التفاصيل
المرجع. اسم: افبوب-2018-GEN-001-DRAFT01 |
إصدارات: 1.0 الحالة: قيد المناقشة |
المعلن / كاتب التعليق: جوردي باليت مارتينيز jordi.palet [في] theipv6company.com منظمة IPv6 الشركة
|
تعديل: CPM art 8.0 | ||
قدمت: ١٣ أغسطس ٢٠٢٣ |
مقترح
1.0 ملخص للمشكلة التي يعالجها هذا الاقتراح
لا تتضمن السياسة الحالية الالتزام بتسجيل جهة اتصال مسيئة وتحدد شكلًا للتواصل الشخصي و "التقارير التلقائية" ، والتي - مقارنةً بغيرها RIRs ، يصبح مربكًا ، لأن البريد الإلكتروني الواحد سيكون أكثر كفاءة ، كما في النهاية ، يتم نسخ التقارير إلى كل من رسائل البريد الإلكتروني.
نتيجة لذلك ، قد لا يكون لدى بعض LIRs معلومات الاتصال هذه مسجلة لمواردها. في الواقع ، هناك حتى حالات LIRs التي تستخدم صندوق بريد غير موجود أو حالة لا يتم مراقبتها بنشاط.
في الممارسة العملية ، تصبح جهة الاتصال هذه غير فعالة للإبلاغ عن الانتهاكات وتؤدي عمومًا إلى مشاكل أمنية وتكاليف للضحايا.
يهدف هذا الاقتراح إلى حل المشكلة وضمان وجود جهة اتصال مناسبة لإساءة الاستخدام وعملية استخدامها ، والتي تكون أكثر اتساقًا عبر جميع RIRs ، من أجل تسهيل الإبلاغ عن إساءة استخدام المنطقة.
2.0 ملخص عن كيفية معالجة هذا الاقتراح للمشكلة
يعتمد مجتمع الإنترنت على التعاون. ومع ذلك ، في كثير من الحالات ، هذا غير كافٍ ، وعلينا جميعًا أن نكون قادرين على الاتصال بـ LIRs التي قد تواجه مشكلة في شبكاتها وقد لا تكون على دراية بالموقف.
ينشئ هذا الاقتراح قسمًا جديدًا في دليل السياسة لحل هذه المشكلة عن طريق التحقق الدوري البسيط ، ويضع القواعد الأساسية لإجراء هذا التحقق ، وبالتالي يتجنب التكاليف غير الضرورية للأطراف الثالثة التي تحتاج إلى الاتصال بالأشخاص المسؤولين عن حل المشكلة. انتهاكات شبكة محددة.
يضمن الاقتراح أن تكلفة معالجة الإيذاء تقع على عاتق LIR الذي يتسبب عميله في الإساءة (ومن يتلقون منه تعويضًا ماليًا عن الخدمة) ، بدلاً من السقوط على الضحية ، كما هو الحال إذا اضطروا إلى اللجوء إلى المحاكم ، وبالتالي تجنب التكاليف (المحامون والمحامون ، وما إلى ذلك) وتوفير الوقت لكلا الطرفين.
لهذا ، تصبح سمة abuse-c إلزامية في كائنات "aut-num" و "inetnum" و "inet6num" ، وكذلك في أي أشياء أخرى يمكن استخدامها في المستقبل. هذه السمة هي جهة اتصال لإساءة الاستخدام ، ويجب أن تحتوي على الأقل على سمة "صندوق البريد - الإساءة".
من المتوقع أن يتم تنفيذ الاقتراح خلال 90 يومًا ، لتأكيده من قبل AFRINIC ، وهو إطار زمني معقول للسماح لكل من الموظفين بتطوير الأداة و LIRs لتحديث جهات الاتصال الخاصة بهم بإساءة الاستخدام.
3. الاقتراح
تعديل 8.0 من هيئة تدابير الصحة النباتية ، على النحو التالي:
الحالي |
المقترح |
8.1 مقدمة تحدد هذه السياسة كائنًا مخصصًا يجب استخدامه كمكان مفضل لنشر معلومات الاتصال العامة عن إساءة الاستخدام داخل منطقة خدمة AFRINIC.
