PSeg03 - Norma para Uso de Correio Eletrônico
Introdução
Nesta norma estão definidas as diretrizes que devem ser observadas na utilização de correio eletrônico dentro da Universidade de São Paulo.
Por sistema de correio eletrônico entende-se sistemas, programas, servidores que se utilizam do protocolo SMTP para funcionar. Engloba desde o software cliente do usuário, que fará o envio e recebimento dos emails, até os servidores de correio eletrônico disponibilizados pelas Unidades e Centros de Informática.
Também é do escopo dessa norma a regulamentação de serviços do tipo "listas de discussão" baseados no protocolo SMTP.
2. Objetivos
Esse documento tem como objetivo principal estabelecer diretrizes para uma boa utilização do correio eletrônico dentro da Universidade, tendo em vista os objetivos definidos pela Norma de Segurança.
3. Abrangência
Esta norma tem abrangência de toda a Universidade, sendo mandatória para os Centros de Informática e Unidades.
4. Regras e Diretrizes para o Usuário
4.1 Deveres
- O Usuário não deve utilizar o sistema de correio eletrônico para spam.
- O Usuário deve configurar seu software de correio eletrônico para que ao enviar um e-mail, o mesmo possa retornar a sua conta caso haja algum problema na entrega.
- O Usuário não deve utilizar o sistema de correio eletrônico para enviar correntes, pirâmides, boatos, e outros.
- O Usuário não deve utilizar o sistema de correio eletrônico para molestar, intimidar, assediar ou difamar outras pessoas.
- O Usuário deve evitar seu envolvimento em discussões ou polêmicas ("flame wars") com outros Usuários de correio eletrônico (internos ou externos).
- O Usuário deve evitar o uso do sistema de correio eletrônico para finalidades que não sejam do escopo da Universidade.
4.2 Responsabilidades
- O titular da conta tem total responsabilidade pelo uso da mesma;
- O mau uso de uma conta por terceiros será responsabilidade de seu titular, sujeitando-o às penalidades cabíveis;
- É de exclusiva responsabilidade do usuário o conteúdo de seus arquivos;
- O Centro de Informática não se responsabilizará, em nenhuma hipótese, por eventuais perdas e danos causados pela utilização dos recursos oferecidos, direta ou indiretamente;
- É imperativa a leitura da Portaria GR 3.082, de 6.10.97, que estabelece os "Princípios Éticos de Uso de Computadores na USP".
4.3 Recomendações
- Recomenda-se que o Usuário evite o envio de e-mails muito grandes (documentos muito grandes, fotos, etc.). Para isso existem outros meios mais eficientes.
- Recomenda-se que o Usuário não responda e-mails incluindo os anexos recebidos.
5. Regras e Diretrizes para o Administrador
5.1 Deveres
- O Administrador deve verificar periodicamente a conta postmaster, para detectar eventuais problemas que possam estar ocorrendo no servidor e na entrega de e-mail dos usuários.
- É obrigatória a criação das contas "security" e "abuse" nos servidores de domínio.
- Todo servidor de correio eletrônico deve ter nome e reverso configurado de maneira correta no DNS.
- O Administrador de um serviço oferecido pela Universidade deve seguir a Norma para Difusão de E-mails criada pela CCI, quando do envio de e-mails em grandes quantidades para docentes, funcionários e/ou alunos da Universidade.
- O Administrador deve configurar o servidor de correio eletrônico de maneira a evitar problemas do tipo "open-relay", "open-proxy", "formmail" e outros.
- A leitura dos emails deve ser somente feita por mecanismos do tipo POP3, IMAP, HTTP (Webmail), de preferência utilizando as versões mais seguras desses protocolos APOP, SMTP-AUTH, POP com SSH, HTTPS.
- Servidores de correio eletrônico que permitam o "login" do Usuário devem ter "Shell" restrita.
- O Administrador não deve ler mensagens de seus usuários, a não ser em casos em que se suspeite que a mensagem possa ser um spam ou desviar-se dos propósitos estabelecidos nesse documento, por exemplo, após o administrador verificar a fila de mensagens do sistema e detectar alguma irregularidade.
