Копія та прихована копія в електронній пошті. Як надати електронному листуванню юридичної сили Благородний зв'язок надіслати мені копію

Нещодавно я зіткнувся з діючим методом, який дозволяє зловмиснику відправляти спам від імені вашого сайту, використовуючи форму зворотного зв'язку Joomla (форму контакту). Ця можливість не є вразливою і навряд чи буде виправлена. У цій статті я розповім про те, як таке стало можливим, і що потрібно робити, щоб захистити свій сайт.

Стандартна форма зворотного зв'язкуJoomla

У Joomla є досить потужний і гнучкий компонент, який називається « Контакти». Це стандартний компонент Joomla. Він є кожному сайті, т.к. встановлюється разом із CMS. Даний компонент дозволяє створювати та виводити на сайт категорії контактів, контакти, форми зворотного зв'язку, що дозволяють зв'язатися з тим чи іншим контактом. Контакт – це, умовно, користувач – людина із сайту.

Колись я писав статтю про те, як можна створити на сайті форму зворотнього зв'язку стандартними засобами Joomla. Ця інструкція є актуальною і зараз. Вона дозволяє створити цілком придатну форму зворотного зв'язку без встановлення сторонніх розширень. Відправлення спаму можливе, коли використовується саме ця форма, а також, при одночасному збігу деяких обставин, про які йтиметься нижче.

Надсилання спаму від імені сайту з використанням форми зворотного зв'язкуJoomla

Ви здивуєтеся, наскільки простий спосіб відправлення спаму від імені сайту. Щоб він був можливий, форма зворотного зв'язку має виглядати приблизно так:

Тобто. повинні виконуватися дві умови:

1. Форма не захищена від спам-ботів (не підключена reCaptcha або будь-який інший спосіб захисту форми)
2. У настоянках контакту активовано опцію «Надсилати відправнику копію листа». Завдяки їй у контактній формі з'являється відповідний чекбокс (див. малюнок вище).

Якщо хоча б одна із цих умов не виконується, проблем не буде. Якщо ж виконуються обидві умови, то, як то кажуть, стежте за руками:

1. Спам-бот знаходить контактну форму. Захисту від спаму немає – можна використовувати.
2. Спам-бот визначає, що сайт на Joomla, і що використовується стандартна форма контактів. Дивно, але є боти, які чудово вміють це робити.
3. Спам-бот бачить наявність чекбоксу надсилання копії листа відправнику.
4. Спам-бот підставляє у полі Emailадресу з власної бази розсилки спам, поле повідомлення заповнює спамом. Як заповнені інші поля не має значення.
5. Спам-бот відправляє форму і повторює процес багаторазово, підставляючи нові і нові адреси з власної бази в полі Email.

Що відбувається у результаті? Joomla думає, що форму заповнила людина, яка вказала свою реальну адресу і хоче зв'язатися з контактом із сайту. Оскільки галочка відправки копії листа встановлена, то листи від сайту отримують двоє: людина, чия адреса прив'язана до контакту, і людина, чия адреса введена в полі Email.

Таким чином, підставляючи у полі Emailрізні адреси, можна надіслати тисячі повідомлень від імені вашого сайту. Так, можливо, контакт побачить це, швидко зрозуміє, в чому справа, і прикриє лазівку, але дуже велика ймовірність, що цього не станеться.

Наслідки від такої атаки для сайту та бізнесу можуть бути вкрай неприємними, особливо коли розкрутити сайт вже вкладено багато грошей. Якщо з адреси вашого домену надсилається спам, думаю не потрібно пояснювати, якою буде реакція його одержувачів.

Як захиститись від цієї вразливості?

Як захиститись від цієї вразливості? Елементарно. Зробіть так, щоб жодна з умов, описаних вище, не виконувалася, а саме.

Тамара Воротинцева - директор з розвитку тренінгової компанії "БІЗНЕС ПАРТНЕР" (Москва). Практикуючий бізнес-тренер, автор книги «Будуємо систему навчання персоналу» та публікацій у ділових виданнях Росії, Казахстану та України. Автор інтернет-розсилки: «E-mail листування в бізнесі» на сервері subscribe.ru! Книга є практичним посібником для ділових людей, які ведуть активне листування з клієнтами та партнерами. У ній представлені інструменти, які допоможуть зробити електронне спілкування ефективним, оптимальним за часом та результатом, що максимально відповідають нормам та правилам, прийнятим у сучасній діловій спільноті. Автор дає практичні поради, ілюструє свої спостереження випадками із життя, наводить аргументовані висновки. Текст книги багатий на відомі приклади реального ділового листування. Автор ділиться своїми спостереженнями, прийомами, «хитрощами», які здатні суттєво вплинути на ефективність та результативність ділового електронного листа. Якщо ви - ділова людина і для вас важливо писати оперативно, лаконічно, грамотно, відповідно до правил хорошого ділового тону, - ця книга стане вам надійним помічником.

