2. En sus observaciones preliminares, el Secretario General del CEP felicitó al Grupo «.post» por su primer aniversario.

Transcripción

1 CEP Doc 13 Traducción del francés CONSEJO DE EXPLOTACION POSTAL Grupo «.post» Informe del Presidente del Grupo (Punto 13 del Orden del Día) 1. Asunto Informe de la Asamblea General del Grupo «.post» realizada el 9 de abril de Referencias/Párrafos 1 a Decisión esperada Se solicita al Consejo de Explotación Postal (CEP) que apruebe el presente informe y formule los comentarios que estime pertinentes. 44 y anexo 1 I. Apertura de la reunión, quórum y adopción del Orden del Día (CEP GPP AG Doc 1.Rev 2) 1. El Presidente inauguró la reunión y confirmó el quórum, con 19 miembros presentes. Sudáfrica recibió una procuración de Namibia, Italia de Estados Unidos de América, y Portugal de Cabo Verde. Al haberse alcanzado el quórum necesario de 18 países, la reunión pudo continuar. 2. En sus observaciones preliminares, el Secretario General del CEP felicitó al Grupo «.post» por su primer aniversario. II. Informe del Comité Directivo del Grupo «.post» 3. El Presidente presentó las actividades realizadas por el Comité Directivo del Grupo «.post» desde la última Asamblea General en octubre de Estas actividades abarcan cuatro temas principales: capacitación y desarrollo de los conocimientos, tecnología y organización, desarrollo y apoyo de la estructura de gobernanza y sensibilización. Estos cuatro pilares provienen del plan de trabajo del Grupo y orientan las labores de su Comité Directivo. El Presidente presentó los trabajos efectuados en cada una de estas áreas en estos últimos meses. 5. La Asamblea General aprobó el informe. III. Aprobación de las solicitudes de adhesión (CEP GPP AG Doc 3) 6. En el momento de la inauguración de la Asamblea General, el Grupo «.post» estaba compuesto por 37 miembros. DDM.PDM Agz/Rbo-Rub

2 2 7. Correos de Gibraltar había presentado una solicitud para convertirse en miembro asociado en enero de Esta solicitud debía ser aprobada por la Asamblea General del Grupo «.post», de acuerdo con el Reglamento Interno del Grupo. 9. La solicitud fue aprobada y Correos de Gibraltar se convirtió en el cuarto miembro asociado del Grupo «.post». IV. Elección de un nuevo miembro del Comité Directivo (CEP GPP AG Doc 4) 10. Se verificó el quórum antes de la elección para confirmar que estuviera presente la cantidad suficiente de miembros para que la votación fuera válida, ya que se requería una mayoría doble. Como Estados Unidos de América estuvo presente para la votación, la procuración dada por este país fue anulada. 11. De conformidad con el Reglamento Interno del Grupo «.post», la Oficina Internacional recibió dos candidaturas, Botswana y Egipto, para el puesto vacante en el Comité Directivo. 12. Tshenolo Nkwe (Botswana) fue elegido por mayoría doble como nuevo miembro del Comité Directivo. El Presidente felicitó a Correos de Botswana y señaló que se trata de un puesto ad personam. El Sr, Nkwe fue admitido en el Comité Directivo del Grupo en forma inmediata. V. Informe de las actividades de la Oficina Internacional relativas al dominio.post 13. La Oficina Internacional presentó este informe e indicó que en los últimos doce meses el registro de nombres de dominio.post experimentó un importante aumento. Se espera en breve el primer registro proveniente de América Latina, lo que significaría que se habrán registrado nombres de dominio.post en todas las regiones. 14. El Presidente agradeció al equipo de la Oficina Internacional los trabajos realizados en apoyo del Grupo «.post» en las circunstancias actuales y reconoció que la falta de recursos tiene incidencia en el avance de los trabajos. VI. Espacio de trabajo oficial del Grupo «.post» en Internet 15. Se presentó a los miembros el espacio de trabajo reservado en Internet. La secretaría navegó por las diferentes páginas del espacio reservado para mostrar cómo acceder a los documentos y a la información. Algunos miembros solicitaron recibir nuevamente el nombre de usuario y la contraseña, puesto que enfrentan dificultades de conexión. VII. Estrategia de marketing y nueva identidad visual para el dominio.post 16. La secretaría presentó la identidad visual oficial de.post, que se utilizará para todas las nuevas actividades una vez que el nuevo miembro del personal comience su trabajo. 17. El Comité Directivo del Grupo examinará las directrices apropiadas para la identidad visual y formulará recomendaciones tendientes a lograr una base jurídica adecuada para la utilización del logotipo en los materiales propios de los miembros. 18. Algunos miembros se mostraron interesados en una marca común y desean utilizar el logotipo.post en su sitio Web o en sus documentos.