يمكن الإشارة إلى الكائن المذكور في كائنات inetnum و inet6num و aut-num في AFRINIC whois قاعدة البيانات. يوفر طريقة أكثر دقة وفعالية لتقارير إساءة الاستخدام للوصول إلى جهة اتصال الشبكة الصحيحة |
8.1 مقدمة تحدد هذه السياسة كائنًا إلزاميًا يجب استخدامه لنشر إساءة استخدام معلومات الاتصال العامة داخل منطقة خدمة AFRINIC.
يجب الإشارة إلى الكائن المذكور في كائنات inetnum و inet6num و aut-num في AFRINIC whois قاعدة البيانات. يوفر طريقة أكثر دقة وفعالية لتقارير الإساءة للوصول إلى جهة الاتصال الصحيحة. |
8.2 تفاصيل السياسة: لإتاحة ملف جديد أو استخدام ملف whois كائن قاعدة البيانات الذي يقوم بتنفيذ الخصائص التالية:
يجب أن يكون الكائن يمكن الوصول إليه من خلال whois بروتوكول. AFRINIC لنشر أ أفضل ورقة الممارسة التي تشجع جميع الأعضاء بنشاط على استخدام الكائن لنشر معلومات الاتصال الاعتداء. |
8.2 وصف "abuse-c" و "abuse-mail" يجب أن تتضمن جميع الموارد المخصصة من قبل AFRINIC سمة اتصال إلزامية "abuse-c" (اتصال إساءة) في المقابل WHOIS إدخال ، مع واحد على الأقل من صندوق الوارد للبريد الإلكتروني (البريد - سوء الاستخدام) صالح ومراقب ومدار بشكل فعال والمقصود لتلقي التقارير اليدوية أو التلقائية فيما يتعلق بالسلوك التعسفي ومشكلات الأمان وما شابه.
يجب أن تكون السمة "abuse-mailbox" متاحة بطريقة غير مقيدة عبر whois، واجهات برمجة التطبيقات والتقنيات المستقبلية.
بالنظر إلى الطبيعة الهرمية لعناصر عنوان IP ، قد تتم تغطية الكائنات التابعة لتلك التي توزعها AFRINIC مباشرة بواسطة الكائنات الأصلية أو قد يكون لها سمة "abuse-c" الخاصة بها.
باتباع الممارسات المعتادة ، قد يتم تضمين سمات "البريد الإلكتروني" الأخرى لأغراض أخرى. |
8.3 مزايا وعيوب السياسة
مزايا 8.3.1
عيوب 8.3.2 سيواجه هذا الكائن ، مثل جميع الكائنات الموجودة الأخرى ، مشكلة دقة البيانات. تهدف هذه السياسة إلى معالجة مشكلة المكان المفقود لمعلومات الاتصال الخاصة بإساءة الاستخدام ولن تؤدي إلى تحسين دقة البيانات في whois قاعدة البيانات. ومع ذلك ، يُقترح على AFRINIC تقديم طريقة لتلقي التقارير حول عدم العمل أو عدم دقة الأشياء. |
8.3 حول "سوء استخدام صندوق البريد" يجب أن تتطلب رسائل البريد الإلكتروني المرسلة إلى "صندوق البريد - سوء الاستخدام" التدخل اليدوي من قبل المستلم في وقت ما ، وقد لا تتم تصفيتها ، حيث قد يمنع هذا في بعض الحالات استلام تقارير إساءة الاستخدام ، على سبيل المثال - في حالة البريد العشوائي ، ستشمل رسالة البريد العشوائي نفسها أو عناوين URL أو المحتوى الذي يصنف عادةً على أنه بريد مزعج.
