Czym jest znacznik rf= (Reporting Format) w DMARC?
Znacznik rf (Reporting Format) w rekordzie DMARC określa format raportów kryminalistycznych (o niepowodzeniach) wysyłanych do właściciela domeny. Raporty te są generowane, gdy wiadomość nie przejdzie uwierzytelniania DMARC, i zawierają szczegółowe dane diagnostyczne o przyczynie niepowodzenia. Znacznik rf wskazuje serwerom odbiorcy, jakiego typu pliku lub struktury danych użyć przy tworzeniu tych raportów, zapewniając zgodność z narzędziami analitycznymi odbiorcy.
W praktyce najczęściej używaną wartością tego znacznika jest afrf (Authentication Failure Reporting Format), zdefiniowana w RFC 6591. Ten ustandaryzowany format pozwala spójnie przetwarzać dane o niepowodzeniach DMARC na różnych platformach i pomaga zespołom bezpieczeństwa zrozumieć dokładnie, dlaczego kontrola uwierzytelniania zakończyła się niepowodzeniem.
Znacznik rf pojawia się w rekordzie DMARC domeny, opublikowanym jako rekord DNS TXT. Określa format raportów wysyłanych na adres podany w znaczniku ruf (URI raportu kryminalistycznego). Oto przykład konfiguracji:
v=DMARC1; p=reject; rua=mailto:dmarc-aggregate@example.com; ruf=mailto:dmarc-failures@example.com; rf=afrfW tym przykładzie:
rua określa, dokąd wysyłane są raporty zbiorcze.ruf wskazuje, dokąd wysyłane są pojedyncze raporty kryminalistyczne.rf=afrf oznacza, że raporty kryminalistyczne będą używać formatu Authentication Failure Reporting Format.Choć afrf jest dziś jedynym formatem oficjalnie obsługiwanym przez DMARC, znacznik pozostaje w specyfikacji, aby umożliwić przyszłe formaty raportów. Umieszczenie go w rekordzie w sposób jawny może poprawić współpracę z różnymi dostawcami poczty.
AFRF to ustandaryzowany format oparty na XML, który rejestruje szczegółowe informacje o wiadomościach, które nie przeszły uwierzytelniania. Każdy raport zawiera zwykle:
Raporty te pomagają zespołom bezpieczeństwa i dostarczalności wskazać błędy konfiguracji, zidentyfikować nieautoryzowanych nadawców oraz przeanalizować próby spoofingu lub phishingu wymierzone w domenę. Ponieważ mogą zawierać potencjalnie wrażliwe dane, wiele organizacji ogranicza lub anonimizuje raporty o niepowodzeniach przed udostępnieniem ich na zewnątrz.
Umieszczenie znacznika rf jest zalecane dla każdej domeny, która włącza raportowanie kryminalistyczne za pomocą ruf. Choć format afrf jest domyślny, jego jawne wskazanie gwarantuje, że systemy generujące raporty rozumieją zamierzoną strukturę danych i mogą dostarczać spójne, czytelne maszynowo wyniki.
Przykładowe zastosowania obejmują:
Ponieważ raporty kryminalistyczne są generowane dla każdej wiadomości, ich liczba może być duża, dlatego organizacje często używają dedykowanej skrzynki lub zewnętrznej usługi analitycznej do ich zbierania i przetwarzania.
DMARCeye automatycznie wykrywa i interpretuje znacznik rf z Twojego opublikowanego rekordu DMARC. Platforma przetwarza raporty kryminalistyczne w formacie AFRF, normalizuje dane i wizualizuje wzorce nieudanego uwierzytelniania, aby pomóc organizacjom wykrywać spoofing, identyfikować błędy konfiguracji i weryfikować skuteczność egzekwowania.
Zestawiając dane AFRF z raportami zbiorczymi (RUA), DMARCeye zapewnia pełny obraz aktywności domeny. Administratorzy widzą dokładnie, którzy nadawcy, jakie adresy IP i które wiadomości wywołały niepowodzenia, i mogą szybko podjąć działania naprawcze, aby wzmocnić ochronę domeny.
Wypróbuj DMARCeye za darmo i zabezpiecz swoją domenę e-mail.
Aby dowiedzieć się więcej o DMARC i powiązanych pojęciach, zajrzyj do Słownika pojęć DMARCeye.