¿Cómo se puede diferenciar entre los informes DMARC rua y ruf?

¿Cómo se puede diferenciar entre los informes DMARC rua y ruf?

Tengo un cliente que recibe informes DMARC de varios proveedores; sin embargo, los informes indican que todas las comprobaciones 'PASARON' y todas las herramientas de verificación DMARC/DKIM/SPF indican que los registros DMARC están bien. Los informes están en formato XML y comprimidos. ¿Existe alguna manera sencilla de diferenciar entre los informes rua y ruf? ¿Los informes ruf se entregan en un archivo zip como los informes rua? Mi cliente cree que, dado que recibe informes no exactamente a la misma hora todos los días, no pueden ser informes rua, sin embargo, no estoy tan seguro.

Cualquier ayuda sería apreciada :)

Respuesta1

Los proveedores envían informes agregados en distintos momentos. Muchos llegan a la medianoche UTC, pero algunos proveedores como Microsoft suelen enviar informes cada hora. Los informes forenses llegan casi a tiempo, normalmente entre 5 y 10 minutos después de que el mensaje defectuoso llega a los correos entrantes del ISP.

Puedes distinguir los informes RUA de los RUF con bastante facilidad. Un informe agregado o RUA normalmente comienza así:

--report_section
Content-Type: text/plain;

This is a DMARC aggregate report for yourdomain.com
generated at Mon Mar 23 03:53:50 UTC 2015

mientras que un informe forense o del RUF generalmente comienza así:

--61204608-60BE-4D26-9E07-F450C5B0D826
Content-Type: text/plain; charset="US-ASCII"
Content-Transfer-Encoding: 7bit

This is an email abuse report for an email message received from IP 10.10.10.10 on Mon Mar 23 04:01:02 UTC 2015.
The message below did not meet the sending domain's authentication policy.
For more information about this format please see http://www.ietf.org/rfc/rfc5965.txt.

--61204608-60BE-4D26-9E07-F450C5B0D826
Content-Type: message/feedback-report

También notará que un informe RUA tiene XML (a menudo comprimido con gzip) como archivo adjunto, mientras que el archivo adjunto de un informe RUF es MIME real. Pocas personas intentan leer o verificar manualmente cualquiera de los tipos de informes. Servicios como Agari y Dmarcian están diseñados específicamente para interpretar los informes DMARC.

Respuesta2

Para proporcionar más información sobre la excelente respuesta de @cmeid, si es posible, también se pueden proporcionar direcciones de correo electrónico diferentes para los dos tipos de informes en el registro DNS DMARC (TXT):

_dmarc.example.com TXT "v=DMARC1; p=ninguno; pct=100; rua=mailto:[correo electrónico protegido]; ruf=correo a:[correo electrónico protegido]

Esto puede ser de gran ayuda para filtrar esos dos entre sí.

información relacionada