Raport kryminalistyczny DMARC (RUF): czym jest, jak działa i jak go włączyć

Skonfigurowanie rekordu DMARC to ogromny krok w kierunku poprawy bezpieczeństwa poczty elektronicznej, ale prawdziwa magia dzieje się dopiero wtedy, gdy faktycznie zamknie się pętlę sprzężenia zwrotnego. Pomyśl o tym w ten sposób: publikując ten rekord, nie tylko przekazujesz reszcie internetu instrukcje dotyczące obsługi Twojej poczty, ale także prosisz każdy serwer na świecie o przesyłanie Ci informacji zwrotnych.

Większość osób poprzestaje na codziennych podsumowaniach zbiorczych, które świetnie nadają się do uzyskania „ogólnego obrazu sytuacji”, ale jeśli wiesz, gdzie szukać, możesz uzyskać znacznie bardziej szczegółowe informacje. Właśnie tu do gry wkraczają raporty śledcze DMARC (RUF). W tym przewodniku dokładnie wyjaśnimy, czym są raporty RUF, czym różnią się od standardowych danych i jak można je wykorzystać do znalezienia „niezbitych dowodów” w przypadku zaginięcia wiadomości e-mail.

Czym jest raport kryminalistyczny DMARC?

Raport kryminalistyczny DMARC (zwany również raportem o niepowodzeniu) to szczegółowe powiadomienie wysyłane w czasie rzeczywistym przez serwery pocztowe odbierające wiadomości w przypadku, gdy wiadomość nie przejdzie uwierzytelnienia DMARC. Zawiera on szczegółowe informacje diagnostyczne dotyczące poszczególnych wiadomości, które nie przeszły uwierzytelnienia, takie jak wyniki uwierzytelnienia, źródło wysyłki oraz nagłówki wiadomości, dzięki czemu właściciel domeny może zbadać potencjalne próby spoofingu oraz rozwiązać problemy związane z uwierzytelnianiem wiadomości e-mail.

Jeśli raport zbiorczy stanowi podsumowanie wszystkich osób, które próbowały wejść do budynku, to raport kryminalistyczny jest jak nagranie z kamery monitoringu w wysokiej rozdzielczości, na którym widać tę jedną osobę próbującą otworzyć zamek. Zawiera on szczegółowe informacje wyjaśniające, dlaczego właśnie ta konkretna wiadomość została oznaczona jako podejrzana.

• Kto to wysyła? Zazwyczaj to serwer pocztowy odbierający wiadomości (np. brama firmowa) przechwytuje podejrzaną wiadomość e-mail.
• Gdzie trafia ta wiadomość? Trafia bezpośrednio na adres e-mail podany w tagu ruf= w rekordzie DMARC.
• Jak to wygląda? W przeciwieństwie do tych nieporęcznych plików zbiorczych XML, te wykorzystują format AFRF (Authentication Failure Reporting Format). Jest on znacznie bardziej „przyjazny dla człowieka” i zawiera wystarczająco dużo szczegółów, by pomóc Ci faktycznie rozwiązać problem.

Co zawiera raport kryminalistyczny DMARC?

Ponieważ raporty RUF DMARC są przeznaczone do szczegółowej diagnostyki problemów, zawierają one konkretne metadane dotyczące wiadomości, której dostarczenie nie powiodło się, których nie znajdziesz w raportach zbiorczych.

Typowy raport RUF zawiera:

• Adres IP nadawcy: Dokładny adres IP, z którego podjęto próbę wysłania wiadomości.
• Adresy nadawcy i zwrotne: pole „Header From” oraz nadawca koperty.
• Temat: Rzeczywisty temat wiadomości e-mail, której wysłanie nie powiodło się.
• Wyniki uwierzytelniania: Szczegółowe informacje dotyczące przyczyn niepowodzenia weryfikacji SPF lub DKIM oraz tego, czy osiągnięto zgodność z DMARC.
• Nagłówki wiadomości: Pełne nagłówki wiadomości zawierające informacje zwrotne.

Skonfigurowanie rekordu DMARC to ogromny krok w kierunku poprawy bezpieczeństwa poczty elektronicznej, ale prawdziwa magia dzieje się dopiero wtedy, gdy faktycznie zamknie się pętlę sprzężenia zwrotnego. Pomyśl o tym w ten sposób: publikując ten rekord, nie tylko przekazujesz reszcie internetu instrukcje dotyczące obsługi Twojej poczty, ale także prosisz każdy serwer na świecie o przesyłanie Ci informacji zwrotnych.

