home *** CD-ROM | disk | FTP | other *** search
/ Internet Toolkit / Internet Toolkit.iso / info / email < prev    next >
Encoding:
Text File  |  1993-03-31  |  20.7 KB  |  457 lines
  1. Policies on electronic mail - a summary
  2. ---------------------------------------
  3.  
  4. Attached is an edited summary of the responses I received on my recent
  5. query. 
  6.  
  7. The majority of respondents didn't have a formal mail policy, although
  8. there was some unspoken agreement on it. 
  9.  
  10. At least one formal mail policy is attached. Some organisations seem
  11. to have come to grips with the problem extremely well - as the following
  12. (rough) quote from the Sun Microsystems internal handbook 'Email Survival'
  13. illustrates.
  14.  
  15. 'Accessing another persons personal electronic mail or files without 
  16. their specific permission is considered gross misconduct. The ease with 
  17. which this might be done in no way justifies this intrusion. Printed copy 
  18. awaiting pickup from a printer is equally confidential  material. Any 
  19. misconduct of this type may result in the termination of your employment
  20. with Sun'.
  21.  
  22. Thanks to all who helped out. Also, some people requested anonymity
  23. so I decided it would be best to strip out all identifying information
  24. from the summary. If you would like to discuss something with any
  25. particular correspondent, no doubt I can arrange it!
  26.  
  27. --
  28. Todd Hooper (Postmaster)                                   Computing Centre
  29.                                             Curtin University of Technology
  30. Internet: hooper_ta@cc.curtin.edu.au                      Western Australia
  31. ACSnet  : hooper_ta@cc.cut.oz.au
  32. Phone   : +61 9 351 7467 (24 hour messaging system) Fax +61 9 351 2673
  33.  
  34. --- Comments from commercial site administrators and users ---
  35.  
  36. We take e-mail very seriously -- both on our own systems and on those that
  37. we administer on behalf of our clients. I view e-mail in the same light as
  38. paper mail. Accordingly, we make every effort to ensure timely delivery
  39. and privacy. Our staff are encouraged to use the facility and we make no
  40. distinction between business and personal correspondence.
  41.  
  42. We are sufficiently small that abuses of this privilege can be dealt with
  43. at a personal level. In the three years that we've had network access,
  44. only one user has been troublesome. In this case, the user was sending
  45. inappropriate quantities of data via the e-mail system and that person has
  46. been encouraged to seek alternative methods (magnetic media) of data
  47. interchange.
  48.  
  49. So far, I have not found it necessary to formulate written policy on this
  50. subject although recent activities that have been reported in the U.S.
  51. have prompted me to consider doing so.
  52.  
  53. ---
  54.  
  55. [1]  We're a commercial site, an employee-owned firm.
  56.  
  57. [2]  All email is private to the extent we can make it so under fairly
  58. standard System V setups.  Directories for spooling are locked, although
  59. a dedicated person could probably find a hole somewhere.  Privacy is
  60. only knowingly compromised when a user needs file repair, and even
  61. then the user is warned that someone will probably see the mailfile
  62. or spooled message as surgery if performed.
  63.  
  64. [3]  We don't consider net-correspondence or personal routing to be a
  65. problem.  In fact, we helped an employee figure out a path to his
  66. daughter during the summer.
  67.  
  68. [4]  Nobody at our site has precipitated a net flame-war, so the issue
  69. of abuse has not come up.  Were it to occur I suppose we would give
  70. the party in question a reprimand on the first offense, and we would
  71. have to handle additional problems on an ad-hoc basis.  We try to
  72. be flexible; so far we haven't [KNOCK WOOD] had a major test.
  73.  
  74. --
  75.  
  76. This is certainly [not] an official educational mail policy, it is merely a
  77. note reguarding my experience.
  78.  
  79. Although I realise that you, as a systems administrator, have a duty to
  80. maintain security on your site, particularly now with AARNet connectivity,
  81. I feel that the reading of someone elses personal mail is a gross injustice.
  82. Despite the fact that you probably have every right to read the mail (they
  83. have chosen to place them on your machine), it is degrading and leads to
  84. animosity between staff and students.  As a sysadm myself now, I will
  85. never read someones mail even if i suspect them of breaching security.
  86.  
  87. ---
  88.  
