RUA vs. RUF: Ein umfassender Leitfaden zur DMARC-Berichterstattung
von
Zuletzt aktualisiert: 7 Lesezeit: 7 Minuten
Wichtigste Erkenntnisse
- DMARC bietet Einblick in die E-Mail-Aktivitäten und trägt dazu bei, Domains vor Spoofing und Phishing zu schützen.
- RUA-Berichte dokumentieren aggregierte Daten über fehlgeschlagene E-Mail-Authentifizierungen und helfen so bei der Identifizierung betrügerischer Aktivitäten.
- RUF-Berichte bieten Details auf forensischer Ebene, die helfen, Schwachstellen im E-Mail-System aufzudecken.
- Die Implementierung von DMARC ist unerlässlich, um Empfängerservern Anweisungen zum Umgang mit E-Mails zu geben, die die Authentifizierungsprüfung nicht bestehen.
- Eine ordnungsgemäße DMARC-Berichterstattung hilft Unternehmen dabei, Compliance-Anforderungen zu erfüllen und Sicherheitsrisiken zu minimieren.
- Die Optimierung der E-Mail-Authentifizierungsrichtlinien auf der Grundlage von RUA- und RUF-Berichten verbessert die allgemeine E-Mail-Sicherheit im Laufe der Zeit.
Anhand von DMARC-Berichten können Sie nachvollziehen, was tatsächlich mit Ihren E-Mails geschieht. Ohne sie führen Sie Authentifizierungsrichtlinien blind durch.
Es gibt zwei Arten: RUA-Gesamtberichte, die Ihnen einen täglichen Überblick über den E-Mail-Verkehr Ihrer Domain geben, und RUF -Forensikberichte , die in Echtzeit ausgelöst werden, wenn einzelne E-Mails die Authentifizierung nicht bestehen.
Für alle, die eine vollständige Umsetzung von DMARC anstreben, ist es unerlässlich, den Unterschied zwischen DMARC RUA und RUF zu kennen, zu wissen, was die einzelnen Elemente beinhalten und wann sie eingesetzt werden sollten.
DMARC-Tags und ihre Funktionen
Bevor wir uns mit den RUA- und RUF-Berichten befassen, ist es wichtig zu verstehen, wie DMARC-Tags in Ihrem DMARC-Eintrag.
DMARC-Einträge enthalten mehrere wichtige Tags, die verschiedene Aspekte der E-Mail-Authentifizierung und -Berichterstattung steuern:
- v=DMARC1: Gibt die DMARC-Version an
- p=: Legt die Richtlinie für Ihre Domain fest (keine, Quarantäne oder ablehnen)
- rua=: Gibt an, wohin aggregierte (RUA-)Berichte gesendet werden sollen
- ruf=: Gibt an, wohin forensische (RUF-)Berichte gesendet werden sollen
- sp=: Legt die Richtlinie für Subdomains fest
Die Tags „RUA“ und „RUF“ sind entscheidend für den Empfang der Berichte, mit denen Sie Ihre E-Mail-Authentifizierung .
Was sind DMARC-RUA-Berichte?
DMARC-RUA-Berichte, auch als Sammelberichte bezeichnet, bilden die Grundlage jeder effektiven DMARC-Implementierung. Sie werden von den Mail-Servern der Empfänger erstellt und an die im RUA-Tag Ihres DMARC-Eintrags angegebene Adresse gesendet, in der Regel einmal alle 24 Stunden.
Was RUA-Berichte enthalten
RUA-Berichte bieten eine Übersicht über alle E-Mail-Authentifizierungsergebnisse für Ihre Domain im Berichtszeitraum. Sie umfassen:
- IP-Adressen aller Server, die E-Mails über Ihre Domain versendet haben
- Anzahl der von jeder IP-Adresse gesendeten Nachrichten
- SPF- und DKIM -Authentifizierungsergebnisse für jede Quelle
- Angewandte DMARC-Richtlinie und Ergebnis für jede Nachrichtengruppe
- Ergebnisse der Domänenabgleichung
Entscheidend ist, dass die RUA-Berichte all diese Informationen liefern, ohne dabei personenbezogene Daten oder sensible Informationen über die E-Mails selbst preiszugeben. Dadurch sind sie unter Datenschutz- und Compliance-Gesichtspunkten sicher in der Anwendung.
