Détails
Réf. Prénom: AFPUB-2018-GEN-001-DRAFT01 |
versions: 1.0 Statut: En discussion |
Auteur: Jordi Palet Martínez jordi.palet [at] theipv6company.com The IPv6 Company
|
Modifie: Art CPM 8.0 | ||
Soumis: 12 Août 2018 |
Proposition
1.0 Résumé du problème traité par cette proposition
La politique actuelle n'implique pas l'obligation d'enregistrer un contact abusif et spécifie un format de communication personnelle et de «signalement automatique» qui, par rapport à d'autres RIRs, devient confus, car un seul e-mail sera plus efficace, car à la fin, les rapports sont copiés dans les deux e-mails.
Par conséquent, certains LIR peuvent ne pas avoir ces informations de contact enregistrées pour leurs ressources. En fait, il existe même des cas de LIR qui utilisent une boîte aux lettres inexistante ou qui n'est pas activement surveillée.
En pratique, ce contact devient inefficace pour signaler des abus et entraîne généralement des problèmes de sécurité et des coûts pour les victimes.
Cette proposition vise à résoudre le problème et à garantir l’existence d’un contact approprié contre les abus et le processus de son utilisation, qui est plus uniforme dans tous les pays. RIRs, afin de faciliter le signalement des abus entre régions.
2.0 Résumé de la façon dont cette proposition résout le problème
La communauté Internet est basée sur la collaboration. Dans de nombreux cas, cependant, cela ne suffit pas et nous devons tous être en mesure de contacter les LIR qui peuvent rencontrer des problèmes dans leurs réseaux et ne pas être au courant de la situation.
Cette proposition crée une nouvelle section dans le manuel des politiques pour résoudre ce problème au moyen d'une vérification simple et périodique, et établit les règles de base pour effectuer une telle vérification et évite ainsi des coûts inutiles aux tiers qui doivent contacter les personnes chargées de résoudre le problème. abus d'un réseau spécifique.
La proposition garantit que le coût du traitement de l'abus incombe au LIR dont le client est à l'origine de l'abus (et de qui il reçoit une compensation financière pour le service), au lieu de tomber sur la victime, comme ce serait le cas s'il devait recourir aux tribunaux, évitant ainsi des frais (avocats, solicitors, etc.) et un gain de temps pour les deux parties.
Pour cela, l'attribut abuse-c devient obligatoire dans les objets "aut-num", "inetnum" et "inet6num", ainsi que dans tous les autres qui pourraient être utilisés à l'avenir. Cet attribut est un contact abusif, qui doit contenir au moins l'attribut "boîte aux lettres abusive".
La proposition devrait être mise en œuvre dans 90 jours, à confirmer par AFRINIC, un délai raisonnable pour permettre au personnel de développer l'outil et aux LIR de mettre à jour leurs contacts d'abus-c.
3. Proposition
Modification de la version 8.0 du CPM, comme suit:
Actuel |
Proposition |
8.1 Introduction Cette politique spécifie un objet dédié qui doit être utilisé comme lieu préféré pour publier des informations de contact public abusives dans la région de service AFRINIC.
L'objet mentionné peut être référencé dans les objets inetnum, inet6num et aut-num dans l'AFRINIC whois Base de données. Il fournit un moyen plus précis et efficace pour les rapports d'abus d'atteindre le bon contact réseau |
8.1 Introduction Cette politique spécifie un objet obligatoire qui doit être utilisé pour publier des informations de contact public abusives dans la région de service AFRINIC.
L'objet mentionné doit être référencé dans les objets inetnum, inet6num et aut-num dans l'AFRINIC whois Base de données. Il fournit un moyen plus précis et efficace pour les rapports d'abus d'atteindre le bon contact. |
8.2 Détails de la politique: Pour rendre disponible un nouveau ou utiliser un déjà existant whois objet de base de données qui implémente les propriétés suivantes:
L'objet doit être accessible via le whois protocole. AFRINIC pour publier un Document sur les meilleures pratiques qui encourage tous les membres à utiliser activement l'objet pour publier les coordonnées d'abus. |
8.2 Description de «abuse-c» et «abuse-mailbox» Toutes les ressources allouées par AFRINIC doivent inclure un attribut de contact "abus-c" obligatoire (contact abusif) dans leur correspondant WHOIS entrée, avec au moins une boîte aux lettres électronique valide, surveillée et gérée activement (boîte aux lettres d'abus) destinée à recevoir des rapports manuels ou automatiques concernant les comportements abusifs, les problèmes de sécurité, etc.
