Задан параметр TarpitTime

Дата последнего изменения раздела: 2007-02-21

Чтобы определить, настроена ли функция замедления ответов для фильтрования получателей, анализатор приложения Microsoft® Exchange Server считывает следующий параметр реестра:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SMTPSvc\Parameters\TarpitTime

Если анализатор сервера Exchange обнаруживает, что значение параметра TarpitTime больше нуля (0), выводится сообщение о значении, отличном от заданного по умолчанию.

Замедление ответов — это принудительное торможение или откладывание нелегальных подключений с целью уменьшения интенсивности автоматической отправки нежелательной почты или проведения атаки для сбора сведений о словаре.

Функция замедления ответов, реализованная в Microsoft Windows Server™ 2003 с пакетом обновления 1 (SP1), может быть добавлена к фильтрации получателей, как описано в статье базы знаний Майкрософт 842851 «» (http://go.microsoft.com/fwlink/?LinkId=3052&kbid=842851). Функция замедления ответов улучшает эффективность фильтрации получателя, если на вкладке Фильтрация получателей в диалоговом окне Глобальные настройки установлен флажок Фильтровать получателей, не входящих в каталог.

Функция замедления ответов включается установкой значения параметра реестра TarpitTime. Для параметра реестра TarpitTime должно быть задано десятичное значение. Десятичное значение преобразуется в число секунд, в течение которого сеанс SMTP ожидает, прежде чем ответить отправителю, если получатель не существует в целевой организации сервера Exchange.

Функция замедления ответов существенно осложняет жизнь злоумышленникам, которые рассылают нежелательную почту при автоматизированной атаке для сбора сведений каталога. Атака для сбора сведений каталога — это попытка получить список известных действительных адресов электронной почты определенной организации.

SMTP-протокол подтверждает допустимых получателей во время сеанса SMTP, возвращая ответ «2.1.5 Recipient OK». Если же почта отправлена неизвестному получателю, SMTP-протокол возвращает ошибку «5.x.x». Поэтому отправитель нежелательной почты может написать программу автоматического создания адресов электронной почты по словарю или с использованием распространенных имен, добавляя к ним конкретный домен. Такая программа может собрать все адреса электронной почты с ответом «2.1.5 Recipient OK» и отбраковать все адреса с ошибкой «5.x.x». Затем этот злоумышленник продает действительные адреса электронной почты или использует их для рассылки собственной нежелательной почты.

Если установлен флажок Фильтровать получателей, не входящих в каталог, но значение параметра реестра TarpitTime не задано, то если получатель не существует в целевой службе каталогов Active Directory®, сервер Exchange сразу возвращает ошибку «5.x.x» во время сеанса SMTP отправителю.

Однако если значение параметра реестра TarpitTime задано и флажок Фильтровать получателей, не входящих в каталог установлен, сеанс SMTP ожидает возврата ошибки «5.x.x». Десятичное значение, заданное для параметра реестра TarpitTime, представляет число секунд, в течение которого сеанс SMTP будет ожидать возврата ошибки. Эта пауза сеанса SMTP значительно затрудняет автоматизацию атаки для сбора сведений каталога.

Как упоминалось ранее, если задан параметр TarpitTime, анализатор сервера Exchange отображает сообщение о значении, отличном от умолчания. Это сообщение носит исключительно информативный характер.

Важно!
Эта статья содержит сведения о редактировании реестра. Перед редактированием реестра убедитесь, что вы знаете, как восстановить реестр в случае возникновения неисправности. Сведения о восстановлении реестра см. в разделе справки «Восстановление реестра» файла Regedit.exe или Regedt32.exe.

Важно!

Эта статья содержит сведения о редактировании реестра. Перед редактированием реестра убедитесь, что вы знаете, как восстановить реестр в случае возникновения неисправности. Сведения о восстановлении реестра см. в разделе справки «Восстановление реестра» файла Regedit.exe или Regedt32.exe.

Чтобы просмотреть или изменить значение реестра TarpitTime

Нажмите кнопку Пуск, выберите команду Выполнить, в поле Открыть введите regedit и нажмите кнопку ОК.
Найдите и щелкните следующий параметр реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SMTPSVC\Parameters\TarpitTime
Поле «Значение» содержит десятичное число. Это значение представляет требуемое число секунд задержки отклика при проверке SMTP-адреса для каждого адреса, не существующего в Active Directory.
Если изменить значение раздела реестра TarpitTime или удалить его, нужно будет перезапустить службу SMTP (Simple Mail Transport Protocol).

Дополнительные сведения см. в статье базы знаний Майкрософт 842851 «Режим замедления ответов SMTP в Microsoft Windows Server 2003» (http://go.microsoft.com/fwlink/?LinkId=3052&kbid=842851).