DMARC-Forensikberichte lesen und verstehen
Erfahren Sie, wie Sie DMARC-Forensikberichte (RUF) aktivieren und auswerten, um Spoofing, Authentifizierungsfehler und Fehlkonfigurationen zu erkennen.
DMARC-Forensikberichte (auch Fehlerberichte oder RUF-Berichte genannt) sind detaillierte Benachrichtigungen, die Mailbox-Anbieter senden, wenn eine einzelne Nachricht die DMARC-Authentifizierung nicht besteht.
Im Gegensatz zu Aggregatberichten, die täglich Tausende von Nachrichten zusammenfassen, konzentriert sich ein Forensikbericht auf eine einzelne Nachricht und enthält:
- Die IP-Adresse des Absenders und die Envelope-From-Domain
- Die DKIM- und SPF-Ergebnisse für diese Nachricht
- Das DMARC-Alignment-Ergebnis
- Teile des ursprünglichen Nachrichten-Headers (manchmal sogar die Betreffzeile)
DMARC-Forensikberichte sind Echtzeit-Benachrichtigungen zu konkreten Fehlern und unterscheiden sich von DMARC-Aggregatberichten, die tägliche Zusammenfassungen der DMARC-Aktivitäten darstellen. Mehr über Aggregatberichte erfahren Sie in unserem vollständigen Leitfaden zum Lesen von DMARC-Aggregatberichten.
Forensikberichte werden in Echtzeit an die E-Mail-Adresse gesendet, die im ruf-Tag Ihres DMARC-Eintrags angegeben ist, zum Beispiel:
ruf=mailto:dmarc-forensic@yourdomain.com Da Forensikberichte sensible Nachrichtendaten enthalten können, sendet nicht jeder Anbieter sie - aber die Anbieter, die sie senden, liefern wertvolle Hinweise, wenn etwas schiefläuft.
Unterschied zwischen Forensik- und Aggregatberichten
So vergleichen sich Forensikberichte mit Aggregatberichten (RUA):
| Umfang | Zusammengefasst, Domain-Ebene | Einzelne Nachricht, detailliert |
| Format | XML-Datei | Klartext oder AFRF-Format |
| Häufigkeit | Täglich | Echtzeit (pro Fehler) |
| Zweck | Trend-Monitoring | Vorfallsuntersuchung |
Beide Berichtstypen sind nötig, um ein vollständiges Bild der E-Mail-Authentifizierung Ihrer Domain zu erhalten.
Wozu Forensikberichte nützlich sind
Forensikberichte sind Ihr Frühwarnsystem. Sie helfen dabei:
- Spoofing-Versuche schnell zu erkennen, wenn nicht autorisierte Server versuchen, Ihre Domain zu verwenden.
- Konfigurationsprobleme zu diagnostizieren, etwa fehlende DKIM-Key-Ausrichtung oder fehlende SPF-Einträge.
- DMARC-Durchsetzung zu validieren, indem bestätigt wird, welche Nachrichten abgelehnt oder in Quarantäne verschoben wurden.
- Missbrauchsbelege zu dokumentieren, falls Sie jemals Phishing oder Identitätsmissbrauch melden müssen.
Für Organisationen, die DMARC einführen, decken diese Berichte häufig übersehene Absender oder Systeme auf, die Authentifizierungsprüfungen nicht bestehen, bevor legitime Nachrichten geblockt werden.
Einen vollständigen Überblick und eine Roadmap zur DMARC-Einrichtung und Implementierung finden Sie in unserem Leitfaden zu DMARC-Monitoring und Compliance.
So aktivieren Sie DMARC-Forensikberichte
Um Forensikberichte zu empfangen, müssen Sie das ruf-Tag zu Ihrem DMARC-Eintrag hinzufügen.
Beispiel:
v=DMARC1; p=quarantine; rua=mailto:dmarc-aggregate@yourdomain.com;ruf=mailto:dmarc-forensic@yourdomain.com; fo=1;
Die einzelnen Parameter im Überblick:
ruf=- Die Adresse, an die Forensikberichte gesendet werden sollen.fo=- Die Optionen für die Fehlerberichterstattung. Gängige Werte:fo=0- Bericht, wenn sowohl SPF als auch DKIM fehlschlagen (Standard).fo=1- Bericht, wenn SPF oder DKIM fehlschlägt.fo=d- Nur DKIM-Fehler melden.fo=s- Nur SPF-Fehler melden.
Wenn Sie Ihre Konfiguration testen, ist fo=1 ein guter Ausgangspunkt - so erhalten Sie umfassende Sichtbarkeit, während Sie die Authentifizierung feinjustieren.
Tipp: Verwenden Sie immer ein dediziertes Postfach für Forensikberichte. Sie können in großer Anzahl eingehen und teilweise sensible Daten enthalten.
