Exchange 2010 / 2007 Tarpitting in of uitschakelen

      Reacties uitgeschakeld voor Exchange 2010 / 2007 Tarpitting in of uitschakelen

Exchange 2010/2007 Tarpitting

Probleem :

Met Exchange 2003 was tarpitting ingeschakeld na SP2 met een register hack. Nieuwere versies van Exchange hebben deze feature standaard aan staan.

Wat is Tarpitting ?

Het is een methode om een mailer te stoppen die je meerdere requests verstuurd. Het is ontworpen om misbruik te stoppen van :

  • Directory Harvest Attack : Hier wordt geprobeerd legitieme mailadressen te achterhalen door naar willekeurige adressen te gaan bulk mailen.
  • NDR Attack : Eigenlijk een DDos aanval wat het resultaat van een Directory Harvest Attack kan zijn.
    De mailqueue wordt hier gevuld met duizenden NDR’s waardoor de server steeds trager wordt en uiteindelijk zelfs vastloopt/stopt.

Om dit tegen te gaan is Tarpitting bedacht. Dit houdt verzenders tegen om achter elkaar mails te versturen. Er wordt een tijd gehanteerd welke tussen het verzenden van mail moet zitten.
Standaard is dit 5 seconden dus na het verzenden van een mail moet er minimaal 5 seconden tussen zitten voordat er een nieuwe gestuurd mag worden.
Alles wat binnen 5 seconden ontvangen wordt na de 1e poging wordt afgevangen en weggegooid.
Op deze manier wordt het voor spammers en script kiddies veel te tijdrovend om je aan te vallen en zullen het elders gaan proberen.

Oplossing

Uitzoeken wat je Tarpitting instellingen zijn :

Zoals reeds gezegd is de standaard instelling voor alle receive connectors 5 seconden. Om te bekijken of dit ook voor jouw instellingen geldt, gebruik je het volgende commando :

get-ReceiveConnector | select name,tarpitinterval

tarpitting-exchange-1
Hierboven kun je zien dat alle receive connectors op 5 seconden ingesteld staan.

Om Tarpitting uit te schakelen op alle Receive Connectors

Tarpitting is een goede zaak en moet eigenlijk gewoon aan staan. Ik raad dan ook aan om dit alleen uit te schakelen om te testen/troubleshooten.
Gebruik het volgende commando om op ALLE receive connectors tarpitting uit te schakelen :

get-ReceiveConnector | set-ReceiveConnector –TarpitInterval 00:00:00

tarpitting-exchange-2
Nu zie je dat alle connectoren op 00:00:00 staan, dus uitgeschakeld.

Een specifieke Receive Connector aanpassen

Je kunt een specifieke connector aanpassen op deze manier :

set-ReceiveConnector “connector-name” –TarpitInterval 00:00:10

tarpitting-exchange-3
Nu staat de “Default DC2A” op 10 seconden en de rest blijft op 5 seconden staan

Tarpitting op specifieke connectors uitschakelen

Zoals gezegd is Tarpitting een goede zaak welke ingeschakeld zou moeten blijven.
Maar als je problemen wilt troubleshooten en/of testen, dan kun je tijdelijk tarpitting uitschakelen op een specifieke connector :

set-ReceiveConnector “connector-name” –TarpitInterval 00:00:00

tarpitting-exchange-4
Nu staat voor “Default DC2A” Tarpitting uit. de rest staan nog steeds op 5 seconden.

Het is belangrijk om na het testen de default setting van 5 seconden weer terug te zetten aangezien dit toch echt wel een goede beveiliging van je Exchange server is.

Praktijk voorbeeld :

In de logging komt wel eens een melding voor :
Tarpit for ‘0.00:00:00.670’ due to ‘DelayedAck’,Delivered

Hier is dus een poging geweest om binnen 5 seconden meerdere mails te versturen.
Het gaat hier echter om een facturatie pakket welke ‘s nachts de facturen mailt. Sommige mails worden dus weggegooid en komen dus nooit aan.

Om tarpitting globaal uit te schakelen raad ik af, Het beste kun je een nieuwe Receive Connector aanmaken waarbij alleen het ip adres van de ERP server gemachtigd is mail te versturen.
En op die connector dan tarpitting uitschakelen. Nog steeds is dit een klein risico maar wel een te verwaarlozen risico.