[Nospam-PL.NET] [Nospam-PL.NET]


Twój IP:
23.22.240.119





Środa, 24 I 2018

wersja do druku [print]

Baza do blokowania spamu bez "danych osobowych"

Za cenne uwagi do tego felietonu dziękuję Piotrowi.


Udostępnianie adresów e-mailowych np. będacych w przeszłości źródłami spamu budzi czasem zastrzeżenia ze strony właścicieli tych adresów, którzy twierdzą, że jest to niezgodne z prawem, ponieważ adresy e-mailowe są danymi osobowymi, objętymi ochroną na podstawie ustawy o świadczeniu usług drogą elektroniczną. Nie wdając się w nadmierne dywagacje prawne można powiedzieć, że nie jest to takie oczywiste. Co jednak zrobić w sytuacji, gdyby dany adres e-mailowy rzeczywiście podlegał ochronie ?

Teoria

Według znanego mi stanowiska GIODO[pl], niektóre adresy e-mailowe mogą podlegać ochronie[pl] na podstawie UoODO[nospam-pl.net]. Niektóre, ponieważ UoODO nie wymienia jakie dane są danymi osobowymi, pozostawia zatem możliwość jej stosowania w odniesieniu do adresów elektronicznych. Równocześnie jednak samodzielny adres e-mailowy, na podstawie którego ustalenie tożsamości osoby wymagałoby nadmiernych kosztów, czasu lub działań - nie będzie daną osobową w rozumieniu tej ustawy.

Ponadto dane podmiotów świadczących usługi drogą elektroniczną nie podlegają takiej ochronie, gdyż UoŚUDE[nospam-pl.net] i PDG[nospam-pl.net] nakładają na te podmioty obowiązek publikowania danych usługodawców - co automatycznie wyłącza publicznie udostępnione dane z ochrony. Z drugiej strony, UoŚUDE (będąca, zgodnie z jej art. 16[nospam-pl.net], ustawą szczególną (lex specialis) wobec UoODO[nospam-pl.net]) określa w art. 18[nospam-pl.net] jako daną osobową, podlegającą zatem pełnej ochronie, wyłącznie adres e-mailowy usługobiorcy - z tego właśnie powodu użyłem cudzysłowia w tytule niniejszego felietonu.

Mogą zaistnieć jednak sytuacje budzące pewne wątpliwości. Oto 2 przykłady:

  • W bazie (spisie adresów e-mailowych) słuzącej do blokowania spamu może zostać umieszczony adres nadawcy, którego przesyłka została omyłkowo uznana za spam (jej odbiorca uznał za spam przesylkę w rzeczywistości zgodną z internetowymi standardami komunikacji[nospam-pl.net] oraz zgodną z prawem). W takim wypadku adres nie powinien być blokowany, przynajmniej od momentu gdy właściciel bazy dowiedziałby się o zaistniałej pomyłce. Właściciel tego adresu e-mailowego może mieć słuszne pretensje, gdyby adres pozostawał na liście. W dodatku, w przypadku gdyby właściciel adresu nie świadczył żadnych usług droga elektroniczna, możliwa jest sytuacja, że umieszczenie takiego adresu w publicznie dostępnej bazie naruszałoby UoODO[nospam-pl.net].
  • W bazie słuzącej do blokowania spamu umieszczony został adres nienależący w istocie do nadawcy spamu (usługodawcy), który - powiedzmy - poza popełnieniem wykroczenia polegającego na przysyłaniu niezamówionych informacji handlowych, popełniłby przy okazji przestępstwo przeciwko wiarygodności dokumentów, podając nieprawdziwe dane wymagane przez art. 5[nospam-pl.net] UoŚUDE i art. 12[nospam-pl.net] PDG, podczas gdy użyty przez niego adres elektroniczny należałby w rzeczywistości do osoby trzeciej. Wprawdzie pozostawanie takiego adresu w bazie byłoby uzasadnione z punktu widzenia celów, dla jakich baza została utworzona - jako, że adres ten był faktycznie źródłem spamu - ale również adres ten mógłby podlegać ochronie z mocy UoODO[nospam-pl.net], jako należący do innej osoby, korzystającej z usług świadczonych drogą elektroniczną (usługobiorcy).

