本公告就如何解釋和遵守 2024 年 4 月 5 日對《註冊服務商認證協定 (RAA)》和《通用頂級域 (gTLD)註冊管理機構協定》(RA)關於網域系統 (DNS) 濫用緩解義務的修正案(《DNS 濫用修正案》)提供了指導。
除非《DNS 濫用修正案》特別修改,否則在這些修正案之前生效的所有 RAA 和 RA 義務仍然適用並有效。
本公告中未定義的所有大寫術語具有 RAA 和 RA 中賦予它們的含義。
使用本公告中規定的做法的註冊服務機構和註冊管理機構可能會履行《DNS 濫用修正案》中規定的義務,但遵守這些做法中的一個或多個不會自動確定註冊服務機構或註冊管理運行機構已履行其義務。下面列出的示例僅用於說明,並非旨在限制可能的緩解措施。在所有情況下,無論何時ICANN合同合規部發起調查,註冊服務機構和註冊管理運行機構都必須提供證據證明符合相關的 RAA 和 RA 要求。
背景
ICANN 組織與註冊管理機構簽訂合同,通過RA運營 gTLD。RA 規定了註冊管理運行機構的職責,包括維護 gTLD 中所有已註冊功能變數名稱的權威資料庫,以及發佈 gTLD 的 DNS 區域。
ICANN 還與每個註冊商簽訂了 RAA,允許註冊商在 gTLD 中提供域名註冊服務。RAA 概述了註冊服務商的職責,例如驗證註冊人(或註冊功能變數名稱持有者)信息和維護準確的記錄。註冊服務機構和註冊管理機構的角色和義務是不同的,並反映在各自的協定 RAA 和 RA 中。
ICANN 有權執行 RAA 和 RA 中概述的與功能變數名稱註冊服務和功能變數名稱相關的規則。此建議側重於 gTLD 中用作 DNS 濫用工具或機制的功能變數名稱(或註冊功能變數名稱)。RAA 和 RA 中 DNS 濫用修正案的要求基於註冊服務商和註冊管理運行機構可以分別採取的行動,以最大限度地減少 DNS 濫用造成的傷害和受害者的範圍和強度。這些要求還考慮到,註冊服務商和註冊管理運行機構僅代表 DNS 生態系統的一部分,該生態系統由許多參與者組成1.根據 DNS 濫用實例的具體情況,檢測、評估、驗證和阻止濫用活動的最合適行為者可能會有所不同,有時可能是註冊服務商或註冊管理運行機構以外的行為者。
DNS 解析虐待
在 RAA、RA 和本公告中,「DNS 濫用」是指惡意軟體、殭屍網路、網路釣魚、域欺騙和垃圾郵件(當垃圾郵件被用作其他四種類型的 DNS 濫用的交付機制時),這些術語在安全與穩定諮詢委員會關於解決 DNS 濫用處理的可互作方法的報告 (SAC 115) 的第 2.1 節中定義2):
惡意軟體是指未經使用者同意在設備上安裝和/或執行的惡意軟體,它會破壞設備的運行、收集敏感資訊和/或訪問私人計算機系統。惡意軟體包括病毒、間諜軟體、勒索軟體和其他不需要的軟體。
殭屍網路是已感染惡意軟體的 Internet 連接電腦的集合,可以命令它們在遠端攻擊者的控制下執行活動。
當攻擊者誘騙受害者洩露敏感的個人、公司或財務資訊(例如,帳號、登錄ID、密碼)時,就會發生網路釣魚,無論是通過發送欺詐性或相似電子郵件,還是引誘最終使用者訪問山寨網站。一些網路釣魚活動旨在說服使用者安裝惡意軟體。
域欺騙是指將不知情的使用者重定向到欺詐性網站或服務,通常是通過 DNS 劫持或中毒。當攻擊者使用惡意軟體將受害者重定向到犯罪者的網站,而不是最初請求的網站時,就會發生 DNS 劫持。DNS 中毒會導致 DNS 伺服器(或解析器)使用帶有惡意軟體的虛假 Internet 協定地址進行回應。網路釣魚與域欺騙的不同之處在於,域欺騙涉及修改 DNS 條目,而網路釣魚則誘騙使用者輸入個人資訊。
垃圾郵件是未經請求的批量電子郵件,其中收件者未授予發送郵件的許可權,並且該郵件作為更大的郵件集合的一部分發送,所有這些郵件都具有實質相同的內容。只有當垃圾郵件被用作上述至少一種其他類型的 DNS 濫用的交付機制時,它才被視為 DNS 濫用。
註冊商義務
RAA 第 3.18 節
在頒布《DNS 濫用修正案》之前,第 3.18 款要求註冊服務商維護併發佈聯繫方式,以接收濫用行為(包括非法活動)的報告。該條款還概述了與調查和回應涉及註冊商發起的註冊功能變數名稱的濫用報告相關的要求,以及註冊商必須維護的相關記錄。RAA 第 3.18 節中的要求已修訂如下:
