DMARC-forensisch rapport (RUF): wat het is, hoe het werkt en hoe u het inschakelt
door
Laatst bijgewerkt: 9 leestijd: 9 minuten
Belangrijkste Conclusies
- Een DMARC Forensic Report (RUF) is een onmiddellijke, gedetailleerde melding die wordt verzonden wanneer een afzonderlijke e-mail niet voldoet aan de SPF-, DKIM- of DMARC-authenticatie.
- In tegenstelling tot de verzamelrapporten (RUA) die één keer per dag worden verstuurd, worden RUF-rapporten in realtime verzonden en bieden ze gedetailleerde gegevens, zoals onderwerpregels en IP-adressen van afzenders.
- U moet de ruf=-tag opnemen in uw DMARC-DNS-record (bijvoorbeeld ruf=mailto:[email protected]).
- Omdat deze rapporten gevoelige informatie (PII) kunnen bevatten, versturen veel providers (zoals Gmail) ze niet. Het gebruik van PowerDMARC met PGP-versleuteling is de beste manier om deze gegevens veilig te verwerken.
- Gebruik RUF om specifieke pogingen tot spoofing te onderzoeken of om lastige configuratieproblemen met e-mailprogramma’s van derden op te lossen.
Het instellen van een DMARC-record is een enorme verbetering voor je e-mailbeveiliging, maar het echte voordeel komt pas tot uiting als je de feedbackloop daadwerkelijk sluit. Bekijk het eens zo: wanneer je dat record publiceert, geef je niet alleen instructies aan de rest van het internet over hoe je e-mail moet worden verwerkt; je vraagt ook aan elke server ter wereld om je hierover te informeren.
De meeste mensen beperken zich tot de dagelijkse geaggregeerde overzichten, die prima zijn om het ‘totale plaatje’ te zien, maar er is veel gedetailleerdere informatie beschikbaar als je weet waar je moet zoeken. Daar komen DMARC Forensic Reports (RUF) om de hoek kijken. In deze gids gaan we precies uitleggen wat RUF-rapporten zijn, hoe ze verschillen van je standaardgegevens en hoe je ze kunt gebruiken om het 'doorslaggevende bewijs' te vinden wanneer je e-mails zoekraken.
Wat is een DMARC-forensisch rapport?
Een DMARC-forensisch rapport (ook wel ‘foutmelding’ genoemd) is een gedetailleerde, realtime melding die door ontvangende e-mailservers wordt verzonden wanneer een bericht de DMARC-authenticatie niet doorstaat. Het rapport bevat gedetailleerde diagnostische gegevens over afzonderlijke berichten die zijn afgewezen, zoals authenticatieresultaten, de afzender en de berichtheaders, zodat de domeineigenaar mogelijke pogingen tot spoofing kan onderzoeken en problemen met e-mailauthenticatie kan oplossen.
Als een geaggregeerd rapport een overzicht is van iedereen die heeft geprobeerd een gebouw binnen te komen, dan is het forensisch rapport de beveiligingsbeelden in hoge resolutie van die ene persoon die heeft geprobeerd het slot te forceren. Het geeft je de allerdetailrijkste informatie over waarom juist dat specifieke bericht als verdacht werd gemarkeerd.
- Wie verstuurt het? Meestal is het de ontvangende mailserver (zoals een bedrijfsgateway) die de verdachte e-mail onderschept.
- Waar komt het terecht? Het wordt rechtstreeks verzonden naar het e-mailadres dat je hebt opgegeven in de ruf=-tag van je DMARC-record.
- Hoe zit het hiermee? In tegenstelling tot die onhandige XML-aggregatiebestanden maken deze gebruik van het AFRF (Authentication Failure Reporting Format). Dit formaat is veel beter leesbaar en bevat voldoende details om je te helpen het probleem daadwerkelijk op te lossen.
Wat staat er in een DMARC-forensisch rapport?
Omdat RUF DMARC-rapporten zijn bedoeld voor grondige probleemoplossing, bevatten ze specifieke metagegevens over het mislukte bericht die u niet in geaggregeerde rapporten aantreft.
Een typisch RUF-rapport bevat:
- IP-adres van de afzender: het exacte IP-adres van degene die heeft geprobeerd de e-mail te verzenden.
- Van- en retouradres: het „Header From“-adres en de afzender van de envelop.
- Onderwerp: Het daadwerkelijke onderwerp van de mislukte e-mail.
- Verificatieresultaten: gedetailleerde informatie over de reden waarom SPF of DKIM is mislukt en of er DMARC-alignment is bereikt.