So lesen Sie einen DMARC-Forensikbericht
Die meisten Forensikberichte werden als Klartextanhänge im Abuse Feedback Reporting Format (AFRF) gesendet. Auf diese Felder kommt es an.
1. Authentifizierungsergebnisse
Der obere Abschnitt zeigt in der Regel die SPF-, DKIM- und DMARC-Ergebnisse. Beispiel:
Authentication-Results: spf=fail smtp.mailfrom=spammer.com; dkim=none;
dmarc=fail (p=reject)
Das zeigt Ihnen:
- Die Nachricht kam von
spammer.com, nicht von Ihrem legitimen Absender. - DKIM war nicht signiert.
- DMARC schlug fehl, und die Richtlinie wies auf Ablehnung hin.
2. Quell-IP und Absender-Domain
Ermitteln Sie als Nächstes, woher die Nachricht kam und welche Domain sie vorgab darzustellen:
Source-IP: 192.0.2.45Reported-Domain: yourdomain.com
Wenn die IP keinem legitimen Dienst oder Anbieter gehört, handelt es sich wahrscheinlich um einen Spoofing-Versuch.
3. Nachrichtenidentifikatoren
Achten Sie auf Nachrichten-IDs, Envelope-From- und Header-From-Felder. Sie helfen dabei, die Quelle oder Fehlkonfiguration zu identifizieren:
Original-Mail-From: user@yourdomain.comHeader-From: yourdomain.com
DKIM-Domain: none
Das zeigt, dass SPF- und DKIM-Ausrichtung fehlgeschlagen sind. Das ist ein häufiges Problem, wenn Drittanbieter-Tools E-Mails in Ihrem Auftrag versenden.
4. Beispielnachrichtendaten
Einige Forensikberichte enthalten einen Ausschnitt der ursprünglichen Nachricht oder des Headers zur Analyse. Das ist für die Untersuchung nützlich - gehen Sie jedoch vorsichtig damit um, da diese Daten personenbezogene Informationen enthalten können.
Forensikberichte verwalten und auswerten
Sobald Sie Berichte erhalten, gibt es zwei Möglichkeiten, damit umzugehen:
Manuelle Auswertung
- Berichte im E-Mail-Client oder einem Texteditor öffnen.
- Nach wiederkehrenden IPs oder Domains suchen, die Authentifizierungsprüfungen nicht bestehen.
- Mit Ihren bekannten E-Mail-Systemen abgleichen.
Automatisierte Auswertung
- Ein DMARC-Monitoring-Tool wie DMARCeye einsetzen, das Forensikdaten automatisch erfasst und visualisiert.
- Forensik-Fehler mit Ihren Aggregatberichten korrelieren, um Muster im Zeitverlauf zu erkennen.
Die manuelle Auswertung ist bei kleinen Mengen ausreichend - sobald Sie mehrere Domains oder hohes E-Mail-Aufkommen haben, wird Automatisierung unerlässlich.
Datenschutz und Einschränkungen
Einige Mailbox-Anbieter senden aus Datenschutzgründen keine Forensikberichte. Gmail zum Beispiel stellt sie nicht mehr bereit.
Selbst wenn sie verfügbar sind, sind die Berichte nicht für jede fehlgeschlagene Nachricht garantiert - sie sind als ergänzende, nicht als vollständige Informationsquelle zu verstehen.
Wenn Sie sie jedoch erhalten, gehören sie zu den aussagekräftigsten Signalen zur Identifizierung aktiver Spoofing-Angriffe oder Fehlkonfigurationen.
Wie DMARCeye das Forensik-Monitoring vereinfacht
Forensikberichte können von Dutzenden von Anbietern in unterschiedlichen Formaten eingehen - die manuelle Verwaltung wird schnell unübersichtlich.
DMARCeye vereinfacht dies, indem Aggregat- und Forensikberichte über alle Ihre Domains hinweg automatisch erfasst und strukturiert werden.
Mit DMARCeye können Sie:
- Alle fehlgeschlagenen Nachrichtenquellen in einem zentralen Dashboard einsehen.
- Wiederkehrende nicht autorisierte IPs oder Spoofing-Versuche identifizieren.
- Erkennen, welche legitimen Absender Authentifizierungsprüfungen nicht bestehen und Konfigurationsanpassungen benötigen.
- Den gesamten Authentifizierungsstatus Ihrer Domain in Echtzeit verfolgen.
Statt sich durch rohe XML- oder Textdateien zu arbeiten, erhalten Sie eine klare, handlungsorientierte Übersicht über alles, was mit Ihrer Domain passiert - damit Sie schnell und sicher reagieren können.
Starten Sie jetzt mit einem kostenlosen Test von DMARCeye und schützen Sie Ihre E-Mail-Domain.