與發佈和維護濫用聯繫人相關的要求 (RAA 3.18.1)
在哪裡舉報濫用行為3
為方便任何一方提交指控濫用和/或非法活動的報告,註冊商必須發佈一個電子郵件地址或網路表單,以便在註冊商網站的主頁上輕鬆訪問4.Web 表單不得要求登錄即可提交濫用報告。
如果註冊商的主頁上清楚地顯示指向“Report Abuse”(舉報濫用)或“Contact Us”(聯繫我們)的連結,並允許舉報者從鏈接的頁面輕鬆提交報告,則將被視為合規。
確認收到濫用行為報告
此外,註冊商必須向濫用報告者提供已收到報告的確認。此收據確認可能會發送給濫用報告者,或在完成向註冊商的提交后顯示在螢幕上。此收據確認必須包含足夠的資訊,以便舉報人能夠證明其提交了濫用行為報告。收據確認至少必須確定註冊商、報告的註冊名稱以及報告的提交日期。
執法機構聯繫人
之前在 RAA 第 3.18.2 節中描述的與專門接收執法機構 (LEA) 和註冊商管轄範圍內其他機構的報告的聯繫人相關的要求現在位於 RAA 第 3.18.3 節中;這些要求保持不變。
與在收到可訴的 DNS 濫用報告後採取緩解措施相關的要求 (RAA 3.18.2)
RAA 第 3.18.2 節經 DNS 濫用修正案修改後,現在為:
當「註冊服務商」有可訴證據證明「註冊商」提供的註冊功能變數名稱被用於 DNS 濫用時,「註冊商」必須立即採取合理必要的適當緩解措施,以阻止或以其他方式阻止該註冊功能變數名稱被用於 DNS 濫用。考慮到 DNS 濫用造成危害的原因和嚴重性以及相關附帶損害的可能性,採取的行動可能會因具體情況而異。
可作的證據
證據必須是可作的。這意味著,註冊服務商可以隨時獲得的信息必須足以使註冊服務商能夠合理地確定註冊功能變數名稱是否被用於一種或多種形式的 DNS 濫用。我們鼓勵註冊服務商主動監控他們贊助的註冊功能變數名稱,以識別潛在的 DNS 濫用行為。註冊官對可起訴證據的評估將根據每個案件的情況而有所不同。
從外部方獲取可起訴的證據
簽約方機構 (CPH) 發佈了指南,以協助向註冊服務機構提交完整且可作的濫用報告(CPH 指南)。CPH 指南描述了傾向於使濫用報告可訴的證據。例如,顯示網路釣魚嘗試的屏幕截圖,並指示網路釣魚的目標(例如金融機構);以及濫用行為所在的完整 URL(例如,example[.]tld/badpage[.]html).我們鼓勵濫用報告者查看並遵循 CPH 指南,並在其報告中提供盡可能多的資訊,以便註冊服務商能夠對潛在的 DNS 濫用行為進行調查。5
如果註冊服務商收到的濫用報告不包含被視為 DNS 濫用的可訴證據的所有必要資訊,則註冊服務商必須根據 RAA 第 3.18 節進行調查。在某些情況下,註冊服務商可能有權訪問並非由濫用報告者提供的資訊,但這些資訊對於確定註冊功能變數名稱是否被用於 DNS 濫用是必要的或有説明的。在這種情況下,註冊服務機構應考慮其可以合理訪問且與調查相關的資訊(例如,名稱伺服器、帳戶資訊和活動,以及濫用報告中至少主網頁或特定 URL 的內容(如果提供)。
在獲得可作的證據后,需要立即採取行動
在獲得可起訴的證據后,註冊商必須立即採取合理必要的適當緩解措施,以阻止或以其他方式阻止註冊功能變數名稱被用於 DNS 濫用。為了確定及時和適當的緩解措施,註冊服務機構將考慮案件的具體情況,其中可能包括平衡 DNS 濫用造成的損害的範圍和強度與相關附帶損害的可能性。
當原本合法或良性的功能變數名稱在註冊人不知情或未同意的情況下被用作 DNS 濫用的載體時,附帶損害是一個特別重要的考慮因素。這通常被稱為「受損域」,有時是被利用的網站內容管理系統的結果。在這些洩露情況下,註冊商或註冊管理運行機構直接暫停域可能不是適當的緩解措施,因為暫停將切斷對所有合法內容的訪問,並導致無法訪問與域相關的任何電子郵件和其他服務6.當 DNS 濫用與三級域或子域相關聯時,情況也是如此。註冊商和註冊管理機構只能在二級域級別行事。因此,如果他們暫停二級域,所有三級域也將被暫停,而不僅僅是與 DNS 濫用相關的域。在這些情況下,註冊商可能會選擇向註冊人、網站運營商和/或Web主機提供通知。
