RUA kontra RUF: Kompletny przewodnik po raportowaniu DMARC

przez

Ostatnia aktualizacja:
7 czas czytania: 7 minut
RUA kontra RUF: Kompletny przewodnik po raportowaniu DMARC

Kluczowe wnioski

  • DMARC zapewnia wgląd w aktywność pocztową, pomagając chronić domeny przed podszywaniem się i phishingiem.
  • Raporty RUA dokumentują zbiorcze dane dotyczące niepowodzeń uwierzytelniania poczty e-mail, pomagając w identyfikacji nieuczciwych działań.
  • Raporty RUF oferują szczegóły na poziomie kryminalistycznym, które pomagają odkryć luki w systemie poczty e-mail.
  • Wdrożenie protokołu DMARC ma kluczowe znaczenie dla przekazania serwerom odbiorczym instrukcji dotyczących postępowania z wiadomościami e-mail, które nie przeszły kontroli uwierzytelniającej.
  • Właściwe raportowanie DMARC pomaga organizacjom spełniać wymogi zgodności i ograniczać zagrożenia dla bezpieczeństwa.
  • Dostosowywanie zasad uwierzytelniania poczty elektronicznej w oparciu o raporty RUA i RUF pozwala z czasem zwiększyć ogólny poziom bezpieczeństwa poczty elektronicznej.

Raporty DMARC pozwalają sprawdzić, co faktycznie dzieje się z Twoją pocztą elektroniczną. Bez nich wdrażasz zasady uwierzytelniania na ślepo.

Istnieją dwa rodzaje: raporty zbiorcze RUA, które dają codzienny przegląd ruchu e-mailowego w Twojej domenie, oraz raporty analityczne RUF, które uruchamiają się w czasie rzeczywistym, gdy poszczególne wiadomości e-mail nie przejdą uwierzytelnienia.

Znajomość różnicy między DMARC RUA a RUF, tego, co zawiera każdy z nich, oraz tego, kiedy należy ich używać, jest niezbędna dla każdego, kto dąży do pełnego wdrożenia DMARC.

Tagi DMARC i ich funkcje

Zanim zagłębimy się w raporty RUA i RUF, należy koniecznie zrozumieć, jak działają tagi DMARC w Twoim rekordzie DMARC.

Rekordy DMARC zawierają kilka kluczowych tagów, które regulują różne aspekty uwierzytelniania poczty elektronicznej i raportowania:

  • v=DMARC1: Określa wersję DMARC
  • p=: Ustawia zasady dla Twojej domeny (brak, kwarantanna lub odrzucenie)
  • rua=: Określa miejsce wysyłania raportów zbiorczych (RUA)
  • ruf=: Określa miejsce wysyłania raportów kryminalistycznych (RUF)
  • sp=: Ustawia zasady dla subdomen

Tagi RUA i RUF mają kluczowe znaczenie dla otrzymywania raportów, które pomagają monitorować i usprawniać proces konfiguracji uwierzytelniania poczty elektronicznej .

Czym są raporty DMARC RUA?

Raporty DMARC RUA, czyli raporty zbiorcze, stanowią podstawę każdego skutecznego wdrożenia protokołu DMARC. Są one generowane przez serwery pocztowe odbiorców i wysyłane na adres podany w tagu RUA w rekordzie DMARC, zazwyczaj raz na 24 godziny.

Co zawierają raporty RUA

Raporty RUA zawierają podsumowanie wszystkich wyników uwierzytelniania wiadomości e-mail dla danej domeny w okresie objętym raportem. Obejmują one:

  • Adresy IP wszystkich serwerów, które wysłały wiadomości e-mail przy użyciu Twojej domeny
  • Liczba wiadomości wysłanych z każdego adresu IP
  • Wyniki uwierzytelniania SPF i DKIM dla każdego źródła
  • Zastosowana polityka DMARC i wynik dla każdej grupy wiadomości
  • Wyniki dopasowania domen

Co najważniejsze, raporty RUA zawierają wszystkie te informacje bez ujawniania jakichkolwiek danych umożliwiających identyfikację osób ani poufnych informacji dotyczących samych wiadomości e-mail. Dzięki temu korzystanie z nich jest bezpieczne zarówno pod względem ochrony prywatności, jak i zgodności z przepisami.

