DMARC 포렌식 보고서 읽는 방법

DMARC 포렌식 보고서(실패 보고서 또는 RUF 보고서라고도 함)는개별 메시지가 DMARC 인증에 실패할 때 사서함 제공업체가 보내는자세한 알림입니다.

하루에 수천 개의 메시지를 요약하는 집계 보고서와 달리 포렌식 보고서는 단일 메시지에 초점을 맞추고 다음을 포함합니다:

• 발신자의 IP 주소 및 발신 도메인 주소
• 해당 메시지에 대한 DKIM 및 SPF 결과
• DMARC 정렬 결과
• 원본 메시지 헤더의 일부(때로는 제목 줄도 포함)

특정 이슈에 초점을 맞춘 실시간 알림인 DMARC 포렌식 보고서는 DMARC 활동의 일일 요약인 DMARC 집계 보고서와는 다릅니다.집계 보고서에 대해 자세히 알아보려면 DMARC 집계 보고서 읽기 전체 가이드를 참조하세요.

포렌식 보고서는 DMARC 레코드의 ruf 태그에 지정된 이메일 주소로 실시간으로 전송됩니다(예: 다음과 같이):

민감한 메시지 데이터가 포함될 수 있으므로 모든 제공업체가 이러한 보고서를 보내는 것은 아니지만, 문제가 발생했을 때 중요한 단서를 제공하는 제공업체는 이러한 보고서를 보냅니다.

포렌식 보고서와 집계 보고서의 차이점

포렌식 보고서와 집계(RUA) 보고서의 차이점은 다음과 같습니다:

도메인의 이메일 인증 상태를 완벽하게 파악하려면 두 가지 유형의 보고서가 모두 필요합니다.

포렌식 보고서가 유용한 이유

포렌식 보고서는조기 경보 시스템입니다. 여러분에게 도움이 됩니다:

• 권한이 없는 서버가 도메인을 사용하려고 시도할 때스푸핑 시도를 신속하게발견합니다.
• DKIM 키가 정렬되지 않거나 SPF 항목이 누락된 경우와 같은 구성 문제를 진단합니다.
• 어떤 메시지가 거부되거나 격리되었는지 확인하여 DMARC 적용을 검증합니다.
• 피싱 또는 사칭을 신고해야 하는경우 남용의 증거를 문서화하세요.

DMARC를 배포하는 조직에서는 이러한 보고서를 통해 간과된 발신자나 인증에 실패한 시스템을 발견한 후 정상적인 메시지가 차단되기 시작하는 경우가 많습니다.

DMARC 설정 및 구현에 대한 전체 개요와 로드맵은 DMARC 모니터링 및 규정 준수 가이드를참조하세요 .

DMARC 포렌식 보고서를 사용 설정하는 방법

포렌식 보고서 수신을 시작하려면 DMARC 레코드에 ruf 태그를 추가해야 합니다.

예시:

이를 자세히 살펴봅시다:

• ruf= - 포렌식 보고서를 보낼 주소입니다.
• fo= - 장애 보고 옵션입니다. 일반적인 값은 다음과 같습니다:
  • fo=0 - SPF와 DKIM이 모두 실패한 경우 보고합니다(기본값).
  • fo=1 - SPF 또는 DKIM 중 하나만 실패하면 보고합니다.
  • fo=d - DKIM 실패만 보고합니다.
  • fo=s - SPF 실패만 보고합니다.

설정을 테스트하는 경우, 인증을 미세 조정하는 동안 자세한 가시성을 확보할 수 있으므로 fo=1이 좋은 출발점입니다.

팁: 팁: 포렌식 보고서에는 항상 전용 사서함을 사용하세요. 많은 양의 포렌식 보고서가 도착할 수 있으며 일부 보고서에는 민감한 데이터가 포함되어 있을 수 있습니다.

DMARC 포렌식 보고서를 읽는 방법

대부분의 포렌식 보고서는남용 피드백 보고 형식(AFRF)의 일반 텍스트첨부파일로 전송됩니다. 확인해야 할 사항은 다음과 같습니다.