什麼使作提示
如上所述,阻止或破壞 DNS 濫用實例的適當緩解措施將根據具體情況而有所不同。因此,調查和採取行動的適當時間也會有所不同,因此無法規定固定的時間將作視為“及時”。相反,註冊服務機構必須表現出對被贊助功能變數名稱被用於 DNS 濫用的指控的持續關注。這種關注程度應與 DNS 濫用對受害者造成的潛在傷害相稱。
因此,在回應ICANN合同合規部的詢問時,註冊服務商需要解釋考慮到具體情況,這些行動是如何迅速的。ICANN 協定然後,合同合規部將審查解釋和相關情況,以逐案確定這些行動是否合理及時。本通報中包含的範例中的時程表不是合同要求,而只是說明性要求。註冊服務機構花更多時間調查和處理與示例類似的案例並不一定表明不合規。相反,其他情況可能需要註冊服務商更快地採取行動,例如可能對最終使用者造成迫在眉睫的傷害的 DNS 濫用情況。註冊服務商應在註冊服務商合理嘗試確認 DNS 濫用實例后儘快進行調查並採取行動。
綜合起來 – 註冊商合規示例
以下示例說明瞭為阻止註冊功能變數名稱被用於 DNS 濫用(情景 1)和阻止與註冊功能變數名稱相關的 DNS 濫用進程(情景 2)而採取的合理且及時的緩解措施。這些情景包含具體的事實情況。在不同情況下,各個註冊服務商可能會在不同的時間範圍內採取不同的行動來阻止或以其他方式破壞個別 DNS 濫用案例。在所有情況下,註冊服務商都必須能夠證明所採取的任何方法均符合 RAA 第 3.18 節中的相關要求。
場景一:註冊商收到一份完整且可作的濫用報告,聲稱由註冊商贊助的註冊功能變數名稱被用於網路釣魚。該報告包括證據,證明包含註冊商贊助的註冊功能變數名稱的URL是通過電子郵件或簡訊發送的,該URL自稱是一家大型銀行,要求收件者解鎖其帳戶。註冊商會考慮濫用報告中包含的所有相關信息啟動調查。註冊商的調查顯示,註冊功能變數名稱沒有公開可用的網站,只顯示一個直接 URL,上面似乎是一家大型銀行的登錄螢幕。同一 URL 是透過電子郵件或 SMS 發送的 URL。註冊商還認為客戶是新客戶,並且註冊功能變數名稱是在5天前註冊的。
適當的緩解措施:註冊商合理地得出結論,認為註冊功能變數名稱被用於 DNS 濫用,並通過暫停註冊功能變數名稱、應用 clientHold 可擴展供應協定 (EPP) 狀態代碼來阻止 DNS 濫用.調查和緩解措施將在收到濫用行為報告后的兩個工作日內進行。只要註冊商遵守ICANN轉讓政策中的適用要求,註冊商還可以決定對註冊功能變數名稱應用轉移鎖定,以防止註冊人試圖逃避緩解措施並繼續使用該域名進行 DNS 濫用。7
情況二:註冊商收到一份完整且可作的濫用報告,指控註冊商贊助的註冊功能變數名稱 autobrand.tld 被用於網路釣魚。濫用報告包括特定 URL 被用於網路釣魚的證據。註冊服務機構會考慮濫用報告中包含的所有相關信息以及註冊服務機構隨時可以合理獲取的信息進行調查。調查證實,濫用行為報告中的 URL 被用於網上誘騙。調查還顯示,該 URL 屬於子域 (city.autobrand.tld),並且似乎被加盟商使用。註冊商承認,註冊名稱 autobrand.tld 是三年前註冊的,並且擁有一套強大的汽車轉銷商特許經營內容。註冊商能夠確認註冊名稱用於多個加盟商的 Autobrand 公司電子郵件和子域。
適當的緩解措施:註冊商合理地得出結論,註冊功能變數名稱被用於 DNS 濫用,但這可能是域名洩露的結果,並且註冊人並未故意使用註冊功能變數名稱進行 DNS 濫用。註冊服務商評估了暫停功能變數名稱可能造成的潛在附帶損害,並合理地得出結論,目前這不是適當的緩解措施。相反,註冊商通過通知 autobrand.tld 的註冊人 Autobrand,要求其在註冊商合理確定的特定日期之前消除網路釣魚內容,從而阻止 DNS 濫用。調查和緩解措施將在收到濫用報告后的 3 個工作日內進行。
與維護和向ICANN提供記錄相關的要求
之前在 RAA 第 3.18.3 節中描述的與接收和回應濫用報告相關的記錄和提供記錄相關的要求現在位於 RAA 第 3.18.4 節中;這些要求保持不變。這些要求也適用於根據第 3.18.2 節對 D
