• 發行項

已實作 TarpitTime

[本主題的目的是要說明 Exchange Server Analyzer 工具所引出的特定問題。您只應將它套用到已執行過 Exchange Server Analyzer 工具且有遇到該特定問題的系統。Exchange Server Analyzer 工具可免費下載,它會從拓撲中的每台伺服器遠端收集組態資料,並自動分析該資料。產生的報告會詳述重要的組態問題、潛在問題及非預設的產品設定。遵循這些建議,您便能達到較佳的效能、延展性、可靠性及執行時間。如需此工具的相關資訊或是要下載最新版本,請參閱 Microsoft Exchange Analyzer (https://go.microsoft.com/fwlink/?linkid=34707)。]  

上次修改主題的時間: 2007-02-21

Microsoft® Exchange Server Analyzer 工具會讀取下列登錄項目,以判定是否已設定收件者篩選的 Tar Pit 功能:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SMTPSvc\Parameters\TarpitTime

如果 Exchange Server Analyzer 發現 TarpitTime 的值大於 0 (零),就會顯示一則非預設的訊息。

Tar Pitting 是刻意地減慢或延遲非法連線,以降低傳送自動垃圾郵件或執行字典蒐集攻擊之速率的作法。

若要使用收件者篩選,請新增 Microsoft Windows Server™ 2003 Service Pack 1 (SP1) 中的 Tar Pit 功能,如微軟知識庫文件 - 842851<Microsoft Windows Server 2003 中 SMTP 的 Tar Pit 功能>(https://go.microsoft.com/fwlink/?LinkId=3052&kbid=842851) 中所述。特別是在 [通用設定] 中的 [收件者篩選] 索引標籤上選取 [篩選不在目錄中的收件者] 核取方塊時,Tar Pit 功能會讓收件者篩選更有用。

Tar Pit 功能是藉由設定 TarpitTime 登錄子機碼來實作。TarpitTime 登錄子機碼會使用十進位值。當收件者不在目標 Exchange Server 組織中時,十進位值可轉譯為 SMTP 工作階段回應寄件者所等待的秒數。

Tar Pit 功能會讓傳送來路不明之郵件的垃圾郵件傳送者更難自動進行目錄蒐集攻擊。「目錄蒐集攻擊」是從特定組織擷取已知的良好電子郵件地址清單的嘗試。

SMTP 通訊協定在 SMTP 工作階段期間藉由傳回 "2.1.5 Recipient OK" 來確認可接受的收件者。如果郵件傳送給未知的收件者,則 SMTP 通訊協定會傳回 "5.x.x" 錯誤。因此,垃圾郵件傳送者可以撰寫自動程式,它使用一般名稱或目錄條款來將電子郵件地址建構至特定網域。然後,程式可以收集傳回 "2.1.5 Recipient OK" 的所有電子郵件地址,並捨棄導致 "5.x.x" 錯誤的所有電子郵件地址。之後,垃圾郵件傳送者可以出售「良好」的電子郵件地址,或將其作為來路不明郵件的收件者。

如果已選取 [篩選不在目錄中的收件者] 核取方塊,但是未設定 TarpitTime 登錄子機碼,當目標 Active Directory® 目錄服務中不存在某收件者時,Exchange Server 會立即在 SMTP 工作階段期間將 "5.x.x" 錯誤傳回給寄件者。

相反,如果已設定 TarpitTime 登錄子機碼,而且已選取 [篩選不在目錄中的收件者] 核取方塊,SMTP 就會在傳回 "5.x.x" 錯誤之前等待。為 TarpitTime 登錄子機碼輸入的十進位值是 SMTP 在傳回錯誤之前等待的秒數。SMTP 工作階段中的這種暫停會使自動進行目錄蒐集攻擊更加困難。

如前所述,如果已設定 TarpitTime 登錄子機碼,Exchange Server Analyzer 就會顯示一則非預設的訊息。此訊息僅作為資訊參考用途。

important重要事項:
這篇文章包含和編輯登錄有關的資訊。在編輯登錄之前,請確定若發生問題時,您知道如何還原登錄。若需有關還原登錄的詳細資訊,請參考 Regedit.exe 或 Regedt32.exe 中的<還原登錄>說明主題。

若要檢視或變更 TarpitTime 登錄子機碼

  1. 依序按一下 [開始] 及 [執行],並在 [開啟] 方塊中鍵入 regedit 後,再按一下 [確定]。

  2. 尋找並按下列登錄子機碼:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SMTPSVC\Parameters\TarpitTime

  3. [數值資料] 方塊包含十進位數字。此值代表針對 Active Directory 中不存在的每個地址,要延遲 SMTP 地址驗證回應的秒數。

  4. 如果變更此值或刪除 TarpitTime 登錄子機碼,您必須重新啟動簡易郵件傳送通訊協定 (SMTP) 服務。

若需詳細資訊,請參閱微軟知識庫文件 - 842851<Microsoft Windows Server 2003 中 SMTP 的 Tar Pit 功能>(https://go.microsoft.com/fwlink/?LinkId=3052&kbid=842851)。