  89. On mail abuse.  Of all organisational e-mail setups I've come
  90. across (not that many, but I think sufficient to make correlation),
  91. at least 30% of all intra-orgainisational email traffic is 
  92. of a social nature.
  93.  
  94. In one instance, numerous mis/comms managers of a major international bank
  95. that I've dealt with confessed, under social/relaxed settings that they
  96. reckon more than 1/2 of all mail in their system were invitations, replies,
  97. greetings and felicitations and such like.  They were using IBM/Profs and
  98. a population of ~7000 users worldwide.
  99.  
  100. My thought: I don't think there is any feasible active policy 
  101. you just have to rely on your employees to be professional about it.
  102.  
  103. --- Responses from academic site administrators and users ---
  104.  
  105. As far as we are concerned e-mail and e-news is there to be used, the more
  106. students use it the better since they begin to use the computer systems
  107. voluntarily.. not just to do their projects.
  108. (some of them are even buyng e-mail accounts on commerical systems)
  109.  
  110. There aren't any charges or accounting..
  111.  
  112. ---
  113.  
  114. I've had no problems here in ******.  Hopefull, the mail is
  115. private.  there have been no rules set down for the use of
  116. personal mail, and in fact one of the groups I use could
  117. only be called personal.  The news also is personal I guess,
  118. as alt.sex or such could hardly be called work!  (something
  119. for tea breaks).
  120.  
  121. There is of course lots of official things passing through,
  122. and who determines what is personal and what is strictly
  123. university work?
  124.  
  125. ---
  126.  
  127. No official policies at ******.  In general, anyone (staff or student) is 
  128. permitted to use mail to anywhere.
  129.  
  130. Privacy - people are warned that mail is not secure and confidential
  131. information should be sent by other means. 
  132.  
  133. Abuse - the universal threat: misuse of computer systems may result in
  134. disabling of accounts (and consequent failure for students because of 
  135. inability to complete assigned work.  We always warn people, and one warning 
  136. has proven sufficient so far.) 
  137.  
  138. Personal messages - no rules, just the general statement that applies to 
  139. computing generally "People doing University work have priority for use of 
  140. terminals, etc".  This is sort of enforceable, in the sense that anyone 
  141. wanting to use a terminal can complain to the person doing private work, and 
  142. then to the system manager if necessary.  We rarely have complaints.  As far 
  143. as checking for private mail, there are hundreds of messages a day go from 
  144. here, and I don't have the time or inclination to read it.  I don't really see 
  145. any problems with people sending private messages, after all, universities are 
  146. supposed to be places of open thinking, etc, etc, etc.  (It would be different 
  147. if it was costing us anything, such as people printing out dozens of 
  148. invitations on our laser printer!)
  149.  
  150. ---
  151.  
  152. .......................................There is no point in adopting
  153. rules you cannot enforce.  In particular there is no way of enforcing rules
  154. agains the use of email for personal messages unless you want to adopt the
  155. distastful and tediously boring practice of reading all messages.
  156.  
  157. New computer users are given a statement describing their
  158. computer access as a privilege, not a right, and with some guidelines as to
  159. proper use.  There is always the implication that if they abuse their privileges
  160. they can lose them.  If a user starts sending abusive email, you would probably
  161. hear a complaint from the recipient and could take action.  If users send
  162. multi-megabyte email messages you (or your postmaster) will probably see the
  163. error messages when they bounce, and again can take appropriate action.  In
  164. our case appropriate action is usually a warning, followed up by account
  165. suspension in the rare cases of repeat offenders.
  166.  
  167.  As for privacy of email, I follow the practice that in principle email should
  168. be private, but that in practice they should not assume this.  I post occasional
  169. warnings that I as postmaster, and presumably postmasters at other sites, will
  170. sometimes see a copy of their mail when an error occurs, sometimes due to no
  171. fault of the sender.  I also inform users that system administrators technically
  172. have access to all files on the system, and may occasionally need to read user
  173. files to resolve system problems.
  174.  
  175.  My personal policy is to never divulge the contents of email I happen to see,
  176. even when that email contents suggests gross abuse.  However I have no
  177. such hesitation in divulging information obtained from system log files, which
  178. list such information as sender and recipient addresses, message length, etc.
