Plus de détails
Mise à jour de la politique Abuse Contact Policy Update |
|||
ID: |
AFPUB-2018-GEN-001-DRAFT07 |
Date de soumission: |
17 mai 2021 |
Auteur : |
Jordi Palet Martínez jordi.palet sur theipv6company.com The IPv6 Company |
Version: |
7.0 |
Statut: |
Consensus (en attente de ratification par le conseil) |
Modifie: |
Art CPM 8.0
|
Résumé des étapes du PDP
|
Proposition
1. Résumé du problème traité par cette proposition
La politique actuelle n'implique pas l'obligation d'enregistrer un contact abusif et spécifie un format de communication personnelle et de «signalement automatique», qui, par rapport aux autres RIRCela devient déroutant, car un seul e-mail sera plus efficace, car, à la fin, les rapports sont copiés dans les deux e-mails.
En conséquence, certains détenteurs de ressources peuvent ne pas avoir ces coordonnées enregistrées et à jour pour leurs ressources. En fait, il existe même des cas de boîte aux lettres inexistante ou qui n'est pas activement surveillée.
Dans la pratique, ce contact devient inefficace pour signaler les abus et engendre généralement des problèmes de sécurité et des coûts pour les victimes. Ceci est également contradictoire avec RSA, qui stipule que les informations contenues dans les bases de données doivent être exactes. Cette politique garantit que cela peut être vérifié automatiquement et périodiquement par AFRINIC, sans entrer dans les détails opérationnels sur la façon de le faire. En fait, il existe une activité AFRINIC (https://afrinic.net/stats/contact-update) qui vise à la vérification des contacts, cependant, il n'a rapporté que pour 2017. Encore une fois, cette proposition garantit que cette activité se fait de manière automatisée (autant que possible), ce qui économise des coûts pour les membres et la communauté.
Cette proposition vise à résoudre ce problème et à garantir l’existence d’un contact approprié contre les abus et le processus de son utilisation, qui est plus uniforme dans tous les pays. RIRs, afin de faciliter le signalement des abus entre régions.
Les références politiques existantes à un «document sur les meilleures pratiques», qui n'est pas considéré comme obligatoire et en fait, n'est pas utilisé par la communauté. Cette proposition ne modifie pas la portée de ce document et, en fait, un lien entre les quelques objets IRT existants et le nouveau devrait être automatiquement établi.
De cette manière, le contact d'AFRINIC en cas d'abus sera en ligne avec d'autres RIRs. L'APNIC, par exemple, utilise désormais l'IRT, mais comme une proposition équivalente a été acceptée, un «lien» automatisé (alias ou pointeur) vers l'IRT préexistant sera créé, de sorte que abuse-c et abuse-mailbox prévalent.
Il n'est pas nécessaire de supprimer les autres données optionnelles aujourd'hui incluses dans l'IRT, c'est une décision opérationnelle AFRINIC sur la manière de gérer la transition. Cette politique garantit simplement que abuse-c et abuse-mailbox sont disponibles et vérifiés périodiquement.
2. Résumé de la manière dont cette proposition résout le problème
La communauté Internet est basée sur la collaboration. Cependant, dans de nombreux cas, cela ne suffit pas et nous devons tous être en mesure de contacter les LIR qui peuvent rencontrer un problème dans leurs réseaux et qui ne sont pas au courant de la situation.
Cette proposition crée une nouvelle section dans le manuel des politiques pour résoudre ce problème au moyen d'une vérification simple et périodique, et établit les règles de base pour effectuer une telle vérification et évite ainsi des coûts inutiles aux tiers qui doivent contacter les personnes chargées de résoudre le problème. abus d'un réseau spécifique.
La proposition garantit que le coût du traitement de l'abus incombe au détenteur de la ressource dont le client est à l'origine de l'abus (et de qui il reçoit une compensation financière pour le service), au lieu de tomber sur la victime, comme ce serait le cas s'il avait recourir aux tribunaux, évitant ainsi des frais (avocats, solicitors, etc.) et un gain de temps pour les deux parties.
