Registro e validação de "abuse-c" e "abuse-mailbox"

Idioma Original Español Data Publicação 05/03/2018 Última Modificação 19/02/2018
Período de últimos comentários Não aplicável Data de ratificação Não aplicável Data de implementação Não aplicável
Estado Em discussão Baixar TXT PDF XML DOCX
Ver outras versões 1.0 2.0 (comparar)

Autores

Nome: Jordi Palet Martinez
E-mail: jordi.palet@consulintel.es
Organização: The IPv6 Company

Dados da Proposta

Tipo Política: LACNIC
Id: LAC-2018-5
Última versão: 2

Resumo

A política atual (ASN) não é clara em relação à obrigação de registrar um contato de abuse (abuse-c) nem ao formato específico, e se pode ser aplicada a outros casos de registros no whois.

Como resultado, pode haver LIR que não tenham esse contato registrado para seus recursos, ou ainda há casos de LIR que usam uma caixa de correio inexistente ou que não é processada.

Na prática, isso faz com que esse contato seja ineficaz para denunciar abusos e problemas de segurança e custos para as vítimas, em geral.

Esta proposta visa resolver o problema e garantir a existência de um contato abuse-c correto e o processo para seu uso.

Justificativa

A comunidade da Internet é baseada na colaboração, mas muitas vezes isso não é suficiente, pelo que seria necessário que todos nós pudéssemos contatar com aqueles LIR que têm um problema na rede, mas não o conhecem.

Esta proposta cria uma nova seção no manual de políticas, para permitir resolver este problema mediante uma simples verificação periódica, e estabelece as regras básicas para isso e, assim, evitar custos desnecessários para terceiros em sua função de contatar com os responsáveis de resolver os abusos de uma determinada rede.

A proposta garante que o custo do processamento dos abusos fica por conta do LIR cujo cliente está causando o abuso (e do qual recebe compensação financeira pelo serviço), em vez de recair sobre a vítima, como aconteceria se houvesse que ir ao tribunal, evitando assim o agravamento econômico (advogados, procuradores, etc.) e no tempo, para ambas as partes.

Para isso, o atributo abuse-c, que até agora era apenas referenciado para o objeto "aut-num", torna-se obrigatório nos objetos "inetnum" e "inetnum6", e qualquer um que venha surgir no futuro. Este atributo é um contato de abuso, que deve conter no mínimo o atributo "abuse-mailbox".

Texto

Texto atual: Não existe

Novo texto:

12. Registro e validação de "abuse-c" e "abuse-mailbox"

12.1. Descrição do "abuse-c" e "abuse-mailbox"
Todos os recursos alocados por LACNIC devem incluir obrigatoriamente, na entrada do WHOIS correspondente, o atributo de contato "abuse-c" (contato de abuso) com pelo menos um único e-mail (abuse-mailbox) válido, monitorado e devidamente atendido, que permita o envio de relatórios manuais ou automáticos de comportamentos abusivos, segurança e outros semelhantes.

O atributo "abuse-mailbox" deve estar disponível sem restrições através de whois, APIs e técnicas futuras.

Levando em conta a natureza hierárquica dos objetos de endereços IP, os objetos herdados de aqueles alocados diretamente por LACNIC, podem estar cobertos pelos objetos de nível superior ou ter seu próprio atributo "abuse-c".

Seguindo práticas usuais, outros atributos "e-mail" podem ser incluídos para outros fins.

12.2. Características do "abuse-mailbox"

Os e-mails enviados para "abuse-mailbox" devem exigir intervenção manual em algum momento, por parte do destinatário, e não podem estar filtrados, pois isso poderia impedir, que em alguns casos, o envio de um relatório de abuso, por exemplo, por spam, ao incluir a própria mensagem de spam ou URL ou conteúdos geralmente classificados como spam, evite sua recepção.

A caixa de correio "abuse-mailbox" poderá devolver inicialmente uma resposta automática, por exemplo, designando um número de bilhete, aplicando procedimentos de classificação, solicitando mais informações, etc. No entanto, não poderá exigir o uso de um formulário, pois isso implicaria que cada empresa que precise reportar abusos, geralmente de forma automatizada, seja forçada a desenvolver uma interface específica para cada caso de abuso, o que é inviável e ilógico, uma vez que faria recair o custo do processado dos abusos em quem envia a reclamação, quer dizer, a vítima do abuso, em vez de ser pago por aquele cujo cliente (e de quem recebe renda) causa o abuso.

Para fins de informação, vale a pena mencionar que o razoável é, que a pessoa que denuncia o abuso, faça isso desde o primeiro momento e nesse primeiro relatório, enviando os logs ou cópia do spam (anexando um exemplo do e-mail de spam ou seus cabeçalhos completos) ou similares, que demonstrem o abuso. Da mesma forma, é razoável esperar que o e-mail inicial de auto-resposta indique que, se esses registros não tiverem sido enviados, não serão atendidos, dando assim a oportunidade de repetir o envio com a evidência pertinente. Isso permite relatórios automatizados, por exemplo, mediante fail2ban, SpamCop ou outros, com um custo mínimo para ambas as partes.