3 3 VIII. Recomendaciones sobre el uso del correo electrónico protegido (CEP GDP AG Doc 8 y Add 1) 19. El objetivo de esta política es definir con claridad el camino a seguir y las exigencias para tener un servicio de correo electrónico protegido asociado a.post. 20. El alcance de los trabajos presentados para crear un marco protegido consta de cuatro niveles. Dos de ellos, a saber, la política para el servidor de correo electrónico y la política de gestión del dominio, ya fueron alcanzados. 21. Es necesario realizar trabajos adicionales para alcanzar el tercer nivel (contenido del correo electrónico intacto) y el cuarto (autenticación del expedidor y del destinatario del correo electrónico). 22. Con esta política, está garantizado el origen del servidor de correo electrónico y se reducen considerablemente los correos no deseados (SPAM) así como la suplantación de identidad (Fishing). Será posible además identificar el origen de los anexos mal intencionados (caballos de Troya, virus) para quienes utilizan dominios.post, lo que reducirá los riesgos para los dominios.post que utilizan un servicio de correo electrónico. 23. La política relativa al correo electrónico protegido fue aprobada sin objeciones. 24. Se aprobó la formación de un grupo de expertos. Las tareas de este grupo serán las siguientes: Definir las reglas de conformidad con la política; Estudiar nuevos servicios de correo electrónico protegido aún desconocidos; Verificar los informes de verificación de la conformidad para la política; Elaborar informes con consejos para los operadores designados, en función de los resultados de las verificaciones de conformidad; Asesorar al Comité Directivo del Grupo «.post» sobre el mantenimiento de la lista blanca protegida; Asesorar también al Comité Directivo del Grupo «.post» en cuanto a la modificación de la política en materia de servidor de correo electrónico protegido, dado el caso; Estudiar a los operadores designados que poseen servicios de correo electrónico protegidos; Tratar otras cuestiones relacionadas con el servidor de correo electrónico protegido. IX. Comercio electrónico en el marco del dominio.post Proyecto piloto de venta de productos filatélicos en línea 25. De acuerdo con un estudio realizado por la Asociación Mundial para el Desarrollo de la Filatelia (AMDF), los países que crearon sitios Web para la venta de sellos de Correos tuvieron un importante incremento en sus ventas. Por consiguiente, se lanzó la idea de crear una tienda filatélica en línea para que el Correo físico pueda estar unido al Correo digital. 26. Dos países, Uganda y Uruguay, aceptaron llevar a cabo el proyecto piloto en El objetivo es diseñar procedimientos sencillos para la creación, la puesta en marcha y el mantenimiento de la tienda.post en línea. 28. La finalidad del proyecto piloto es mostrar un ejemplo que permita a los demás países beneficiarse de esta experiencia. El proyecto permitirá intercambiar experiencias y, en especial, estimular el comercio electrónico y las ventas en línea.

