Détails
Réf. Prénom: AFPUB-2018-GEN-001-DRAFT02 |
versions: 2.0 Statut: En discussion |
Auteur: Jordi Palet Martínez jordi.palet [at] theipv6company.com The IPv6 Company
|
Modifie: Art CPM 8.0 | ||
Soumis: 20 Novembre 2018 |
Proposition
1.0 Résumé du problème traité par cette proposition
La politique actuelle n'implique pas l'obligation d'enregistrer un contact abusif et spécifie un format de communication personnelle et de «signalement automatique», qui, par rapport aux autres RIRs devient déroutant, car un seul e-mail sera plus efficace, car à la fin, les rapports sont copiés dans les deux e-mails.
En conséquence, certains LIR peuvent ne pas avoir ces informations de contact enregistrées et à jour pour leurs ressources. En fait, il existe même des cas de LIR qui utilisent une boîte aux lettres inexistante ou qui n'est pas activement surveillée.
En pratique, ce contact devient inefficace pour signaler des abus et entraîne généralement des problèmes de sécurité et des coûts pour les victimes.
Cette proposition vise à résoudre ce problème et à garantir l’existence d’un contact approprié contre les abus et le processus de son utilisation, qui est plus uniforme dans tous les pays. RIRs, afin de faciliter le signalement des abus entre régions.
Les références politiques existantes à un «document sur les meilleures pratiques», qui n'est pas considéré comme obligatoire et en fait, n'est pas utilisé par la communauté. Cette proposition ne modifie pas la portée de ce document et, en fait, un lien entre les quelques objets IRT existants et le nouveau devrait être automatiquement établi.
De cette façon, le contact avec AFRINIC en cas d'abus sera conforme aux autres RIRs. L'APNIC utilise maintenant l'IRT, mais comme une proposition équivalente a été acceptée, un «lien» automatisé avec l'IRT existant sera créé, donc l'abus-c et l'abus-boîte aux lettres prévaudront.
Il n'est pas nécessaire de supprimer les autres données facultatives incluses aujourd'hui dans l'IRT. Cette politique garantit simplement que la boîte aux lettres d'abus est disponible et vérifiée périodiquement.
2.0 Résumé de la façon dont cette proposition résout le problème
La communauté Internet est basée sur la collaboration. Cependant, dans de nombreux cas, cela ne suffit pas et nous devons tous être en mesure de contacter les LIR qui peuvent rencontrer des problèmes dans leurs réseaux et ne sont pas conscients de la situation.
Cette proposition crée une nouvelle section dans le manuel des politiques pour résoudre ce problème au moyen d'une vérification simple et périodique, et établit les règles de base pour effectuer une telle vérification et évite ainsi des coûts inutiles aux tiers qui doivent contacter les personnes chargées de résoudre le problème. abus d'un réseau spécifique.
La proposition garantit que le coût du traitement de l'abus incombe au LIR dont le client est à l'origine de l'abus (et de qui il reçoit une compensation financière pour le service), au lieu de tomber sur la victime, comme ce serait le cas s'il devait recourir aux tribunaux, évitant ainsi des frais (avocats, solicitors, etc.) et un gain de temps pour les deux parties.
Pour cela, l'attribut abuse-c devient obligatoire dans les objets "aut-num", "inetnum" et "inet6num", ainsi que dans tous les autres qui pourraient être utilisés à l'avenir. Cet attribut est un contact abusif, qui doit contenir au moins l'attribut "boîte aux lettres abusive".
La proposition devrait être mise en œuvre dans 90 jours, à confirmer par AFRINIC, un délai raisonnable pour permettre au personnel de développer l'outil et aux LIR de mettre à jour leurs contacts d'abus-c.
