SMTP Tarpitting

O blog You Had Me At EHLO publicou um post da autoria de Greg Beitler, SMTP Session Tarpitting for Windows 2003 and Exchange, onde nos fala desta técnica para impedir alguns tipos de ataques à infra-estrutura de correio electrónico.
Sempre que alguém envia uma mensagem electrónica, o comando SMTP rcpt to: é enviado para o servidor de destino. Caso o utilizador não exista, o servidor dará o respectivo código de erro.
…
MAIL FROM:<>
250 2.1.0 <>....Sender OK
RCPT TO:
550 5.1.1 User unknown
QUIT

Agora imaginem um utilizador malicioso que pretende descobrir todos os endereços de e-mail de determinada organização. Tudo o que terá de fazer é bombardear o servidor com nomes gerados aleatoriamente ou através de dicionário e guardar como válidos todos o que não tiverem a resposta negativa User unknown. Este ataque é conhecido por Directory Harvest Attack (DHA)
A técnica de tarpitting consiste em configurar um pequeno atraso no servidor (5 seg.) até dar a resposta. Isto quer dizer que um ataque por força bruta até 4 caracteres que poderia demorar cerca de 20 minutos, demorará agora meses!