Pour cela, l'attribut abuse-c devient obligatoire dans les objets "aut-num", "inetnum" et "inet6num", ainsi que dans tous les autres qui pourraient être utilisés à l'avenir. Cet attribut est un contact abusif, qui doit contenir au moins l'attribut "boîte aux lettres abusive".
La proposition devrait être mise en œuvre dans 90 jours, à confirmer par l'AFRINIC, un délai raisonnable pour permettre à la fois au personnel de développer l'outil et aux membres de mettre à jour leurs contacts en matière d'abus-c.
3. Proposition
3.1 Modifier le 8.0 de la RPC, comme suit:
Actuel |
Proposition |
8.1 Introduction Cette politique spécifie un objet dédié qui doit être utilisé comme lieu préféré pour publier des informations de contact public abusives dans la région de service AFRINIC. L'objet mentionné peut être référencé dans les objets inetnum, inet6num et aut-num dans l'AFRINIC whois base de données. Il fournit un moyen plus précis et efficace pour les rapports d'abus d'atteindre le bon contact réseau
|
8.1 Introduction Cette politique spécifie un attribut obligatoire (abus-c) qui doit être utilisé pour publier les informations de contact public concernant les abus dans la région de service AFRINIC. L'attribut mentionné doit être référencé dans les objets inetnum, inet6num et aut-num dans l'AFRINIC WHOIS base de données. Il fournit un moyen plus précis et efficace pour les rapports d'abus d'atteindre le bon contact. |
8.2 Détails de la politique: Pour rendre disponible un nouveau ou utiliser un déjà existant whois objet de base de données qui implémente les propriétés suivantes:
L'objet doit être accessible via le whois protocole. AFRINIC pour publier un Document sur les meilleures pratiques qui encourage tous les membres à utiliser activement l'objet pour publier des informations de contact d'abus. |
8.2 Description de «abuse-c» et «abuse-mailbox» Les ressources allouées / attribuées par AFRINIC doivent inclure un attribut de contact obligatoire «abuse-c» (contact d'abus), pointant vers une personne ou un rôle, avec au moins une boîte de réception de courrier électronique valide, surveillée et activement gérée (boîte aux lettres d'abus) destinée à recevoir des rapports concernant les comportements abusifs, les problèmes de sécurité, etc. L'attribut "abuse-mailbox" doit être disponible sans restriction via WHOIS, API et techniques futures. Compte tenu de la nature hiérarchique des objets d'adresse IP, les objets enfants de ceux directement distribués par AFRINIC peuvent être couverts par des objets parents ou ils peuvent avoir leur propre attribut "abuse-c". Suivant les pratiques habituelles, d'autres attributs "e-mail" peuvent être inclus à d'autres fins. |
8.3 Avantages et inconvénients de la politique 8.3.1 Avantages
8.3.2 Inconvénients Cet objet, comme tous les autres objets existants, sera confronté au problème de précision des données. Cette politique vise à résoudre le problème d'une place manquante pour les coordonnées d'abus et n'améliorera pas l'exactitude des données dans le whois base de données. Néanmoins, il est suggéré à AFRINIC de proposer un moyen de recevoir des rapports sur des objets non fonctionnels ou non précis. |
8.3 À propos de la "boîte aux lettres d'abus" Emails envoyés à "abuse-mailbox":
|
8.4 Objectifs de la validation "abuse-c" / "abuse-mailbox" La procédure, qui sera développée par AFRINIC, doit répondre aux objectifs suivants:
|
|
8.5 Validation de "abuse-c" / "abuse-mailbox" AFRINIC validera la conformité avec les éléments ci-dessus, à la fois lorsque les attributs "abuse-c" et / ou "abuse-mailbox" sont créés ou mis à jour, ainsi que périodiquement, au moins une fois tous les 6 mois, et chaque fois qu'AFRINIC le juge opportun. |