3. Proposition
3.1 Modifier le 8.0 de la RPC, comme suit:
Actuel |
Proposition |
8.1 Introduction Cette politique spécifie un objet dédié qui doit être utilisé comme lieu préféré pour publier des informations de contact public abusives dans la région de service AFRINIC. L'objet mentionné peut être référencé dans les objets inetnum, inet6num et aut-num dans l'AFRINIC whois Base de données. Il fournit un moyen plus précis et efficace pour les rapports d'abus d'atteindre le bon contact réseau |
8.1 Introduction Cette politique spécifie un objet obligatoire qui doit être utilisé pour publier des informations de contact public abusives dans la région de service AFRINIC. L'objet mentionné doit être référencé dans les objets inetnum, inet6num et aut-num dans l'AFRINIC whois Base de données. Il fournit un moyen plus précis et efficace pour les rapports d'abus d'atteindre le bon contact. |
8.2 Détails de la politique: Pour rendre disponible un nouveau ou utiliser un déjà existant whois objet de base de données qui implémente les propriétés suivantes:
L'objet doit être accessible via le whois protocole. AFRINIC pour publier un Document sur les meilleures pratiques qui encourage tous les membres à utiliser activement l'objet pour publier les coordonnées d'abus. |
8.2 Description de «abuse-c» et «abuse-mailbox» Toutes les ressources allouées par AFRINIC doivent inclure un attribut de contact "abus-c" obligatoire (contact abusif) dans leur correspondant WHOIS entrée, avec au moins une boîte aux lettres électronique valide, surveillée et gérée activement (boîte aux lettres d'abus) destinée à recevoir des rapports manuels ou automatiques concernant les comportements abusifs, les problèmes de sécurité, etc. L'attribut "abuse-mailbox" doit être disponible sans restriction via whois, API et techniques futures. Compte tenu de la nature hiérarchique des objets d'adresse IP, les objets enfants de ceux directement distribués par AFRINIC peuvent être couverts par des objets parents ou ils peuvent avoir leur propre attribut "abuse-c". Suivant les pratiques habituelles, d'autres attributs "e-mail" peuvent être inclus à d'autres fins. |
8.3 Avantages et inconvénients de la politique
Avantages 8.3.1
8.3.2 Inconvénients Cet objet, comme tous les autres objets existants, sera confronté au problème de précision des données. Cette politique vise à résoudre le problème d'une place manquante pour les coordonnées d'abus et n'améliorera pas l'exactitude des données dans le whois base de données. Néanmoins, il est suggéré à AFRINIC de proposer un moyen de recevoir des rapports sur des objets non fonctionnels ou non précis. |
8.3 À propos de la "boîte aux lettres d'abus" Les e-mails envoyés à la "boîte aux lettres d'abus" doivent nécessiter une intervention manuelle du destinataire à un moment donné et peuvent ne pas être filtrés, car dans certains cas, cela pourrait empêcher la réception des rapports d'abus, par exemple dans un cas de spam où le rapport d'abus pourrait inclure le message de spam lui-même ou URL ou contenu généralement classé comme spam. La "boîte aux lettres d'abus" peut initialement envoyer une réponse automatique, par exemple en attribuant un numéro de ticket, en appliquant des procédures de classification, en demandant des informations supplémentaires, etc. Cependant, elle ne devrait pas exiger que le déclarant d'abus remplisse un formulaire, car cela impliquera que chaque entreprise qui doit signaler des cas d'abus (une tâche qui est généralement automatisée), serait obligée de développer une interface spécifique pour chaque FAI dans le monde qui rend obligatoire le remplissage des formulaires, ce qui n'est ni faisable ni logique, car cela placerait le coût de traiter la maltraitance sur ceux qui présentent la demande et sont donc victimes de la maltraitance, au lieu d'être payés par ceux dont le client est à l'origine de la maltraitance (et dont ils tirent un revenu). À titre d'information, il convient de noter qu'il est raisonnable de s'attendre à ce que la procédure de signalement des abus envoie, avec le rapport d'abus initial, les journaux, une copie du message de spam (en joignant un exemple de courrier électronique de spam ou ses en-têtes complets) ou des preuves équivalentes (selon le type d'abus). De même, il est raisonnable de s'attendre à ce que l'e-mail de réponse automatique initial précise que la réclamation ne sera traitée que si de telles preuves ont été soumises, permettant ainsi à l'expéditeur de répéter la soumission et d'inclure des preuves pertinentes. Cela permet un reporting automatique, par exemple via fail2ban, SpamCop ou autres, en maintenant les coûts au minimum pour les deux parties impliquées. |