1. 인증 결과

일반적으로 상단 섹션에는 SPF, DKIM 및 DMARC 결과가 표시됩니다. 예시:

이렇게 표시됩니다:

• 합법적인 발신자가 아닌 spammer.com에서 메시지를 보냈습니다.
• DKIM이 서명되지 않았습니다.
• DMARC가 실패했으며 정책에서 거부를 지시했습니다.

2. 소스 IP 및 발신 도메인

다음으로 메시지의 발신지와 도메인을 확인합니다:

IP가 합법적인 서비스 또는 공급업체의 것이 아니라면 스푸핑 시도일 가능성이 높습니다.

3. 메시지 식별자

메시지 ID, 보낸 사람 및 헤더 보낸 사람 필드를 찾아보세요. 이러한 식별자는 출처 또는 잘못된 구성을 추적하는 데 도움이 됩니다:

이는 SPF 및 DKIM 정렬에 실패했음을 보여줍니다. 이는 타사 도구가 사용자를 대신하여 이메일을 보낼 때 흔히 발생하는 문제입니다.

4. 샘플 메시지 데이터

일부 포렌식 보고서에는 분석을 위한 원본 메시지 또는 헤더의 일부가 포함되어 있습니다. 조사에 유용하지만 개인 식별 정보가 포함될 수 있으므로 주의해야 합니다.

포렌식 보고서 처리 및 분석하기

보고서를 받기 시작하면 두 가지 방법으로 처리할 수 있습니다:

수동 검토

• 이메일 클라이언트 또는 텍스트 편집기에서 보고서를 엽니다.
• 인증에 실패하는 반복되는 IP 또는 도메인을 검색합니다.
• 알려진 메일 시스템과 교차 확인합니다.

자동 분석

• DMARCeye와 같은 DMARC 모니터링 도구를 사용하여 포렌식 데이터를 자동으로 수집하고 시각화하세요.
• 포렌식 실패를 집계 보고서와 연관시켜 시간 경과에 따른 패턴을 확인하세요.

소량의 경우 수동 검토도 괜찮지만 도메인이 여러 개이거나 트래픽이 많으면 자동화가 필수적입니다.

개인정보 보호 및 제한 사항

일부 사서함 제공업체는 개인정보 보호 문제로 인해 포렌식 보고서를 전혀 보내지 않습니다. 예를 들어 Gmail은 더 이상 포렌식 보고서를 제공하지 않습니다.

포렌식 보고서를 제공하더라도 모든 실패 메시지에 대해 보장되는 것은 아니며, 포괄적인 것이 아니라 보조적인 것으로 취급하는 것이 가장 좋습니다.

하지만 이러한 보고서를 수신하면 스푸핑 또는 잘못된 구성을 식별하는 데 가장 유용한 신호 중 하나입니다.

포렌식 보고서 모니터링을 간소화하는 DMARCeye의 방법

포렌식 보고서는 수십 개의 제공업체로부터 다양한 형식으로 도착할 수 있으며, 이를 수동으로 관리하면 금방 지저분해질 수 있습니다.

DMARCeye는 모든 도메인에서 집계 보고서와 포렌식 보고서를 자동으로 수집하고 정리하여 이 작업을 간소화합니다.

DMARCeye를 사용하면 다음과 같이 할 수 있습니다:

• 하나의 통합 대시보드에서 모든 실패한 메시지 소스를 볼 수 있습니다.
• 반복되는 무단 IP 또는 스푸핑 시도를 식별합니다.
• 인증에 실패하고 구성 수정이 필요한 정상적인 발신자를 확인합니다.
• 전반적인 인증 상태를 실시간으로 추적하세요.

원시 XML 또는 텍스트 파일을 분류하는 대신 도메인에서 발생하는 상황을 명확하고 실행 가능한 보기로 확인할 수 있으므로 신속하고 자신 있게 대응할 수 있습니다.

지금 DMARCeye 무료 체험판을 다운로드하여 이메일 도메인을 보호하세요.