„TarpitTime“ wurde implementiert
[Dieses Thema beschäftigt sich mit einem besonderen Problem, das von Exchange Server Analyzer angezeigt wird. Die Problembehandlung sollte nur auf Systeme angewendet werden, auf denen Exchange Server Analyzer ausgeführt wird und dieses spezielle Problem auftritt. Exchange Server Analyzer (als kostenloser Download verfügbar) trägt remote Konfigurationsdaten von allen Servern in der Topologie zusammen und analysiert diese Daten automatisch. Der sich ergebende Bericht enthält ausführliche Informationen zu wichtigen Konfigurationskonflikten, möglichen Problemen und Produkteinstellungen, die nicht den Standardeinstellungen entsprechen. Indem Sie diese Empfehlungen beachten, können Sie bessere Leistung, Skalierbarkeit, Zuverlässigkeit und Betriebszeit erzielen. Weitere Informationen zum Tool sowie zum Download der aktuellsten Version finden Sie unter "Microsoft Exchange Analyzers" unter der Adresse https://go.microsoft.com/fwlink/?linkid=34707.]
Letztes Änderungsdatum des Themas: 2007-02-21
Microsoft® Exchange Server Analyzer liest den folgenden Registrierungseintrag, um zu bestimmen, ob das Tar Pit-Feature für die Empfängerfilterung festgelegt wurde:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SMTPSvc\Parameters\TarpitTime
Wenn Exchange Server Analyzer feststellt, dass der Wert von TarpitTime größer als 0 (null) ist, zeigt Exchange Server Analyzer eine Meldung an, dass der Wert nicht dem Standard entspricht.
Tar Pitting ist ein technisches Verfahren zum absichtlichen Verlangsamen oder Verzögern von nicht erlaubten Verbindungen, um die Rate zu verringern, mit der automatisch Spam gesendet werden kann bzw. mit der ein Wörterbuchangriff zur Gewinnung von E-Mail-Adressen verübt werden kann.
Das in Microsoft Windows Server™ 2003 Service Pack 1 (SP1) verfügbare Tarpit-Feature kann zusammen mit der Empfängerfilterung verwendet werden, wie im Microsoft Knowledge Base-Artikel 842851 beschrieben: „SMTP-Tar Pit-Feature für Microsoft Windows Server 2003“ (https://go.microsoft.com/fwlink/?LinkId=3052&kbid=842851). Insbesondere verstärkt das Tar Pit-Feature den Nutzen der Empfängerfilterung, wenn in Globale Einstellungen auf der Registerkarte Empfängerfilterung das Kontrollkästchen Empfänger filtern, die nicht im Verzeichnis vorhanden sind aktiviert ist.
Das Tar Pit-Feature wird implementiert, indem der Registrierungsunterschlüssel TarpitTime festgelegt wird. Für den Registrierungsunterschlüssel TarpitTime ist ein Dezimalwert erforderlich. Der Dezimalwert wird als die Anzahl von Sekunden interpretiert, die während einer SMTP-Sitzung gewartet wird, um einem Sender zu antworten, wenn ein Empfänger in der Exchange Server-Zielorganisation nicht vorhanden ist.
Die Tar Pit-Funktion erschwert es den Versendern von Spam, unerwünschte E-Mail-Nachrichten zu senden, um einen Wörterbuchangriff zu automatisieren. Bei einem Wörterbuchangriff (Directory Harvest Attack – DHA) handelt es sich um den Versuch, eine Liste von bekannten gültigen E-Mail-Adressen von einer bestimmten Organisation abzurufen.
Das SMTP-Protokoll bestätigt gültige Empfänger während einer SMTP-Sitzung durch Rückgabe von 2.1.5 Recipient OK. Wenn eine E-Mail-Nachricht an einen unbekannten Empfänger gesendet wird, gibt das SMTP-Protokoll einen 5.x.x-Fehler zurück. Daher kann eine Person (Spammer), die Spam versendet, ein automatisiertes Programm schreiben, in dem übliche Namen oder Wörterbucheinträge verwendet werden, um E-Mail-Adressen für eine bestimmte Domäne zu erstellen. Das Programm kann dann alle E-Mail-Adressen sammeln, die 2.1.5 Recipient OK zurückgegeben haben, und alle E-Mail-Adressen verwerfen, die einen 5.x.x-Fehler ausgelöst haben. Der Spammer kann dann die gültigen E-Mail-Adressen verkaufen oder sie als Empfänger für unverlangte E-Mails verwenden.
Wenn das Kontrollkästchen Empfänger filtern, die nicht im Verzeichnis vorhanden sind aktiviert ist, der Registrierungsunterschlüssel TarpitTime jedoch nicht festgelegt ist, gibt Exchange Server während der SMTP-Sitzung sofoft den einen 5.x.x-Fehler an den Absender zurück, wenn ein Empfänger nicht im Active Directory®-Zielverzeichnisdienst vorhanden ist.
Wenn jedoch der Registrierungsunterschlüssel TarpitTime festgelegt und das Kontrollkästchen Empfänger filtern, die nicht im Verzeichnis vorhanden sind aktiviert ist, wartet SMTP vor dem Zurückgeben eines 5.x.x-Fehlers. Der Dezimalwert, der für den Registrierungsunterschlüssel TarpitTime eingegeben wurde, gibt die Anzahl der Sekunden an, die SMTP bis zur Rückgabe des Fehlers wartet. Durch diese Pause in der SMTP-Sitzung wird das Automatisieren eines Wörterbuchangriffs sehr erschwert.
Wie eingangs erwähnt, zeigt Exchange Server Analyzer eine Meldung an, dass ein vom Standardwert abweichender Wert konfiguriert wurde, wenn der Registrierungsunterschlüssel TarpitTime festgelegt wurde. Diese Meldung dient ausschließlich Informationszwecken.
.gif "important") Wichtig: |
|---|
| Dieser Artikel enthält Informationen zum Bearbeiten der Registrierung. Stellen Sie vor dem Bearbeiten der Registrierung sicher, dass Sie für den Fall eines Problems mit dem Wiederherstellungsprozess für die Registrierung vertraut sind. Weitere Informationen zum Wiederherstellen der Registrierung finden Sie im Hilfethema „Wiederherstellen der Registrierung“ in Regedit.exe oder Regedt32.exe. |
So zeigen Sie den Registrierungsunterschlüssel „TarpitTime“ an oder ändern ihn
Klicken Sie auf Start, klicken Sie auf Ausführen, und geben im Feld Öffnen die Zeichenfolge regedit ein. Klicken Sie anschließend auf OK.
Suchen Sie den folgenden Registrierungsunterschlüssel, und klicken Sie dann darauf:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SMTPSVC\Parameters\TarpitTime
Das Feld Datenwerte enthält eine Dezimalzahl. Dieser Zahl gibt die Anzahl der Sekunden an, um die die Antworten für die SMTP-Adressüberprüfung für jede Adresse, die nicht in Active Directory vorhanden ist, verzögert werden soll.
Wenn Sie den Wert ändern oder den Registrierungsunterschlüssel TarpitTime löschen, müssen Sie den SMTP-Dienst (Simple Mail Transport Protocol) neu starten.
Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 842851, „SMTP-Tar Pit-Feature für Microsoft Windows Server 2003“ (https://go.microsoft.com/fwlink/?LinkId=3052&kbid=842851).