Wozu dienen die RUA-Berichte?
| Anwendungsfall | Wie RUA hilft |
|---|---|
| Alle legitimen Absender identifizieren | Zeigt alle IP-Adressen an, von denen E-Mails unter Ihrer Domain versendet werden |
| Unzulässige Quellen erkennen | Markiert IP-Adressen, die nicht in Ihrem SPF-E-Mail-Eintrag oder Ihrer DKIM-Konfiguration enthalten sind |
| Überwachung der Erfolgsquote bei der Authentifizierung | Zeigt an, wie viel Prozent der E-Mails die SPF-, DKIM- und DMARC-Prüfung bestehen |
| Verfeinerung der Richtlinien zur E-Mail-Authentifizierung | Stellt die Daten bereit, die zur Anpassung der SPF- und DKIM-Konfiguration benötigt werden |
| Auf dem Weg zur Durchsetzung | Stellt sicher, dass alle legitimen Quellen authentifiziert sind, bevor die Richtlinien verschärft werden |
Die Überwachung der RUA-Berichte ist unerlässlich, um sicher von einer Überwachungsrichtlinie mit „p=none“ zu einer aktiven Durchsetzung mit „p=quarantine“ oder „p=reject“ überzugehen. Ohne diese Daten ist eine Verschärfung Ihrer DMARC-Richtlinie das Risiko, legitime E-Mails zu blockieren.
So aktivieren Sie die RUA-Berichterstellung
Um Sammelberichte zu erhalten, fügen Sie den RUA-Tag mit einer gültigen E-Mail-Adresse in Ihren DMARC-Eintrag ein: v=DMARC1; p=none; rua=mailto:[email protected];
Sie können mehrere Adressen als durch Kommas getrennte Liste angeben.
Sie können einer externen Domain auch den Empfang von Sammelberichten gestatten, indem Sie diese im RUA-Tag angeben, vorausgesetzt, die externe Domain veröffentlicht einen DNS-Eintrag, der die entsprechende Berechtigung erteilt.
Hier sind die Gründe, warum über 10.000 Kunden PowerDMARC vertrauen
- Deutliche Reduzierung von Spoofing-Versuchen und unbefugten E-Mails
- Schnelleres Onboarding + automatisierte Authentifizierungsverwaltung
- Echtzeit-Bedrohungsinformationen und -Berichte über Domänen hinweg
- Bessere E-Mail-Zustellungsraten dank strikter DMARC-Durchsetzung
Die ersten 15 Tage gehen auf unsere Kosten.
Melden Sie sich für eine kostenlose Testversion anWas sind DMARC-RUF-Berichte?
DMARC-RUF-Berichte, auch forensische Berichte genannt, werden unmittelbar nach dem Scheitern der DMARC-Authentifizierung einer einzelnen E-Mail erstellt und versendet. Im Gegensatz zu RUA-Berichten, die den Datenverkehr in zusammengefasster Form darstellen, liefern RUF-Berichte detaillierte Informationen zu jedem einzelnen Fehler.
Was RUF-Berichte enthalten
RUF-Berichte können Folgendes enthalten:
- Vollständige E-Mail-Header
- Betreffzeile der fehlgeschlagenen Nachricht
- Im Nachrichtentext enthaltene URLs
- Informationen zum Anhang
- Senden der IP-Adresse und des Grundes für den Authentifizierungsfehler
- Möglicherweise sensible Inhalte aus dem Nachrichtentext selbst
Dieser Detaillierungsgrad macht RUF-Berichte zu einem leistungsstarken Werkzeug für forensische Untersuchungen, wirft jedoch auch erhebliche datenschutzrechtliche Bedenken auf.