|
8.6 Escalade vers AFRINIC Comportement frauduleux (par exemple, une «boîte aux lettres d'abus» qui ne répond qu'aux e-mails d'AFRINIC, ou aux messages avec un sujet ou un contenu spécifique), ou non-respect des autres aspects de cette politique (erreur ou absence de réponse aux abus) peuvent être signalés à l'AFRINIC pour une revalidation (conformément au paragraphe 8.5 ci-dessus) |
|
8.7 Démarrage lent et suivi des progrès Les périodes initiales / d'escalade et la périodicité de validation fixées par cette politique peuvent être modifiées chaque année par AFRINIC, en tenant compte des procédures internes, des besoins en personnel et des données réelles, en tenant compte à la fois d'un démarrage lent et d'un suivi de l'exactitude des données. Les raisons des modifications doivent être dûment communiquées à la communauté. |
3.2 Informations supplémentaires:
Si cette proposition atteint un consensus, pour s'y conformer, AFRINIC doit renommer mnt-IRT en abuse-c. C'est une décision AFRINIC opérationnelle si un alias (pointeur, attribut dupliqué, ou toute autre alternative) vers mnt-IRT est conservé et pour combien de temps (période de transition), afin de faciliter la recherche dans whois pour les mêmes informations, que vous recherchiez abuse-c ou mnt-IRT. C'est une décision opérationnelle AFRINIC de conserver et pour combien de temps, l'IRT ou le supprimer, ainsi que le reste des informations réelles dans l'IRT. AFRINIC décidera également comment mieux mettre à jour les directives actuelles (https://www.afrinic.net/library/membership765-abuse-policy-bcp) ou s'ils ne sont plus nécessaires. Ceci est fait afin d'assimiler l'IRT à la majorité des RIRs où il est abusif-c.
A titre de clarification, les périodes de validation «initiale» et «escalade» peuvent être modifiées par AFRINIC, si cela est jugé opportun, à condition qu'il informe la communauté de sa motivation pour le faire. Par exemple, dans la phase de mise en œuvre, les périodes peuvent être prolongées et ajustées à mesure qu'un pourcentage plus élevé de contacts devient précis.
De même, la fréquence de la validation périodique peut être modifiée si AFRINIC le juge approprié et informe la communauté des raisons pour lesquelles elle le fait.
Par exemple, une seule validation peut être effectuée au cours de la première année pour faciliter le respect de la politique. Le nombre de validations annuelles pourrait augmenter dans le temps, devenant peut-être trimestriel, dans le but d'améliorer la qualité des contacts.
Cela facilitera AFRINIC pour un «démarrage lent» de la mise en œuvre de la politique et garantira qu'aucun personnel supplémentaire n'est nécessaire dans les phases de mise en œuvre initiale, car en fonction du taux d'échec des contacts, ils peuvent avoir besoin de plus de temps pour les premiers passages à travers toutes les étapes. adhésion. Par exemple, on pourrait s'attendre à ce que le premier passage prenne 12 à 24 mois, et soit effectué par différents types de membres (LIR / utilisateurs finaux / autres), avec un lot chaque mois ou même en tenant le lot suivant en cas de très taux d'échec élevé, etc.
Comme dans toutes les autres politiques, celle-ci ne fixe pas de conditions différentes spécifiques pour les détenteurs hérités. Il s'agit d'un problème AFRINIC générique qui devrait être traité de manière uniforme pour tout le manuel des politiques.
De même, la politique n'indique pas les conséquences du non-respect, comme cela est indiqué de manière générique dans le RSA.