Większość osób poprzestaje na codziennych podsumowaniach zbiorczych, które świetnie nadają się do uzyskania ogólnego obrazu sytuacji, ale jeśli wie się, gdzie szukać, można uzyskać znacznie bardziej szczegółowe informacje. Właśnie w tym miejscu przydają się raporty kryminalistyczne DMARC (RUF) . W tym przewodniku dokładnie wyjaśnimy, czym są raporty RUF, czym różnią się od standardowych danych i jak można je wykorzystać do znalezienia „niezbitych dowodów”, gdy znikają wiadomości e-mail.

Czym jest raport kryminalistyczny DMARC?

A Raport kryminalistyczny DMARC (zwany również raportem o niepowodzeniu) to szczegółowe powiadomienie wysyłane w czasie rzeczywistym przez serwery pocztowe odbierające wiadomości, gdy wiadomość nie przejdzie uwierzytelnienia DMARC. Zawiera ono szczegółową diagnostykę poszczególnych wiadomości, które nie przeszły uwierzytelnienia, taką jak wyniki uwierzytelnienia, źródło wysyłki oraz nagłówki wiadomości, dzięki czemu właściciel domeny może zbadać potencjalne próby spoofingu i rozwiązać problemy związane z uwierzytelnianiem wiadomości e-mail. 

Jeśli raport zbiorczy stanowi podsumowanie wszystkich osób, które próbowały wejść do budynku, to raport kryminalistyczny jest jak nagranie z kamery monitoringu w wysokiej rozdzielczości, na którym widać tę jedną osobę próbującą otworzyć zamek. Zawiera on szczegółowe informacje wyjaśniające, dlaczego właśnie ta konkretna wiadomość została oznaczona jako podejrzana.

• Kto to wysyła? Zazwyczaj to serwer pocztowy odbiorcy (np. brama firmowa) przechwytuje podejrzaną wiadomość e-mail.
• Gdzie trafia? Trafi bezpośrednio na adres e-mail podany w polu ruf= w rekordzie DMARC.
• Jakie są wrażenia? W przeciwieństwie do tych nieporęcznych plików agregatów XML, te wykorzystują AFRF (Authentication Failure Reporting Format). Jest on znacznie bardziej „czytelny dla człowieka” i zawiera wystarczająco dużo szczegółów, aby pomóc w rzeczywistym rozwiązaniu problemu.

Co zawiera raport kryminalistyczny DMARC?

Ponieważ raporty RUF DMARC są przeznaczone do szczegółowej diagnostyki problemów, zawierają one konkretne metadane dotyczące wiadomości, której dostarczenie nie powiodło się, których nie znajdziesz w raportach zbiorczych.

Typowy raport RUF zawiera:

• Adres IP nadawcy: Dokładny adres IP, z którego podjęto próbę wysłania wiadomości.
• Adresy „From” i „Return-Path”: „Header From” oraz nadawca koperty.
• Temat wiadomości: Rzeczywisty temat wiadomości e-mail, której wysłanie nie powiodło się.
• Wyniki uwierzytelniania: Szczegółowe informacje na temat przyczyny SPF lub DKIM nie powiodły się oraz czy osiągnięto zgodność z DMARC.
• Nagłówki wiadomości: Pełne nagłówki informacji zwrotnej wiadomości.
• Dane umożliwiające identyfikację osoby (PII): Ponieważ raporty te mogą zawierać tematy wiadomości i adresy odbiorców, często zawierają one dane osobowe.

Uwaga dotycząca prywatności: Ze względu na zawartość danych osobowych wielu głównych dostawców usług pocztowych zrezygnowało z wysyłania raportów RUF, aby chronić prywatność użytkowników. W PowerDMARC rozwiązujemy ten problem, obsługując szyfrowanie PGP dla raportów RUF, zapewniając, że wrażliwe dane pozostają zaszyfrowane i dostępne wyłącznie dla Ciebie.

Niektóre odbiorniki, które wysyłają wysyłają raporty RUF, będą zamaskują (maskują) poufne fragmenty treści wiadomości e-mail lub tematu przed wysłaniem jej do Ciebie, aby zachować zgodność z przepisami dotyczącymi prywatności. Dlatego niektóre raporty kryminalistyczne wyglądają na „puste” lub zawierają [USUNIĘTO] .

Przykład raportu kryminalistycznego DMARC

Aby naprawdę zrozumieć, co dzieje się „pod maską”, trzeba przyjrzeć się surowym danym. Gdy wysłanie wiadomości e-mail nie powiedzie się, odbiorca generuje raport w formacie AFRF. Wygląda on nieco technicznie, ale w rzeczywistości jest dość łatwy do odczytania, gdy już wiesz, na co zwrócić uwagę.

