[lacnog] debe LACNIC implicarse en la lucha contra el SPAM ?

[Octavio Alvarez]

On 29/10/14 17:08, JORDI PALET MARTINEZ wrote:
> 1) Yo me inscribo en tu lista de ³news² por ejemplo a traves de una web.
> 
> 2) Para confirmar que he sido yo, me envias un email de confirmacion y
> tengo que pinchar un enlace.
> 
> 3) Si no pinco el enlace en x horas, no puedes mantener el email en tu
> lista, y hasta que no lo pinche no puedes volver a enviarme jamas ningun
> otro email, ni recordatorio, ni promocion ni nada.
> 
> 4) Tu tienes que guardar registros de ese proceso.
> 
> 5) Si yo digo que yo no me he inscrito, tu tienes los registros, y por
> tanto no eres un spammer.
> 
> 6) Si alguien me inscribio como una broma (o el propio spammer lo hizo),
> no tendra el registro que confirme que ³yo pinche² el email, y por tanto
> no podra haberme enviado SPAM. Si lo ha hecho, es un SPAMMER.
> 
> Creo que es facil, no ?

No necesariamente. ¿Cómo sabemos si las agencias de mercadotecnia están
conscientes de esto, que para nosotros es obvio? Además, si la ley del
correspondiente país no exige explícitamente seguir la práctica de la
confirmación de e-mail, no hay nada que hacer legalmente.

> Logicamente esto tiene que ser establecido por la ley de cada país, y asi
> se hace en muchos países.

Y si no está establecido, ¿significa que es válido el spam? Por eso no
creo que sea conveniente entrar en temas de leyes, porque también las
leyes son un punto de falla.

> Obviamente por eso las leyes suelen ser muy parecidas y mas en asuntos de
> proteccion de datos como este.

Pero las leyes cambian en cada lugar y meterse en legislación es
demasiado arriesgado.

> Por estos mismos procedimientos es facil hasta cierto punto, automatizar
> las RBL, pero creo que lo ideal es que no haya ³cientos² de RBL en cada
> región, sino una única coordinada  por una entidad como LACNIC en cada
> region.

No, porque entonces esa RBL sería un "punto simple de falla" (SPoF) en
la lucha contra Spam. Si hay sólo una RBL, entonces los "astutos"
podrían simplemente darle un manejo especial a la RBL y arrojar
resultados falsos.

Por eso digo que debemos buscar otro tipo de soluciones; por ejemplo,
facilitar la automatización de las siguientes pruebas:

1. ¿Tiene correctos sus registros DNS, SPF y demás requisitos técnicos?
2. ¿Admite la suscripción de direcciones nombre+etiqueta en dominio.com?
3. ¿Funciona la liga de "desuscripción"?
4. ¿La desuscripción se realiza sin toma de represalia? (ok, te
desuscribo de mi lista pero en represalia te agrego a otra lista)
5. ¿Las lista de distribución fue compilada de manera adecuada?

Si hacemos una RBL automatizados por cada uno de estos criterios, lo
único que se hace es "documentar la verdad" y eso no se sale de la
legalidad. Con esto:

* Se hace posible trabajar con las agencias *que sí quieren* mejorar sus
prácticas.

* Se podría publicar una lista de agencias que pasan todas las pruebas,
lo que les daría "endorsement" por parte de LACNIC y potencialmente de
la comunidad.

* Los usuarios podrían consultar las listas de manera independiente para
saber si vale la pena denunciar o si basta con hacer "opt-out".

* Se pueden dar cursos sobre cómo pasar estas pruebas.

Saludos.