DMARCeye blog

Jak czytać raporty DMARC Forensic?

Autor: Jack Zagorski | 2025-10-29 14:06:22

Raporty DMARC forensic (zwane również raportami o niepowodzeniach lub raportami RUF) są szczegółowymi powiadomieniami, które dostawcy skrzynek pocztowych wysyłają, gdy pojedyncza wiadomość nie przejdzie uwierzytelnienia DMARC.

W przeciwieństwie do raportów zbiorczych, które podsumowują tysiące wiadomości dziennie, raporty kryminalistyczne koncentrują się na pojedynczej wiadomości i zawierają:

  • adres IP nadawcy i kopertę z domeny
  • Wyniki DKIM i SPF dla tej wiadomości
  • Wynik wyrównania DMARC
  • Fragmenty oryginalnego nagłówka wiadomości (czasami nawet wiersz tematu).

Raporty kryminalistyczne DMARC, które są powiadomieniami w czasie rzeczywistym skupiającymi się na konkretnych kwestiach, różnią się od raportów zbiorczych DMARC, które są codziennymi podsumowaniami aktywności DMARC.Aby dowiedzieć się więcej o raportach zbiorczych, zapoznaj się z naszym pełnym przewodnikiem po czytaniu raportów zbiorczych DMARC.

Raporty kryminalistyczne są wysyłane w czasie rzeczywistym na adres e-mail podany w tagu ruf rekordu DMARC, na przykład:

ruf=mail to:dmarc-forensic@yourdomain.com

Ponieważ mogą one zawierać poufne dane wiadomości, nie każdy dostawca je wysyła, ale ci, którzy to robią, oferują cenne wskazówki, gdy coś pójdzie nie tak.

Czym raporty kryminalistyczne różnią się od raportów zbiorczych?

Oto jak raporty kryminalistyczne różnią się od raportów zbiorczych (RUA):

Zakres Podsumowany, na poziomie domeny Pojedyncza wiadomość, szczegółowe
Format Plik XML Zwykły tekst lub format AFRF
Częstotliwość Codziennie Czas rzeczywisty (na awarię)
Cel Monitorowanie trendów Badanie incydentów

Aby uzyskać pełny obraz stanu uwierzytelniania poczty e-mail w domenie, potrzebne są oba rodzaje raportów.

Dlaczego raporty Forensic są przydatne

Raporty Forensic sąsystemem wczesnego ostrzegania. Pomagają one

  • Szybko wykrywać próby spoofingu, gdy nieautoryzowane serwery próbują korzystać z Twojej domeny.
  • Zdiagnozować problemy z konfiguracją, takie jak niedopasowanie kluczy DKIM lub brak wpisów SPF.
  • Zweryfikować egzekwowanie DMARC poprzez potwierdzenie, które wiadomości zostały odrzucone lub poddane kwarantannie.
  • Dokumentowanie dowodów nadużyćw przypadku konieczności zgłoszenia phishingu lub podszywania się.

Dla organizacji wdrażających DMARC, raporty te często ujawniają przeoczonych nadawców lub systemy, które nie przeszły uwierzytelnienia, zanim legalne wiadomości zaczną być blokowane.

Pełny przegląd i mapę drogową konfiguracji i wdrażania DMARC można znaleźć w naszym przewodniku dotyczącym monitorowania i zgodności DMARC.

Jak włączyć raporty kryminalistyczne DMARC

Jeśli chcesz zacząć otrzymywać raporty kryminalistyczne, musisz dodać tag ruf do swojego rekordu DMARC.

Przykład:

v=DMARC1; p=kwarantanna; rua=mailto:dmarc-aggregate@yourdomain.com;
ruf=mailto:dmarc-forensic@yourdomain.com; fo=1;

Rozbijmy to na czynniki pierwsze:

  • ruf= - Adres, na który mają być wysyłane raporty kryminalistyczne.
  • fo= - opcje raportowania awarii. Typowe wartości obejmują:
    • fo=0 - raportowanie w przypadku niepowodzenia zarówno SPF, jak i DKIM (domyślnie).
    • fo=1 - raportowanie w przypadku niepowodzenia SPF lub DKIM.
    • fo=d - raportowanie tylko błędów DKIM.
    • fo=s - zgłasza tylko błędy SPF.

Jeśli testujesz swoją konfigurację, fo=1 jest dobrym punktem wyjścia; zapewnia szczegółową widoczność podczas dostrajania uwierzytelniania.

Wskazówka: Zawsze używaj dedykowanej skrzynki pocztowej dla raportów kryminalistycznych. Mogą one przychodzić w dużych ilościach, a niektóre z nich mogą zawierać poufne dane.

