Введение в SMTP «тар питтинг»
SMTP «тар питтинг» не является новой технологией, но по отношению к SMTP серверам для Windows платформ она нова. Впервые она была представлена как обновление (смотри статью http://support.microsoft.com/kb/899492), но она также входит в первый сервис-пак для Windows 2003 сервера (Windows 2003 Server Service Pack 1). Аналогичный метод использовался в *NIX окружении в течении многих лет под термином «teergrube» в Германии, что собственно и означает «tar pit» (дословно «вязкая яма»).
SMTP «тар питтинг» можно рассматривать как простую форму «teergrubing», так как он не предоставляет всех его возможностей. В основном SMTP «тар питтинг» является не более чем задержкой транзакций протокола SMTP, тогда как «teergrube» имеет значительно больше возможностей. Среди них возможность являться сервером для переадресации на него спамеров и заставлять их терять на этом время. Более подробную информацию о «teergrubing» вы можете получить по адресу www.iks-jena.de/mitarb/lutz/usenet/teergrube.en.html
Ну хватит о «teergrubing! Как было отмечено SMTP «тар питтинг» является методом, с помощью которого вы можете задержать или замедлить ответ конкретного сеанса связи SMTP, если говорить более конкретно,- ответов содержащих коды ошибок 5.x.x (список кодов ошибок 5.x.x смотри на http://support.microsoft.com/kb/284204). Эти коды обычно связаны с трафиком спама или непрошенным коммерческим е-майлом (unsolicited commercial e-mail UCE). Задачей фиункции SMTP «тар питтинг» является задержать или замедлить рассылку спама большому количеству адресов на заданное число секунд. Это означает, что данная функция предотвращает обработку большого объема ненужного почтового спама SMTP сервером. Например, в случае directory/dictionary харвест атак, SMTP auth атак, спамовых ботов/скриптов, или получения списка возможных е-майл адресов (широко используемые технологии спамеров).
Если вы полагаетесь на возможности фильтрации Exchange сервера 2003, есть шанс, что вы включите фильтрацию получателей не находящихся в списке Directory. Это и хорошо, и плохо. Хорошо, потому, что сервер отфильтровавыет сообщения для несуществующих получателей в начале сеанса SMTP (это означает, что вам не нужно возвращать NDR посылателю, и, если говорить о спамерах, часто все равно использующих поддельные домены). Плохо, потому, что спамеры могут получить правильные адреса в вашем Exchange сервере (когда включена фильтрация получателя она получает информацию о правильности е-майл адреса в течении сессии SMTP). Поэтому, как вы можете видеть, использование SMTP «тар питтинга» совместно с функцией фильтрации получателя Exchange сервера 2003 может быть хорошей идеей. Для тех кто еще сомневается, посмотрите на рисунки 1 и 2 внизу.
Замечания
Некоторые из вас могут подумать, что лучше всего просто выключить фильтрацию получателей, положиться на программное обеспечение сторонних производителей, и подавить NDR (так как спамеры все равно используют поддельные домены). Это возможно, но, к сожелению, это будет нарушением RFC 2821 (http://www.faqs.org/rfcs/rfc2821.html), который утверждает, что NDR должен отсылаться в случае получения почты для неправильного получателя. В дополнение, это означает, что нормальный пользователь, сделавший ошибку в е-мэйл адресе, никогда не получит сообщения об этом факте.
Важно понимать, что включение функции SMTP «тар питтинга» не предотвращает атаки на ваше окружение, хотя она замедляет ее скорость и снижает объем соответсвенно. В результате чего, атака становится значичетльно менее ценной и проблемной для спамера. SMTP «тар питтинг» не является «заплаткой» безопасности, которая должна устнавливаться везде и каждым Exchange администратором во всем мире. Вместо этого, рассматривайте ее как функцию, которая, в зависимости от кофигурации вашего окружения, можеть быть или не быть полезной. Другими словами, не бросайтесь сразу ее включать, до тех пор, пока для этого не будет достойных аргументов.
Замечания
Если вы используете «родной» Exchange фильтр получателей, подключение SMTP «тар питтинга» в большинстве случаев будет полезно.