  179. Since these log files are publicly readable (even though most users do not even
  180. know they exist), I consider them public information.
  181.  
  182. ---
  183.  
  184. There has been a discussion on TECHREP@BITNIC.BITNET on electronic mail
  185. privacy/policy lately.  If you are not a TECHREP, I would suggest you
  186. subscribe to TECHNEWS@BITNIC.BITNET as it is an open re-distribution of the
  187. TECHREP list.
  188.  
  189. Send your subscription request to LISTSERC@BITNIC.BITNET in a mail message
  190. with the first line  being "SUB TECHREP (or TECHNEWS) <Your Name>"
  191.  
  192. I enclosed a copy of a message that may be of intrest to you that appeared
  193. earlier this week.....
  194.  
  195. =-=-=-=-=-=-=-=-=-=-=-= From SYSTEM NOTEBOOK C0 =-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  196.  
  197. >----------------------------Original message----------------------------
  198. >On Tue, 30 Oct 90 15:03:22 GMT <GLWARNER@SAMFORD> said:
  199. >>Could anyone tell me if there is a published statement concerning
  200. >>the privacy or non-privacy rights of electronic mail on Bitnet?
  201. >>
  202. >>We are going to be granting access to all our students, and our
  203. >>attorneys have suggested that we should have a published statement
  204. >>concerning this matter.
  205. >
  206. >We are currently preparing a system/network usage policy document
  207. >to inform our students (and other users) regarding what will be
  208. >considered 'abuse', etc.  We plan on including these statements:
  209. >
  210. >
  211. >                     *** IMPORTANT INFORMATION ***
  212. >
  213. >    Pursuant to the ELECTRONIC  AND  COMMUNICATIONS  PRIVACY  ACT of
  214. >  1989, TITLE 18, UNITED STATES CODE, Sections 2510  and  following,
  215. >  notice is hereby given that there  are  no  facilities provided by
  216. >  this  system for sending or receiving confidential messages.   The
  217. >  System Administrator and assigns  may  read all messages and files
  218. >  of any user.
  219. >
  220. >
  221. >    Computer accounts are paid for by the State of Texas and are for
  222. >  educational  purposes   ONLY.  In   general  educational   use  is
  223. >  interpreted loosely.  But, use  for economic  gain or  computer or
  224. >  network  abuse will  not be  tolerated.  If there  is a  complaint
  225. >  regarding your  usage of networks  or UTA computers,  UTA Academic
  226. >  Computing   Services  has   the  right   and  will   review  trace
  227. >  information, backups, and your  account contents to determine your
  228. >  complicity. Possession  of command files  that are solely  for the
  229. >  purpose  of pestering  other persons  or having  blatently obscene
  230. >  material in your accounts, are generally considered just cause for
  231. >  administrative action against you. You do NOT have a right to keep
  232. >  these types of materials on UTA computers.
  233. >
  234. >
  235. >We would appreciate any feedback on possible problems with these
  236. >statements.
  237. >
  238. >Thanks,
  239. >Bob Carr
  240. >Manager of Systems Support
  241. >UT Arlington
  242. >
  243.  
  244. ---
  245.  
  246. I'd be most interested in a summary.  The official policy at ***** is
  247. that we have to use our computer accounts for "educational pursuits"
  248. (or equally legal sounding stuff).  A fairly high level of privacy
  249. exists, although the university reserves the right to read our email.
  250.  
  251. ---
  252.  
  253. There are paragraphs alluding to many aspects of the e-mail issue
  254. in various Internet RFC documents (I can't cite them by chapter and
  255. verse off-hand, but one that comes to mind is the Security Policy
  256. Handbook that is in fairly advanced draft right now ... it is
  257. prepared by the Secuirty Policy Handbook Working Group (SPWG) and
  258. you can get it by anonymous FTP from cert.sei.cmu.edu (look for
  259. an "obvious" subdirectory).
  260.  
  261. Let me advance the following by way as a rough guess at to what you
  262. will find:
  263. (1) Many sites will have no official policies.
  264. (2) Some sites will have official policies prepared to satisfy the
  265.     legal staff and bean-counters: these policies will sound very
  266.     nice and complete but in fact be largely impractical to
  267.     implement.