Do czego służą raporty RUA

Przypadek użyciaW jaki sposób RUA pomaga
Identyfikacja wszystkich wiarygodnych nadawcówWyświetla wszystkie adresy IP wysyłające wiadomości e-mail z Twojej domeny
Wykrywanie nieautoryzowanych źródełZaznacz adresy IP, które nie figurują w rekordzie SPF lub konfiguracji DKIM
Monitorowanie wskaźników skuteczności uwierzytelnianiaPokazuje, jaki procent wiadomości przechodzi weryfikację SPF, DKIM i DMARC
Udoskonalenie zasad uwierzytelniania wiadomości e-mailZapewnia dane niezbędne do dostosowania konfiguracji SPF i DKIM
Kroki w kierunku egzekwowania przepisówPotwierdza, że wszystkie legalne źródła zostały zweryfikowane przed zaostrzeniem zasad

Monitorowanie raportów RUA ma kluczowe znaczenie dla bezpiecznego przejścia od polityki monitorowania p=none do aktywnego egzekwowania przy ustawienia ch p=quarantine lub p=reject. Bez tych danych zaostrzenie polityki DMARC grozi blokowaniem legalnych wiadomości e-mail.

Jak włączyć raportowanie RUA

Aby otrzymywać raporty zbiorcze, należy umieścić w rekordzie DMARC znacznik RUA wraz z prawidłowym adresem e-mail: v=DMARC1; p=none; rua=mailto:[email protected];

Można podać wiele adresów w postaci listy rozdzielonej przecinkami.

Można również zezwolić domenie zewnętrznej na otrzymywanie zbiorczych raportów, podając ją w tagu RUA, pod warunkiem że domena ta opublikowała rekord DNS udzielający takiego uprawnienia.

Oto dlaczego ponad 10 000 klientów ufa platformie PowerDMARC

  • Znaczne ograniczenie liczby prób spoofingu i nieautoryzowanych wiadomości e-mail dzięki analizom zagrożeń opartym na sztucznej inteligencji
  • Szybsze wdrażanie nowych pracowników + zautomatyzowane zarządzanie uwierzytelnianiem, które pozwala zespołom IT zaoszczędzić wiele godzin
  • Informacje o zagrożeniach w czasie rzeczywistym oraz raporty szyfrowane algorytmem PGP w różnych domenach
  • Wyższy wskaźnik dostarczalności wiadomości e-mail dzięki rygorystycznemu stosowaniu standardu DMARC pod okiem ekspertów

Pierwsze 15 dni za darmo

Rozpocznij bezpłatny okres próbny

Czym są raporty DMARC RUF?

Raporty DMARC RUF, zwane również raportami analitycznymi, są generowane i wysyłane natychmiast po tym, jak dana wiadomość e-mail nie przejdzie uwierzytelnienia DMARC. W przeciwieństwie do raportów RUA, które zawierają zbiorcze podsumowanie ruchu, raporty RUF dostarczają szczegółowych informacji na temat każdego konkretnego przypadku niepowodzenia.

Co zawierają raporty RUF

Raporty RUF mogą zawierać:

  • Pełne nagłówki wiadomości e-mail
  • Temat wiadomości, której wysłanie nie powiodło się
  • Adresy URL zawarte w treści wiadomości
  • Informacje o załączniku
  • Przesyłanie adresu IP i przyczyny niepowodzenia uwierzytelnienia
  • Treści, które mogą zawierać dane wrażliwe, pochodzące z treści samej wiadomości

Taki poziom szczegółowości sprawia, że raporty RUF są niezwykle przydatne w dochodzeniach kryminalistycznych, ale wiąże się to również z istotnymi kwestiami dotyczącymi prywatności.

Kiedy raporty RUF są przydatne

Raporty RUF najlepiej sprawdzają się w następujących sytuacjach:

  • Wykrywanie i usuwanie konkretnych błędów uwierzytelniania, które trudno zdiagnozować na podstawie samych danych zbiorczych
  • Badanie aktywnych ataków phishingowych lub spoofingowych z wykorzystaniem Twojej domeny
  • Wykrywanie nieautoryzowanych adresów IP wysyłających fałszywe wiadomości pod Twoją nazwą domeny

Problem z ochroną prywatności w przypadku RUF

Ponieważ raporty RUF mogą zawierać dane umożliwiające identyfikację osób oraz poufne informacje pochodzące z prawdziwych wiadomości e-mail, wiele organizacji w ogóle nie zamawia tych raportów.