L'attribut "abuse-mailbox" doit être disponible sans restriction via whois, API et techniques futures.
Compte tenu de la nature hiérarchique des objets d'adresse IP, les objets enfants de ceux directement distribués par AFRINIC peuvent être couverts par des objets parents ou ils peuvent avoir leur propre attribut "abuse-c".
Suivant les pratiques habituelles, d'autres attributs "e-mail" peuvent être inclus à d'autres fins. |
8.3 Avantages et inconvénients de la politique
Avantages 8.3.1
8.3.2 Inconvénients Cet objet, comme tous les autres objets existants, sera confronté au problème de précision des données. Cette politique vise à résoudre le problème d'une place manquante pour les coordonnées d'abus et n'améliorera pas l'exactitude des données dans le whois base de données. Néanmoins, il est suggéré à AFRINIC de proposer un moyen de recevoir des rapports sur des objets non fonctionnels ou non précis. |
8.3 À propos de la "boîte aux lettres d'abus" Les e-mails envoyés à la "boîte aux lettres d'abus" doivent nécessiter une intervention manuelle du destinataire à un moment donné et peuvent ne pas être filtrés, car dans certains cas, cela pourrait empêcher la réception des rapports d'abus, par exemple - dans le cas du spam, car il comprendrait le message de spam lui-même ou les URL ou le contenu généralement classés comme spam.
La "boîte aux lettres d'abus" peut initialement envoyer une réponse automatique, par exemple en attribuant un numéro de ticket, en appliquant des procédures de classement, en demandant des informations supplémentaires, etc. Cependant, elle peut ne pas nécessiter l'utilisation d'un formulaire, car cela impliquerait que chaque entreprise qui doit signaler les cas d'abus (une tâche généralement automatisée) serait obligé de développer une interface spécifique pour chaque cas, ce qui n'est ni faisable ni logique, car cela ferait peser le coût du traitement des abus sur ceux qui soumettent la demande et sont donc victimes de la violence, au lieu d'être payés par ceux dont le client est à l'origine de la violence (et dont ils tirent un revenu).
À titre d'information, il convient de noter qu'il est raisonnable que la personne signalant l'abus le fasse dès le début et dans ce premier rapport, en envoyant les journaux ou une copie du message de spam (en joignant un exemple de courrier indésirable). ou ses en-têtes complets) ou des preuves similaires prouvant l'abus. De même, il est raisonnable de s'attendre à ce que l'e-mail de réponse automatique initial précise que la réclamation ne sera traitée que si de telles preuves ont été soumises, permettant ainsi à l'expéditeur de répéter la soumission et d'inclure les preuves pertinentes. Cela permet un reporting automatique, par exemple via fail2ban, SpamCop ou autres, en maintenant les coûts au minimum pour les deux parties impliquées. |
8.4 Objectifs de la validation "abuse-c" / "abuse-mailbox" La procédure, qui sera développée par AFRINIC, doit répondre aux objectifs suivants:
a) Un processus simple qui garantit sa fonctionnalité et permet aux helpdesks qui traitent des signalements d'abus de vérifier que les demandes de validation proviennent bien d'AFRINIC et non de tiers (ce qui pourrait impliquer des risques de sécurité), en évitant, par exemple, un seul "direct" URL de validation.
b) Évitez le traitement automatisé.
c) Confirmer que la personne effectuant la validation comprend la procédure et la politique, qu'elle surveille régulièrement la "boîte aux lettres d'abus", que des mesures sont prises et que le rapport d'abus reçoit une réponse.
d) La période de validation ne doit pas dépasser deux (2) jours ouvrables.
e) Si la validation échoue, passez à la LIR et définissez une nouvelle période de validation ne dépassant pas trois (3) jours ouvrables.
