Jak czytać raporty DMARC?

jak czytać raporty dmarc

Co to jest raport DMARC?

Zanim przejdziemy do tego, jak czytać raporty DMARC, najpierw dowiedzmy się, czym jest raport DMARC. Domain-based Message Authentication Reporting and Conformance (DMARC) nie tylko chroni Twoją domenę przed BEC, podszywaniem się pod domenę i atakami email fraud, ale również zapewnia Ci wgląd w Twoje kanały email, dzięki czemu zawsze jesteś świadomy tego, co dzieje się w tle.

DMARC udostępnia mechanizm raportowania w postaci raportów DMARC, który umożliwia właścicielom domen zapoznanie się z wynikami uwierzytelniania dla każdej wiadomości e-mail wysyłanej w imieniu ich domeny. Pomaga to śledzić problemy z dostarczalnością, podejmować działania przeciwko złośliwym źródłom wysyłania oraz szybko rozwiązywać błędy w implementacji protokołu. 

Dlaczego potrzebujesz raportów DMARC?

Zanim przejdziemy do tego, jak czytać raporty DMARC, zrozummy, dlaczego w ogóle jest on potrzebny. Pomimo działania mechanizmów SPF i DKIM istnieje pewne prawdopodobieństwo, że oryginalne wiadomości zostaną poprawnie przetworzone, a tożsamość nadawcy zostanie niezauważona. Często też zgłoszenia odbiorców o awariach nie docierają do nadawcy. Ogólnie rzecz biorąc, usługi te są stale rozwijane i ulepszane.

DMARC działa jako program uwierzytelniania emaili, który zapewnia, że Twoja komunikacja emailowa jest uwierzytelniana przez SPF lub DKIM. Zapewnia to, że Twoje e-maile mogą być zaufane i pomaga wyeliminować szanse na spoofing poprzez umożliwienie odbiorcy sprawdzenia poprawności nagłówków jeszcze przed otwarciem poczty. W celu zapewnienia bezpieczeństwa Twoich danych, potrzebujesz wysoce niezawodnych i solidnych zabezpieczeń poczty elektronicznej. DMARC jest jednym z takich standardów, który sprawdza integralność Twoich adresów i pomaga zapobiegać atakom phishingowym, jednocześnie poprawiając wskaźniki dostarczalności Twoich emaili.

Kiedy publikujesz rekord DMARC w swoim DNS, pozwala Ci to określić, jak Twoja domena powinna zareagować, gdy otrzymany e-mail nie przejdzie uwierzytelnienia DKIM i SPF. Z prawidłowo skonfigurowanym rekordem DMARC, dostawcy skrzynek pocztowych będą wysyłać raporty bezpośrednio na Twój adres email, HTTP lub HTTPS, pozwalając Ci monitorować dostarczanie emaili wysyłanych z Twojej domeny. Dzięki skonfigurowaniu raportów DMARC będziesz w stanie uzyskać wiele cennych informacji na temat ruchu poczty wychodzącej. Informacje te mogą być wykorzystane do uwierzytelniania prawdziwych źródeł i blokowania nielegalnych.

Teraz zajmiemy się tym, jak czytać surowe raporty DMARC, i jak można uczynić je czytelnymi dla człowieka, aby ułatwić ich zrozumienie.

Jak czytać raporty DMARC: Czytanie surowych raportów DMARC

Twoje raporty DMARC, zwane również raportami surowymi, dostarczają istotnych danych na temat aktywności poczty elektronicznej w Twojej domenie, które są niezbędne, aby pomóc Ci chronić Cię przed przyszłymi atakami phishingowymi. Są one dostępne w formacie XML i są zazwyczaj wysyłane pocztą elektroniczną z tematem "Raport DMARC". Istnieją zasadniczo dwa rodzaje raportów:

  • Raport zbiorczy DMARC (RUA)
  • Raport DMARC Forensic (RUF)

Możesz odwiedzić bazę wiedzy PoweDMARC, aby dowiedzieć się więcej o każdym z nich i jak łatwo skonfigurować je dla swojej domeny.

