Копия и скрытая копия в электронной почте. Как придать электронной переписке юридическую силу Благородный связь отправить мне копию

Не так давно я столкнулся с действующим методом, который позволяет злоумышленнику отправлять спам от имени вашего сайта, используя форму обратной связи Joomla (форму контакта). Эта возможность не является уязвимостью, и вряд ли будет исправлена. В этой статье я расскажу о том, как такое стало возможно, и что нужно делать, чтобы защитить свой сайт.

Стандартная форма обратной связи Joomla

В Joomla есть довольно мощный и гибкий компонент, который называется «Контакты ». Это стандартный компонент Joomla. Он есть на каждом сайте, т.к. устанавливается вместе с CMS. Данный компонент позволяет создавать и выводить на сайт категории контактов, контакты, формы обратной связи, позволяющие связаться с тем или иным контактом. Контакт – это, условно, пользователь – человек с сайта.

Когда-то я писал статью о том, как можно создать на сайте форму обратной связи стандартными средствами Joomla . Данная инструкция актуальна и сейчас. Она позволяет создать вполне себе годную форму обратной связи без установки сторонних расширений. Отправка спама возможна, когда используется именно эта форма, а также, при одновременном стечении некоторых обстоятельств, о которых пойдет речь ниже.

Отправка спама от имени сайта с использованием формы обратной связи Joomla

Вы удивитесь, насколько прост обнаруженный способ отправки спама от имени сайта. Чтобы он был возможен, форма обратной связи должна выглядеть примерно так:

Т.е. должны выполняться два условия:

1. Форма не защищена от спам-ботов (не подключена reCaptcha или какой-либо другой способ защиты формы)
2. В настойках контакта активирована опция «Отправлять отправителю копию письма». Благодаря ей в контактной форме появляется соответствующий чекбокс (см. рисунок выше).

Если хотя бы одно из этих условий не выполняется, проблем не будет. Если же выполняются оба условия, то, как говориться, следите за руками:

1. Спам-бот находит контактную форму. Защиты от спама нет – можно использовать.
2. Спам-бот определяет, что сайт на Joomla, и что используется стандартная форма контактов. Удивительно, но есть боты, которые прекрасно умеют это делать.
3. Спам-бот видит наличие чекбокса отправки копии письма отправителю.
4. Спам-бот подставляет в поле Email адрес из собственной базы спам-рассылки, поле сообщения заполняет спамом. Как заполнены остальные поля неважно.
5. Спам-бот отправляет форму и повторяет процесс многократно, подставляя все новые и новые адреса из собственной базы в поле Email.

Что происходит в результате? Joomla думает, что форму заполнил человек, который указал свой реальный адрес и хочет связаться с контактом с сайта. Поскольку галочка отправки копии письма установлена, то письма от сайта получают двое: человек, чей адрес привязан к контакту, и человек, чей адрес введен в поле Email.

Таким образом, подставляя в поле Email разные адреса, можно отправить тысячи сообщений от имени вашего сайта. Да, возможно контакт увидит это, быстро поймет, в чем дело, и прикроет лазейку, но очень велика вероятность, что этого не произойдет.

Последствия от такой атаки для сайта и бизнеса могут быть крайне неприятными, особенно когда чтобы раскрутить сайт уже вложено много денег. Если с адреса вашего домена рассылается спам, думаю не нужно объяснять, какой будет реакция его получателей.

Как защититься от этой уязвимости?

Как защититься от этой уязвимости? Элементарно. Сделайте так, чтобы одно из условий, описанных выше, не выполнялось, а именно.

Тамара Воротынцева – директор по развитию тренинговой компании «БИЗНЕС ПАРТНЕР» (Москва). Практикующий бизнес-тренер, автор книги «Строим систему обучения персонала» и публикаций в деловых изданиях России, Казахстана и Украины. Создатель интернет-рассылки: «E-mail переписка в бизнесе» на сервере subscribe.ru! Книга является практическим пособием для деловых людей, ведущих активную переписку с клиентами и партнерами. В ней представлены инструменты, которые помогут сделать электронное общение эффективным, оптимальным по времени и результату, максимально соответствующим нормам и правилам, принятым в современном деловом сообществе. Автор дает практические советы, иллюстрирует свои наблюдения случаями из жизни, приводит аргументированные выводы. Текст книги богат узнаваемыми примерами реальной деловой переписки. Автор делится своими наблюдениями, приемами, «хитростями», которые способны существенно повлиять на эффективность и результативность делового электронного письма. Если вы – деловой человек и для вас важно писать оперативно, лаконично, грамотно, в соответствии в правилами хорошего делового тона, – эта книга станет вам надежным помощником.