Книга:

Працюючи з полями «Кому» («То»), «Копія» («Сс»), «Прихована копія» («Вс»), пам'ятайте, що це важлива частина електронного листа, що впливає на подальші дії листування.

"Кому" ("Те").У цьому полі міститься адреса одержувача, якому безпосередньо адресовано лист і відомості, що містяться в ньому. Від основного одержувача автор листа і чекає на відповідь. Якщо в цьому полі вміщено два адресати, то автор листа чекає на відповідь від кожного або когось із них (майте це на увазі, якщо ваше ім'я значиться у списку одержувачів). При цьому (якщо ви відправник) майте на увазі, що включати в поле «Кому» («То») більше одного адресата не дуже доцільно. На лист, надісланий кільком адресатам, можна отримати жодної відповіді, оскільки кожен думатиме, що відповість інший.

Якщо лист адресований вам, але містить копії інших одержувачів, обов'язково використовуйте при відповіді кнопку «Відповісти всім» («Reply ALL»)! Це дозволить зберегти коло адресатів, яке окреслив ініціатор листування.

"Копія" ("Сс"). Уце поле розміщуйте адреси одержувачів, які, на вашу думку, повинні бути в курсі листування з цього питання. Ці адресати отримують інформацію лише «до уваги». Одержувач у копії зазвичай не повинен відповідати на листа, але при необхідності може це зробити.

ЗВЕРНІТЬ УВАГУ. ЦЕ ВАЖЛИВО!

Якщо ваше ім'я знаходиться в полі «Копія» («Сс»), то, вступаючи в листування, пам'ятайте, що бувають ситуації, коли дуже важливо бути чемним. Використовуйте фрази: «Дозвольте приєднатися до обговорення» або «Дозвольте приєднатися до вашого діалогу» або «Дозвольте висловити мою думку».

"Прихована копія" ("Вс").Це поле в деяких компаніях заборонено використовувати, оскільки є інструментом, що суперечить етичним нормам спілкування. Призначення цього поля – запрошення адресату стати «таємним свідком».

Якщо у вашій діловій практиці прийнято використовувати це поле у ​​роботі, враховуйте таке. Одержувач, що знаходиться в прихованій копії, залишається невидимим для основного одержувача і для адресатів, що стоять у копії. Іноді буває незайвим відправнику та «таємному одержувачу» мати попередню домовленість (або подальшу інформованість) про причину та цілі такого способу інформування.

ЗВЕРНІТЬ УВАГУ. ЦЕ ВАЖЛИВО!

«Прихованому» одержувачу категорично не слід листуватися з цього поля.

Однак суди насторожено ставляться до електронних документів і далеко не завжди приймають їх як належні докази. У цій статті – п'ять способів зробити так, щоб суд прийняв електронну листування як доказ у справі.

ПИТАННЯ У ТЕМУ
У якій формі листування подається до арбітражного суду?
Спеціальних вимог законом не встановлено. Однак через те, що всі докази повинні бути долучені до справи (ст. 64, 75 АПК РФ), можна дійти невтішного висновку, що електронну листування потрібно подавати на паперовому носії (визначення ВАС РФ від 23.04.10 № ВАС-4481/10 ).

Попередні заходи для надання електронної пошти сили доказу

Електронна листування є різновидом письмових доказів (п. 3 ст. 75 АПК РФ). При цьому в Арбітражному процесуальному кодексі зазначено, що електронні повідомлення можуть бути віднесені до письмових доказів у порядку, що визначається законом, договором або Вищим арбітражним судом (п. 3 ст. 75 АПК РФ у редакції Федерального закону від 27.07.10 № 228-ФЗ ). Тому сторони можуть заздалегідь індивідуалізувати свої електронні повідомлення, щоб вони згодом були допустимим доказом у справі. Зробити це можна двома способами.

Спосіб перший: надання листування юридичної сили у договорі.Враховуючи, що контрагенти вправі визначати порядок подання письмових доказів самостійно (п. 3 ст. 75 АПК РФ), вони можуть наперед надати електронного листування доказову силу.

Для цього їм потрібно прописати відповідну умову в договорі (укласти додаткову угоду) із зазначенням на адреси електронної пошти, які будуть використовуватися сторонами, та тих осіб, які здійснюватимуть таке листування від імені компанії.

Крім того, як показує судова практика, не зайвим буде вказати, які саме юридичні дії сторони домовилися здійснювати за допомогою електронного листування. В одній із суперечок сторона у справі посилалася на те, що в анкеті до договору сторони погодили використання електронної пошти з позначенням адреси контрагента, куди необхідно надсилати документи. Однак арбітражний суд акцентував свою позицію на тому, що «адреса електронної пошти була позначена сторонами для здійснення робочого листування, а не для передачі результатів робіт» (ухвала Федерального арбітражного суду Московського округу від 12.01.09 № КГ-А40/12090-08).

