Detalhes
Ref. Nome: AFPUB-2018-GEN-001-DRAFT01 |
Versões: 1.0 Estado: Em discussão |
Autor: Jordi Palet Martinez jordi.palet [at] theipv6company.com A IPv6 Sobre
|
Altera: CPM arte 8.0 | ||
Submetido: 12 agosto 2018 |
Proposta
1.0 Resumo do problema tratado nesta proposta
A política atual não implica a obrigação de registrar um contato de abuso e especifica um formato para comunicação pessoal e para "denúncia automática", que - em comparação com outros RIRs, torna-se confuso, pois um único e-mail será mais eficiente, pois, ao final, os relatórios são copiados para os dois e-mails.
Como resultado, alguns LIRs podem não ter essas informações de contato registradas para seus recursos. Na verdade, existem até casos de LIRs que usam uma caixa de correio inexistente ou que não é monitorada ativamente.
Na prática, esse contato se torna ineficaz para denunciar abusos e geralmente gera problemas de segurança e custos para as vítimas.
Esta proposta visa solucionar o problema e garantir a existência de um contato abuse-c adequado e o processo para sua utilização, mais uniforme em todas as RIRs, a fim de facilitar a denúncia de abuso entre regiões.
2.0 Resumo de como esta proposta aborda o problema
A comunidade da Internet é baseada na colaboração. Em muitos casos, entretanto, isso não é suficiente e todos nós precisamos ser capazes de entrar em contato com os LIRs que podem estar enfrentando um problema em suas redes e podem não estar cientes da situação.
Esta proposta cria uma nova seção no Manual de Políticas para solucionar este problema por meio de uma verificação simples e periódica, e estabelece as regras básicas para a realização dessa verificação e, assim, evita custos desnecessários a terceiros que precisam entrar em contato com os responsáveis pela resolução do abusos de uma rede específica.
A proposta garante que o custo do processamento do abuso recai sobre o LIR cujo cliente está causando o abuso (e de quem recebe uma compensação financeira pelo serviço), em vez de recair sobre a vítima, como seria o caso se tivesse que recorrer aos tribunais, evitando custos (advogados, solicitadores, etc.) e poupando tempo a ambas as partes.
Para isso, o atributo abuse-c se torna obrigatório nos objetos "aut-num", "inetnum" e "inet6num", assim como em qualquer outro que possa ser usado no futuro. Este atributo é um contato de abuso, que deve conter pelo menos o atributo "abuse-mailbox".
Espera-se que a proposta seja implementada em 90 dias, a ser confirmada pela AFRINIC, um prazo razoável para permitir que a equipe desenvolva a ferramenta e os LIRs atualizem seus contatos abuse-c.
3. Proposta
Alterando 8.0 do CPM, como segue:
Atual |
Proposto |
8.1 Introdução Esta política especifica um objeto dedicado que deve ser usado como o local preferido para publicar informações de contato público de abuso na região de serviço do AFRINIC.
O objeto mencionado pode ser referenciado nos objetos inetnum, inet6num e aut-num no AFRINIC whois Base de dados. Ele fornece uma maneira mais precisa e eficiente para denúncias de abuso chegarem ao contato de rede correto |
8.1 Introdução Esta política especifica um objeto obrigatório que deve ser usado para publicar informações de contato público de abuso na região de serviço do AFRINIC.
O objeto mencionado deve ser referenciado nos objetos inetnum, inet6num e aut-num no AFRINIC whois Base de dados. Ele fornece uma maneira mais precisa e eficiente para denúncias de abuso chegarem ao contato correto. |
8.2 Detalhes da política: Para disponibilizar um novo ou usar um já existente whois objeto de banco de dados que implementa as seguintes propriedades:
O objeto deve ser acessível através do whois protocolo. AFRINIC para publicar um Documento de boas práticas que incentiva todos os membros a usar ativamente o objeto para publicar informações de contato de abuso. |
8.2 Descrição de "abuse-c" e "abuse-mailbox" Todos os recursos alocados pelo AFRINIC devem incluir um atributo de contato obrigatório "abuse-c" (contato de abuso) em seus correspondentes WHOIS entrada, com pelo menos uma caixa de entrada de e-mail válida, monitorada e ativamente gerenciada (caixa de correio de abuso) destinada a receber relatórios manuais ou automáticos sobre comportamento abusivo, questões de segurança e similares.