(À titre d'exemple, une procédure détaillée est incluse dans cette proposition de politique sous "Informations supplémentaires"). |
|
8.5 Validation de "abuse-c" / "abuse-mailbox" AFRINIC validera la conformité avec les éléments ci-dessus, à la fois lorsque les attributs "abuse-c" et / ou "abuse-mailbox" sont créés ou mis à jour, ainsi que périodiquement, au moins une fois tous les trois mois, et chaque fois qu'AFRINIC le juge opportun.
À la discrétion d'AFRINIC, en général ou dans des cas spécifiques (par exemple, pour confirmation en cas d'escalade sous 8.6), AFRINIC peut utiliser des domaines autres que afrinic. *, Et même modifier le sujet et le corps du message, afin de effectuer lesdites validations plus efficacement.
Le non-respect impliquera un suivi plus exhaustif, conformément aux politiques / procédures AFRINIC pertinentes, notamment celles liées à la révocation des ressources. |
|
8.6 Escalade vers AFRINIC Pour éviter un comportement frauduleux (par exemple, une "boîte aux lettres d'abus" qui ne répond qu'aux e-mails d'AFRINIC, ou à des messages avec un sujet ou un contenu spécifique), ou le non-respect des autres aspects de cette politique (incorrect ou absence de réponse à cas d'abus) et, par conséquent, pour garantir la qualité des services dans la région avec les ressources allouées par AFRINIC, une boîte aux lettres sera disponible (par exemple, "cette adresse e-mail qui est protégée du spam. Vous devez activer JavaScript pour la voir."), pour aggraver ces situations, permettant ainsi une revalidation (selon la section 8.5 ci-dessus) et même l'intermédiation par AFRINIC et, le cas échéant, l'application des politiques / procédures pertinentes, notamment celles relatives à la révocation des ressources. |
|
8.7 Informations complémentaires Exemple de procédure de validation.
a) AFRINIC lance automatiquement la validation en envoyant DEUX courriels consécutifs à la "boîte aux lettres d'abus". b) Ces e-mails seront envoyés contenant uniquement du texte brut. c) Le premier e-mail contiendra l'URL où la validation doit être effectuée ("validation.afrinic.net") et peut contenir des informations sur la procédure, un bref résumé de cette politique, etc. d) Le deuxième e-mail contiendra un code de validation alphanumérique unique. e) Le responsable de la "boîte aux lettres d'abus" doit se rendre sur l'URL et coller le code reçu dans le deuxième email du formulaire. f) Cette URL doit être conçue de manière à empêcher l'utilisation d'un processus automatisé (par exemple, "captcha"). En outre, il doit contenir un texte confirmant que la personne effectuant la validation comprend la procédure et la politique, qu'elle surveille régulièrement la "boîte aux lettres d'abus", que des mesures sont prises pour résoudre les cas d'abus signalés et que le rapport d'abus reçoit une réponse, avec une "case à cocher" qui doit être acceptée pour continuer. g) Le code alphanumérique ne sera valable que pour un maximum de deux jours ouvrables. h) Si le code n'est pas entré dans ce délai, le système marquera "abuse-c" comme "temporairement invalide" et alertera le personnel d'AFRINIC afin qu'il puisse initier un suivi personnalisé avec le LIR. i) Si aucune réponse n'est confirmée que la situation a été corrigée, après un délai supplémentaire de trois jours ouvrables, le «abus-c» sera marqué de manière permanente comme «invalide». j) Le processus de validation sera répété automatiquement (éléments «a» à «g» ci-dessus). S'il est satisfaisant, le "abuse-c" sera marqué comme "valide"; sinon, il sera considéré comme contraire à la politique. |
4. Historique des révisions
Date |
Détails |
12 Mars 2018 |
Version 1 : AFPUB-2018-GEN-001-DRAFT01 Initiales Draft Publié sur rpd |
5. Références
Une proposition similaire a été discutée dans la région du RIPE et attend que les coprésidents déclarent un consensus.