Wann RUF-Berichte nützlich sind
RUF-Berichte eignen sich am besten für:
- Fehlerbehebung bei bestimmten Authentifizierungsfehlern, die sich anhand von aggregierten Daten allein nur schwer diagnostizieren lassen
- Untersuchung aktiver Phishing- oder Spoofing-Angriffe unter Verwendung Ihrer Domain
- Ermittlung nicht autorisierter IP-Adressen, die unter Ihrem Domainnamen betrügerische Nachrichten versenden
Die datenschutzproblematik bei RUF
Da RUF-Berichte personenbezogene Daten und sensible Informationen aus echten E-Mail-Nachrichten enthalten können, entscheiden sich viele Organisationen dafür, diese gar nicht erst anzufordern.
Datenschutzbestimmungen in verschiedenen Rechtsordnungen können die Erhebung und Speicherung dieser Daten einschränken, und große E-Mail-Anbieter bieten unterschiedliche Unterstützung beim Versand forensischer Berichte.
Für die meisten Organisationen liefern die RUA-Gesamtberichte ausreichende Daten für eine effektive DMARC-Implementierung, ohne dass dabei die mit RUF verbundenen Datenschutz- und Compliance-Risiken entstehen.
RUA- und RUF-Berichte vereinfachen
Keine Kreditkarte erforderlich. Erhalten Sie innerhalb weniger Minuten aussagekräftige DMARC-Einblicke. |
DMARC RUA vs. RUF: Die wichtigsten Unterschiede
Hier finden Sie einen direkten Vergleich beider Berichtstypen hinsichtlich der Aspekte, die für die DMARC-Implementierung am wichtigsten sind.
| RUA (Gesamt) | RUF (Forensik) | |
|---|---|---|
| Häufigkeit | Täglich | In Echtzeit, pro Fehler |
| Inhalt | Gesamtstatistiken zum gesamten E-Mail-Verkehr | Detaillierte Daten zu einzelnen fehlgeschlagenen Nachrichten |
| Vertrauliche Daten | Keine personenbezogenen Daten | Kann vertrauliche Informationen enthalten, darunter Kopfzeilen, Betreffzeilen und URLs |
| Datenschutzrisiko | Niedrig | Hoch |
| Anbieter-Support | Weit verbreitet | Wird nicht von allen großen Anbietern unterstützt |
| Hauptverwendungszweck | Überwachung, Weiterentwicklung der Richtlinien, Planung der Durchsetzung | Fehlerbehebung bei bestimmten Fehlern, forensische Untersuchung |
| Für DMARC erforderlich | Nein, aber sehr empfehlenswert | Nein, und für die meisten Organisationen optional |
| XML-Format | Ja | Ja |
Welches solltest du verwenden?
Für die meisten Organisationen sind die RUA-Gesamtberichte der richtige Ausgangspunkt und das wichtigste Instrument während des gesamten DMARC-Implementierungsprozesses. Sie bieten alles, was benötigt wird, um Absenderquellen zu identifizieren, Authentifizierungsergebnisse zu verfolgen und sicher zur Durchsetzung überzugehen.
Die forensischen Berichte von RUF sind situationsbezogen. Wenn Ihr Unternehmen spezifische forensische Anforderungen hat, beispielsweise die aktive Untersuchung einer Spoofing-Kampagne oder die Behebung eines anhaltenden Authentifizierungsfehlers, der in den aggregierten Daten nicht erkennbar ist, bietet RUF einen Mehrwert.
Ansonsten machen die Datenschutzbedenken und die begrenzte Unterstützung durch Anbieter RUF eher zu einer optionalen Ergänzung als zu einer zentralen Anforderung.
Lesetipp: So lesen Sie DMARC-Berichte (Aggregiert vs. Forensisch)
So richten Sie die DMARC-Berichterstellung ein
Die Einrichtung der DMARC-Berichterstellung ist einer der ersten Schritte, die Sie bei der Implementierung von DMARC unternehmen sollten. Ohne Berichtstags in Ihrem Eintrag agieren Sie im Blindflug. Hier erfahren Sie, wie Sie es von Anfang an richtig machen.
