¿Cómo se puede diferenciar entre los informes DMARC rua y ruf?

Question 1

Los proveedores envían informes agregados en distintos momentos. Muchos llegan a la medianoche UTC, pero algunos proveedores como Microsoft suelen enviar informes cada hora. Los informes forenses llegan casi a tiempo, normalmente entre 5 y 10 minutos después de que el mensaje defectuoso llega a los correos entrantes del ISP.

Puedes distinguir los informes RUA de los RUF con bastante facilidad. Un informe agregado o RUA normalmente comienza así:

--report_section
Content-Type: text/plain;

This is a DMARC aggregate report for yourdomain.com
generated at Mon Mar 23 03:53:50 UTC 2015

mientras que un informe forense o del RUF generalmente comienza así:

--61204608-60BE-4D26-9E07-F450C5B0D826
Content-Type: text/plain; charset="US-ASCII"
Content-Transfer-Encoding: 7bit

This is an email abuse report for an email message received from IP 10.10.10.10 on Mon Mar 23 04:01:02 UTC 2015.
The message below did not meet the sending domain's authentication policy.
For more information about this format please see http://www.ietf.org/rfc/rfc5965.txt.

--61204608-60BE-4D26-9E07-F450C5B0D826
Content-Type: message/feedback-report

También notará que un informe RUA tiene XML (a menudo comprimido con gzip) como archivo adjunto, mientras que el archivo adjunto de un informe RUF es MIME real. Pocas personas intentan leer o verificar manualmente cualquiera de los tipos de informes. Servicios como Agari y Dmarcian están diseñados específicamente para interpretar los informes DMARC.

Answer

Los proveedores envían informes agregados en distintos momentos. Muchos llegan a la medianoche UTC, pero algunos proveedores como Microsoft suelen enviar informes cada hora. Los informes forenses llegan casi a tiempo, normalmente entre 5 y 10 minutos después de que el mensaje defectuoso llega a los correos entrantes del ISP.

Puedes distinguir los informes RUA de los RUF con bastante facilidad. Un informe agregado o RUA normalmente comienza así:

--report_section
Content-Type: text/plain;

This is a DMARC aggregate report for yourdomain.com
generated at Mon Mar 23 03:53:50 UTC 2015

mientras que un informe forense o del RUF generalmente comienza así:

--61204608-60BE-4D26-9E07-F450C5B0D826
Content-Type: text/plain; charset="US-ASCII"
Content-Transfer-Encoding: 7bit

This is an email abuse report for an email message received from IP 10.10.10.10 on Mon Mar 23 04:01:02 UTC 2015.
The message below did not meet the sending domain's authentication policy.
For more information about this format please see http://www.ietf.org/rfc/rfc5965.txt.

--61204608-60BE-4D26-9E07-F450C5B0D826
Content-Type: message/feedback-report

También notará que un informe RUA tiene XML (a menudo comprimido con gzip) como archivo adjunto, mientras que el archivo adjunto de un informe RUF es MIME real. Pocas personas intentan leer o verificar manualmente cualquiera de los tipos de informes. Servicios como Agari y Dmarcian están diseñados específicamente para interpretar los informes DMARC.

Question 2

Para proporcionar más información sobre la excelente respuesta de @cmeid, si es posible, también se pueden proporcionar direcciones de correo electrónico diferentes para los dos tipos de informes en el registro DNS DMARC (TXT):

_dmarc.example.com TXT "v=DMARC1; p=ninguno; pct=100; rua=mailto:[correo electrónico protegido]; ruf=correo a:[correo electrónico protegido]

Esto puede ser de gran ayuda para filtrar esos dos entre sí.

Answer

Para proporcionar más información sobre la excelente respuesta de @cmeid, si es posible, también se pueden proporcionar direcciones de correo electrónico diferentes para los dos tipos de informes en el registro DNS DMARC (TXT):

_dmarc.example.com TXT "v=DMARC1; p=ninguno; pct=100; rua=mailto:[correo electrónico protegido]; ruf=correo a:[correo electrónico protegido]

Esto puede ser de gran ayuda para filtrar esos dos entre sí.

¿Cómo se puede diferenciar entre los informes DMARC rua y ruf?

Respuesta1

Respuesta2

información relacionada