8.4 Objectifs de la validation "abuse-c" / "abuse-mailbox" La procédure, qui sera développée par AFRINIC, doit répondre aux objectifs suivants: 1) Un processus simple qui garantit sa fonctionnalité et permet aux helpdesks qui traitent des signalements d'abus de vérifier que les demandes de validation proviennent bien d'AFRINIC et non de tiers (ce qui pourrait impliquer des risques de sécurité), en évitant par exemple un seul "direct" URL de validation. 2) Évitez le traitement automatisé. 3) Confirmer que la personne effectuant la validation comprend la procédure et la politique, qu'elle surveille régulièrement la "boîte aux lettres d'abus", que des mesures sont prises et que le rapport d'abus reçoit une réponse. 4) Période de validation ne dépassant pas 15 jours. 5) Si la validation échoue, passez au LIR et définissez une nouvelle période de validation ne dépassant pas 15 jours. Les périodes de validation «initiale» et «escalade» peuvent être modifiées par AFRINIC, si cela est jugé approprié, en informant la communauté de la motivation. Par exemple, elle pourrait être plus longue pour la première validation, une fois cette politique mise en œuvre, et raccourcie ensuite une fois que le pourcentage d'échecs diminue, de sorte que la qualité des contacts augmente et par conséquent une diminution des temps de réponse moyens en cas d'abus pourrait être attendue. (À titre d'exemple, une procédure détaillée est incluse dans cette proposition de politique sous "Informations supplémentaires"). |
|
8.5 Validation de "abuse-c" / "abuse-mailbox" AFRINIC validera la conformité avec les éléments ci-dessus, à la fois lorsque les attributs "abuse-c" et / ou "abuse-mailbox" sont créés ou mis à jour, ainsi que périodiquement, au moins une fois tous les 6 mois, et chaque fois qu'AFRINIC le juge opportun. À la discrétion d'AFRINIC, en général ou dans des cas spécifiques (par exemple, pour confirmation en cas d'escalade sous 8.6), AFRINIC peut utiliser des domaines autres qu'AFRINIC. *, Et même modifier le sujet et le corps du message, afin de effectuer lesdites validations plus efficacement. AFRINIC effectuera un suivi plus exhaustif, conformément aux politiques / procédures pertinentes d'AFRINIC, en particulier celles relatives à la révocation des ressources. La fréquence de la validation périodique pourrait être modifiée si l'AFRINIC le juge approprié et informe la communauté de ses raisons. Par exemple, une seule validation pourrait être effectuée au cours de la première année, pour faciliter le respect de la politique, puis le nombre de validations annuelles pourrait augmenter progressivement, atteignant même trimestriellement, dans le but d'améliorer la qualité des contacts. |
|
8.6 Escalade vers AFRINIC Pour éviter un comportement frauduleux (par exemple, une "boîte aux lettres d'abus" qui ne répond qu'aux e-mails d'AFRINIC, ou à des messages avec un sujet ou un contenu spécifique), ou le non-respect des autres aspects de cette politique (incorrect ou absence de réponse à cas d'abus) et, par conséquent, pour garantir la qualité des services dans la région avec les ressources allouées par AFRINIC, une méthode d'escalade devrait être prévue (par exemple, une boîte aux lettres comme "cette adresse e-mail qui est protégée du spam. Vous devez activer JavaScript pour la voir."), permettant ainsi une revalidation (selon la section 8.5 ci-dessus) et même l'intermédiation par AFRINIC et, le cas échéant, l'application des politiques / procédures pertinentes, notamment celles relatives à la révocation des ressources. |
3.2 Informations complémentaires
Une fois cette proposition mise en œuvre, AFRINIC publiera également l'IRT en tant qu'abus-c, afin de faciliter la recherche dans whois pour les mêmes informations, peu importe si vous recherchez abuse-c ou IRT. Le reste des informations réelles dans l'IRT, peut être conservé selon les directives actuelles (qui devront être mises à jour par AFRINIC). Ceci est fait afin d'assimiler l'IRT à la majorité des RIRs où il est abusif-c.