Einrichten Ihres DMARC-Eintrags mit Berichts-Tags
Ein DMARC-Eintrag mit RUA- und RUF-Tags sieht wie folgt aus:
v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected];
| Tag | Zweck | Erforderlich? |
|---|---|---|
| rua= | Legt fest, wohin die zusammengefassten Berichte gesendet werden | Empfohlen |
| ruf= | Legt fest, wohin forensische Berichte gesendet werden | Optional |
Beide Tags akzeptieren eine durch Kommas getrennte Liste von Adressen, sodass Sie Berichte bei Bedarf an mehrere Postfächer weiterleiten können.
Sie können einer externen Domain auch den Empfang von Sammelberichten gestatten, indem Sie diese im RUA-Tag angeben, sofern diese externe Domain einen DNS-Eintrag veröffentlicht, der die entsprechende Berechtigung erteilt.
Nutzung von DMARC-Berichten zur Durchsetzung
Die DMARC-Implementierung ist ein iterativer Prozess, und dank der RUA-Gesamtberichte ist es möglich, jede Phase der Richtlinie zu durchlaufen, ohne die Zustellung legitimer E-Mails zu beeinträchtigen.
Das Ziel ist es, p=reject zu erreichen, und Ihre Berichte dienen dabei als Wegweiser.
Der Weg zur Durchsetzung
| Bühne | Richtlinie | Was tun mit Ihren Berichten? |
|---|---|---|
| Überwachung | p=kein | Ermitteln Sie alle Absenderquellen und überprüfen Sie, ob SPF und DKIM für jede einzelne davon gültig sind |
| Milde Durchsetzung | p=Quarantäne | Vergewissern Sie sich, dass keine legitimen Quellen ausfallen, bevor Sie fortfahren |
| Vollständige Durchsetzung | p=ablehnen | Vergewissern Sie sich, dass nur nicht autorisierte Absender blockiert werden |
Sobald Ihre RUA-Berichte durchweg zeigen, dass alle legitimen Absender die Authentifizierung bestehen, wird die Umstellung Ihrer DMARC-Richtlinie von „p=none“ auf „p=quarantine“ und anschließend auf „p=reject“ zu einer datengestützten Entscheidung und ist kein Vertrauensvorschuss mehr.
Das Überspringen oder überstürzte Durchlaufen der Überwachungsphase ist der häufigste Grund dafür, dass Unternehmen bei der Verschärfung ihrer Richtlinien versehentlich ihre eigenen E-Mails blockieren. Genau dafür sind Ihre Gesamtberichte da.
Worauf Sie in Ihren Berichten achten sollten, bevor Sie Maßnahmen ergreifen
- Alle bekannten Absender sind sichtbar und bestehen die SPF- und DKIM-Authentifizierung
- Es werden keine legitimen IP-Adressen als unberechtigt angezeigt
- Die Fehlerquote bei der Authentifizierung ist gering und auf bekannte Probleme zurückzuführen
- Es gibt keine unerwarteten Absender von Drittanbietern, die Ihre Domain nutzen
Der DMARC-Analysator zeigt all dies an einem Ort an, sodass Sie den Fortschritt bei der Durchsetzung in Ihrer gesamten E-Mail-Infrastruktur ganz einfach verfolgen können.
Darüber hinaus bietet der DMARC-Berichtsanalysator einen tieferen Einblick in Ihre Authentifizierungsdaten. Er schlüsselt aggregierte und forensische Berichte in klare, umsetzbare Erkenntnisse auf. So wissen Sie immer genau, wo Ihre Domains stehen.
Für Unternehmen, die die E-Mail-Authentifizierung über mehrere Domänen hinweg verwalten, zentralisiert gehostetes DMARC zentralisiert die Verwaltung von Berichten und die Steuerung von Richtlinien, sodass nichts übersehen wird.