Книга:

Работая с полями «Кому» («То»), «Копия» («Сс»), «Скрытая копия» («Всс»), помните, что это важная часть электронного письма, влияющая на дальнейшие действия участников переписки.

«Кому» («То»). В это поле помещается адрес получателя, которому непосредственно адресовано письмо и содержащиеся в нем сведения. От основного получателя автор письма и ждет ответ. Если в это поле помещены два адресата, значит автор письма ждет ответ от каждого или кого-то из них (имейте это в виду, если ваше имя значится в списке получателей). При этом (если вы – отправитель) имейте в виду, что включать в поле «Кому» («То») более одного адресата не очень целесообразно. На письмо, отправленное нескольким адресатам, можно не получить ни одного ответа, так как каждый будет думать, что ответит другой.

Если письмо адресовано вам, но содержит в копии других получателей, обязательно используйте при ответе кнопку «Ответить всем» («Reply ALL»)! Это позволит сохранить круг адресатов, который обозначил инициатор переписки.

«Копия» («Сс»). В это поле помещайте адреса получателей, которые, по вашему мнению, должны быть в курсе переписки по данному вопросу. Эти адресаты получают информацию только «к сведению». Получатель в копии обычно не должен отвечать на письмо, но при необходимости может это сделать.

ОБРАТИТЕ ВНИМАНИЕ. ЭТО ВАЖНО!

В случае если ваше имя находится в поле «Копия» («Сс»), то, вступая в переписку, помните, что бывают ситуации, когда крайне важно быть вежливым. Используйте фразы: «Позвольте присоединиться к обсуждению», или «Позвольте присоединиться к вашему диалогу», или «Позвольте высказать мое мнение».

«Скрытая копия» («Всс»). Это поле в некоторых компаниях запрещено к использованию, так как является инструментом, противоречащим этическим нормам общения. Назначение этого поля – приглашение адресату стать «тайным свидетелем».

Если в вашей деловой практике принято использовать это поле в работе, учитывайте следующее. Получатель, находящийся в «скрытой копии», остается невидимым для основного получателя и для адресатов, стоящих в копии. Иногда бывает нелишним отправителю и «тайному получателю» иметь предварительную договоренность (или последующую информированность) о причине и целях такого способа информирования.

ОБРАТИТЕ ВНИМАНИЕ. ЭТО ВАЖНО!

«Скрытому» получателю категорически не следует вступать в переписку из этого поля.

Однако суды настороженно относятся к электронным документам и далеко не всегда принимают их в качестве надлежащих доказательств. В этой статье – пять способов сделать так, чтобы суд принял электронную переписку в качестве доказательства по делу.

ВОПРОС В ТЕМУ
В какой форме электронная переписка представляется в арбитражный суд?
Специальных требований законом не установлено. Однако из-за того, что все доказательства должны быть приобщены к делу (ст. 64, 75 АПК РФ), можно сделать вывод, что электронную переписку нужно представлять на бумажном носителе (определение ВАС РФ от 23.04.10 № ВАС-4481/10).

Предварительные меры для придания е-mail силы доказательства

Электронная переписка является разновидностью письменных доказательств (п. 3 ст. 75 АПК РФ). При этом в Арбитражном процессуальном кодексе указано, что электронные сообщения могут быть отнесены к письменным доказательствам в порядке, который определяется законом, договором или Высшим арбитражным судом (п. 3 ст. 75 АПК РФ в редакции Федерального закона от 27.07.10 № 228-ФЗ). Поэтому стороны могут заранее индивидуализировать свои электронные сообщения для того, чтобы они впоследствии являлись допустимым доказательством по делу. Сделать это можно двумя способами.

Способ первый: придание переписке юридической силы в договоре. Учитывая, что контрагенты вправе определять порядок представления письменных доказательств самостоятельно (п. 3 ст. 75 АПК РФ), они могут заранее придать электронной переписке доказательственную силу.

Для этого им нужно прописать соответствующее условие в договоре (заключить дополнительное соглашение) с указанием на адреса электронной почты, которые будут использоваться сторонами, и тех лиц, которые будут осуществлять такую переписку от имени компании.

Кроме того, как показывает судебная практика, не будет лишним указать, какие именно юридические действия стороны договорились осуществлять посредством электронной переписки. В одном из споров сторона по делу ссылалась на то, что в анкете к договору стороны согласовали использование электронной почты с обозначением адреса контрагента, куда необходимо отправлять документы. Однако арбитражный суд акцентировал свою позицию на том, что «адрес электронной почты был обозначен сторонами для осуществления рабочей переписки, а не для передачи результатов работ» (постановление Федерального арбитражного суда Московского округа от 12.01.09 № КГ-А40/12090-08).

