[lacnog] debe LACNIC implicarse en la lucha contra el SPAM ?

JORDI PALET MARTINEZ jordi.palet en consulintel.es
Jue Oct 30 07:24:30 BRST 2014


Hola Octavio,

Te contesto debajo.

Saludos,
Jordi






-----Mensaje original-----
De: Octavio Alvarez <alvarezp en alvarezp.ods.org>
Responder a: <alvarezp en alvarezp.ods.org>
Fecha: jueves, 30 de octubre de 2014, 1:54
Para: Jordi Palet Martinez <jordi.palet en consulintel.es>, Latin America and
Caribbean Region Network Operators Group <lacnog en lacnic.net>
Asunto: Re: [lacnog] debe LACNIC implicarse en la lucha contra el SPAM ?

>On 29/10/14 17:08, JORDI PALET MARTINEZ wrote:
>> 1) Yo me inscribo en tu lista de ³news² por ejemplo a traves de una web.
>> 
>> 2) Para confirmar que he sido yo, me envias un email de confirmacion y
>> tengo que pinchar un enlace.
>> 
>> 3) Si no pinco el enlace en x horas, no puedes mantener el email en tu
>> lista, y hasta que no lo pinche no puedes volver a enviarme jamas ningun
>> otro email, ni recordatorio, ni promocion ni nada.
>> 
>> 4) Tu tienes que guardar registros de ese proceso.
>> 
>> 5) Si yo digo que yo no me he inscrito, tu tienes los registros, y por
>> tanto no eres un spammer.
>> 
>> 6) Si alguien me inscribio como una broma (o el propio spammer lo hizo),
>> no tendra el registro que confirme que ³yo pinche² el email, y por tanto
>> no podra haberme enviado SPAM. Si lo ha hecho, es un SPAMMER.
>> 
>> Creo que es facil, no ?
>
>No necesariamente. ¿Cómo sabemos si las agencias de mercadotecnia están
>conscientes de esto, que para nosotros es obvio? Además, si la ley del
>correspondiente país no exige explícitamente seguir la práctica de la
>confirmación de e-mail, no hay nada que hacer legalmente.

El desconocimiento de la ley no exime de su cumplimiento, y creo que eso
es igual para todos los países del mundo !

Cuando en un juicio se argumenta “yo no lo sabia”, automaticamente has
perdido …

Pero ademas te aseguro que estas empresas SABEN perfectamente que el SPAM
es ilegal. En el ultimo año he denunciado mas de 300 casos, y si vieras
las respuestas que dan, son increibles, pero en todos los casos en los que
el spam es enviado por este tipo de agencias, se aprecia claramente que
quieren tomar el pelo a las agencias de proteccion de datos y que son
culpables.

Si tu envias SPAM a cuentas alojadas en España, DEBES conocer la ley
Española, y si no la conoces, es tu problema, eres culpable por ello.

Pongo otro ejemplo. Si decided alquilar un coche en otro país diferente
del tuyo, y conducir alli, es tu problema saber las diferencias, porque si
no cumples la ley seras multado y afortunadamente, entre la mayoria de los
países ya hay forma de cobrar la multa a traves de embargo de las cuentas,
salarios, etc., cuando regreses a tu país si no pagas dicha multa.

>
>> Logicamente esto tiene que ser establecido por la ley de cada país, y
>>asi
>> se hace en muchos países.
>
>Y si no está establecido, ¿significa que es válido el spam? Por eso no
>creo que sea conveniente entrar en temas de leyes, porque también las
>leyes son un punto de falla.

Insisto, el país donde estan alojados los servidores que reciben el SPAM.
Si en Brasil no hay penalizacion por el SPAM, pero si en España, y se
envia SPAM desde Brasil a España, el delito se esta cometiendo tambien en
España.

Es posible que si Brasil tambien tiene reglamentacion, al respecto,
tambien se este cometiendo delito en Brasil.

>
>> Obviamente por eso las leyes suelen ser muy parecidas y mas en asuntos
>>de
>> proteccion de datos como este.
>
>Pero las leyes cambian en cada lugar y meterse en legislación es
>demasiado arriesgado.

Recuerda el ejemplo del coche. Tu que conduces fuera de tu país eres quien
debe de conocer eso. Cada país tiene derecho a sus propias leyes, y como
he dicho en algun momento, afortunadamente, suelen ser bastante
coincidentes, y mas en estos temas.

