[lacnog] debe LACNIC implicarse en la lucha contra el SPAM ?

[Octavio Alvarez]

On 10/30/2014 02:24 AM, JORDI PALET MARTINEZ wrote:
>> No necesariamente. ¿Cómo sabemos si las agencias de mercadotecnia
>> están conscientes de esto, que para nosotros es obvio? Además, si
>> la ley del correspondiente país no exige explícitamente seguir la
>> práctica de la confirmación de e-mail, no hay nada que hacer
>> legalmente.
>
> El desconocimiento de la ley no exime de su cumplimiento, y creo que
> eso es igual para todos los países del mundo!

Pero determinar quién cumple y quién no según las leyes de cada país
está fuera de las facultades (y más aún, de los alcances) de LACNIC,
RIPE, ARIN, etc.

> Pero ademas te aseguro que estas empresas SABEN perfectamente que el
> SPAM es ilegal.

Depende de si tu definición de Spam. No todos los tipos de Spam son
ilegales en todos lados.

> Si tu envias SPAM a cuentas alojadas en España, DEBES conocer la ley
> Española, y si no la conoces, es tu problema, eres culpable por
> ello.

Te diría que estoy de acuerdo, pero no conozco suficiente sobre leyes y 
los abogados son buenísimos para encontrarle recobecos a las leyes. Por 
eso no le corresponde a ningún RIR juzgar eso. Debe seguirse por vías 
legales.

A los RIRs les toca buscar soluciones técnicas; es decir, en lugar de 
buscar cómo sancionar, a los RIRs les toca buscar *evitar* que suceda 
por vías técnicas y/o hacerlo manejable y controlable.

Actualmente, una vez que una cuenta de e-mail queda "comprometida", ya 
valió. No hay forma de filtrar el spam. Eso es un enfoque "todo o nada" 
y bastante deficiente.

> Insisto, el país donde estan alojados los servidores que reciben el
> SPAM. Si en Brasil no hay penalizacion por el SPAM, pero si en
> España, y se envia SPAM desde Brasil a España, el delito se esta
> cometiendo tambien en España.
>
> Es posible que si Brasil tambien tiene reglamentacion, al respecto,
> tambien se este cometiendo delito en Brasil.

Y volvemos a la definición de Spam de Brasil y en España, no a la 
tuya... y que LACNIC no es una corte de justicia.

> Recuerda el ejemplo del coche. Tu que conduces fuera de tu país eres
> quien debe de conocer eso. Cada país tiene derecho a sus propias
> leyes, y como he dicho en algun momento, afortunadamente, suelen ser
> bastante coincidentes, y mas en estos temas.

"Bastante" no es suficiente para las PC; sólo hacen complejas las cosas.

Además, es muy diferente cuando estás personalmente ubicado en otro país 
que cuando estás en el propio.

>> No, porque entonces esa RBL sería un "punto simple de falla" (SPoF)
>> en la lucha contra Spam. Si hay sólo una RBL, entonces los
>> "astutos" podrían simplemente darle un manejo especial a la RBL y
>> arrojar resultados falsos.
>
> Eso se puede remediar con los procedimientos, con copias de las RBL
> sincronizadas, etc., etc., y cada vez que se detectan fallos,
> logicamente se adapta el procedimiento.

No me entendiste. Para generar un RBL hay que hacer pruebas. Si hay una 
sola RBL, yo, como atacante, le daría un tratamiento diferente a las IP 
que correspondan con esas RBL para engañar.

Por más espejos y copias sincronizadas, todas tendrían información 
incorrecta.

Por eso debe ser distribuido, para reducir el impacto del tratamiento 
especial.

>> Por eso digo que debemos buscar otro tipo de soluciones; por
>> ejemplo, facilitar la automatización de las siguientes pruebas:
>>
>> 1. ¿Tiene correctos sus registros DNS, SPF y demás requisitos
>> técnicos? 2. ¿Admite la suscripción de direcciones
>> nombre+etiqueta en dominio.com? 3. ¿Funciona la liga de
>> "desuscripción"? 4. ¿La desuscripción se realiza sin toma de
>> represalia? (ok, te desuscribo de mi lista pero en represalia te
>> agrego a otra lista) 5. ¿Las lista de distribución fue compilada de
>> manera adecuada?
>
> El 1 y el 2 no bastan.

No, pero ayudan a reducir el problema. El Spam es un problema complejo 
que requiere varios frentes de ataque. Decir "no basta" es pensar en que 
existe una solución "milagro" y que la 1 y 2 no lo son.

> El procedimiento de desuscripcion, 3, debe permitir borrar dominios
> completos, incluso MX completos. Yo he comprobado como muchos
> spammers me envian email, para ver si “aciertan” a estas
> direcciones: Jordi en consulintel.es Jordia en consulintel.es
> Jordib en consulintel.es Etc … imaginaros si tengo que desuscribirme de
> cada posible combinacion.

Eso va más allá del simple "correo no solicitado". Eso es también un 
"ataque".

¿Ves? Primero necesitamos definiciones y para eso es necesario estudiar 
el fenómeno.

> Y si no lo hago, venden esas bases de datos, y se multiplica el
> trafico que recibo (lo veo en los registros de mi servidor), porque
> ademas IGNORAN los emails devueltos !!! Es tan facil y tan barato
> enviar 1 millon o 10 millones de emails que por el momento les da
> igual !!!!

Y peor si cuentan con una botnet, pero ya estamos hablando de otra cosa. 
Una cosa es cuando una entidad conocida te envía un mensaje promocional 
y otra es el ejemplo que acabas de proporcionar.

> El punto 4 es muy habitual, lo hacen la mayoria de spammers, lo he
> comprobado.

¿Y si yo soy una agencia que *sí* respeto eso? ¿Cómo me voy a 
diferenciar de una de menor ética? Si no me da una ventaja competitiva 
me veo obligado a "rebajarme" para evitar pérdida de negocio porque 
otros lo venden más barato.

Por eso debemos buscar favorecer a los que sí cumplen.

> El punto 5, solo hay una forma adecuada: Consentimiento expreso y
> previo del propietario del correo ! Eso no admite discusión. No sirve
> “sr. Le pedimos permiso para enviarle email, si no nos contesta
> negativamente, entenderemos que nos autoriza”.

Eso se según tú, pero ellos te podrían decir "en mi país es legal". Y 
ya, adiós argumentos.

> Obviamente, si yo tengo una red, normalmente, cuando ofrezco
> servicios, en el contrato estoy indicando que no se pueden hacer
> ataques, spam, etc., desde mi red. Al menos hasta donde yo he visto
> los contratos de muchos operadores. Estoy seguro que en LAC se hace
> igual.

Sí, pero una cosa de "que parezca spam" y otra cosa "que sea spam". Y si 
yo le cancelo el servicio a un cliente por algo que "parezca spam" pero 
bajo sus leyes "no sea estrictamente spam", podría ser objeto de 
cancelaciones de contrato y demandas.

Insisto, busquemos una solución técnica para hacer controlable el problema.

Saludos.