Mijn hostingprovider weigert de DNS records van mijn domeinen te overhandigen!

| AE 9527 | Cloud, Domeinnamen | 15 reacties

Een lezer vroeg me:

Voor een klant moeten we meerdere domeinnamen overnemen van de huidige hoster. Echter wil de hostingpartij huidige ingestelde DNS records niet overhandigen aan zowel de klant als ons, en er is ook geen toegang tot een online omgeving waar ik deze kan downloaden. Mag men dit zo weigeren?

Ja, dat mag men zo weigeren en er is geen grond om die data op te eisen bij de huidige dienstverlener.

Ik blijf het zeggen: juridisch is data helemaal niets, het bestaat niet en je kunt er dus ook geen aanspraak op maken tenzij contractueel is afgesproken van wel. Heel heel soms zou je kunnen beredeneren dat dit impliciet is afgesproken, maar je zult van goeden huize moeten komen en er is geen jurisprudentie hierover.

DNS-data is best cruciaal. Steeds meer diensten autoriseren verzoeken door naar informatie in DNS te kijken. Het bekendste voorbeeld is SPF, een protocol om mailberichten te authenticeren. Wanneer iemand een mailtje verstuurt, wordt dan in de DNS op het afzender-domein gekeken of daar een record is dat toestemming geeft aan deze afzender. Als je die informatie dus niet meeverhuist, dan kun je ineens niet meer mailen naar SPF-gebruikers.

Er is niets wettelijk geregeld voor DNS data, dus zonder afspraak kun je die niet opeisen.

Ook met auteursrecht of databankrecht kom je er niet. Allereerst zit er op dit soort feitelijke informatie geen IE-recht, en ten tweede zijn dergelijke rechten verbodsrechten. Dat wil zeggen dat je de hoster zou kunnen verbieden deze informatie nog te hebben, maar niet dat hij je een kopie moet geven. Auteursrecht is geen eigendom.

De beste manier – maar dat is achteraf – is in het contract of de SLA dus opnemen dat een kopie van de data zal worden verstrekt in een bruikbaar formaat. Heb je dat niet, dan zit er dus weinig anders op dan de data reconstrueren op basis van externe bronnen, in dit geval de openbare DNS. Maar dat kan een heleboel werk zijn, zeker met subdomeinen.

Arnoud

Britse politie vraagt registrars om blokkade torrentsites

| AE 6017 | Aansprakelijkheid, Domeinnamen, Strafrecht | 22 reacties

seized-domain-name-city-londen-policeDe Britse politie heeft registrars van piraterijsites brieven gestuurd met de eis de domeinnaam te blokkeren, las ik bij Tweakers. De sites MisterTorrent, SumoTorrent en ExtraTorrent zouden volgens de auteursrechtafdeling van de Britse politie in strijd zijn met de wet, dus of men even in wilde grijpen. Met een ondertoon dat de bobbies anders even hun ouders de registry (ICANN) zouden wijzen op het feit dat de registrars dan de aansluitvoorwaarden zouden overtreden en dus geschorst zouden worden als domeinnaamuitgevers. Excuse me?

Als een dienst werkelijk in strijd handelt met toepasselijke wetgeving, dan mag de politie daar natuurlijk tegen optreden. Ze kunnen dan de site-eigenaren zelf aanpakken, maar als dat niet lukt dan is aanspreken van de hostingprovider of andere tussenpersoon ook een optie.

In Nederland is dit wettelijk geregeld: een hostingprovider moet op grond van artikel 54a Strafrecht dingen offline halen als de officier van justitie dat zegt. Wel moet die officier daar een machtiging van de rechter-commissaris voor hebben. Dat is een onafhankelijke toetsing – maar de site-eigenaar of hoster wordt niet vooraf gehoord.