Typ komunikatu: błąd uwierzytelnienia

User-Agent: PowerDMARC-Reporter/1.0

Wersja: 1.0

Adres nadawcy: [email protected]

Data dostawy: wtorek, 31 marca 2026 r., godz. 10:00:00 +0000

Message-ID: <[email protected]>

Wyniki uwierzytelniania: dkim=niepowodzenie; spf=niepowodzenie

Adres IP źródłowy: 192.0.2.1

Zgłoszona domena: twojadomena.com

Co to oznacza:

• Typ komunikatu: Potwierdza to, że wystąpił błąd uwierzytelniania.
• Original-Mail-From: Konkretny adres, z którego podjęto próbę wysłania wiadomości.
• Wyniki uwierzytelniania: „niezbity dowód”. W tym przypadku zarówno SPF, jak i DKIM zakończyły się niepowodzeniem, co spowodowało wygenerowanie raportu.
• Adres IP nadawcy: Jest to dokładny adres serwera, z którego wysłano wiadomość. Jeśli nie rozpoznajesz tego adresu IP, ktoś może podszywać się pod Ciebie.

Jak wygląda wpis w Twoim DNS

Aby uzyskać te raporty, Twój rekord DMARC powinien wyglądać mniej więcej tak:

v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1;

Uwaga: Jeśli wysyłasz raporty do domeny innej niż Twoja własna, domena docelowa musi posiadać wpis DNS umożliwiający jej odbiór Twoich raportów.

Omówienie tagów:

• v=DMARC1: To tylko standardowy tag wersji, dzięki któremu sieć rozpoznaje, jakiego protokołu używasz.
• p=none: To jest „tryb monitorowania”. W ten sposób informujesz serwery: „Na razie przepuszczajcie pocztę, ale dajcie mi znać, jeśli coś pójdzie nie tak”.
• rua=: To Twoja skrzynka pocztowa, w której znajdziesz ogólne, codzienne podsumowania.
• ruf=: Jest to specjalny tag „kryminalistyczny”, który informuje serwery, dokąd mają wysyłać szczegółowe powiadomienia o awariach w czasie rzeczywistym.
• fo=1: To bardzo ważna opcja. Nakazuje serwerowi wysłanie powiadomienia w przypadku niepowodzenia weryfikacji SPF lub DKIM. (Jeśli nie uwzględnisz tej opcji, niektóre serwery mogą wysłać powiadomienie tylko wtedy, gdy obie weryfikacje zakończą się niepowodzeniem).

Raport kryminalistyczny DMARC a raport zbiorczy (RUF a RUA)

Chociaż obie opcje są włączone w tym samym rekordzie, służą one różnym celom. RUA służy do spojrzenia z szerszej perspektywy, a RUF do szczegółowej analizy.

Jak włączyć raporty śledcze DMARC

Włączenie funkcji RUF to prosta procedura polegająca na szybkiej aktualizacji ustawień DNS.

1. Dostęp do DNS: Zaloguj się do konsoli zarządzania DNS.
2. Znajdź rekord DMARC: Znajdź rekord TXT o nazwie _dmarc.twojadomena.com.
3. Dodaj tag RUF: Wstaw tag ruf=mailto:[email protected].
4. Skonfiguruj tag FO: Zdefiniuj wyzwalacze raportowania (zobacz następną sekcję).
5. Zapisz i propaguj: Zapisz zmiany. Globalna propagacja zmian DNS może potrwać do 48 godzin.

Wskazówka: Przesyłanie raportów RUF do zwykłej skrzynki odbiorczej może być uciążliwe i stanowić zagrożenie dla bezpieczeństwa. Korzystanie z platformy takiej jak PowerDMARC pozwala na przeglądanie tych danych na przejrzystym pulpicie nawigacyjnym, bez zaśmiecania skrzynki pocztowej.

Omówienie tagu DMARC „fo” (opcje kryminalistyczne)

Tag „fo” jest podelementem rekordu DMARC, który informuje odbiorcę, kiedy ma zostać wygenerowany raport kryminalistyczny.

Większość specjalistów ds. bezpieczeństwa stosuje opcję fo=1, ponieważ zapewnia ona najwyższy poziom wglądu w wszelkie problemy związane z uwierzytelnianiem. Należy jednak pamiętać, że choć opcja fo=1 zapewnia najlepszą widoczność, niemal zawsze powinna być kierowana do dedykowanego narzędzia przetwarzającego (takiego jak PowerDMARC), a nie do skrzynki odbiorczej użytkownika, w przeciwnym razie ilość „szumu” stanie się niemożliwa do opanowania.