4 X. Nombres de dominio internacionales relacionados con el dominio.post Los resultados del estudio sobre la política relativa a los nombres de dominio internacionales.post demostraron que los caracteres chinos, españoles y árabes son los conjuntos de caracteres no ASCII solicitados con mayor frecuencia. 30. Estos conjuntos de caracteres serán introducidos paulatinamente para el registro de los nombres de dominio, a fin de adaptar los nombres de sitio.post a la realidad local y hacerlos más manejables para los usuarios. 31. Se decidió que los caracteres chinos y españoles serían los primeros conjuntos de caracteres no ASCII que serán incorporados en los nombres de dominio internacionalizados.post. También se decidió elaborar un proyecto de plan de implementación para las lenguas recién utilizadas en los nombres de dominio internacionalizados, estudiar la posibilidad de agregar conjuntos de caracteres suplementarios en 2015 y efectuar un seguimiento con respecto al uso de los nuevos conjuntos de caracteres introducidos. XI. Finanzas del Grupo «.post» (CEP GPP AG Doc 11) 32. El presupuesto 2014 fue presentado por la secretaría, que informó a la Asamblea General del Grupo «.post» que se suprimiría el capítulo presupuestario 8 porque a partir de ahora están cerrados los procedimientos judiciales. 33. Se señaló asimismo que las cuentas están siendo examinadas actualmente con la Dirección de Finanzas de la Oficina Internacional para garantizar que los intereses de los fondos disponibles y de las deudas ingresen en la contabilidad del presente año. 34. El presupuesto del Grupo «.post» para 2014 fue aprobado. XII. Plan de trabajo 2014 del Grupo «.post» 35. No se formularon comentarios con respecto a este plan de trabajo, ya que no se introdujo en él ninguna modificación desde la última reunión del Grupo. Por lo tanto, el trabajo del Comité Directivo del Grupo «.post» continuará realizándose según este plan. XIII. Estrategia Postal de Doha Evaluación de los principales indicadores de desempeño asignados al Grupo «.post» (CEP GPP AG Doc 13) 36. El Presidente presentó los nuevos principales indicadores de desempeño que serán presentados a la Comisión 3 (Estrategia) del Consejo de Administración (CA) para aprobación, a saber, el número de operadores designados que utilizan un nombre de dominio.post y el número de operadores designados miembros del Grupo. 37. La secretaría señaló que estos indicadores de desempeño serían analizados luego de la presentación del informe del Grupo en la sesión plenaria del CEP. 38. Los objetivos que habrán de alcanzarse durante el ciclo de Doha deberán ser definidos en el informe del Comité Directivo del Grupo «.post» presentado en la Plenaria del CEP. XIV. Talleres regionales El Comité Directivo del Grupo procura aumentar su participación en las actividades regionales, a fin de estimular a las Uniones restringidas a que incluyan en sus actividades las cuestiones relativas a.post.

5 5 40. La Oficina Internacional fue invitada por la Unión Postal de Asia y el Pacífico a organizar en noviembre de 2014 un taller de una semana de duración sobre los servicios electrónicos y el comercio electrónico. XV. Atender las necesidades de las Uniones restringidas 41. Las Uniones restringidas solicitaron que se revisen a la baja las contribuciones para adherir al Grupo. El Comité Directivo del Grupo «.post» aceptó, en principio, acceder a esta solicitud para estimular a las Uniones restringidas a adherir al Grupo. 42. Por consiguiente, el Comité Directivo del Grupo «.post» debería estudiar las diferentes opciones posibles y proponer un modelo que permita rebajar las contribuciones para las Uniones restringidas. XVI. Fecha de la próxima reunión 43. La próxima reunión de la Asamblea General del Grupo «.post» tendrá lugar en octubre/noviembre de 2014, durante el periodo de sesiones del CA. XVII. Decisión esperada 44. Se solicita a la Plenaria del CEP que apruebe el informe y formule los comentarios que estime pertinentes. Berna, 9 de abril de 2014 Mark Fardelli Presidente