O atributo "abuse-mailbox" deve estar disponível de forma irrestrita via whois, APIs e técnicas futuras.
Considerando a natureza hierárquica dos objetos de endereço IP, os objetos filhos daqueles distribuídos diretamente pelo AFRINIC podem ser cobertos por objetos pais ou podem ter seu próprio atributo "abuse-c".
Seguindo práticas usuais, outros atributos de "email" podem ser incluídos para outros fins. |
8.3 Vantagens e desvantagens da política
Vantagens 8.3.1
8.3.2 Desvantagens Este objeto, como todos os outros objetos existentes, enfrentará o problema de precisão de dados. Esta política visa resolver o problema da falta de lugar para informações de contato abusivas e não vai melhorar a precisão dos dados no whois base de dados. No entanto, sugere-se à AFRINIC que ofereça uma forma de receber relatos sobre objetos que não funcionam ou não são precisos. |
8.3 Sobre a "caixa de correio de abuso" Os e-mails enviados para "caixa de correio de abuso" devem exigir intervenção manual do destinatário em algum momento, e não podem ser filtrados, pois em certos casos isso pode impedir o recebimento de denúncias de abuso, por exemplo - no caso de spam, pois incluiria a própria mensagem de spam ou URLs ou conteúdo geralmente classificado como spam.
A "caixa postal de abuso" pode inicialmente enviar uma resposta automática, por exemplo, atribuindo um número de tíquete, aplicando procedimentos de classificação, solicitando mais informações, etc. No entanto, pode não exigir o uso de um formulário, pois isso implicaria que cada empresa que precisa relatar casos de abuso (uma tarefa que normalmente é automatizada) seria forçada a desenvolver uma interface específica para cada caso, o que não é viável nem lógico, pois colocaria o custo de processamento do abuso sobre aqueles que enviam a reclamação e são, portanto, vítimas do abuso, em vez de serem pagos por aqueles cujo cliente causa o abuso (e de quem obtêm rendimentos).
A título de informação, é importante notar que é razoável que a pessoa que denuncia o abuso o faça desde o início e nessa primeira denúncia, enviando os logs, ou uma cópia da mensagem de spam (anexando um exemplo de e-mail de spam ou seus cabeçalhos completos) ou evidências semelhantes provando o abuso. Da mesma forma, é razoável esperar que o e-mail de resposta automática inicial especifique que a reclamação não será processada a menos que tal prova tenha sido apresentada, permitindo assim ao remetente a oportunidade de repetir a submissão e incluir as provas pertinentes. Isso permite relatórios automáticos, por exemplo, via fail2ban, SpamCop ou outros, mantendo os custos no mínimo para ambas as partes envolvidas. |
8.4 Objetivos da validação "abuse-c" / "abuse-mailbox" O procedimento, que será desenvolvido pela AFRINIC, deverá atender aos seguintes objetivos:
a) Um processo simples que garante sua funcionalidade e permite que os helpdesks que tratam de denúncias de abuso verifiquem se as solicitações de validação realmente vêm da AFRINIC e não de terceiros (o que pode envolver riscos de segurança), evitando, por exemplo, um único "direto" URL para validação.
b) Evite o processamento automatizado.
c) Confirme que a pessoa que realiza a validação entende o procedimento e a política, que monitora regularmente a "caixa de correio de abuso", que medidas são tomadas e que a denúncia de abuso recebe uma resposta.
d) O período de validação não deve ser superior a dois (2) dias úteis.
e) Se a validação falhar, encaminhe para o LIR e defina um novo período de validação não superior a três (3) dias úteis.