قد يقوم "صندوق البريد - سوء الاستخدام" في البداية بإرسال رد تلقائي ، على سبيل المثال ، تعيين رقم تذكرة ، وتطبيق إجراءات التصنيف ، وطلب مزيد من المعلومات ، إلخ. ومع ذلك ، قد لا يتطلب الأمر استخدام نموذج ، لأن هذا قد يعني ضمنيًا أن كل شركة التي تحتاج إلى الإبلاغ عن حالات سوء الاستخدام (مهمة تتم مؤتمتة تلقائيًا) ستضطر إلى تطوير واجهة محددة لكل حالة ، وهي ليست مجدية ولا منطقية ، حيث إنها ستضع تكلفة معالجة إساءة المعاملة على من يقدمون المطالبة وبالتالي هم ضحايا سوء المعاملة ، بدلاً من أن يدفعوا من قبل أولئك الذين يتسبب موكلهم في سوء المعاملة (والذين يحصلون على دخل منهم).
من خلال المعلومات ، تجدر الإشارة إلى أنه من المعقول أن يقوم الشخص الذي أبلغ عن سوء المعاملة بذلك منذ البداية وفي ذلك التقرير الأول أو إرسال السجلات أو نسخة من رسالة البريد العشوائي (إرفاق مثال على البريد الإلكتروني العشوائي أو رؤوسها الكاملة) أو أدلة مماثلة تثبت الانتهاك. وبالمثل ، من المعقول توقع أن تحدد رسالة البريد الإلكتروني الأولية للرد التلقائي أن المطالبة لن تتم معالجتها ما لم يتم تقديم مثل هذه الأدلة ، مما يتيح للمرسل الفرصة لتكرار التقديم وإدراج الأدلة ذات الصلة. يسمح ذلك بالإبلاغ التلقائي ، على سبيل المثال ، عبر fail2ban أو SpamCop أو غيرهم ، مع الحفاظ على التكاليف كحد أدنى لكلا الطرفين المعنيين. |
8.4 أهداف التحقق من الصحة "abuse-c" / "abuse-mail" الإجراء ، الذي سيتم تطويره بواسطة AFRINIC ، يجب أن يحقق الأهداف التالية:
أ) عملية بسيطة تضمن وظائفها وتسمح لمكاتب المساعدة التي تتعامل مع تقارير إساءة الاستخدام بالتحقق من أن طلبات التحقق من الصحة تأتي فعليًا من AFRINIC وليس من أطراف ثالثة (والتي قد تنطوي على مخاطر أمنية) ، مع تجنب "مباشر" واحد ، على سبيل المثال عنوان URL للتحقق من الصحة.
ب) تجنب المعالجة الآلية.
ج) تأكد من أن الشخص الذي يقوم بالتحقق من الصحة يفهم الإجراء والسياسة ، وأنهم يراقبون بانتظام "صندوق البريد الخاص بالإساءة" ، وأن التدابير يتم اتخاذها ، وأن تقرير إساءة الاستخدام يتلقى ردًا.
د) يجب ألا تزيد مدة التحقق عن يومين عمل (2).
هـ) في حالة فشل التحقق من الصحة ، قم بالتصعيد إلى LIR وحدد فترة تحقق جديدة لا تتجاوز ثلاثة (3) أيام عمل.
(على سبيل المثال ، يتم تضمين إجراء مفصل في اقتراح السياسة هذا ضمن "معلومات إضافية"). |
|
8.5 التحقق من صحة "abuse-c" / "abuse-mail" ستقوم AFRINIC بالتحقق من الامتثال للعناصر المذكورة أعلاه ، سواء عند إنشاء أو تحديث سمات "abuse-c" و / أو "abuse-mailbox" ، وكذلك بشكل دوري ، لا تقل عن مرة واحدة كل ثلاثة أشهر ، وكلما رأت AFRINIC مناسبة.
وفقًا لتقدير AFRINIC ، بشكل عام أو في حالات محددة (على سبيل المثال ، للتأكيد في حالات التصعيد أقل من 8.6) ، يجوز لـ AFRINIC استخدام مجالات أخرى بخلاف afrinic. * ، وحتى تعديل موضوع ونص الرسالة. أداء التحقق من صحة وقال أكثر فعالية.
