Ich habe einen Kunden, der DMARC-Berichte von verschiedenen Anbietern erhält. Die Berichte zeigen jedoch, dass alle Prüfungen „BESTANDEN“ sind und alle DMARC/DKIM/SPF-Prüftools anzeigen, dass die DMARC-Einträge in Ordnung sind. Die Berichte liegen im XML-Format vor und sind komprimiert. Gibt es eine einfache Möglichkeit, den Unterschied zwischen RUA- und RUF-Berichten zu erkennen? Werden RUF-Berichte wie RUA-Berichte in einer ZIP-Datei geliefert? Mein Kunde glaubt, dass es sich nicht um RUA-Berichte handeln kann, da er die Berichte nicht jeden Tag zur exakt gleichen Zeit erhält, aber ich bin mir da nicht so sicher.
Ich bin für jede Hilfe dankbar :)
Antwort1
Anbieter senden aggregierte Berichte zu unterschiedlichen Zeiten. Viele kommen um Mitternacht UTC, aber einige Anbieter wie Microsoft senden oft stündliche Berichte. Forensische Berichte kommen zeitnah, normalerweise etwa 5-10 Minuten, nachdem die fehlerhafte Nachricht die Front-End-Inbound-Mailer des ISP erreicht hat.
Sie können RUA-Berichte ganz einfach von RUF-Berichten unterscheiden. Ein aggregierter oder RUA-Bericht beginnt normalerweise wie folgt:
--report_section
Content-Type: text/plain;
This is a DMARC aggregate report for yourdomain.com
generated at Mon Mar 23 03:53:50 UTC 2015
Während ein forensischer oder RUF-Bericht im Allgemeinen so beginnt:
--61204608-60BE-4D26-9E07-F450C5B0D826
Content-Type: text/plain; charset="US-ASCII"
Content-Transfer-Encoding: 7bit
This is an email abuse report for an email message received from IP 10.10.10.10 on Mon Mar 23 04:01:02 UTC 2015.
The message below did not meet the sending domain's authentication policy.
For more information about this format please see http://www.ietf.org/rfc/rfc5965.txt.
--61204608-60BE-4D26-9E07-F450C5B0D826
Content-Type: message/feedback-report
Sie werden auch feststellen, dass ein RUA-Bericht (oft gzipptes) XML als Anhang hat, während der Anhang eines RUF-Berichts tatsächlich MIME ist. Nur wenige Leute versuchen, einen der beiden Berichtstypen manuell zu lesen oder zu überprüfen. Dienste wie Agari und Dmarcian sind speziell für die Interpretation von DMARC-Berichten konzipiert.
Antwort2
Um weitere Informationen zur tollen Antwort von @cmeid bereitzustellen, können Sie, wenn möglich, auch unterschiedliche E-Mail-Adressen für die beiden Berichtstypen im DMARC-DNS-Eintrag (TXT) angeben:
_dmarc.example.com TXT "v=DMARC1; p=keine; pct=100; rua=mailto:[email geschützt]; ruf=mailto:[email geschützt]
Dies kann sehr hilfreich sein, diese beiden voneinander zu unterscheiden.