(A título de exemplo, um procedimento detalhado está incluído nesta proposta de política em "Informações Adicionais"). |
|
8.5 Validação de "abuse-c" / "abuse-mailbox" A AFRINIC validará o cumprimento dos itens acima, tanto quando os atributos "abuse-c" e / ou "abuse-mailbox" forem criados ou atualizados, como também periodicamente, pelo menos uma vez a cada três meses, e sempre que a AFRINIC considerar necessário.
A critério da AFRINIC, em geral ou em casos específicos (por exemplo, para confirmação em casos de escalonamento sob 8.6), a AFRINIC pode usar domínios diferentes do afrinic. * E até mesmo modificar o assunto e o corpo da mensagem, a fim de realizar essas validações de forma mais eficaz.
O não cumprimento implicará um acompanhamento mais exaustivo, de acordo com as políticas / procedimentos pertinentes da AFRINIC, especialmente aqueles relacionados com a revogação de recursos. |
|
8.6 Encaminhamento para AFRINIC Para evitar comportamento fraudulento (por exemplo, uma "caixa de correio abusiva" que responde apenas aos e-mails da AFRINIC ou a mensagens com um assunto ou conteúdo específico) ou a falha no cumprimento dos demais aspectos desta política (incorreto ou falta de resposta a casos de abusos) e, portanto, para garantir a qualidade dos serviços na região com os recursos alocados pela AFRINIC, será disponibilizada uma caixa postal (por exemplo, "Este endereço de e-mail está protegido contra spambots. Você deve habilitar o JavaScript para visualizá-lo."), para escalar tais situações, permitindo assim uma revalidação (conforme ponto 8.5 acima) e ainda a intermediação pela AFRINIC e, se for caso disso, a aplicação das políticas / procedimentos pertinentes, especialmente aqueles relacionados com a revogação de recursos. |
|
8.7 Informações adicionais Exemplo de procedimento de validação.
a) AFRINIC inicia a validação automaticamente, enviando DOIS emails consecutivos para a "caixa de correio de abuso". b) Esses emails serão enviados contendo apenas texto simples. c) O primeiro e-mail conterá o URL onde será realizada a validação ("validation.afrinic.net") e poderá conter informações sobre o procedimento, um breve resumo desta política, etc. d) O segundo e-mail conterá um código de validação alfanumérico exclusivo. e) O responsável pela “caixa de correio de abuso” deve ir até a URL e colar o código recebido no segundo e-mail do formulário. f) Este URL deve ser desenhado de forma a impedir a utilização de um processo automatizado (por exemplo, "captcha"). Além disso, deve conter um texto que confirme que a pessoa que realiza a validação compreende o procedimento e a política, que monitora regularmente a "caixa de correio de abuso", que medidas são tomadas para resolver os casos de abuso relatados e que o relatório de abuso recebe uma resposta, com uma "caixa de seleção" que deve ser aceita para prosseguir. g) O código alfanumérico só será válido por um período máximo de dois dias úteis. h) Se o código não for inserido dentro desse tempo, o sistema marcará o "abuse-c" como "temporariamente inválido" e alertará a equipe AFRINIC para que possam iniciar um acompanhamento personalizado com o LIR. i) Caso não seja recebida nenhuma resposta confirmando que a situação foi corrigida, após um período adicional de três dias úteis, o "abuse-c" ficará permanentemente marcado como "inválido". j) O processo de validação será repetido automaticamente (itens 'a' a 'g' acima). Se for satisfatório, o "abuse-c" será marcado como "válido"; caso contrário, será considerado uma violação da política. |
4. Histórico de Revisões
Data |
Detalhes |
12 Março de 2018 |
Versão 1: AFPUB-2018-GEN-001-DRAFT01 Inicie Draft Postado em rpd |
5. Referências
Uma proposta semelhante foi discutida na região do RIPE e está aguardando que os co-presidentes declarem consenso.