6 CEP Doc 13.Anexo 1 (CEP GPP AG Doc 8.Add 1) POSTAL OPERATIONS COUNCIL.post Group General Assembly.post Group policy for.post servers Introduction Generally, cybercrime involves unlawful activities committed in cyberspace, and the computer is used as a medium or tool to commit those crimes. These acts are sometimes known as "old crimes, new tools", since the crimes committed are originally old or traditional types of crime (from the offline world), but the techniques of committing the crimes have changed within the digital environment. One example is computer fraud, which is committed by manipulating computer data belonging to others in order to dishonestly obtain or embezzle money or property, to cause loss. "New crimes, new tools" refers to another type of cybercrime; the crimes involve a situation where the suspect uses the computer system to alter certain data in that system. These crimes are committed against the computer system. They include sabotage, vandalism, electronic wiretapping and gaining illegal access by impersonating an authorized user or exceeding a person's authority. Moreover, spreading computer viruses, cyber war, cyber terrorism, denial of service (DoS), invasion of privacy (such as access to personal information), hacking, phishing or identity theft, cybersquatting, cyberstalking, mass web defacement and faring are all categorized as cybercrimes. In summary, cybercrimes are evolving and will continue to evolve with new technology and versatile criminal minds. According to a recent study (see footnote 1 at the bottom of page 2), the most significant threats involving e- mail users appear to be spam, phishing and denial of service: i ii Pro Spam: Spam refers to unwanted notices. They are mostly marketing notices. There are different definitions of spam; we use the term to refer to sent to many recipients (bulk), without appropriate labels allowing quick filtering by receivers (or receiving domains) not desiring to receive e- mail of this class. Spam annoys users, wastes the recipient's time and network resources, and reduces the reliability and the functionality of , but serves the interests of the spammer. Phishing: Phishing refers to luring Internet users to websites that masquerade as legitimate websites (e.g. banks, credit card companies, auction sites, popular social websites and Internet service sites) and directing the users to enter sensitive information, such as user names, passwords, credit card details and bank account details. The information thus acquired may be re-sold or used to commit cybercrimes including theft, identity theft and fraud. The Identity Theft Resource Center (ITRC) defines "identity theft" as "a crime in which an impostor obtains key pieces of personal identifying information (PII) such as Social Security numbers and driver's license numbers and uses them for their own personal gain" ( According to ITRC, individual identity theft falls into three categories: a b Financial identity theft: the thief may impersonate the victim to get a loan from a financial institution, take over the victim's bank accounts, pass bad checks, etc. Criminal identity theft: for example, a criminal identifies him or herself to authorities as another individual in order to commit a crime, get special permits, commit acts of terrorism, and so on.

7 2 iii c Identity cloning: the thief uses another's information to assume his or her identity in daily life, for such purposes as opening a new phone or wireless account and getting utility services. Denial of service: DoS s are sent with the intention to cause harm to the operation of the system of the recipient and/or a third party. The most common DoS attack is by "clogging", i.e. sending many s to the recipient and/or a third party with the goal of causing excessive overhead. A "Joe Job" attack is a special form of clogging; it sends many s with an incorrect, spoofed sender address, with the goal of causing the recipients to send error ("bounce") messages to the spoofed sender address, thereby overloading it with the processing of these bounces. 1 Focusing on the predominant sender authentication proposals, the main motivation of which is to identify and block spam, phishing and other abusive s, we can consider the Sender Policy Framework (SPF) and Domain Keys Identified Mail (DKIM), which are based on the Domain Name System (DNS). The following policy seeks, among other benefits, to reduce the threats previously mentioned. 1 All.post domain name owners (registrants) using originating from a.post domain, shall comply with this policy to secure their servers. 2 The and DNS server should be secured in accordance with the four principles below: Do not use open relay; enable SMTP authentication. Activate reverse DNS lookup on the server. Enable Domain Keys Identified Mail (1024-bit key signature), if possible in conjunction with Domainbased Message Authentication (DMARC). Implement a Sender Policy Framework. 3 A compliance report should be presented to the Secretariat once these principles have been set up. 4 The Secretariat will check whether the domain name is compliant with the policy before authorizing the domain name owner to allow its services to be operated. 5 The domain name owner should not open or assign accounts to individual users until the authorization from the.post group (DPG) is received. 6 The details for implementation of the four principles of this policy are out of the scope of this policy document. Domain name owners should verify the details with their local or DNS technical provider. Explanation of referenced standards 7 The following standards are important parts of the policy to secure the server under.post: Domain-based Message Authentication, Reporting and Conformance (DMARC) is a technical specification created by a group of organizations to help reduce the potential for based abuse, such as spoofing and phishing s, by solving some long-standing operational, deployment, and reporting issues related to authentication protocols. 2 Sender Policy Framework (SPF) is an validation system designed to prevent spam by detecting spoofing, a common vulnerability, by verifying sender IP addresses. The primary objective of SPF is to control forged . SPF is a relatively simple system that utilizes text entries in the domain's DNS allowing domain owners to specify what servers are permitted to send mail on behalf of a particular domain. With SPF, administrators can specify which hosts are allowed to send mail from a given domain by creating a specific SPF record (or TXT record) in the DNS. 3 SPF depends 1 Amir Herzberg, DNS-based sender authentication mechanisms: A critical review, Computers & Security, Volume 28, Issue 8, November 2009, pp , ISSN , dx.doi.org/ /j.cose