Без указания в договоре на контактных лиц, адреса электронной почты и вопросы, которые стороны могут согласовывать в таком порядке, суд скорее всего не признает электронную переписку допустимым доказательством по делу (постановление Федерального арбитражного суда Московского округа от 27.02.10 № КГ-А41/531-10). Судебная практика с противоположной позицией судов крайне незначительна (постановление Федерального арбитражного суда Уральского округа от 28.06.10 № Ф09-4726/10-С3).

Способ второй: использование электронной цифровой подписи. Электронная цифровая подпись (далее – ЭЦП) приравнивается к собственноручной подписи в документе на бумажном носителе (п. 1 ст. 1 Федерального закона от 10.01.02 № 1-ФЗ «Об электронной цифровой подписи»). Безусловно, ее использование является одним из самых надежных способов идентификации электронных сообщений.

Если компания представит в суд электронное письмо, которое подписано ЭЦП другой стороны, то не нужно будет устанавливать факт отправки и подлинность электронного письма. Но тут важно не упустить одну деталь: в случае спора суд может потребовать представить документ, который подтвердит факт согласования с контрагентом использования ЭЦП (постановление Федерального арбитражного суда Северо-Западного округа от 03.03.09 № Ф-04-1207/2009(1502-А46-11)).

ВОПРОС В ТЕМУ
Что делать, если переписка у истца не сохранилась, а контрагент удалил ее на своем компьютере?
Сторона может попросить суд в порядке обеспечения доказательств запросить у компании, которая осуществляет техническую поддержку почтового сервера, архивные копии электронных сообщений.

Доказывание в суде с помощью электронной переписки

Документы, полученные посредством электронной почты, являются надлежащими доказательствами, подлежат всесторонней полной оценке исходя из совокупности доказательств, которым не противоречат и сведения, содержащиеся в электронной переписке сторон (постановление Федерального арбитражного суда Московского округа от 17.02.10 № КГ-А40/14784-09). Компании просто нужно будет доказать подлинность и достоверность этих писем. Вот несколько способов.

Способ третий: определение реквизитов электронных писем. Как указано в статье 75 Арбитражного процессуального кодекса, к письменным доказательствам относятся документы, которые позволяют установить достоверность документа, то есть то, что он подписан надлежащим лицом, верно отражает дату и место составления, адресата и другую необходимую информацию. В одном из дел суд определил данные, которые нужны для подтверждения достоверности информации. К ним были отнесены: адреса электронной почты получателя и отправителя, сведения о времени и дате отправления электронного сообщения, почтовом сервере, с которого произведена отправка электронного сообщения. В связи с отсутствием этих данных арбитражный суд не принял представленные обществом в качестве доказательств распечатки электронной переписки (постановление Федерального арбитражного суда Северо-Кавказского округа от 07.07.08 № Ф08-3751/2008).

Способ четвертый: проведение экспертизы. Подлинность электронных доказательств может быть установлена заключением судебной экспертизы. Для этого потребуется найти организацию, которая проводит компьютерно-техническую экспертизу. Можно обратиться к экспертам, не дожидаясь судебного разбирательства, либо ходатайствовать в суде о проведении экспертизы (п.1 ст. 82 АПК РФ). Тогда суд назначит эксперта, который составит заключение и определит, действительно ли переписка исходила от сторон по делу, установит ее реальное содержание, время отправления и прочие данные. Акт экспертного заключения суды принимают как доказательство (постановление Федерального арбитражного суда Московского округа от 20.01.10 № КГ-А40/14271-09).

Способ пятый: составление нотариального протокола. Одним из надежных способов легализации электронных доказательств является составление нотариального протокола. Этим способом в последнее время компании пользуются все чаще. Согласно закону, нотариусы имеют право производить осмотр письменных и вещественных доказательств (ст. 102, 103 Основ законодательства о нотариате от 11.02.93 № 4462-I, далее – Основы). Компания может предоставить нотариусу доступ к компьютеру и почтовому серверу, на котором находится переписка. Нотариус проверит подлинность переписки, установит, действительно ли она исходила от сторон по делу, и составит протокол, который придаст электронной переписке форму, необходимую для судебного доказательства. Сами электронные письма должны быть распечатаны и подшиты к протоколу. Такой протокол будет являться доказательством того, что на определенную дату в данных электронной почты действительно имелись электронные сообщения, полученные с определенных адресов. Тут важно помнить, что нотариус сможет составить такой протокол только до начала производства по делу в суде (ст. 102 Основ).