- E-mailheaders: De volledige feedbackheaders van het bericht.
Het instellen van een DMARC-record is een enorme verbetering voor je e-mailbeveiliging, maar het echte voordeel komt pas tot uiting als je de feedbackloop daadwerkelijk sluit. Bekijk het eens zo: wanneer je dat record publiceert, geef je niet alleen instructies aan de rest van het internet over hoe je e-mail moet worden verwerkt; je vraagt ook elke server ter wereld om je hierover te informeren.
De meeste mensen beperken zich tot de dagelijkse geaggregeerde overzichten, die prima zijn om het ‘algemene beeld’ te krijgen, maar er is veel gedetailleerdere informatie beschikbaar als je weet waar je moet zoeken. Daar komen DMARC Forensic Reports (RUF) om de hoek komen kijken. In deze gids gaan we precies uitleggen wat RUF-rapporten zijn, hoe ze verschillen van je standaardgegevens en hoe je ze kunt gebruiken om het 'doorslaggevende bewijs' te vinden wanneer je e-mails zoekraken.
Wat is een DMARC-forensisch rapport?
A DMARC-forensisch rapport (ook wel een Failure Report genoemd) is een gedetailleerde, realtime waarschuwing die door ontvangende e-mailservers wordt verzonden wanneer een bericht de DMARC-authenticatie niet doorstaat. Het biedt gedetailleerde diagnostische informatie over individuele mislukte berichten, zoals authenticatieresultaten, de afzender en berichtheaders, zodat de domeineigenaar mogelijke spoofingpogingen kan onderzoeken en problemen met e-mailauthenticatie kan oplossen.
Als een geaggregeerd rapport een overzicht is van iedereen die heeft geprobeerd een gebouw binnen te komen, dan is het forensisch rapport de beveiligingsbeelden in hoge resolutie van die ene persoon die heeft geprobeerd het slot te forceren. Het geeft je de allerdetailrijkste informatie over waarom juist dat specifieke bericht als verdacht werd gemarkeerd.
- Wie verstuurt het? Meestal is het de ontvangende mailserver (zoals een bedrijfsgateway) die de verdachte e-mail onderschept.
- Waar komt het terecht? Het wordt rechtstreeks verzonden naar het e-mailadres dat je hebt opgegeven in het ruf= tag van je DMARC-record.
- Hoe is de sfeer? In tegenstelling tot die logge XML-aggregatiebestanden maken deze gebruik van de AFRF (Authentication Failure Reporting Format). Het is veel beter leesbaar en bevat voldoende details om je te helpen het probleem daadwerkelijk op te lossen.
Wat staat er in een DMARC-forensisch rapport?
Omdat RUF DMARC-rapporten zijn bedoeld voor grondige probleemoplossing, bevatten ze specifieke metagegevens over het mislukte bericht die u niet in geaggregeerde rapporten aantreft.
Een typisch RUF-rapport bevat:
- IP-adres van de afzender: Het exacte IP-adres dat heeft geprobeerd de e-mail te verzenden.
- Afzender- en Return-Path-adressen: De "Header From" en de afzender van de envelop.
- Onderwerp: Het daadwerkelijke onderwerp van de mislukte e-mail.
- Verificatieresultaten: Specifieke details over waarom SPF of DKIM mislukt is en of DMARC-afstemming is bereikt.
- E-mailheaders: De volledige feedback-headers van het bericht.
- Persoonlijk identificeerbare informatie (PII): Omdat deze rapporten onderwerpen en e-mailadressen van ontvangers kunnen bevatten, bevatten ze vaak PII.
Opmerking over privacy: Vanwege de aanwezigheid van PII hebben veel grote e-mailproviders ervoor gekozen geen RUF-rapporten te verzenden om de privacy van gebruikers te beschermen. Bij PowerDMARC pakken we dit aan door ondersteuning te bieden voor PGP-versleuteling voor RUF-rapporten, zodat gevoelige gegevens versleuteld blijven en alleen voor u toegankelijk zijn.
Sommige ontvangers die dat doen RUF-rapporten verzenden, zullen verbergen de gevoelige delen van de e-mailtekst of het onderwerp verbergen (maskeren) voordat ze deze naar u verzenden, om te voldoen aan de privacywetgeving. Dit is de reden waarom sommige forensische rapporten er “leeg” uitzien of [VERBORGEN] te zien.