  268. (3) Some sites will have policies based on experience and knowledge
  269.     of the technical staff: these policies will point out that e-mail
  270.     ain't secure unless encrypted and that security is inversely
  271.     proportional to ease and convenience of use of a system.
  272.  
  273. I suspect, too, that the top levels of administrations that tend to
  274. think in terms of official policies, are also the ones who least
  275. understand the technology and what really can and can't be done.
  276.  
  277. ---
  278.  
  279. I am sysadmin of ********
  280.  
  281. We have 70+ users.
  282.  
  283. We have no policy in place.
  284.  
  285. Users are free to use email for whatever purpose they like.
  286.  
  287. and they do use it.
  288.  
  289. We use standard Unix mail which means each user's mailbox is private
  290. with the exception of root, who can look at anyone's mail.
  291.  
  292. ---
  293.  
  294. It was interesting that you should raise this on info-nets. So I
  295. would like to share with you my thoughts on the subject, having worked
  296. and researched in the human factor in global email since 1982.
  297.  
  298. I think that the coming of AARNet and the tremedous promotion work
  299. that Geoff Huston and his group is doing will advance the use of
  300. email in Australia. It mighe not be a good idea at this early stage
  301. to insist that email should be used for "official" business, as it
  302. will be extremely difficult to define what is official, work, and what
  303. is personal and private use. To do so will dampen the learning and usage
  304. enthusiasm of the lay people. I have been a member of a number of overseas
  305. conferencing systems, and quite frankly, a lot of the messages have only
  306. social values, but they are important all the same, as they are crucial
  307. to group dynamcis and group affinity.
  308.  
  309. ---
  310.  
  311. OK, here's the Dartmouth policy plus a disclaimer from the manual
  312. for the Dartmouth-developed e-mail application:
  313.  
  314.          DARTMOUTH COLLEGE COMPUTING CODE OF ETHICS
  315.  
  316. The Computing Code of Ethics was formulated and is endorsed by
  317. Dartmouth's Council on Computing, a faculty committee that
  318. advises Dartmouth on questions of policy concerning the
  319. allocation and use of all computing resources.  The council takes
  320. an active role in determining the standard computing environment
  321. on campus and participates in planning and reviewing projects
  322. that will significantly affect computing at Dartmouth.  The
  323. Council on Computing wholly endorses the Dartmouth Computing Code
  324. of Ethics as follows:
  325.  
  326. Computer use.  The Computing Code of Ethics states that every
  327. user of Dartmouth College Computing has two fundamental rights: 
  328. privacy and a fair share of resources.  It is unethical for any
  329. other user to violate these rights.  Violation of the Computing
  330. Code of Ethics is considered a violation of the Academic Honor
  331. Principle and may subject a student to disciplinary action.
  332.  
  333. Kiewit Network privacy.  Each user number and associated password
  334. belongs to an individual, department, or school.  No one else
  335. should use a user number without explicit permission from the
  336. owner.  All use should be in accordance with Dartmouth policy on
  337. computer use set forth in this document.  Owners accept the
  338. burden for the responsible use and dissemination of their user
  339. number.
  340.  
  341. Programs and files belong to the owner of the user number or
  342. catalog containing the programs and files.  They are presumed to
  343. be private and confidential unless the owner has explicitly made
  344. them available to the public.  When necessary for the maintenance
  345. of a system or network, Kiewit Computation Center personnel may
  346. access others' files.
  347.  
  348. Some programs gather information about the users who run them. 
  349. If such information could be used to identify the user and the
  350. user's use of the program, the user should be warned and given a
  351. chance to leave the program before data collection begins.
  352.  
  353. Use of a the network and/or electronic mail facilities for
  354. transmitting rude, abusive, harassing, or malicious messages is
  355. unethical.
  356.  
  357. Personally owned computer resources.  The unauthorized copying of
  358. any software that is licensed or protected by copyright is theft
  359. and thus unethical.
  360.  
  361. Programs and files that belong to the owner of a personal
  362. computer enjoy the same rights of privacy afforded to programs
  363. and files resident on the Kiewit Network computers.  They are
  364. presumed to be private and confidential.
  365.  
  366. Resources.  No one should deliberately attempt to degrade Kiewit
  367. system, network, or personal computer performance, nor to deprive
  368. other users of the resources of or the authorized access to any
  369. Dartmouth- or individually-owned computer.
  370.  