Exemple de procédure de validation.
- AFRINIC lance automatiquement la validation en envoyant DEUX courriels consécutifs à la "boîte aux lettres d'abus".
- Ces e-mails seront envoyés contenant uniquement du texte brut.
- Le premier e-mail contiendra l'URL où la validation doit être effectuée ("validacion.AFRINIC.net") et peut contenir des informations sur la procédure, un bref résumé de cette politique, etc.
- Le deuxième e-mail contiendra un code de validation alphanumérique unique.
- Le responsable de la "boîte aux lettres d'abus" doit se rendre sur l'URL et coller le code reçu dans le deuxième email du formulaire.
- Cette URL doit être conçue de manière à empêcher l'utilisation d'un processus automatisé (par exemple, "captcha"). En outre, il doit contenir un texte confirmant que la personne effectuant la validation comprend la procédure et la politique, qu'elle surveille régulièrement la "boîte aux lettres d'abus", que des mesures sont prises pour résoudre les cas d'abus signalés et que le rapport d'abus reçoit une réponse, avec une "case à cocher" qui doit être acceptée pour continuer.
- Le code alphanumérique ne sera valable que pour un maximum de deux jours ouvrables.
- Si le code n'est pas saisi dans ce délai, le système marquera "abuse-c" comme "temporairement invalide" et alertera le personnel d'AFRINIC afin qu'il puisse initier un suivi personnalisé avec le LIR.
- Si aucune réponse n'est reçue confirmant que la situation a été corrigée, après un délai supplémentaire de trois jours ouvrables, le "abuse-c" sera marqué de manière permanente comme "invalide".
- Le processus de validation sera répété automatiquement (points 1 à 7 ci-dessus). S'il est satisfaisant, le "abuse-c" sera marqué comme "valide"; sinon, il sera considéré comme contraire à la politique.
4. Historique des révisions
Date |
Détails |
20 Novembre 2018 |
Version 2 : AFPUB-2018-GEN-001-DRAFT02 |
12 Mars 2018 |
Version 1 : AFPUB-2018-GEN-001-DRAFT01 Initiales Draft Publié sur rpd |
5. Références
Une proposition similaire a été discutée dans la région du RIPE et attend que les coprésidents déclarent un consensus.
Historique des révisions
Date |
Détails |
20 Novembre 2018 |
Version 2 : AFPUB-2018-GEN-001-DRAFT02 |
12 Mars 2018 |
Version 1 : AFPUB-2018-GEN-001-DRAFT01 Initiales Draft Publié sur rpd |
Évaluation du personnel
Proposition | AFPUB-2018-GEN-001-DRAFT02 |
Titre | Mise à jour de la politique Abuse Contact Policy Update |
URL de la proposition | https://www.afrinic.net/policy/2018-gen-001-d2#proposal |
évaluée | 20 Avril 2019 |
1.0 Compréhension de la proposition par le personnel
- Texte de la politique de remplacement du CPM 8.0 actuel (coordonnées d'abus) - [sec 8.1]
- Introduit un attribut obligatoire "abuse-c" dans inetnum, inet6num et aut-num whois objets de base de données. La valeur de cet attribut est une adresse e-mail (boîte aux lettres d'abus), à laquelle toutes les informations relatives à l'abus doivent être envoyées. La boîte aux lettres d'abus est facultative dans les objets enfants des allocations ou affectations directes parentes émises par AFRINIC - [sec 8.2]
- La boîte aux lettres d'abus doit être valide et activement surveillée - [sec 8.2]
- Les e-mails envoyés à la boîte aux lettres d'abus doivent nécessiter une intervention manuelle du destinataire - [sec 8.3]
- AFRINIC doit mettre à disposition un système pour valider la boîte aux lettres d'abus. Le processus réel est laissé à la discrétion du personnel d'AFRINIC, mais pourrait suivre un exemple de procédure dans la section 3.2 de la proposition de politique - [section 8.4]