>
>> Por estos mismos procedimientos es facil hasta cierto punto, automatizar
>> las RBL, pero creo que lo ideal es que no haya ³cientos² de RBL en cada
>> región, sino una única coordinada  por una entidad como LACNIC en cada
>> region.
>
>No, porque entonces esa RBL sería un "punto simple de falla" (SPoF) en
>la lucha contra Spam. Si hay sólo una RBL, entonces los "astutos"
>podrían simplemente darle un manejo especial a la RBL y arrojar
>resultados falsos.

Eso se puede remediar con los procedimientos, con copias de las RBL
sincronizadas, etc., etc., y cada vez que se detectan fallos, logicamente
se adapta el procedimiento.

>
>Por eso digo que debemos buscar otro tipo de soluciones; por ejemplo,
>facilitar la automatización de las siguientes pruebas:
>
>1. ¿Tiene correctos sus registros DNS, SPF y demás requisitos técnicos?
>2. ¿Admite la suscripción de direcciones nombre+etiqueta en dominio.com?
>3. ¿Funciona la liga de "desuscripción"?
>4. ¿La desuscripción se realiza sin toma de represalia? (ok, te
>desuscribo de mi lista pero en represalia te agrego a otra lista)
>5. ¿Las lista de distribución fue compilada de manera adecuada?

El 1 y el 2 no bastan.

El procedimiento de desuscripcion, 3, debe permitir borrar dominios
completos, incluso MX completos. Yo he comprobado como muchos spammers me
envian email, para ver si “aciertan” a estas direcciones:
Jordi en consulintel.es
Jordia en consulintel.es
Jordib en consulintel.es
Etc … imaginaros si tengo que desuscribirme de cada posible combinacion.

Y si no lo hago, venden esas bases de datos, y se multiplica el trafico
que recibo (lo veo en los registros de mi servidor), porque ademas IGNORAN
los emails devueltos !!! Es tan facil y tan barato enviar 1 millon o 10
millones de emails que por el momento les da igual !!!!


El punto 4 es muy habitual, lo hacen la mayoria de spammers, lo he
comprobado.

El punto 5, solo hay una forma adecuada: Consentimiento expreso y previo
del propietario del correo ! Eso no admite discusión. No sirve “sr. Le
pedimos permiso para enviarle email, si no nos contesta negativamente,
entenderemos que nos autoriza”.

>
>Si hacemos una RBL automatizados por cada uno de estos criterios, lo
>único que se hace es "documentar la verdad" y eso no se sale de la
>legalidad. Con esto:
>
>* Se hace posible trabajar con las agencias *que sí quieren* mejorar sus
>prácticas.
>
>* Se podría publicar una lista de agencias que pasan todas las pruebas,
>lo que les daría "endorsement" por parte de LACNIC y potencialmente de
>la comunidad.
>
>* Los usuarios podrían consultar las listas de manera independiente para
>saber si vale la pena denunciar o si basta con hacer "opt-out".
>
>* Se pueden dar cursos sobre cómo pasar estas pruebas.


Podria ser una opcion, tener la RBL “completa” y una RBL para cada uno de
los criterios, pero si yo soy administrador de un MX, desde luego que
usare la completa. Quien no sea 100% escrupuloso con la vigilancia de lo
que se hace en su red, si se cumple o no la ley, sobretodo el punto 5,
esta claro que quiere ganar dinero rapido y facil y le da igual el respeto
a los demas y es TAN DELINCUENTE Y SINVERGUENZA como quien ha hecho la
campaña.

Entiendo que se te pueda “colar” un spammer en tu red, pero si te aviso
antes de incluirte en la lista RBL, y no respondes, y/o no pones remedio
al problema, por ejemplo, cancelando el contrato de tu cliente, eres hasta
peor que el.

Obviamente, si yo tengo una red, normalmente, cuando ofrezco servicios, en
el contrato estoy indicando que no se pueden hacer ataques, spam, etc.,
desde mi red. Al menos hasta donde yo he visto los contratos de muchos
operadores. Estoy seguro que en LAC se hace igual.

>
>Saludos.
>






Más información sobre la lista de distribución LACNOG