Przepisy dotyczące ochrony danych osobowych obowiązujące w różnych jurysdykcjach mogą ograniczać gromadzenie i przechowywanie tych danych, a najwięksi dostawcy usług poczty elektronicznej w różnym stopniu obsługują wysyłanie raportów kryminalistycznych.

Dla większości organizacji zbiorcze raporty RUA dostarczają wystarczających danych do skutecznego wdrożenia protokołu DMARC bez ryzyka związanego z naruszeniem prywatności i nieprzestrzeganiem przepisów, jakie niesie ze sobą RUF.

Uprość raporty RUA i RUF

 

 

Nie potrzebujesz karty kredytowej. Uzyskaj przydatne informacje dotyczące DMARC w ciągu kilku minut.

DMARC RUA a RUF: główne różnice

Oto bezpośrednie porównanie obu typów raportów pod kątem czynników, które mają największe znaczenie dla wdrożenia protokołu DMARC.

RUA (łączna)RUF (kryminalistyczne)
CzęstotliwośćCodziennieW czasie rzeczywistym, dla każdej awarii
TreśćZestawione statystyki dotyczące całego ruchu pocztowegoSzczegółowe dane dotyczące poszczególnych nieudanych wiadomości
Dane wrażliweBrak danych umożliwiających identyfikację osobyMoże zawierać poufne informacje, w tym nagłówki, tematy wiadomości i adresy URL
Zagrożenie dla prywatnościNiskiHigh
Wsparcie dla dostawcówCieszy się szerokim poparciemNie jest obsługiwane przez wszystkich głównych dostawców
Główne zastosowanieMonitorowanie, udoskonalanie polityki, planowanie działań egzekucyjnychWykrywanie i usuwanie konkretnych usterek, analiza przyczyn awarii
Wymagane dla DMARCNie, ale zdecydowanie zalecaneNie, a dla większości organizacji jest to opcjonalne
format XMLTakTak

Które z nich wybrać?

Dla większości organizacji zbiorcze raporty RUA stanowią odpowiedni punkt wyjścia i podstawowe narzędzie w całym procesie wdrażania protokołu DMARC. Zawierają one wszystkie informacje niezbędne do identyfikacji źródeł wysyłających, śledzenia wyników uwierzytelniania oraz bezpiecznego przejścia do etapu egzekwowania.

Raporty kryminalistyczne RUF są dostosowane do konkretnych sytuacji. Jeśli Twoja organizacja ma specyficzne potrzeby w zakresie analizy kryminalistycznej, takie jak aktywne badanie kampanii spoofingowej lub usuwanie przyczyn powtarzających się błędów uwierzytelniania, których nie widać w danych zbiorczych, RUF stanowi wartość dodaną.

W przeciwnym razie obawy dotyczące prywatności oraz ograniczone wsparcie ze strony dostawców sprawiają, że RUF jest raczej opcjonalnym dodatkiem, a nie podstawowym wymogiem.

Warto przeczytać: Jak czytać raporty DMARC (agregowane vs. kryminalistyczne)

Jak skonfigurować raportowanie DMARC

Konfiguracja raportowania DMARC to jedna z pierwszych czynności, które należy wykonać podczas wdrażania protokołu DMARC. Bez tagów raportowania w rekordzie działasz na ślepo. Oto jak zrobić to dobrze od samego początku.

Konfiguracja rekordu DMARC z tagami raportowania

Rekord DMARC zawierający zarówno znaczniki RUA, jak i RUF wygląda następująco:

v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected];

TagCelCzy to konieczne?
rua=Określa miejsce, do którego wysyłane są raporty zbiorczeZalecane
ruf=Określa miejsce, do którego wysyłane są raporty kryminalistyczneOpcjonalnie

Oba tagi obsługują listę adresów rozdzielonych przecinkami, dzięki czemu w razie potrzeby można kierować raporty do wielu skrzynek pocztowych.

Można również zezwolić domenie zewnętrznej na otrzymywanie zbiorczych raportów, określając ją w tagu RUA, pod warunkiem że ta domena zewnętrzna opublikowała rekord DNS udzielający takiego uprawnienia.