- AFRINIC doit bloquer MyAFRINIC accès pour les membres non conformes. Toutes les fonctions dans MyAFRINIC autre que la mise à jour de l'abus-mailbox sera bloqué jusqu'à ce que l'abus-mailbox ait été validé avec succès. - [article 8.5]
- Un mécanisme d'escalade vers AFRINIC (par exemple via une adresse e-mail) doit être fourni lorsque toute préoccupation concernant le processus de validation peut être signalée par la communauté et / ou les membres. Cela peut également vous aider à revalider manuellement. - [sec 8.6]
2.0 Commentaires du personnel
- Il existe déjà une solution existante via l'objet IRT, qui est actuellement facultative - (et qui semble répondre à l'intention de la proposition) - qui peut être rendue obligatoire pour les objets ressources directement émis par AFRINIC. Un avantage supplémentaire de l'utilisation de l'IRT est qu'il peut contenir plus d'informations qu'une simple adresse e-mail, comme une adresse physique, des numéros de téléphone et des clés PGP pour une communication sécurisée.
- Dans le texte de la proposition 3.2, "Après la mise en œuvre de cette proposition, AFRINIC publiera également l'IRT en tant qu'abus-c, afin de faciliter la recherche dans whois pour les mêmes informations, que vous recherchiez abuse-c ou IRT ... "La proposition doit être claire de la solution exacte dans SOIT la boîte aux lettres abus (avec une adresse e-mail) et / ou un objet IRT. L'IRT est actuellement une valeur de l'attribut "mnt-irt". Il n'est pas clair si "IRT" doit être une valeur pour l'attribut abuse-c ou si la "boîte aux lettres abus" référencée dans un "irt" doit être la valeur de l'attribut abuse-c, ou si l'attribut "mnt-irt" doit être renommé "abuse-c". Dans tous les cas, la proposition doit être plus claire sur une solution, mais nous recommandons de maintenir l'IRT et de le rendre obligatoire.
- Dans la proposition 8.5 où MyAFRINIC l'accès aux membres avec des contacts abusifs invalides est bloqué, les comptes bloqués ne pourraient pas voter à l'AGMM ou à d'autres élections obligeant les membres à voter en ligne, car cela se fait par MyAFRINIC. (Avis du conseiller juridique dans la section 3.0 ci-dessous). La proposition n'est cependant pas claire sur la signification de "blocage de l'accès de ce compte à ses ressources". Nous suggérons de reformuler pour spécifier qu'aucun objet de base de données (y compris WHOIS et objets IRR) peuvent être modifiés sauf pour ajouter une boîte aux lettres abuse-c ou abuse-box. Si l'auteur a l'intention de bloquer le vote, la mesure punitive est certainement disproportionnée par rapport à l'infraction, mais n'est pas un acte illégal dans la loi mauricienne.
- Dans la version 8.6 proposée, il est préférable de ne pas spécifier d'adresse e-mail (pour les interventions manuelles et les escalades), car cela pourrait changer. Il vaut mieux reformuler comme "AFRINIC devrait fournir une méthode pour signaler ou escalader .. adresses e-mail d'abus invalides"
3.0 Commentaires du conseiller juridique
Le non-respect d'une obligation administrative telle que la mise à jour des informations de contact ne peut pas être interprété comme une infraction aussi grave pour justifier le blocage de l'accès qui entraînerait la perte des droits de vote. Cette sanction ultime est disproportionnée par rapport au non-respect et doit être réexaminée. Ce n'est cependant pas un acte illégal en droit mauricien.
4.0 Implémentation
4.1 Chronologie et impact: environ 6 mois de travail de développement logiciel.
4.2 Exigences de mise en œuvre: modifications WHOIS base de code en fonction de la solution qui sera finalement ratifiée.