Verstehen Sie Ihre DMARC-Berichte mit PowerDMARC
DMARC-RUA- und RUF-Berichte sind nur dann von Nutzen, wenn man sie auch tatsächlich auswerten kann. Unverarbeitete XML-Dateien sind schwer lesbar, lassen sich leicht falsch interpretieren und bieten für sich genommen keine klaren Handlungsempfehlungen.
PowerDMARC wandelt Ihre aggregierten Daten und forensischen Berichtsdaten in übersichtliche, praxisorientierte Dashboards um. Diese zeigen Ihnen genau, wer in Ihrem Namen E-Mails versendet, welche Nachrichten zugestellt werden und welche nicht, und was geändert werden muss, bevor Sie die Durchsetzung sicher erreichen können.
Von Ihrem ersten „p=none“-Eintrag bis hin zur vollständigen Durchsetzung von „p=reject“ bietet Ihnen PowerDMARC die nötige Transparenz und die entsprechenden Tools, um dieses Ziel ohne Spekulationen zu erreichen.
„PowerDMARC hat die DMARC-Berichterstattung für unser IT-Team zum Kinderspiel gemacht. Die Erkenntnisse sind klar und umsetzbar.“ – CIO, großer Einzelhändler
Starten Sie noch heute mit PowerDMARC noch heute.
FAQs
1. Was ist der Unterschied zwischen RUA und RUF bei DMARC?
RUA-Berichte liefern aggregierte Daten zu den Ergebnissen der E-Mail-Authentifizierung, die täglich versendet werden, während RUF-Berichte forensische Details zu einzelnen fehlgeschlagenen E-Mails in Echtzeit liefern. RUA-Berichte dienen der Beobachtung von Trends, während RUF-Berichte zur Untersuchung spezifischer Bedrohungen verwendet werden.
2. Was ist das RUA-Tag in einem DMARC-Eintrag?
Der RUA-Tag gibt die E-Mail-Adresse an, an die die Sammelberichte gesendet werden sollen. Er hat das Format „rua=mailto:[email protected]“ und teilt den empfangenden Mail-Servern mit, wohin die täglichen Zusammenfassungen der DMARC-Authentifizierungsergebnisse gesendet werden sollen.
3. Ist das RUA-Tag erforderlich, damit DMARC funktioniert?
Nein, das RUA-Tag ist für die grundlegende DMARC-Funktionalität optional. Es wird jedoch dringend empfohlen, da Sie ohne dieses Tag keine Berichte über die Leistung Ihrer E-Mail-Authentifizierung erhalten, was die Überwachung und Verbesserung Ihrer DMARC-Implementierung erschwert.
4. Wie oft werden RUA- und RUF-Berichte versendet?
RUA-Berichte werden in der Regel täglich von den empfangenden Mailservern versendet und enthalten aggregierte Daten der letzten 24 Stunden. RUF-Berichte werden sofort nach einem Authentifizierungsfehler versendet und liefern forensische Echtzeitinformationen zu einzelnen fehlgeschlagenen E-Mails.
5. Kann ich für dieselbe Domain sowohl RUA- als auch RUF-Berichte erhalten?
Ja, Sie können in Ihrem DMARC-Eintrag sowohl RUA- als auch RUF-Berichte konfigurieren. Viele Unternehmen nutzen beide Arten: RUA-Berichte zur laufenden Überwachung und Trendanalyse sowie RUF-Berichte zur detaillierten Untersuchung bestimmter Authentifizierungsfehler oder Sicherheitsvorfälle.
Experte für Domain- und E-Mail-Sicherheit bei PowerDMARC
Ahona ist Marketing-Managerin bei PowerDMARC und verfügt über mehr als 5 Jahre Erfahrung im Schreiben über Cybersicherheitsthemen, insbesondere im Bereich Domain- und E-Mail-Sicherheit. Ahona hat einen Postgraduierten-Abschluss in Journalismus und Kommunikation und ist seit 2019 in der Sicherheitsbranche tätig.
Neueste Beiträge von Ahona Rudra (alle anzeigen)