Подключение SMTP «тар питтинга»
Так как функция SMTP «тар питтинг» представлена как отдельное обновление, также включенное в Windows 2003 Server SP1, то, в первую очередь, нужно установить SP1. Администраторы, которые по каким-либо причинам еще не установили SP1 (и по-прежнему не хотят этого делать), все также, могут получить отдельное обновление (дополнительная информация на http://support.microsoft.com/kb/899492) через Microsoft Support Services (http://www.microsoft.com/services/microsoftservices/srv_support.mspx).
Функция SMTP «тар питтинг» не является специфичной для Exchange Server 2003. Это означает, что вы можете установить ее на обыкновенном Windows 2003 Server SP1 сервере, который будет сконфигурирован как гэйтвэй передающий почту вашим Exchange 2000/2003 серверам. Имейте в виду, что функция SMTP «тар питтинг» оказывает влияние только на анонимные SMTP соединения. Это означает, что включать ее следует на SMTP серверах имеющих прямой выход в интернет.
Замечания
Включение функции SMTP «тар питтинга» замедлит прохождение и легитимного трафика, поэтому, следите за быстродействием ваших SMTP/Exchange серверов.
Для включения функции SMTP «тар питтинга» вы должны добавить новый DWORD параметр (DWORD Value key) TarpitTime в реестр. Для этого нажмите Пуск > Выполнить (Start > Run) и введите Regedit, затем найдите следующий раздел (registry subkey):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SMTPSVC\ParametersДалее нажмите правой кнопкой мыши на Parameters и выберите Создать > Параметр DWORD (New > DWORD Value). Введите имя параметра TarpitTime и нажмите Enter. Теперь параметр TarpitTime имеет значение равное нулю. Это означает, что функция пока выключена.
Чтобы изменить значение параметра нажмите правой кнопкой мыши на него, выберите, Изменить (Modify) и введите новое значение. Введенное значение является количеством секунд на которое служба SMTP должна задержать ответ содержащий коды ошибок 5.x.x (например, результаты SMTP проверки адресов для не существующих в вашей организации). Так как 20 секунд является хорошим началом, введите 20 в десятичном виде (как показано на рисунке 3) и нажмите OK.
Теперь закройте редактор реестра и презапустите службу SMTP.
Пример
Для того чтобы дать вам представление об эффективности SMTP «тар питтинга», я думаю, будет хорошей идеей дать пример. Представте, спамер посылает сообщение на 15000 адресов в вашей организации, а вы установили TarpitTime равным 20 секундам. Это означает 20-ти секундную задержку между каждым сообщением, умножте это 15000 (получателей), да, это 300000 секунд. Теперь разделим 300000 на 60, получим 5000 минут. 5000 минут разделим на 60, это близко к 85 часам! Теперь поговорим о задержке! Не заставит ли это даже самого терпеливого спамера в мире подумать что соединение зависло или что-то еще, а затем сдаться? Я думаю, это так.
Резюме
Подключение функции SMTP «тар питтинг» возможно как отдельным обновлением (смотри http://support.microsoft.com/kb/899492), так и в составе Windows 2003 Server Service Pack 1. Некоторые организации могут снизить объем спама и другой нежелательной почты, которую они получают, подключив функцию задержки или замедления отклика сервера для конкретных сеансов связи SMTP, если говорить более конкретно,- ответов содержащих коды ошибок 5.x.x. Эта функция особенно полезна, если вы уже используете возможности фильтрации пользователей Exchange Server 2003, такие как Filter recipients who are not in the Directory, так как она имеет недостаток, заключающийся во включении просмотра директории пользователей во время сеанса SMTP. Это означает, что посылатель спама и другой нежелательной почты имеет возможность обнаружить правильные адреса вашей организации. Включение SMTP «тар питтинга» делает это более длительным, например, проведение харвест атак. Конечно, все зависит от количества секунд, которое вы указали в параметре (DWORD registry key) TarpitTime. Это, в большистве случаев, приводит к тому, что самый терпеливый спамер сдается и выбирает себе другую цель.