Без зазначення в договорі на контактних осіб, адреси електронної пошти та питання, які сторони можуть узгоджувати в такому порядку, суд швидше за все не визнає електронного листування допустимим доказом у справі (ухвала Федерального арбітражного суду Московського округу від 27.02.10 № КГ-А41/531 -10). Судова практика із протилежною позицією судів вкрай незначна (ухвала Федерального арбітражного суду Уральського округу від 28.06.10 № Ф09-4726/10-С3).

Спосіб другий: використання електронного цифрового підпису.Електронний цифровий підпис (далі – ЕЦП) прирівнюється до власноручного підпису документі на паперовому носії (п. 1 ст. 1 Федерального закону від 10.01.02 № 1-ФЗ «Про електронний цифровий підпис»). Безумовно, її використання є одним із найнадійніших способів ідентифікації електронних повідомлень.

Якщо компанія представить до суду електронного листа, який підписано ЕЦП іншої сторони, то не потрібно буде встановлювати факт надсилання та справжність електронного листа. Але тут важливо не упустити одну деталь: у разі спору суд може вимагати подати документ, який підтвердить факт погодження з контрагентом використання ЕЦП (ухвала Федерального арбітражного суду Північно-Західного округу від 03.03.09 № Ф-04-1207/2009 (1502-А46) -11)).

ПИТАННЯ У ТЕМУ
Що робити, якщо листування у позивача не збереглося, а контрагент видалив його на своєму комп'ютері?
Сторона може попросити суд у порядку забезпечення доказів запросити компанії, яка здійснює технічну підтримку поштового сервера, архівні копії електронних повідомлень.

Доведення в суді за допомогою електронного листування

Документи, отримані за допомогою електронної пошти, є належними доказами, підлягають всебічній повній оцінці виходячи з сукупності доказів, яким не суперечать і відомості, що містяться в електронному листуванні сторін (постанова Федерального арбітражного суду Московського округу від 17.02.40-10. ). Компанії просто потрібно буде довести справжність та достовірність цих листів. Ось кілька способів.

Метод третій: визначення реквізитів електронних листів.Як зазначено у статті 75 Арбітражного процесуального кодексу, до письмових доказів належать документи, які дозволяють встановити достовірність документа, тобто те, що він підписаний належною особою, чітко відображає дату та місце складання, адресата та іншу необхідну інформацію. В одній із справ суд визначив дані, які потрібні на підтвердження достовірності інформації. До них були віднесені: адреси електронної пошти одержувача та відправника, відомості про час і дату відправлення електронного повідомлення, поштовий сервер, з якого відправлено електронне повідомлення. У зв'язку з відсутністю цих даних арбітражний суд не прийняв представлені суспільством як докази роздруківки електронного листування (ухвала Федерального арбітражного суду Північно-Кавказького округу від 07.07.08 № Ф08-3751/2008).

Спосіб четвертий: Проведення експертизи.Справжність електронних доказів можна встановити висновком судової експертизи. Для цього потрібно знайти організацію, яка проводить комп'ютерно-технічну експертизу. Можна звернутися до експертів, не чекаючи судового розгляду, або клопотати у суді проведення експертизи (п.1 ст. 82 АПК РФ). Тоді суд призначить експерта, який складе висновок і визначить, чи справжнє листування виходило від сторін у справі, встановить її реальний зміст, час відправлення та інші дані. Акт експертного висновку суди приймають як доказ (ухвала Федерального арбітражного суду Московського округу від 20.01.10 № КГ-А40/14271-09).

Спосіб п'ятий: складання нотаріального протоколу.Одним із надійних способів легалізації електронних доказів є складання нотаріального протоколу. Цим способом останнім часом компанії користуються дедалі частіше. Відповідно до закону, нотаріуси мають право проводити огляд письмових та речових доказів (ст. 102, 103 Основ законодавства про нотаріат від 11.02.93 № 4462-I, далі – Основи). Компанія може надати нотаріусу доступ до комп'ютера та поштового сервера, на якому знаходиться листування. Нотаріус перевірить справжність листування, встановить, чи справді воно виходило від сторін у справі, і складе протокол, який надасть електронному листуванню форму, необхідну для судового доказу. Самі електронні листи мають бути роздруковані та підшиті до протоколу. Такий протокол буде доказом того, що на певну дату даних електронної пошти дійсно були електронні повідомлення, отримані з певних адрес. Тут важливо пам'ятати, що нотаріус зможе скласти такий протокол лише до провадження у справі в суді (ст. 102 Основ).