Dlaczego możesz nie otrzymywać raportów analitycznych DMARC

Jeśli włączyłeś funkcję RUF, ale Twoja skrzynka odbiorcza jest pusta, nie panikuj. Nie musi to oznaczać, że Twój rekord został pobity.

1. Ograniczenia dotyczące prywatności: Najwięksi dostawcy, tacy jak Gmail i Microsoft 365, zazwyczaj nie wysyłają raportów RUF, aby chronić prywatność swoich użytkowników.
2. Sukces przebiega w ciszy: Jeśli wszystkie Twoje wiadomości e-mail przechodzą uwierzytelnianie DMARC, nie ma żadnych błędów do zgłoszenia!
3. Obsługa przez odbiorcę: Nie wszystkie serwery pocztowe odbiorców są skonfigurowane do generowania raportów analitycznych.

Właśnie dlatego zbiorcze raporty RUA są uznawane za „wiarygodne źródło informacji” na temat ogólnego stanu domeny, podczas gdy RUF stanowi narzędzie uzupełniające służące do szczegółowych analiz.

Kwestie dotyczące prywatności i bezpieczeństwa

Ponieważ raporty RUF mogą zawierać temat i treść wiadomości e-mail, podlegają one rygorystycznym przepisom dotyczącym ochrony danych, takim jak RODO i CCPA. Jeśli osoba atakująca sfałszuje Twoją domenę w celu wysłania wiadomości phishingowej do osoby prywatnej, otrzymany przez Ciebie raport kryminalistyczny może zawierać dane osobowe tej osoby.

Najlepsze praktyki:

• Korzystaj z dedykowanej, bezpiecznej platformy do zgłaszania incydentów.
• Włącz szyfrowanie PGP: PowerDMARC oferuje szyfrowanie PGP, dzięki czemu tylko Ty, jako posiadacz klucza prywatnego, możesz przeglądać treść raportów RUF.
• Ogranicz dostęp do danych wyłącznie do głównego zespołu ds. bezpieczeństwa.

Jak korzystać z raportów RUF w celu wykrywania fałszowania adresów i usuwania usterek

Gdy zaczniesz otrzymywać dane kryminalistyczne, oto jak należy postąpić:

1. Wykrywanie fałszowania domen

Jeśli zauważysz raport kryminalistyczny pochodzący z nieznanego Ci adresu IP, a adres nadawcy to Twoja domena, prawdopodobnie wykryłeś próbę spoofingu. Możesz wykorzystać ten adres IP do aktualizacji list blokowanych adresów lub powiadomienia swojego centrum operacji bezpieczeństwa.

2. Naprawianie uzasadnionych błędów

Czasami nawet Twoje własne, prawidłowe wiadomości nie docierają do adresatów. Jeśli raport wskazuje na błąd w narzędziu, z którego korzystasz (np. Salesforce lub Mailchimp), sprawdź, czy przyczyną jest niepowodzenie weryfikacji DKIM, czy też adres IP po prostu nie został dodany do Twojego rekordu SPF.

3. Przebieg postępowania wyjaśniającego

1. Znajdź adres IP źródłowy w raporcie RUF.
2. Sprawdź: czy Twoja firma korzysta z tego narzędzia?
3. Podjęcie działań naprawczych: jeśli narzędzie jest autoryzowane, ale nie działa poprawnie, popraw zgodność SPF/DKIM. Jeśli nie jest autoryzowane, pozwól, aby Twoja polityka DMARC – niezależnie od tego, czy jest to p=quarantine, czy p=reject – zadziałała zgodnie z założeniami.

Podsumowanie

Spójrz na to w ten sposób: jeśli zbiorcze raporty RUA w ramach DMARC są jak miesięczne wyciągi bankowe, to raporty Forensic RUF są jak poszczególne potwierdzenia każdej podejrzanej transakcji. Nie są one idealne, głównie dlatego, że wielcy gracze, tacy jak Gmail, przedkładają prywatność użytkowników nad wysyłanie tych raportów, ale kiedy już je otrzymasz, są one na wagę złota przy rozwiązywaniu problemów.

Jeśli próbujesz ustalić, dlaczego dane narzędzie marketingowe działa nieprawidłowo, lub jeśli padłeś ofiarą ukierunkowanego ataku typu spoofing, raporty te dostarczają informacji o tym, „kto, co i gdzie” dzieje się w czasie rzeczywistym. Pamiętaj tylko, aby obchodzić się z tymi danymi w sposób odpowiedzialny, najlepiej korzystając z platformy, która zapewnia ich szyfrowanie, dzięki czemu nie będziesz przechowywać ogromnej ilości poufnych danych osobowych.

