<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, Aug 19, 2014 at 4:33 PM, Ted Mittelstaedt <span dir="ltr"><<a href="mailto:tedm@ipinc.net" target="_blank">tedm@ipinc.net</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Martin,<br>
<br>
  i was one of the original people involved in creating this policy and<br>
the requirement to sign a bulk whois was a compromise between the people<br>
like me who wanted full disclosure with no strings attached and the people who didn't want the information disclosed at all.<br>
<br>
  I don't think it's going to be changed.  Furthermore I will point out<br>
that you can use a role account email address for the important POCs,<br>
so your employee turnover would not be an issue.  Please accept that<br>
the community has judged that having valid data in the database is<br>
more important than your inconvenience of keeping the database current.<br></blockquote><div><br><br></div><div>You can, but I'm not setting the POCs. Downstreams commonly set them to whatever they want to. If we had the ability to modify the POC on an assignment already made to us that would make the record keeping requirements reasonable.<br>

<br></div><div>The bulk whois requirement is a product of fear, not logic, IMHO.<br></div><div><br> <br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
John, don't think your off the hook.<br>
<br>
 There is one issue that Martin didn't mention that might be the cause of the POC validation issues.  To put it as simply as I can, the<br>
emails that ARIN sends out for POC validation look exactly like phishing<br>
emails.<br></blockquote><div><br><br></div><div>It's that, but if ARIN is going to block someone from maintaining their address it would be operationally sound to send the associated POC an email letting them know. Second, the application. Are the lockouts automated? My information is no. I'd argue this sets this up for abuse.<br>

 <br><br></div><div>[ clip - mostly agree ]<br><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Nobody who wrote this policy had thought that ARIN would ever resort<br>
to a tactic that is used by spammers and phishers and identity thieves<br>
thousands of times a day - which is to embed a clickable URL in the<br>
validation email message.<br>
<br>
It does not surprise me that some are complaining they missed the<br>
validation email.<br></blockquote><div><br></div><div>It's not the validation email per se. But to your point, a role account, even without abuse of bulk whois data, is abused regularly. Literally thousands of emails per day. Yeah, yeah, filters, etc. But that's back seat driving at its worst, blindfolded.<br>

<br></div><div>Best,<br><br></div><div>-M<<br><br></div><div><br><br></div></div></div></div>