Praktyka - jak ominąć rafy ustawy o ochronie danych osobowych

Nie chcę dociekać, czy stosowanie lub udostępnianie bazy adresów e-mailowych do celów innych niż prywatne jest naruszeniem UoODO (do celów prywatnych na pewno nie jest[nospam-pl.net] naruszeniem). Na takie pytanie musiałby odpowiedzieć specjalista, a odpowiedź zapewne nie byłaby jednoznaczna. Można jednak stosunkowo łatwo używać bazę służącą do blokowania spamu bez narażania się na kolizję z UoODO. Oto przykładowe sposoby.

1. Stosowanie bazy adresów IP zamiast bazy adresów e-mailowych

Metoda ta jest szeroko wykorzystywana na całym świecie i ma tę zaletę, że adres IP, lub wręcz pewna pula (klasa) adresów IP przypisanych do komputerów podłączonych do Internetu, nie jest powiązana z jakimikolwiek danymi osobowymi.

Do blokowania spamu tą metodą słuzą bazy RBL[nospam-pl.net]- Realtime Block List. W bazach tego typu zapisuje się adresy pojedynczych maszyn, a także całe rozległe klasy adresowe, należące do komputerów w różny sposób naruszających reguły funkcjonowania Internetu. Mogą to być źródła spamu, komputery zainfekowane wirusami niebezpiecznymi dla innych maszyn, open-relaye[nospam-pl.net] lub open-proxy, adresy należące do firm nie majacych działającego adresu abuse@ albo wspierających firmy wysyłające spam, lub choćby tylko znajdujące się na terenie państwa z którego pochodzi większa niż z innych regionów świata ilość spamu, itp, itd... (przykładowe powody listowania są na stronie Blars Block List[en]). Różne listy RBL mają różny zasięg i rozmaite kryteria wpisywania adresów IP do bazy, więc każdy może sobie dobrać taki zestaw sprawdzanych przed przyjęciem przesyłki RBL-i, który najlepiej odpowiada jego potrzebom.

Blokada poczty przychodzącej z danego adresu IP moze odbywać się na poziomie MTA (Mail Transmission Agent) - np. postfix, qmail. Jest to najbardziej ekonomiczne rozwiązanie: spam nie obciąża łącza odbiorcy, a nadawca otrzymuje komunikat, że poczta nie została dostarczona, co pozwala mu też podjąć kroki celem wyjaśnienia ewentualnej pomyłki. Można jednak pocztę blokować również np. za pomocą programu typu procmail[nospam-pl.net], pośredniczącego w przekazywaniu poczty - w takim wypadku niechciana poczta może być "po cichu" kasowana lub przenoszona do oddzielnego katalogu. Przykładowe rozwiązanie tego typu to skrypt Marcina Kowalczyka[pl], sprawdzający obecność adresu IP, z którego przyszedł list w kilku ogólnodostępnych RBL-ach[nospam-pl.net]. Skrypt ten działa na platformie linuxowej, ale niekoniecznie na serwerze poczty. Strona zawiera też opis skryptu i instrukcję jego połączenia do pracy z procmailem.

Poza tym warto wspomnieć, że bazy typu RBL są również używane do określania adresów, z których jest przyjmowana cała poczta bez dalszej kontroli (whitelistowanie). Można zatem przy pomocy jednego RBL-a whitelistować pocztę z jednego kraju lub od określonej firmy, a przy pomocy innych RBL-i blacklistować przesyłki pochodzące od innych nadawców.

2. Stosowanie bazy zawierającej zakodowane adresy

Możliwośc stosowania takiej bazy była juz dyskutowana w grupie pl.news.mordplik. Ostatnio pojawiła się tego typu baza[pl] (pierwsza, o ile mi wiadomo). Baza ta zawiera 2 listy utworzone na podstawie jednej z ostatnich udostępnionych list PolSpamu: skróty adresów e-mailowych, oraz skróty pełnych domen, dokonane metodą MD5, a także program md5 umożliwiający wyliczenie takiego skrótu na platformie MS Windows[1.].

