Jak číst forenzní zprávy DMARC

Forenzní zprávy DMARC (nazývané také zprávy o selhání nebo zprávy RUF) jsou podrobná oznámení, kteráposkytovatelé poštovních schránek zasílají, když jednotlivá zpráva selže při ověřování DMARC.

Na rozdíl od souhrnných hlášení, která shrnují tisíce zpráv za den, se forenzní hlášení zaměřují na jednu zprávu a obsahují:

• IP adresu odesílatele a doménu obálky od odesílatele.
• výsledky DKIM a SPF pro danou zprávu
• výsledek zarovnání DMARC
• části záhlaví původní zprávy (někdy i předmět)

Forenzní zprávy DMARC, což jsou oznámení v reálném čase zaměřená na konkrétní problémy, se liší od souhrnných zpráv DMARC, což jsou denní souhrny aktivity DMARC.Více informací o souhrnných hlášeních naleznete v našem úplném průvodci čtením souhrnných hlášení DMARC.

Forenzní zprávy jsou zasílány v reálném čase na e-mailovou adresu uvedenou například v tagu ruf záznamu DMARC:

Protože mohou obsahovat citlivé údaje o zprávách, neposílá je každý poskytovatel, ale ti, kteří je posílají, nabízejí cenná vodítka, když se něco pokazí.

Jak se forenzní zprávy liší od souhrnných zpráv

Zde je uvedeno, jak se forenzní zprávy liší od souhrnných zpráv (RUA):

Abyste získali úplný přehled o stavu ověřování e-mailů ve vaší doméně, potřebujete oba typy zpráv.

Proč jsou forenzní reporty užitečné

Forenzní reporty jsouvaším systémem včasného varování. Pomáhají vám:

• Rychle odhalit pokusy o podvržení, když se neautorizované servery pokoušejí používat vaši doménu.
• Diagnostikovat problémy s konfigurací, jako jsou například nesladěné klíče DKIM nebo chybějící položky SPF.
• Ověřit vynucení DMARC potvrzením, které zprávy byly odmítnuty nebo umístěny do karantény.
• Zdokumentujte důkazy o zneužití, pokud budeteněkdy potřebovat nahlásit phishing nebo vydávání se za někoho jiného.

U organizací zavádějících DMARC tyto zprávy často odhalí přehlédnuté odesílatele nebo systémy, které selhávají při ověřování, dříve než začnou být blokovány legitimní zprávy.

Úplný přehled a plán nastavení a implementace DMARC naleznete v našem průvodci sledováním a dodržováním DMARC.

Jak povolit forenzní reporty DMARC

Pokud chcete začít přijímat forenzní zprávy, musíte do záznamu DMARC přidat značku ruf.

Příklad:

Pojďme si to rozebrat:

• ruf= - Adresa, na kterou se mají zasílat forenzní zprávy.
• fo= - Možnosti hlášení o selhání. Mezi běžné hodnoty patří:
  • fo=0 - Hlášení při selhání SPF i DKIM (výchozí).
  • fo=1 - Hlášení, pokud selže SPF nebo DKIM.
  • fo=d - Hlásit pouze selhání DKIM.
  • fo=s - Hlásit pouze selhání SPF.

Pokud testujete své nastavení, je fo=1 dobrým výchozím bodem; zajistí vám podrobný přehled při dolaďování ověřování.

Tip: Pro forenzní hlášení vždy používejte vyhrazenou poštovní schránku. Může jich přicházet velké množství a některé mohou obsahovat citlivé údaje.

Jak číst forenzní zprávu DMARC

Většina forenzních zpráv je zasílána jako textovépřílohy ve formátu AFRF (Abuse Feedback Reporting Format). Zde se dozvíte, na co se zaměřit.

1. Výsledky ověřování

V horní části jsou obvykle uvedeny výsledky SPF, DKIM a DMARC. Příklad: V tabulce se zobrazuje seznam ověření typu SPF, tzv:

To vám říká:

• Zpráva přišla od spammer.com, nikoliv od vašeho legitimního odesílatele.
• DKIM nebyl podepsán.
• DMARC selhal a zásady nařídily odmítnutí.

2. Zdrojová IP adresa a doména From

Dále zjistěte, odkud zpráva přišla a kterou doménu údajně zastupuje:

Pokud IP adresa nepatří legitimní službě nebo prodejci, jedná se pravděpodobně o pokus o podvrh.

3. Identifikátory zpráv

Hledejte identifikátory zpráv, pole envelope-from a header-from. Pomáhají vystopovat zdroj nebo chybnou konfiguraci:

To ukazuje, že zarovnání SPF a DKIM selhalo. Jedná se o běžný problém, když nástroje třetích stran odesílají e-maily vaším jménem.

4. Ukázka dat zprávy

Některé forenzní zprávy obsahují fragment původní zprávy nebo záhlaví pro analýzu. I když jsou užitečné pro vyšetřování, buďte obezřetní, protože mohou obsahovat informace umožňující identifikaci osob.

Zpracování a analýza forenzních zpráv

Jakmile začnete přijímat zprávy, můžete s nimi pracovat dvěma způsoby:

Ruční přezkoumání

• Otevřete zprávy v e-mailovém klientovi nebo v textovém editoru.
• Vyhledejte opakující se IP adresy nebo domény, u kterých selhalo ověření.
• Proveďte křížovou kontrolu se známými poštovními systémy.

Automatická analýza

• K automatickému shromažďování a vizualizaci forenzních dat použijte nástroj pro monitorování DMARC, jako je DMARCeye.
• Porovnejte forenzní selhání se souhrnnými zprávami a zjistěte vzorce v průběhu času.

Ruční kontrola je vhodná pro malé objemy, ale jakmile dosáhnete více domén nebo velkého provozu, automatizace se stává nezbytnou.

Ochrana osobních údajů a omezení

Někteří poskytovatelé poštovních schránek forenzní zprávy vůbec neposílají z důvodu ochrany osobních údajů. Například Gmail je již neposkytuje.

I když jsou zprávy k dispozici, není zaručeno, že se týkají každé neúspěšné zprávy; je lepší je považovat za doplňkové, nikoliv komplexní.

Pokud je však obdržíte, patří k nejúčinnějším signálům pro identifikaci aktivního podvržení nebo chybné konfigurace.

Jak DMARCeye zjednodušuje sledování forenzních zpráv

Forenzní zprávy mohou přicházet od desítek poskytovatelů v různých formátech - a jejich ruční správa může být rychle nepřehledná.

DMARCeye to zjednodušuje tím, že automaticky shromažďuje a organizuje souhrnné i forenzní zprávy ve všech vašich doménách.

Pomocí DMARCeye můžete:

• zobrazit všechny zdroje neúspěšných zpráv na jednom jednotném řídicím panelu.
• Identifikovat opakující se neautorizované IP adresy nebo pokusy o spoofing.
• Zjistit, u kterých legitimních odesílatelů selhává ověřování a je třeba opravit konfiguraci.
• Sledovat celkový stav ověřování v reálném čase.

Namísto třídění nezpracovaných XML nebo textových souborů získáte jasný a použitelný přehled o tom, co se děje s vaší doménou, takže můžete rychle a s jistotou reagovat.

Získejte bezplatnou zkušební verzi DMARCeye ještě dnes a začněte chránit svou e-mailovou doménu.