkül elküldi.
 1. Kattintson a Start menü Futtatás parancsára, és írja be a regedit parancsot a Megnyitás mezőbe, majd kattintson az OK gombra.
 2. Keresse meg az alábbi rendszerleíró alkulcsot, majd kattintson rá:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SMTPSVC\Parameters
 3. Mutasson a Szerkesztés menü Új pontjára, majd kattintson a Duplaszó parancsra.
 4. Írja be aTarpitTime karakterláncot a rendszerleíró bejegyzés neveként, majd nyomja le az ENTER billentyűt.
 5. Kattintson a Szerkesztés menü Módosítás parancsára.
 6. Kattintson a Decimális értékre.
 7. Az Érték mezőbe írja be másodpercben azt az időtartamot, ameddig az SMTP nem létező címekre adott címellenőrzési válaszait késleltetni szeretné. Kattintson az OK gombra. Példa: 5Kattintson az OK gombra. E beállítás hatására a rendszer 5 másodpercig késlelteti az SMTP-címellenőrzési válaszok elküldését.
 8. Lépjen ki a Rendszerleíróadatbázis-szerkesztőből.
 9. Indítsa újra a Simple Mail Transport Protocol (SMTP) szolgáltatást.

Használhatom a szurokcsapda szolgáltatást Windows Server 2003 rendszeren, ha nem használok Exchange 2003 kiszolgálót?

Igen. A szurokcsapda a Windows Server 2003 általános SMTP-szolgáltatásának része. Ezt az SMTP-szolgáltatást használja az Exchange, és más alkalmazások is használhatják.

A szurokcsapda a késleltetéseket az 5.x.x hibaválaszokba illeszti be. Ha egy alkalmazás hasznosítani tudja az ilyen késleltetéseket, akkor érdemes engedélyezni a szurokcsapda szolgáltatást.

Hivatkozások

A cikk régebbi verziója megtalálható itt:
899492 Rendelkezésre áll egy szoftverfrissítés, amely segít megelőzni az Exchange Server 2003 alapú e-mail címek kigyűjtésétA cikk aktuális verziója frissült további magyarázó anyaggal és új letöltési információval. A címzettszűrési szolgáltatásról a Microsoft Tudásbázis következő cikkében talál további információt a cikk számára kattintva:

823866 Kapcsolatszűrés konfigurálása valós idejű blokkolólistákkal és címzettszűrés konfigurálása az Exchange 2003 kiszolgálóval (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

A kézbesíthetetlenségi jelentések Exchange 5.5 kiszolgálón történő letiltásáról további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:

837794 Elérhető egy frissítés az Exchange Server 5.5 kiszolgálóhoz, amellyel megadható, hogy az Internet Mail szolgáltatás letiltsa vagy elküldje a kézbesíthetetlenségi jelentéseket (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

A támadók által gyakran kihasznált SMTP-továbbítási szolgáltatással kapcsolatban további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:

304897 Az SMTP-továbbítás működése Windows 2000, Windows XP és Exchange Server rendszeren (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

A Microsoft szoftverfrissítéseiről további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:

824684 A Microsoft szoftverfrissítéseinek leírásához használt szabványos terminológia bemutatása

Tulajdonságok

Cikkazonosító: 842851 - Utolsó ellenőrzés: 2009. jún. 9. - Verziószám: 1

Visszajelzés