La politique ne définit pas ce qu'est l'abus, car cette définition ne relève en aucun cas des actions du point de vue AFRINIC. Chaque participant Internet doit définir ce qu'est un abus pour lui, et si d'autres ne le respectent pas, ils peuvent utiliser l'abus-c pour les contacter et en cas d'inaction pour résoudre le cas, ils doivent escalader le problème en fonction de leur propre interne. procédures qui, dans certains cas, peuvent également dépendre de leurs réglementations locales. Tout cela sort du cadre d'AFRINIC.
Il n'y a pas d'impact supplémentaire sur le RGPD par cette politique, car cela est déjà couvert par toutes les réglementations AFRINIC existantes en la matière.
Cette proposition n'impose aucun calendrier de mise en œuvre, qui est laissé aux pratiques opérationnelles, aux priorités et aux besoins en personnel d'AFRINIC.
4. Références
Une proposition équivalente a été acceptée dans APNIC (déjà mis en œuvre) et LACNIC (en cours de mise en œuvre). Une nouvelle version est en cours d'élaboration pour RIPE et ARIN.
Historique des révisions
Historique des révisions
Date |
Plus de détails |
12 Août 2018 |
Version 1 : AFPUB-2018-GEN-001-DRAFT01 Initiales Draft Publié sur rpd |
20 Novembre 2018 |
Version 2 : AFPUB-2018-GEN-001-DRAFT02 Initiales Draft Publié sur rpd |
5 Juin 2019 |
|
2nd Novembre 2019 |
Version 4 : AFPUB-2018-GEN-001-DRAFT04 Simplification globale du texte |
21 Novembre 2019 |
Version 5 : AFPUB-2018-GEN-001-DRAFT05 Précisions supplémentaires sur le texte |
5 Août 2020 |
Version 6 : AFPUB-2018-GEN-001-DRAFT06 Améliorations éditoriales Correction d'une faute de frappe dans 'Références' (2020/09/15) |
17 mai 2021 |
Version 7 : AFPUB-2018-GEN-001-DRAFT07 Précisions supplémentaires sur le texte sur la base de la discussion précédente et AI |
Analyse d'impact de la politique AFRINIC
Évaluation du personnel AFRINIC
1 Interprétation et compréhension du personnel de la proposition
Cette proposition de politique demande à AFRINIC de mettre en œuvre une boîte aux lettres et un contact abus-c appropriés. Il met à jour la section 8.0 du Manuel des politiques consolidé. En ce moment, AFRINIC WHOIS objets; aut-num, inetnum et inet6num ne contiennent pas l'attribut abuse-c.
A - L'abus-c :-
- doit être utilisé pour publier des coordonnées publiques d'abus dans la région de service AFRINIC.
- sont vérifiées automatiquement et périodiquement à l'aide de l'automatisation, si possible par AFRINIC afin de faciliter le signalement des abus dans / entre les régions.
- ne remplace pas les données incluses dans l'objet IRT sur l'AFRINIC WHOIS base de données mise en œuvre pour le moment
- est obligatoire dans les objets de ressources «aut-num», «inetnum» et «inet6num» dans les ressources allouées / assignées par AFRINIC ainsi que dans d'autres ressources qui pourraient être utilisées à l'avenir
- présents dans les objets enfants de ceux directement distribués par AFRINIC (Affectations, sous-allocations) peuvent être soit nouveaux, soit hérités des ressources parent déléguées par AFRINIC
- doit avoir au moins un attribut de boîte aux lettres d'abus valide et activement surveillé
- doit pointer vers une personne ou un rôle, avec au moins une boîte de réception de courrier électronique valide, surveillée et gérée activement (boîte aux lettres abusive)
- L'attribut "abuse-mailbox" doit être disponible sans restriction via WHOIS, API et techniques futures.
B - Validation de la boîte aux lettres Abuse-c / abuse-mail
AFRINIC développera la procédure de validation abuse-c / abuse-mailbox répondant aux objectifs suivants: -
- Un processus simple qui garantit que le contact abusif est capable de remplir son objectif.