  371. Loopholes in the Kiewit computer system or network or knowledge
  372. of a special password should not be used to damage computer
  373. systems or networks, to obtain unauthorized resources, or take
  374. resources from other users.
  375.  
  376. No Dartmouth-owned computing resource should be used for
  377. unauthorized commercial purposes.
  378.  
  379. When necessary for the maintenance of a system or network, Kiewit
  380. Computation Center personnel may restrict availability of shared
  381. resources.
  382.  
  383.                    ELECTRONIC MAIL INFORMATION
  384.            (Not Part of the Computing Code of Ethics)
  385.  
  386. Privacy information.  The privacy of electronic mail is somewhere
  387. between that of a letter and a postcard.  Electronic mail is not
  388. entirely confidential.  There may be instances where the
  389. postmaster may have to gain access to a message to determine if
  390. something is wrong with the address, or the message may be
  391. delivered inadvertently to the wrong address.
  392.  
  393. --
  394.  
  395. I'm the postmaster here for the Department of Computer Science,
  396. and thus for a bunch of student systems as well as the staff network.
  397. We don't really have an official policy that I know of for electronic
  398. mail, but I think some of the unofficial ideas we've been working with
  399. may be of interest to you. I'm interested in any other replies you
  400. receive, so if you don't get enough to post to the net, could you email
  401. me a copy please ?
  402.  
  403. During the period ******* through to *******, network access for students was 
  404. completely open. They were allowed to send mail anywhere they liked, and 
  405. FTP from the States, telnet into machines over there and try to break into
  406. people's computers :-(.
  407.  
  408. At some point this "feature" was mentioned to the bigwigs here, who
  409. immediately determined that undergraduate students should not have
  410. AARnet access. The very idea of undergrads being able to send mail
  411. overseas was quite unthinkable. Naturally, the implementation of such a
  412. restriction required a bit of thought, because students do need access
  413. to utilities like telnet and so on to communicate between machines on
  414. campus. Eventually we decided to try not running routed on the
  415. machines, thereby making attempts to reach systems outside the
  416. physically connected network return the message : Network unreachable.
  417.  
  418. This has been fairly successful, although because our campus network is
  419. subnetted, we have needed on occasion to add a special static route
  420. into Multigate boxes to talk to Macintosh labs and so on. The one big
  421. disadvantage of it is that no-one on the machine can reach off camous,
  422. so staff users can't mail overseas from such a crippled machine, for
  423. instance. Apart from trying to follow the commandments of the
  424. powers-that-be, we were also pleased to be able to stop students from
  425. FTPing vast numbers of raster images from US sites. (Since disk quotas
  426. were mistakenly not turned on at the beginning of the semester, I mean
  427. VAST numbers).
  428.  
  429. In any case, although I've never sighted an "official" policy or even
  430. an official memo telling us what we should and should not let the
  431. students do, I thought you might find what we've been doing
  432. interesting, since it is my vague understanding that not many other
  433. AARnet member sites are restricting student access (?). 
  434.  
  435. [deleted]
  436.  
  437. Your message also mentions other issues such as mail abuse, privacy of
  438. mail etc. Again we don't seem to have a clearcut official policy
  439. although we do have a "Principles of Responsible Use" document which
  440. students are expected to pay some attention to. It explicitly says
  441. "users should not...attempt to intercept any network communications,
  442. such as electronic mail...".  It goes on to say "Actions taken by users
  443. intentionally to interfere with or alter the integrity of the system
  444. are out of bounds. Such actions include ...impersonation of other
  445. individuals in communications...". I think that this document is a
  446. locally written thing, and isn't circulated to the other larger student
  447. site on campus.
  448.  
  449. As far as privacy of mail goes, I was quite surprised to hear most of
  450. our lecturers agreeing that as far as they were concerned, students'
  451. mail was an "open book". Some of the first year lecturers in particular
  452. are very concerned with plagiarism, and seem to often browse through
  453. student mailboxes to try and detect it. I'm pretty sure that they want
  454. to treat it as an open book, but have no intention of telling the
  455. students that that is the case. As a postmaster, my immediate reaction
  456. is that such an attitude is rather unethical.
  457.