8 3 on the use of SPF lookups by the recipient server to validate that messages are authentic. On the other hand, SPF does not address aspects of securing content. 4 Domain Keys Identified Mail is a method for associating a domain name with an message. It defines a domain-level digital signature authentication framework for in order to permit verification of the source and contents integrity of messages. Indeed, DKIM allows a person, role or organization that owns the signing domain to claim some responsibility for a message by associating the domain with the message. It is important to highlight that DKIM separates the identity of the signer of the message from the purported author of the message. Signer and author could be different. Assertion of responsibility is validated through a cryptographic signature and by querying the signer's domain directly to retrieve the appropriate public key. Message transit from author to recipient is through relays that typically make no substantive change to the message content and thus preserve the DKIM signature. 5 Compared to SPF, DKIM is a more advanced system utilizing cryptographic authentication to verify a signature assigned to a message on the sender's server. DKIM requires configuration support on the SMTP server in addition to DNS entries that must be made on the sender's domain. DKIM provides a technology to secure message header fields and message body, but it does not guarantee non-repudiation, originator authentication and protection after signature verification. 6 In addition, it does not provide confidentiality. 8 Additional notes: a b c d e f Sender authentication technologies like Domain Keys Identified Mail and Sender Policy Framework not only help control spam but also improve deliverability of legitimate messages. Both SPF and DKIM attempt to validate the authenticity of a message by looking at the sending domain name and qualifying that the server sending the message is legitimate. However, SPF and DKIM each approach this task differently and have their own unique methodologies and implementations. When you add authentication information to your domain, an added benefit is that many ISPs use authentication to track sending reputation. With authentication handled by your domain, reputation with the receiving ISPs is influenced by your domain and the s sent on behalf of your domain. This means you maintain control over the s that affect deliverability for your domain. A positive reputation for your domain builds trust and improves deliverability, affecting whether your s are caught by spam filters and how quickly the receiving servers will accept mail from your domain. The combined use of SPF and DKIM reduces the number of false positives and can increase the receiving network's confidence in authentication, to the point of its being willing to start blocking messages that fail both authentication processes. The SPF information policy details are out of the scope of this policy and have to be defined by the domain name owner. Please contact the Steering Committee (SC) for further details regarding the implementation. Mailing list: this topic should be further studied and considered for future improvements of the policy. Recommendations for servers exchanging with.post domains 9 For other servers that are intending to receive s from a.post domain, it is highly recommended that the above policy be adopted in order to strengthen the effect of the policy and obtain all the advantages at both ends of the DKIM and SPF implementation. 4 M. Wong and W. Schlitt, Sender Policy Framework (SPF) for Authorizing Use of Domains in , Version 1, RFC 4408, Experimental, April 2006, IETF, available at: 5 T. Hansen, D. Crocker, and M. Kucherawy, DomainKeys Identified Mail (DKIM) Signature, RFC 6376, Informational, September 2011, IETF, available at: 6 T. Hansen, D. Crocker, and P. Hallam-Baker, DomainKeys Identified Mail (DKIM) Service Overview, RFC 5585, Informational, July 2009, IETF, available at:

9 4 Compliance check 10 For an industry-standard mail solution, it is important that all security features be properly implemented and that the parameters be set correctly. 11 Secure mail solutions provided under.post will need to have a compliance verification to ensure the server/dns is validated and to verify that this policy has been implemented correctly. 12 Compliance can be verified directly by the domain name owner using the tools below. A report with the results must be submitted to the DPG in order to be evaluated. The DPG will provide the requester with final recommendations about its compliance for use of under.post. Tools to check for compliance with DKIM and SPF vamsoft.com/support/tools/spf-policy-tester UPU DPG approved solutions reference list 13 After a successful audit, if an solution is compliant with one of the standards on the reference list and/or uses the industry standard, the DPG Steering Committee will give authorization for the solution to be included on a list of UPU DPG approved secure mail solutions. Procedure in case a solution is not on the reference list 14 If a.post domain owner wants to operate an server/solution which it believes to be a secure solution but which is not on the DPG reference list, then it should make a proposal to the DPG Steering Committee to request its approval. 15 After an analysis of the proposed solution by the DPG, and following a further validation, a report will be issued to the.post domain name owner. 16 This report might contain recommendations and/or confirmation regarding the SMTP solution. If the DPG SC approves the solution as a compliant solution for use under.post for secure SMTP services, it will be added to the reference list (Annex 1).