Voorbeeld van een DMARC-forensisch rapport
Om echt te begrijpen wat er achter de schermen gebeurt, moet je naar de ruwe gegevens kijken. Wanneer een e-mail niet aankomt, genereert de ontvanger een rapport in AFRF-formaat. Het ziet er een beetje technisch uit, maar het is eigenlijk vrij eenvoudig te begrijpen als je eenmaal weet waar je op moet letten.
Type feedback: authenticatiefout
User-Agent: PowerDMARC-Reporter/1.0
Versie: 1.0
Oorspronkelijke afzender: [email protected]
Aankomstdatum: di, 31 mrt 2026 10:00:00 +0000
Message-ID: <[email protected]>
Verificatieresultaten: dkim=mislukt; spf=mislukt
Bron-IP: 192.0.2.1
Gerapporteerd domein: uwdomein.com
Wat dit betekent:
- Type feedback: Dit bevestigt dat er sprake is van een authenticatiefout.
- Original-Mail-From: Het specifieke adres van waaruit geprobeerd is de e-mail te verzenden.
- Verificatieresultaten: Het ‘doorslaggevende bewijs’. In dit geval zijn zowel SPF als DKIM mislukt, waardoor het rapport is geactiveerd.
- Bron-IP: Dit is het exacte serveradres van waaruit de e-mail is verzonden. Als je dit IP-adres niet herkent, is er mogelijk sprake van identiteitsfraude.
Hoe het record eruitziet in uw DNS
Om deze rapporten te ontvangen, moet uw DMARC-record er ongeveer zo uitzien:
v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1;
Opmerking: Als u rapporten naar een ander domein dan uw eigen domein verstuurt, moet het ontvangende domein beschikken over een DNS-record waarmee het uw rapporten kan ontvangen.
De tags uitgelegd:
- v=DMARC1: Dit is gewoon de standaardversietag, zodat het internet weet welk protocol je gebruikt.
- p=none: Dit is de „bewakingsmodus“. Je geeft de servers de opdracht: „Laat de e-mail voorlopig door, maar laat het me weten als er iets misgaat.“
- rua=: Dit is je mailbox voor de algemene, dagelijkse overzichten.
- ruf=: Dit is de specifieke „forensische“ tag die servers aangeeft waar ze de gedetailleerde, realtime storingsmeldingen naartoe moeten sturen.
- fo=1: Dit is een belangrijke instelling. Hiermee wordt de server geïnstrueerd om een melding te sturen als SPF of DKIM niet slaagt. (Als je dit niet opneemt, geven sommige servers mogelijk alleen een melding als beide niet slagen).
DMARC-forensisch rapport versus geaggregeerd rapport (RUF versus RUA)
Hoewel beide binnen hetzelfde record zijn ingeschakeld, dienen ze verschillende doelen. RUA is bedoeld voor het totaalbeeld; RUF is bedoeld voor de details.
| Functie | Forensisch rapport (RUF) | Geaggregeerd rapport (RUA) |
|---|---|---|
| Veroorzaakt door | Elke afzonderlijke e-mailstoring | Dagelijks overzicht van alle e-mails |
| Frequentie | Realtime / Onmiddellijk | Eén keer per dag |
| Indeling | ARF (Abuse Reporting Format) Let op: AFRF (gedefinieerd in RFC 6591) is de specifieke uitbreiding van ARF (RFC 5965) die voor DMARC wordt gebruikt. | XML |
| Detailniveau | Zeer gedetailleerd (per e-mail) | Overzicht voor het hele domein |
| Bevat het persoonsgegevens? | Misschien wel | Geen |
| Ondersteuning | Beperkt (privacyoverwegingen) | Breed gedragen |
| Meest geschikt voor | Onderzoek naar incidenten, detectie van spoofing | Voortdurende monitoring, trendanalyse |
DMARC-forensische rapporten inschakelen
Het inschakelen van RUF is een eenvoudig proces waarbij u uw DNS-instellingen snel hoeft bij te werken.
1. Ga naar DNS: Log in op uw DNS-beheerconsole.
2. Zoek uw DMARC-record: Zoek het TXT-record op _dmarc.uwdomein.com.
3. Voeg de RUF-tag toe: Voeg de tag ruf=mailto:[email protected] in.
4. Configureer de FO-tag: Definieer uw rapportagetriggers (zie het volgende gedeelte).
5. Sla op en verspreid: Sla de wijzigingen op. Het kan tot 48 uur duren voordat DNS-wijzigingen wereldwijd zijn doorgevoerd.