Hoe het zit met een domeinnaamprovider is bij mijn weten nog nooit getest. Ik gok omdat de meeste sites domeinnaam en hosting bij dezelfde partij hebben, zodat het nooit aan de orde kwam. Maar het kan natuurlijk best dat de site bij partij A ondergebracht is en de domeinnaam bij partij B.

Het is juridisch eigenlijk al onduidelijk of een domeinnaamprovider een hostingprovider is, een partij die “een telecommunicatiedienst verleent bestaande in de doorgifte of opslag van gegevens die van een ander afkomstig zijn” zoals in dat wetsartikel staat. ‘Gegevens’ slaat eigenlijk op de inhoud van de site, als je de wetsgeschiedenis leest. Maar je kunt zeggen, de dns records van de site zijn ook gegevens (hoewel maar weinig) en die komen van de klant dus dan is dns de dienst van opslag/doorgifte van gegevens van een ander afkomstig.

Oké maar stel. Dan zou de politie dus met zo’n bevel een dns blokkade kunnen eisen, als de rechter-commissaris dat goed vindt. En dan moet je als domeinnaamregistrar daaraan gehoor geven. Je mag niet protesteren dat dit te ver gaat, dat er op de site ook legaal spul staat. Dat heeft (als het goed is) die rechter-commissaris meegenomen in de beslissing die machtiging te geven.

In deze zaak is echter geen sprake van een bevél maar van een verzoek. En dan wel een van een geniepig soort – als je niet doet wat wij zeggen dan gaan wij even jouw leverancier bellen en zeggen dat jij willens en wetens iets illegaals faciliteert. Want in zijn algemene voorwaarden staat dat jij dit niet mag, dus dan raak jij je accreditatie kwijt.

Ja, daar word ik cynisch van. Natuurlijk, áls er sprake is van overtreding van de voorwaarden dan mag de registry ingrijpen. Maar ís dat wel zo? Die agenten weten donders goed dat zij op hun blauwe uniformen vertrouwd gaan worden, en dat de dreiging van negatieve publiciteit dan genoeg kan zijn voor bot afsluiten door die registry. Een CEO die twee agenten op bezoek krijgt, heeft geen zin meer in een diepgravend juridisch onderzoek door de huisjurist – eruit met die lastpakken. En dat voelt als machtsmisbruik door die auteursrechtpolitie.

Arnoud

Mag Spamhaus eigenlijk wel een spammerszwartelijst publiceren?

| AE 5276 | Beveiliging, E-mail | 78 reacties

De grootste DDoS-aanval uit de geschiedenis, heet het met enige retoriek. Zelfbenoemd spambestrijder Spamhaus was vijf dagen onbereikbaar door een gigantische hoeveelheid dataverkeer. De reden heeft te maken met het feit dat Spamhaus de hosters Cyberbunker en CB3ROB als spammer of spammersvriend had aangemerkt. Dit omdat deze geen maatregelen nemen als Spamhaus vindt dat hun klanten spammen.

Tegenover webwereld zegt Sven Kamphuis van CB3ROB:

Ze denken dat ze de baas op internet, maar wíj zijn de baas. Op deze manier willen wij hun dubieuze rol in het daglicht zetten. Het is een slecht idee om censuur uit te besteden aan een vaag clubje dat aan niemand verantwoording aflegt.

Hetgeen de vraag oproept: mág Spamhaus inderdaad zomaar roepen “partij X is een spammer” volgens zelfbedachte criteria?

Nou ja, op zich natuurlijk wel. Vrijheid van meningsuiting en zo. Alleen, Spamhaus is niet zomaar een pipo met een blog die een mening produceert (zoals ik) maar een invloedrijke organisatie wiens meningsuiting directe gevolgen heeft. Als ik zeg “X is een spammer” dan gebeurt er verder weinig, als Spamhaus dat zegt (middels toevoeging aan hun blacklist) dan kan X ineens niet meer mailen.