- O Administrador deve checar periodicamente o servidor de correio eletrônico para determinar se existem endereços de e-mail inválidos nas listas disponibilizadas pelo servidor. Se a lista for administrada por outra pessoa, o Administrador deve contactá-la para que seja feita a remoção desses endereços inválidos.
5.1.1 Referentes a listas de discussão
- O Administrador deve configurar o servidor de listas para que o Usuário não possa executar determinados comandos (por exemplo, "who" para listar todos os usuários que façam parte da lista).
- O Administrador deve configurar um tamanho máximo para todas as mensagens que circulem através do servidor de listas.
- O Administrador deve remover endereços inscritos em listas de discussão, caso eles estejam retornando.
- O acesso a configuração do servidor de listas e principalmente a seus inscritos deve ser rigorosamente controlado e limitado apenas ao Administrador (ou dono) da lista.
- O Administrador deve configurar o servidor de listas para que em todos os emails que circulem por ela seja incluída informação ao Usuário de como ele deve proceder para se descadastrar da lista, contactar um Administrador, receber outras informações, etc.
5.2 Recomendações
- Recomenda-se que o servidor de correio eletrônico seja configurado para enviar email só após a autenticação do Usuário, utilizando configurações do tipo "smtp auth", "smtp after pop", etc.
- Recomenda-se que o Administrador implemente medidas para filtragem de vírus no sistema de correio eletrônico.
- Recomenda-se que o Administrador implemente medidas para filtragem de spam e emails indesejados (correntes, mensagens pornográficas, propagandas, etc.) no sistema de correio eletrônico.
- Recomenda-se que o Administrador implemente medidas para limitar o tamanho das caixas postais de seus usuários, por exemplo, utilizando um mecanismo de quota.
- Recomenda-se que o servidor de correio eletrônico seja configurado de forma que o Usuário não tenha acesso de "login" ao servidor.
- Recomenda-se que o Administrador monitore o funcionamento do servidor de correio eletrônico, em termos de número de conexões, número de mensagens enviadas e recebidas, número de mensagens bloqueadas, banda consumida na rede, etc.
5.2.1 Referentes a listas de discussão
- O Administrador do servidor de lista de discussão pode delegar a outras pessoas (Usuários que pertençam a Universidade) a administração de uma determinada lista. Essa pessoa ficará encarregada da sua manutenção (inclusão/remoção de usuários, moderação, etc.).
- Recomenda-se que uma lista de discussão só seja composta por usuários que tenham optado por sua inscrição.
6. Infrações
São consideradas infrações no uso dos recursos computacionais oferecidos:
- Fornecer a senha de acesso a externos; " Utilizar a senha de outro usuário sem seu consentimento;
- Tentar utilizar simultaneamente mais de uma conexão através de linha telefônica;
- Utilizar os recursos oferecidos com fins comerciais não autorizados explicitamente;
- Utilizar software ou procedimentos para conseguir acesso não autorizado a recursos ou informações, ou para degradar o desempenho, ou para colocar fora de operação sistemas computacionais locais ou remotos;
- Armazenar arquivos de conteúdo ilegal ou considerados abusivos;
- Comportamento ofensivo ou impróprio no tratamento com outros usuários ou grupos, locais ou externos. A definição de impropriedade fica a cargo dos grupos ou usuários;
- Participar de "correntes", "pirâmides" ou esquemas similares de qualquer finalidade;
- Utilizar os recursos para "spam" que é o envio de "malas diretas" e propagandas, sem prévio consentimento do destinatário;
- Envolver-se em qualquer atividade que vá contra a política de segurança e o código de ética da Universidade e ainda, atividades que vão contra a moral e os bons costumes;
- Violar outras regras e diretrizes de usuários ou administrador previstas nos documentos da "Política de Segurança da USPnet".
7. Penalidades
Uma vez que o usuário é responsável por qualquer atividade a partir de sua conta, o mesmo responderá por qualquer ação legal apresentada à Universidade e que envolva a sua conta.
No caso de evidências de uso irregular dos recursos oferecidos (ver "Infrações"), o usuário terá seu acesso bloqueado para averiguação. Constatada a irregularidade poderá ser aplicada a penalidade, conforme previsto na Política de Segurança da USPnet.