Chcesz przeglądać swoje dane analityczne bez zbędnych kłopotów? PowerDMARC ułatwia to, przekształcając surowe dane RUF w przejrzysty pulpit nawigacyjny, wyposażony w szyfrowanie PGP, które zapewnia bezpieczeństwo danych i zgodność z przepisami. Rozpocznij już dziś 15-dniowy bezpłatny okres próbny i uzyskaj pełny wgląd w swój ekosystem poczty elektronicznej.

Najczęściej zadawane pytania

Czym dokładnie jest raport kryminalistyczny DMARC?

To w zasadzie powiadomienie wysyłane w czasie rzeczywistym. Zamiast czekać na codzienne podsumowanie, raport kryminalistyczny jest generowany natychmiast po tym, jak pojedyncza wiadomość e-mail nie przejdzie kontroli DMARC. Jest on niezwykle szczegółowy i przeznaczony do dogłębnej analizy.

Czym różni się RUF od RUA?

RUA to codzienny przegląd sytuacji w ujęciu ogólnym; zawiera informacje o trendach i wolumenach w formacie XML. RUF to szczegółowy przegląd w ujęciu szczegółowym; jest wysyłany natychmiast, wykorzystuje format ARF i zawiera konkretne informacje dotyczące pojedynczej nieudanej wiadomości.

Jak właściwie włączyć te raporty?

Musisz edytować rekord DMARC w ustawieniach DNS. Wystarczy dodać tag ruf=mailto:[email protected]. Jeśli chcesz być naprawdę dokładny, dodaj tag fo=1, dzięki czemu otrzymasz raport w przypadku niepowodzenia weryfikacji SPF lub DKIM, zamiast czekać, aż obie te metody zawiodą.

Skonfigurowałem RUF, ale nic się nie dzieje. Czy to znaczy, że coś nie działa?

Prawdopodobnie nie. Najprawdopodobniej Twoje wiadomości e-mail bez problemu przechodzą proces uwierzytelniania (co jest dobrą wiadomością!). Pamiętaj też, że wielu dużych dostawców w ogóle nie wysyła raportów RUF, aby chronić prywatność swoich użytkowników. Jeśli otrzymujesz raporty RUA, Twój rekord prawdopodobnie działa prawidłowo.

Czy w tych raportach znajdują się dane osobowe?

Tak, i właśnie w tym tkwi problem. Raporty kryminalistyczne mogą zawierać temat wiadomości e-mail, adres odbiorcy, a czasem nawet fragment treści wiadomości. Dlatego warto korzystać z bezpiecznej platformy do zarządzania nimi, aby zachować zgodność z przepisami dotyczącymi ochrony danych, takimi jak RODO.

Do czego służy tag „fo”?

Skrót ten oznacza „Forensic Options” (opcje kryminalistyczne). Jest to po prostu zestaw instrukcji określających odbiorcy, kiedy dokładnie ma wygenerować raport – niezależnie od tego, czy chcesz otrzymać go tylko wtedy, gdy wszystko się nie powiedzie (fo=0), czy też chcesz otrzymać raport w momencie, gdy wystąpi jakakolwiek usterka w procesie uwierzytelniania (fo=1).

• O
• Latest Posts

Milena Baghdasaryan

Specjalista ds. treści w PowerDMARC

Milena jest wykwalifikowaną pisarką i twórczynią treści z ponad 7-letnim doświadczeniem w tworzeniu angażujących treści na temat IT, cyberbezpieczeństwa, wirtualnych wydarzeń i nie tylko. Ma udokumentowane doświadczenie w dostarczaniu wysokiej jakości prac dla międzynarodowych magazynów i jest absolwentką prestiżowych instytucji, takich jak New York University Abu Dhabi, UWC China i College of Europe.

Najnowsze posty autorstwa Milena Baghdasaryan (zobacz wszystkie)

• Recenzja Sendmarc: funkcje, wrażenia użytkowników, zalety i wady (2026) - 22 kwietnia 2026 r.
• Zgodność z normą FIPS: Jak wzmocnić zabezpieczenia infrastruktury przed terminem wyznaczonym na 2026 r. - 20 kwietnia 2026 r.
• Bezpieczeństwo w działaniach sprzedażowych: 5 sposobów, by Twój zespół sprzedaży nie wyglądał jak oszuści - 14 kwietnia 2026 r.