12.3. Objetivos da validação do "abuse-c"/"abuse-mailbox"

O procedimento, que deverá ser desenvolvido por LACNIC, deve atender aos seguintes objetivos:

1) Processo simples que garanta a sua funcionalidade e permita aos "helpdesk" que atendem aos relatórios de abuso, verificar que os pedidos de validação são realmente provenientes de LACNIC e não de terceiras fontes (o que poderia envolver riscos de segurança), evitando, por exemplo, uma única URL "direta" para a validação..

2) Impedir um processo automatizado.

3) Confirmar que quem valida garante conhecer o procedimento, a política, que monitora regularmente o "abuse-mailbox", que toma medidas e responde ao relatório de abuso.

4) Período de validação não superior a 2 dias úteis.

5) Se não for validado corretamente, escalado com o LIR e um novo prazo, não superior a 3 dias úteis.

(como exemplo, propõe-se um procedimento detalhado em "Informações adicionais" desta proposta de política).

12.4. Validação do "abuse-c" e "abuse-mailbox"

LACNIC validará o cumprimento dos pontos acima, tanto no momento em que os atributos "abuse-c" e/ou "abuse-mailbox" são criados quanto modificados, periodicamente, não menos de uma vez a cada três meses e a qualquer momento que LACNIC considerar oportuno..

Ao critério de LACNIC, em forma generalizada ou em casos específicos (por exemplo, para a confirmação em casos de escalado de acordo com o ponto 12.5), LACNIC, para realizar as referidas validações, poderá usar domínios que não sejam lacnic.*, e até mesmo modificar o assunto e o corpo da mensagem,

O descumprimento implicará um acompanhamento mais exaustivo, de acordo com as políticas/procedimentos pertinentes de LACNIC e, principalmente, "7.1. Recuperação de recursos".

12.5. Mecanismo de escalado para LACNIC

A fim de evitar engano (por exemplo, "abuse-mailbox" que respondem somente aos e-mails de LACNIC, a um determinado assunto ou corpo da mensagem), ou a violação do restante dos aspectos desta política (a incorreta ou não atenção dos casos de abuso) e, portanto, para garantir a qualidade dos serviços na região com os recursos alocados por LACNIC, será disponibilizada uma caixa de correio (por exemplo, "escalado-abusos@lacnic.net"), que permita escalar as referidas situações, permitindo assim a revalidação (de acordo com o ponto 12.4 acima) e até a intermediação de LACNIC e, quando apropriado, a aplicação das políticas/procedimentos pertinentes e, principalmente, "7.1. Recuperação de recursos".

Informações Adicionais

Exemplo de procedimento de validação.
1) A validação começa de forma automatizada, por parte de LACNIC, com o envio de DOIS e-mails consecutivos para o "abuse-mailbox".

2) Esses e-mails terão exclusivamente formato de texto.

3) O primeiro dos e-mails vai conter a URL onde a validação deve ser realizada, que será "validacion.lacnic.net", e poderá conter informações sobre o procedimento, extrato desta política, etc.

4) O segundo dos e-mails vai conter um código alfanumérico único de validação.

5) O receptor que atende o "abuse-mailbox", deverá acessar à URL e colar no formulário o código recebido no segundo e-mail.

6) Esta URL deverá estar projetada de forma de impedir um processo automatizado (por exemplo, "captcha") e conterá um texto que confirme que o receptor da validação conhece o procedimento, a política e que monitora regularmente o "abuse-mailbox" e que são tomadas medidas adequadas para resolver os abusos relatados e responder a eles, com um "checkbox" que deve ser necessariamente aceito.

7) O código alfanumérico apenas será válido por um máximo de 2 dias úteis.

8) Se o código não for inserido nesse prazo, o sistema marcará o "abuse-c" como "provisoriamente inválido" e alertará equipe de LACNIC para que possa ser iniciado o acompanhamento personalizado com o LIR.

9) No caso de não obter uma resposta com a confirmação da correção da situação, em um período adicional de 3 dias úteis, o "abuse-c" será marcado de forma permanente como "inválido"..

10) O processo de validação será repetido automaticamente (pontos 1 a 7 acima) e, neste caso, o "abuse-c" será marcado como "válido" se for satisfatório, caso contrário, seria um caso de descumprimento da política.

Tempo de Implementação

90 dias, de forma prudencial e a ser confirmado com LACNIC, para permitir que o pessoal desenvolva a ferramenta e que os LIR atualizem seus contatos "abuse-c".

Referências

Em RIPE, uma proposta semelhante está sendo processada, embora ainda esteja em debate e não tenha atingido consenso (na data de envio desta proposta).