Istotna cechą skrótu md5 jest absolutny brak możliwości odtworzenia tekstu, który został tą metodą "zakodowany". Można jedynie inny tekst zakodować tą samą metodą i sprawdzić występowanie tak powstałego skrótu we wcześniej posiadanej liście. Taki sposób tworzenia listy do blokowania spamu jest tak samo skuteczny jak za pomoca jawnej listy adresów e-mailowych, choć dodatkowo obciąża procesor. Jednak ze względu na brak mozliwości odczytania jakiegokolwiek adresu z takiej listy - nie może być w tym wypadku mowy o naruszaniu UoODO. Niestety, jest też jednak możliwe, że skrót md5 jednego adresu będzie identyczny z takim skrótem innego adresu, co przy korzystaniu z "bazy skrótów" spowodowałoby zablokowanie przesyłki z uprawnionego adresu, jednak prawdopodobieństwo takiego zbiegu okoliczności jest znacznie mniejsze od szansy trafienia "szóstki" w totolotka[2.].

3. Stosowanie bazy zawierającej pełne domeny

O ile można się spierać czy i kiedy adres e-mailowy jest daną osobową, o tyle z całą pewnością nie jest daną osobową sama domena internetowa, będąca częścią tego adresu. Nie tylko bowiem domena nie dotyczy pojedynczej osoby, ale wręcz (najczęściej) nie da się powiedzieć kogo mogą obejmować adresy należące do tej domeny. Taka informacja zatem nie umożliwia określenia tożsamości osoby [3.]. Oczywiście, lista domen równie dobrze nadaje się też na whitelistę - poodbnie jak lista adresów IP z RBL-i.


Przypisy

[1.] Na wielu innych platformach program do liczenia md5 należy do 'standardowego wyposażenia' - patrz 'man md5sum'; jednak uwaga - niektóre implementacje md5 generują skróty zwierające szerszy zestaw znaków niż tylko [0-9,a-f], a taki właśnie ograniczony zestaw znaków przewidziany jest we wspomnianym programie.

[2.] Skrót md5 składający się z 32 znaków z zakresu [0-9,a-f] ma około 3.4*10^38 kombinacji, a wszystkich adresów e-mailowych na świecie jest najwyżej kilka miliardów, czyli x*10^9 (policzone z okładem). Daje to iloraz jak mniej-więcej 1/(10^29). Liczba 10^29 jest w przybliżeniu równa ilości ziaren piasku w kuli o objętości Ziemi. Można powiedzieć, że na każdy adres e-mailowy przypada taka ilość "ziaren piasku" (pula możliwych skrótów md5), przy czym każdy adres ma do dyspozycji swoją "kulę ziaren" (własną pulę skrótów, z których wybierany jest jeden). Nie podejmuję się dokładnego oszacowania prawdopodobieństwa że 2 różne adresy będa miały ten sam skrót, ale już z tych rachunków widać, że jest ono naprawdę bardzo małe.

[3.] W bardzo szczególnych okolicznościach możnaby doszukiwać się danych osobowych w samej nazwie domenowej, na podobnej zasadzie jak w adresie e-mailowym. Ochrona takiej domeny z tytułu UoODO wymagałaby jednak nie tylko szczególnej konstrukcji tej domeny, ale również spełnienia przez jej właściciela kilku dodatkowych warunków. Spełnienie tych warunków przez usługodawców usług świadczonych drogą elektroniczną jest prawdopodobnie niemożliwe z powodu kolizji z przepisami UoŚUDE[nospam-pl.net] i PDG[nospam-pl.net].

                                                                                                                                 

Data ostatniej modyfikacji: 01 I 2004

wersja do druku [print]

--REKLAMA-- --REKLAMA--

 

-

Przysięga głazu rzecznego

"W żadnych okolicznościach i pod żadnym pozorem nie kupię niczego, co zostało mi zaoferowane w formie niezamawianej przesyłki elektronicznej. Nigdy też nie będę forwardował do dużej liczby odbiorców listów łańcuszkowych, petycji, masowych przesyłek czy ostrzeżeń o wirusach. Niech powstrzymanie się od tego będzie moim wkładem dla przetrwania społeczności internetowej."

The Boulder Pledge

"Under no circumstances will I ever purchase anything offered to me as the result of an unsolicited e-mail message. Nor will I forward chain letters, petitions, mass mailings, or virus warnings to large numbers of others. This is my contribution to the survival of the online community."

Roger Ebert, 1996

-
 
[Lynx Friendly] [Valid CSS!] [Valid HTML 4.0!] [W3C-WAI WCAG 1.0 Level A] [Vim The Editor]
 
X X

Copyright by Łukasz Kozicki © 2002-2003
witryna hostowana przez home.pl
Privacy Policy