Czytanie raportów DMARC RUA może być trochę kłopotliwe dla osoby nietechnicznej, oto przykład surowego raportu:

<?xml version=”1.0″ encoding=”UTF-8″ ?>

<feedback>

  <report_metadata>

    <org_name>google.com</org_name>

    <email>[email protected]</email>

   <extra_contact_info>http://google.com/dmarc/support</extra_contact_info>

    <report_id>8293631894893125362</report_id>

    <date_range>

      <begin>1234573120</begin>

      <end>1234453590</end>

    </date_range>

  </report_metadata>

  <policy_published>

    <domain>yourdomain.com</domain>

    <adkim>r</adkim>

    <aspf>r</aspf>

    <p>none</p>

    <sp>none</sp>

    <pct>100</pct>

  </policy_published>

  <record>

    <row>

      <source_ip>302.0.214.308</source_ip>

      <count>2</count>

      <policy_evaluated>

        <disposition>none</disposition>

        <dkim>fail</dkim>

        <spf>pass</spf>

      </policy_evaluated>

    </row>

    <identifiers>

      <header_from>yourdomain.com</header_from>

    </identifiers>

    <auth_results>

      <dkim>

        <domain>yourdomain.com</domain>

        <result>fail</result>

        <human_result></human_result>

      </dkim>

      <spf>

        <domain>yourdomain.com</domain>

        <result>pass</result>

      </spf>

    </auth_results>

  </record>

</feedback>

Rozbicie raportu DMARC Raw

Prześledźmy poszczególne sekcje raportu, aby pomóc Ci zrozumieć jak czytać raporty DMARC, co one oznaczają i jak je czytać. W pliku raw dla Twoich raportów, możesz znaleźć informacje o:

  •  Twój ISP, nazwa dostawcy usług poczty elektronicznej

<?xml version=”1.0″ encoding=”UTF-8″ ?>

<feedback>

  <report_metadata>

    <org_name>google.com</org_name>

    <email>[email protected]</email>

   <extra_contact_info>http://google.com/dmarc/support</extra_contact_info>

  •  Numer identyfikacyjny raportu

 <report_id>8293631894893125362</report_id>

  • Zakres daty początkowej i końcowej (w sekundach)

<date_range>

      <begin>1234573120</begin>

      <end>1234453590</end>

    </date_range>

  • Specyfikacja Twojego rekordu DMARC opublikowana w DNS Twojej domeny

 <policy_published>

    <domain>yourdomain.com</domain>

    <adkim>r</adkim>

    <aspf>r</aspf>

    <p>none</p>

    <sp>none</sp>

    <pct>100</pct>

  </policy_published>

  • Adres IP źródła wysyłania

<source_ip>302.0.214.308</source_ip>

  • Przegląd wyników uwierzytelniania (podsumowanie wyników SPF i DKIM pass/fail)

  <policy_evaluated>

        <disposition>none</disposition>

        <dkim>fail</dkim>

        <spf>pass</spf>

      </policy_evaluated>

  • Od: domena

 <header_from>yourdomain.com</header_from>

  • Wyniki uwierzytelniania DKIM

<dkim>

        <domain>yourdomain.com</domain>

        <result>fail</result>

        <human_result></human_result>

      </dkim>

  • Wyniki uwierzytelniania SPF

<spf>

        <domain>yourdomain.com</domain>

        <result>pass</result>

      </spf>

Raporty DMARC PowerDMARC odczytywane przez człowieka

Jak już zapewne zrozumiałeś, podczas gdy raporty DMARC są niezwykle ważne dla monitorowania przepływu emaili w Twojej organizacji i przeglądania wyników uwierzytelniania, nie są one zbyt przyjemne dla oczu. Z raportami DMARC zalewającymi twoje skrzynki odbiorcze każdego dnia, nie chciałbyś się męczyć z ich przeglądaniem i analizowaniem linijka po linijce, wyszukując użytecznych informacji. Tutaj porozmawiamy o tym, jak można łatwiej czytać raporty DMARC za pomocą PowerDMARC.

Dlatego PowerDMARC pomaga Ci łatwo przeglądać raporty DMARC Aggregate RUA w zorganizowanym formacie tabelarycznym, przetwarzając dane i segregując informacje na kategorie z możliwością filtrowania danych według adresów IP, organizacji, źródeł wysyłania i określonych statystyk.

Zalety konfigurowania raportów DMARC w PowerDMARC : 

  • Na pulpicie nawigacyjnym można przeglądać raporty DMARC RUA w 7 różnych formatach przeglądania, aby wyświetlić wyniki: dla organizacji, dla wyniku, dla źródła wysyłającego, dla hosta, dla kraju, według geolokalizacji i wyodrębnić szczegółowe statystyki.
  • Wpisz domenę(y) do wyboru, aby filtrować wyniki dla tej konkretnej domeny tylko w pasku wyszukiwania
  • Wybierz określony zakres dat, aby filtrować wyniki dla tej osi czasu
  • Jasny schemat kolorów i interaktywny pulpit nawigacyjny, który pomaga zrozumieć wyniki uwierzytelniania zarówno na pierwszy rzut oka, gdy się spieszysz, jak i bardzo szczegółowo.

Zarejestruj się już dziś, aby otrzymać darmowy analizator DMARC!

/przez