- Confirme que le détenteur de la ressource:
- a lu la procédure et la politique
- surveiller régulièrement la boîte aux lettres d'abus
- des mesures sont prises
- les rapports d'abus reçoivent une réponse.
- période de validation initiale ne dépassant pas 15 jours.
- Si la validation échoue, passez à d'autres contacts LIR et définissez une nouvelle période de validation ne dépassant pas 15 jours.
Fréquence de validation effectuée par AFRINIC: -
- Au moment de la création de abuse-c / abuse-mailbox
- Au moment où abuse-c / abuse-mailbox sont mis à jour
- Périodiquement - pas moins d'une fois tous les 6 mois
- chaque fois qu'AFRINIC l'entend.
C. Escalade vers AFRINIC
AFRINIC veillera à ce que les journalistes puissent escalader et signaler les comportements frauduleux tels que: -
- Boîte aux lettres d'abus qui ne répond pas
- Abuse-mailbox qui ne répond qu'aux emails d'AFRINIC, ou aux messages avec un sujet ou un contenu spécifique)
- Non-respect des autres aspects de cette politique (incorrects ou absence de réponse aux cas d'abus)
De tels cas déclencheront la revalidation du contact abuse-c.
D. AFRINIC doit: -
- Prévoyez un délai raisonnable pour permettre à la fois au personnel de développer l'outil et aux membres de mettre à jour leurs contacts abus-c.
- La période initiale d'application de la conformité à la politique n'est pas spécifiée et, par conséquent, un alignement implicite avec la période de validation de 6 mois est supposé
Bénéficiez à AFRINIC
- La précision du WHOIS base de données en termes d'abus de contacts augmentera au fur et à mesure que ses membres adopteront et mettront en place un contact d'abus conformément à cette politique.
- Le nombre de tickets enregistrés pour les rapports d'abus peut diminuer car les journalistes pourront interroger WHOIS DB pour obtenir les adresses e-mail d'abus auxquelles ces rapports doivent être dirigés.
2 Recommandations AFRINIC
Aucune
3 Demandes de clarification d'AFRINIC
Aucune
4 Impact sur les fonctions de registre
Si cette proposition de politique parvient à un consensus ;
- une amélioration de l'exactitude et de l'actualité des données du registre est attendue, car les attributs « abuse-mailbox : » devraient être à jour et corrects.
- le nombre d'e-mails d'abus qui sont dirigés vers les files d'attente d'AFRINIC en raison du manque de contacts d'abus devrait actuellement diminuer.
Mois | Jun-20 | Jul-20 | Aug-20 | Sep-20 | Oct-20 | Nov-20 | Dec-20 | Jan-21 | Feb-21 | Mar-21 | Apr-21 | Mai-21 |
Nombre de billets | 557 | 1054 | 129 | 100 | 61 | 81 | 112 | 117 | 86 | 133 | 106 | 122 |
Processus 4.1
Le ou les processus qui régissent la gestion des informations de contact des membres ressources seront modifiés pour inclure le contact abusif.
Procédures 4.2
Les procédures MS nécessiteront des mises à jour comme suit :
- Une nouvelle procédure/sous-processus à développer pour la validation de l'abus-c/abuse-mailbox.
Documentation 4.3
Mise à jour du site Web avec une directive de politique abuse-c
4.4 Systèmes - RPKI
Sans impact
4.5 Systèmes - WHOIS
L'abus-c doit être un objet de personne / rôle sur le whois base de données. abuse-mailbox est déjà un attribut de l'objet person / role.
- L'attribut abuse-c doit être ajouté sur le WHOIS base de données comme attribut aux objets inetnum, inet6num et aut-num
- déprécier l'objet IRT
- Supprimez les attributs mnt-irt des objets inetnum, inet6num et aut-num.
- Ajoutez des règles de validation pour forcer la boîte aux lettres abuse sur les objets de personne et de rôle qui sont référencés via l'attribut abuse-c.