ينطوي عدم الامتثال على متابعة أكثر شمولية ، وفقًا لسياسات / إجراءات AFRINIC ذات الصلة ، خاصة تلك المتعلقة بإلغاء الموارد. |
|
8.6 التصعيد إلى AFRINIC لتجنب السلوك الاحتيالي (على سبيل المثال ، "صندوق بريد لإساءة الاستخدام" لا يرد إلا على رسائل البريد الإلكتروني لـ AFRINIC ، أو على الرسائل ذات الموضوع أو المحتوى المحدد) ، أو عدم الامتثال للجوانب المتبقية من هذه السياسة (غير صحيح أو عدم الاستجابة لـ حالات سوء الاستخدام) ، وبالتالي لضمان جودة الخدمات في المنطقة بالموارد المخصصة من قبل AFRINIC ، سيكون صندوق البريد متاحًا (على سبيل المثال ، "محمي عنوان البريد الإلكتروني هذا من المتطفلين و برامج التطفل. تحتاج إلى تفعيل جافا سكريبت لتتمكن من مشاهدته.") ، لتصعيد مثل هذه الحالات ، وبالتالي السماح بإعادة التحقق من الصحة (وفقًا للمادة 8.5 أعلاه) وحتى الوساطة من قبل AFRINIC ، وعند الاقتضاء ، تطبيق السياسات / الإجراءات ذات الصلة ، وخاصة تلك المتعلقة بإلغاء الموارد. |
|
8.7 معلومات إضافية مثال على إجراء التحقق من الصحة.
أ) يبدأ AFRINIC عملية التحقق من الصحة تلقائيًا ، حيث يرسل بريدين إلكترونيين متتاليين إلى "صندوق البريد الخاص بالإساءة". ب) سيتم إرسال هذه الرسائل الإلكترونية التي تحتوي على نص عادي فقط. ج) ستحتوي الرسالة الإلكترونية الأولى على عنوان URL الذي يجب إجراء التحقق منه ("validation.afrinic.net") وقد تحتوي على معلومات حول الإجراء ، وموجز موجز لهذه السياسة ، إلخ. د) سوف يحتوي البريد الإلكتروني الثاني على رمز تحقق أبجدي رقمي فريد من نوعه. هـ) يجب على الشخص المسؤول عن "صندوق البريد - سوء الاستخدام" الانتقال إلى عنوان URL ولصق الرمز الذي تم استلامه في رسالة البريد الإلكتروني الثانية في النموذج. و) يجب تصميم عنوان URL بطريقة تمنع استخدام عملية تلقائية (على سبيل المثال ، "captcha"). بالإضافة إلى ذلك ، يجب أن يحتوي على نص يؤكد أن الشخص الذي يقوم بالتحقق من الصحة يفهم الإجراء والسياسة ، وأنهم يراقبون بانتظام "صندوق البريد الخاص بالإساءة" ، واتخاذ التدابير اللازمة لحل حالات إساءة الاستخدام المبلغ عنها ، وأن تقرير إساءة الاستخدام يتلقى ردًا ، مع "مربع اختيار" يجب قبوله للمتابعة. ز) سيكون الرمز الأبجدي الرقمي صالحًا لمدة لا تزيد عن يومين عمل. ح) إذا لم يتم إدخال الرمز في غضون ذلك الوقت ، فسيقوم النظام بوضع علامة "abuse-c" على أنه "غير صالح مؤقتًا" وسوف ينبه موظفي AFRINIC حتى يتمكنوا من بدء متابعة مخصصة باستخدام LIR. ط) في حالة عدم تلقي أي رد يؤكد أن الموقف قد تم تصحيحه ، بعد فترة إضافية مدتها ثلاثة أيام عمل ، سيتم وضع علامة "abuse-c" بشكل دائم على أنها "غير صالحة". ي) سوف تتكرر عملية التحقق من الصحة تلقائيًا (البنود من "أ" إلى "ز" أعلاه). إذا كان مرضًا ، فسيتم تمييز "abuse-c" على أنه "صالح" ؛ وإلا سيتم النظر في انتهاك للسياسة. |
4. تاريخ المراجعة
التاريخ |
التفاصيل |
12 مارس 2018 |
الإصدار 1: AFPUB-2018-GEN-001-DRAFT01 في البداية Draft تم النشر إلى rpd |
5. المراجع
تمت مناقشة اقتراح مماثل في منطقة RIPE وينتظر أن يعلن الرؤساء المشاركون توافق الآراء.