Pro-tip: Het verzenden van RUF-rapporten naar een standaard inbox kan overweldigend zijn en vormt een veiligheidsrisico. Door een platform als PowerDMARC te gebruiken, kunt u deze gegevens in een overzichtelijk dashboard bekijken zonder dat uw mailbox vol raakt.
Inzicht in de DMARC-tag (Forensische opties)
De fo-tag is een onderdeel van het DMARC-record dat de ontvanger aangeeft wanneer je een forensisch rapport wilt laten genereren.
| fo-waarde | Betekenis |
|---|---|
| fo=0 (standaard) | Maak alleen een rapport aan als zowel SPF als DKIM mislukken. |
| fo=1 | Maak een rapport aan als SPF of DKIM niet slaagt. (Aanbevolen) |
| fo=d | Maak alleen een rapport aan als DKIM mislukt. |
| fo=s | Maak alleen een rapport aan als SPF mislukt. |
De meeste beveiligingsprofessionals gebruiken fo=1 omdat dit de beste inzicht biedt in eventuele problemen bij de authenticatie. Houd er echter rekening mee dat fo=1 weliswaar het beste is voor inzicht, maar vrijwel altijd naar een speciale verwerkingstool (zoals PowerDMARC) moet worden gestuurd in plaats van naar een menselijke inbox, anders wordt de „ruis“ onbeheersbaar.
Waarom u mogelijk geen DMARC-forensische rapporten ontvangt
Als je RUF hebt ingeschakeld maar je inbox leeg is, raak dan niet in paniek. Dit betekent niet per se dat je record is verbroken.
1. Privacybeperkingen: Grote providers zoals Gmail en Microsoft 365 sturen doorgaans geen RUF-rapporten om de privacy van hun gebruikers te beschermen.
2. Succes is stil: Als al uw e-mails de DMARC-authenticatie doorstaan, zijn er geen fouten om te rapporteren!
3. Ondersteuning door de ontvanger: Niet alle ontvangende mailservers zijn geconfigureerd om forensische rapporten te genereren.
Daarom worden de Aggregate RUA-rapporten beschouwd als de „betrouwbare bron“ voor de algehele gezondheid van het domein, terwijl RUF een aanvullend hulpmiddel is voor specifieke onderzoeken.
Zorgen over privacy en veiligheid
Aangezien RUF-rapporten de onderwerpregel en de tekst van een e-mail kunnen bevatten, vallen ze onder strenge privacywetgeving zoals de AVG en de CCPA. Als een aanvaller uw domein vervalst om een phishing-e-mail naar een particulier te sturen, kan het forensisch rapport dat u ontvangt de persoonsgegevens van die persoon bevatten.
Beste praktijken:
- Gebruik een speciaal, beveiligd rapportageplatform.
- PGP-versleuteling inschakelen: PowerDMARC biedt PGP-versleuteling, zodat alleen u, als houder van de privésleutel, de inhoud van de RUF-rapporten kunt bekijken.
- Beperk de toegang tot gegevens tot uw kernteam voor beveiliging.
Hoe u RUF-rapporten kunt gebruiken om spoofing op te sporen en storingen te verhelpen
Zodra u forensische gegevens ontvangt, kunt u als volgt te werk gaan:
1. Domein-spoofing opsporen
Als u een forensisch rapport ziet van een IP-adres dat u niet herkent, en het „Van“-adres is uw domein, dan heeft u waarschijnlijk een poging tot spoofing ontdekt. U kunt dit IP-adres gebruiken om blokkeerlijsten bij te werken of uw Security Operations Center hiervan op de hoogte te stellen.
2. Het verhelpen van legitieme storingen
Soms mislukt het verzenden van je eigen legitieme e-mail. Als er in een rapport een foutmelding staat van een tool die je gebruikt (zoals Salesforce of Mailchimp), controleer dan of DKIM is mislukt of dat het IP-adres simpelweg niet aan je SPF-record is toegevoegd.
3. Werkstroom van het onderzoek
1. Zoek het bron-IP-adres op in het RUF-rapport.
2. Controleer: is dit een tool die uw bedrijf gebruikt?
3. Los het probleem op: als het geautoriseerd is maar niet voldoet, corrigeer dan de SPF/DKIM-afstemming. Als het niet geautoriseerd is, laat uw DMARC-beleid – of dat nu p=quarantine of p=reject is – zijn werk doen.