Natuurlijk, daar zit geen spatje dwang achter: een heleboel providers luisteren op vrijwillige basis naar Spamhaus en hebben ooit bedacht dat zij volautomatisch de partijen gaan blokkeren die de spambestrijder aanwijst. Dat is hun keuze, en niet die van Spamhaus – niemand hóeft hun blacklist te hanteren, toch?

In 2000 wilde de Vereniging tegen de Kwakzalverij “een zo objectief mogelijke lijst presenteren van de kwakzalvers die [in de 20e eeuw] de hoofdrol vertolkten”. Een orthomanueel genezer maakte bezwaar tegen vermelding in de lijst, omdat hij naar eigen zeggen absoluut geen kwakzalver was. De Hoge Raad oordeelde dat de lijst legitiem was als vrije meningsuiting, met name omdat de Vereniging een eigen duidelijke definitie had geschreven waar de genezer aan voldeed. Dat andere media de lijst overnamen zonder die genuanceerde definitie erbij, kon niet voor rekening van de Vereniging komen.

Daarbij is in aanmerking te nemen dat de Vereniging c.s. blijkens de vaststellingen van het hof het grote publiek willen waarschuwen voor wat zij als kwakzalverij beschouwen, en dat zij zelf door de inhoud en context van hun publicaties geen onduidelijkheid laten bestaan over wat zij daarmee bedoelen.

In 2012 vorderde een chiropractor bij de Amsterdamse rechter dat het de Reclame Code Commissie verboden zou worden een uitspraak te doen over zijn reclame. De rechtbank bepaalde echter dat ook de RCC gewoon vrijheid van meningsuiting heeft en dus mag zeggen wat zij vindt van de praktijken van de man.

De omstandigheid dat de uitspraken van de Commissie als gezaghebbend worden ervaren en dat haar aanbevelingen op grote schaal worden nageleefd, hetgeen de SRC onbetwist heeft aangevoerd, geeft er slechts blijk van dat de SRC een in de reclamewereld bestaande behoefte aan een systeem van toezicht op de wijze waarop reclame wordt gemaakt bevredigt en is een teken dat de SRC in de verwezenlijking van haar statutaire doelstellingen succesvol is gebleken.

In beide zaken schemert wel door dat het belangrijk is dat je duidelijke maatstaven hanteert over wanneer iemand een kwakzalver, oneerlijke-reclameman of spammer is. Ook moet je daar op een eerlijke manier aan toetsen.

En hoe gezaghebbender je bent, hoe zorgvuldiger je moet zijn. Sta je bekend als objectieve beoordelaar, dan moet je zorgen dat je dat blijft. Dat zagen we bij een rechtszaak tegen de Consumentenbond:

Gegeven de invloed die aan zijn oordelen wordt gehecht, dient de informatieverstrekking en advisering [van de Consumentenbond] deskundig, objectief en duidelijk te zijn. Gezien de reputatie van de Consumentenbonden de impact van door hem ingenomen standpunten, dient de wijze waarop de Consumentenbond met die standpunten naar buiten treedt te voldoen aan hoge eisen van zorgvuldigheid, duidelijkheid en neutraliteit.

Alles bij elkaar zie ik dan ook voor Spamhaus geen probleem om te publiceren wie zij spammer acht, mits ze daar duidelijke criteria voor hanteert en objectief handelt. De criteria zijn er, en er is een snelle procedure voor verwijdering als je meent dat je onterecht opgenomen bent. Dat lijkt me dus in theorie prima in orde.

Wel bekruipt me het gevoel dat veel providers érg makkelijk lijsten als Spamhaus volgen. En dat is toch wel opmerkelijk. Niemand koopt blindelings op basis van wat de Consumentenbond zegt, en uitspraken van de Reclame Code Commissie leiden ook niet tot volautomatische advertentieblokkades bij de (vrijwillig) aangesloten uitgeverijen. Waarom doen we dat bij e-mailspam eigenlijk wel?

Arnoud