- A WHOIS la requête de l'inetnum, inet6num et aut-num doit fournir le contact d'abus dans la réponse.
Répartition de l'analyse
Objet | Compter WHOIS DB | Protégé par MNT-IRT |
inetnum | 139268 | 232 |
inet6num | 31230 | 33 |
num-aut | 1915 | 32 |
Organisations membres: 28 sur un total de 1857 membres ressources ont adopté la politique actuelle de contact en cas d'abus et 27 objets IRT (sur 42 objets IRT créés dans le WHOIS DB) sont référencés dans leurs ressources sur le whois base de données.
4.6 Systèmes - MyAFRINIC
Étant donné que les membres peuvent gérer leurs coordonnées à partir de MyAFRINIC, le développement de logiciels sera nécessaire pour mettre en œuvre cette politique sur MyAFRINIC
- Un codage sera nécessaire pour assurer la création/mises à jour/importation de contacts abusés
- Les contacts d'abus ne doivent pas avoir d'identifiants de connexion sur MyAFRINIC à moins qu'il ne soit également utilisé dans un autre rôle et qu'il soit donc maintenu par des contacts administratifs/techniques
- Mise à jour de l'émission des ressources / mise à jour des règles de gestion pour rendre abuse-c obligatoire (tout ou hors héritage TBC)
- Mises à jour des formulaires de sous-allocation et d'affectation avec la règle métier sur l'abus-c
- Un outil pour valider les boîtes aux lettres tel que mandaté par cette proposition de politique devra être mis en œuvre et abuser des contacts marqués comme valides / non valides
- Un outil permettant aux membres de mettre en œuvre l'abus-c sera développé.
4.7 Systèmes - NMRP
Étant donné que l'abus-c deviendra obligatoire, des modifications seront également nécessaires sur le NMRP où le demandeur doit fournir l'e-mail de la boîte aux lettres d'abus à ajouter aux ressources si la demande est approuvée.
4.8 Systèmes - Infrastructure
Sans effet
4.9 Systèmes - Netsuite
Sans effet
4.10 Impact sur les détenteurs de ressources
Outre les objets Personne / rôle existants qui servent de contacts administratifs et techniques, les membres doivent: -
- fournir un contact abuse-c à AFRINIC qui est valide, surveillé et activement géré
- assurez-vous que les e-mails envoyés à la boîte aux lettres abuse-c dans le contact abuse-c
- Exiger leur intervention
- Ne doit pas obliger le journaliste à remplir un formulaire.
- Doit garantir la réception des rapports d'abus et des journaux, exemples ou en-têtes de courrier électronique associés.
- Assurez-vous que leurs procédures internes de traitement des abus reflètent ce qui précède afin de se conformer à la politique.
- L'assistance technique (y compris le service d'assistance/les applications de ressources) ne sera offerte qu'aux membres qui se conforment à cette politique.
- S'assurer qu'ils conservent à tout moment leurs informations de contact, y compris abuse-c, afin d'être en conformité avec cette politique et le RSA
5 Impact financier
Sans effet
6 Impact juridique
Au cas où cette politique parviendrait à un consensus, le non-respect de cette politique par un membre d'AFRINIC sera considéré comme une violation de la clause RSA et le membre sera encouragé à remédier à la violation. Le non-respect persistant peut entraîner la révocation du RSA conformément à la clause.
7 Calendrier de mise en œuvre
L'AFRINIC a pris note qu'elle peut modifier annuellement, les périodes initiales/d'escalade et la périodicité de validation fixées par cette politique, compte tenu des procédures internes, des besoins en personnel et des données réelles, compte tenu à la fois d'un démarrage lent et d'un suivi de l'exactitude des Les données. Les motifs des modifications doivent être dûment communiqués à la communauté.
À cet égard, si cette politique parvient à un consensus, AFRINIC adoptera une mise en œuvre progressive tout en tenant la communauté informée.