De kern van de zaak
Bekijk het eens zo: als de geaggregeerde RUA-rapporten van DMARC je maandelijkse bankafschrift zijn, dan zijn forensische RUF-rapporten de afzonderlijke bonnetjes voor elke verdachte transactie. Ze zijn niet perfect, vooral omdat grote spelers zoals Gmail de privacy van gebruikers belangrijker vinden dan het versturen van deze rapporten, maar als je ze eenmaal ontvangt, zijn ze van onschatbare waarde bij het oplossen van problemen.
Als je probeert te achterhalen waarom een bepaalde marketingtool niet goed werkt, of als je het doelwit bent van een spoofing-aanval, geven deze rapporten je in realtime inzicht in ‘wie, wat en waar’. Zorg er wel voor dat je verantwoord met die gegevens omgaat, bij voorkeur via een platform dat alles versleuteld houdt, zodat je niet met een berg gevoelige persoonsgegevens zit.
Wilt u uw forensische gegevens bekijken zonder gedoe? PowerDMARC maakt dit eenvoudig door onbewerkte RUF-gegevens om te zetten in een overzichtelijk dashboard, compleet met PGP-versleuteling om uw gegevens veilig te houden en aan de regelgeving te voldoen. Start vandaag nog uw gratis proefperiode van 15 dagen en krijg volledig inzicht in uw e-mailomgeving.
Veelgestelde Vragen
Wat is een DMARC-forensisch rapport precies?
Het is in feite een realtime waarschuwing. In plaats van te wachten op een dagelijks overzicht, wordt er direct een forensisch rapport gegenereerd zodra een individuele e-mail niet door de DMARC-controle komt. Dit rapport is zeer gedetailleerd en bedoeld voor een grondig onderzoek.
Waarin verschilt RUF van RUA?
RUA is uw dagelijkse overzicht dat het „grote geheel“ weergeeft; het informeert u over trends en volumes in XML-formaat. RUF biedt een gedetailleerd „micro“-overzicht; het wordt onmiddellijk verzonden, maakt gebruik van het ARF-formaat en bevat specifieke details over één enkel mislukt bericht.
Hoe schakel ik deze rapporten eigenlijk in?
Je moet je DMARC-record in je DNS-instellingen aanpassen. Voeg gewoon de tag ruf=mailto:[email protected] toe. Als je het extra grondig wilt aanpakken, voeg dan de tag fo=1 toe, zodat je een melding krijgt als SPF of DKIM niet klopt, in plaats van te wachten tot beide niet meer werken.
Ik heb RUF geïnstalleerd, maar er gebeurt niets. Werkt het niet?
Waarschijnlijk niet. Waarschijnlijk doorstaan je e-mails de authenticatie prima (en dat is goed!). Houd er ook rekening mee dat veel grote providers helemaal geen RUF-rapporten versturen om de privacy van hun gebruikers te beschermen. Als je RUA-rapporten wel binnenkomen, werkt je configuratie waarschijnlijk goed.
Zitten er persoonsgegevens in deze rapporten?
Ja, en dat is nu juist het lastige. Forensische rapporten kunnen de onderwerpregel van de e-mail, het adres van de ontvanger en soms zelfs een fragment van de berichttekst bevatten. Daarom is het verstandig om een beveiligd platform te gebruiken om deze te beheren, zodat je voldoet aan privacywetgeving zoals de AVG.
Wat doet de tag ‘fo’?
Het staat voor ‘Forensic Options’. Het is in feite een reeks instructies die de ontvanger precies aangeven wanneer er een rapport moet worden gegenereerd: of je nu alleen een rapport wilt als alles misgaat (fo=0), of dat je een rapport wilt zodra er ook maar iets misgaat in het authenticatieproces (fo=1).
Inhoudspecialist bij PowerDMARC
Milena is een ervaren schrijfster en content creator met meer dan 7 jaar ervaring in het creëren van boeiende content over IT, cyberbeveiliging, virtuele evenementen en meer. Ze heeft bewezen werk van hoge kwaliteit af te leveren voor internationale tijdschriften en is afgestudeerd aan prestigieuze instellingen zoals New York University Abu Dhabi, UWC China en het Europacollege.
Laatste berichten van Milena Baghdasaryan (Bekijk alle berichten)
- Sendmarc-review: functies, gebruikerservaringen, voor- en nadelen (2026) - 22 april 2026
- Naleving van FIPS: hoe u uw infrastructuur kunt beveiligen vóór de deadline van 2026 - 20 april 2026
- Veiligheid bij verkoopactiviteiten: 5 manieren om te voorkomen dat uw verkoopteam op phishers lijkt - 14 april 2026