Jak odczytać raport kryminalistyczny DMARC

Większość raportów kryminalistycznych jest wysyłana jakozałączniki w postaci zwykłego tekstuw formacie Abuse Feedback Reporting Format (AFRF). Oto, czego należy szukać.

1. Wyniki uwierzytelniania

Górna sekcja zazwyczaj pokazuje wyniki SPF, DKIM i DMARC. Przykład:

Wyniki uwierzytelniania: spf=fail smtp.mailfrom=spammer.com;
dkim=none;
dmarc=fail (p=reject)

To mówi ci:

  • Wiadomość pochodzi od spammer.com, a nie od legalnego nadawcy.
  • DKIM nie został podpisany.
  • DMARC nie powiodło się, a polityka nakazała odrzucenie.

2. Źródłowy adres IP i domena źródłowa

Następnie określ, skąd pochodzi wiadomość i jaką domenę reprezentuje:

Source-IP: 192.0.2.45
Zgłoszona domena: yourdomain.com

Jeśli adres IP nie należy do legalnej usługi lub dostawcy, prawdopodobnie jest to próba podszycia się.

3. Identyfikatory wiadomości

Szukaj identyfikatorów wiadomości, kopert i nagłówków. Pomagają one śledzić źródło lub błędną konfigurację:

Original-Mail-From: user@yourdomain.com
Header-From: yourdomain.com
DKIM-Domain: none

To pokazuje, że wyrównanie SPF i DKIM nie powiodło się. Jest to częsty problem, gdy narzędzia innych firm wysyłają wiadomości e-mail w imieniu użytkownika.

4. Przykładowe dane wiadomości

Niektóre raporty kryminalistyczne zawierają fragment oryginalnej wiadomości lub nagłówka do analizy. Choć są one przydatne w dochodzeniu, należy zachować ostrożność, ponieważ mogą zawierać informacje umożliwiające identyfikację osób.

Obsługa i analiza raportów kryminalistycznych

Po rozpoczęciu otrzymywania raportów można je obsługiwać na dwa sposoby:

Przegląd ręczny

  • Otwieranie raportów w kliencie poczty e-mail lub edytorze tekstu.
  • Wyszukiwanie powtarzających się adresów IP lub domen, które nie zostały uwierzytelnione.
  • Porównanie ze znanymi systemami pocztowymi.

Zautomatyzowana analiza

  • Użyj narzędzia do monitorowania DMARC, takiego jak DMARCeye, aby automatycznie zbierać i wizualizować dane kryminalistyczne.
  • Koreluj błędy kryminalistyczne z raportami zbiorczymi, aby zobaczyć wzorce w czasie.

Ręczna analiza jest dobra dla małych wolumenów, ale gdy osiągniesz wiele domen lub duży ruch, automatyzacja staje się niezbędna.

Prywatność i ograniczenia

Niektórzy dostawcy skrzynek pocztowych w ogóle nie wysyłają raportów kryminalistycznych ze względu na ochronę prywatności. Na przykład Gmail już ich nie udostępnia.

Nawet jeśli są dostępne, raporty nie są gwarantowane dla każdej nieudanej wiadomości; najlepiej traktować je jako uzupełniające, a nie kompleksowe.

To powiedziawszy, kiedy je otrzymujesz, są one jednymi z najbardziej użytecznych sygnałów do identyfikacji aktywnego spoofingu lub błędnych konfiguracji.

Jak DMARCeye upraszcza monitorowanie raportów Forensic

Raporty Forensic mogą pochodzić od kilkudziesięciu dostawców w różnych formatach - a ręczne zarządzanie nimi może szybko wprowadzić bałagan.

DMARCeye upraszcza to poprzez automatyczne zbieranie i organizowanie zarówno zagregowanych, jak i kryminalistycznych raportów we wszystkich domenach.

Dzięki DMARCeye możesz:

  • Przeglądać wszystkie nieudane źródła wiadomości w jednym zunifikowanym pulpicie nawigacyjnym.
  • Identyfikować powtarzające się nieautoryzowane adresy IP lub próby spoofingu.
  • Zobaczyć, którzy legalni nadawcy nie przechodzą uwierzytelniania i wymagają poprawek konfiguracyjnych.
  • Śledzenie ogólnego stanu uwierzytelniania w czasie rzeczywistym.

Zamiast sortować surowe pliki XML lub tekstowe, otrzymujesz jasny, praktyczny widok tego, co dzieje się z Twoją domeną, dzięki czemu możesz szybko i pewnie reagować.

Zarejestruj się na bezpłatną wersję próbną DMARCeye już dziś i zacznij chronić swoją domenę e-mail.
Wyświetl kompletny wpis