Wykorzystanie raportów DMARC do egzekwowania zasad

Wdrożenie protokołu DMARC to proces iteracyjny, a zbiorcze raporty RUA pozwalają na przejście przez każdy etap polityki bez zakłócania dostarczania prawidłowych wiadomości e-mail.

Celem jest osiągnięcie stanu p=odrzucenie, a wasze raporty stanowią plan działania.

Proces egzekwowania prawa

ScenaPolitykaCo zrobić z raportami
Monitorowaniep=brakZidentyfikuj wszystkie źródła wysyłające i sprawdź, czy dla każdego z nich testy SPF i DKIM zakończyły się powodzeniem
Łagodne egzekwowanie przepisówp=kwarantannaZanim przejdziesz dalej, upewnij się, że żadne z legalnych źródeł nie zawodzi
Pełne egzekwowaniep=odrzućUpewnij się, że blokowani są wyłącznie nieautoryzowani nadawcy

Gdy raporty RUA będą konsekwentnie wskazywać, że wszystkie legalne źródła przechodzą proces uwierzytelniania, zmiana polityki DMARC z p=none na p=quarantine, a następnie na p=reject stanie się decyzją opartą na danych, a nie aktem wiary.

Pomijanie lub pośpieszne przeprowadzanie etapu monitorowania to najczęstszy powód, dla którego organizacje przypadkowo blokują własną pocztę elektroniczną podczas zaostrzania zasad. Wasze raporty zbiorcze służą właśnie temu, by temu zapobiec.

Na co należy zwrócić uwagę w raportach przed podjęciem działań egzekucyjnych

  • Wszystkie znane źródła wysyłające są widoczne i przechodzą uwierzytelnianie SPF oraz DKIM
  • Żadne prawidłowe adresy IP nie są wykrywane jako nieautoryzowane
  • Wskaźniki niepowodzeń uwierzytelniania są niskie i wynikają ze znanych problemów
  • Żadni nieoczekiwani nadawcy z zewnątrz nie korzystają z Twojej domeny

Analizator DMARC firmy PowerDMARC Analizator DMARC wszystko to w jednym miejscu, co ułatwia śledzenie postępów w zakresie egzekwowania zasad w całej infrastrukturze poczty elektronicznej.

Ponadto narzędzie PowerDMARC do analizator raportów DMARC zapewnia głębszy wgląd w dane uwierzytelniające. Przekształca raporty zbiorcze i kryminalistyczne w przejrzyste, przydatne informacje. Dzięki temu zawsze dokładnie wiesz, jak wygląda sytuacja Twoich domen.

Dla organizacji zarządzających uwierzytelnianiem poczty elektronicznej w wielu domenach, hostowany DMARC centralizuje zarządzanie raportami i kontrolę zasad, dzięki czemu nic nie umknie uwadze.

Zrozum swoje raporty DMARC dzięki PowerDMARC

Raporty DMARC RUA i RUF mają wartość tylko wtedy, gdy potrafisz je właściwie zinterpretować. Nieprzetworzone pliki XML są trudne do odczytania, łatwo je błędnie zinterpretować i same w sobie nie wskazują jasnego kierunku dalszych działań.

PowerDMARC przekształca dane z raportów zbiorczych i analitycznych w przejrzyste, praktyczne pulpity nawigacyjne. Dzięki nim dokładnie widać, kto wysyła wiadomości e-mail w Twoim imieniu, które wiadomości przechodzą kontrolę, a które nie, oraz co należy zmienić, zanim będzie można bezpiecznie przystąpić do egzekwowania zasad.

Od pierwszego wpisu „p=none” aż po pełne wdrożenie reguły „p=reject” — PowerDMARC zapewnia Ci wgląd w sytuację oraz narzędzia, dzięki którym osiągniesz ten cel bez zbędnego zgadywania.

„Dzięki PowerDMARC sporządzanie raportów DMARC stało się dla naszego zespołu IT dziecinnie proste. Uzyskane informacje są przejrzyste i pozwalają na podjęcie konkretnych działań”. – Dyrektor ds. informatyki, duża sieć handlowa

Zacznij korzystać z PowerDMARC już dziś.

Najczęściej zadawane pytania

1. Jaka jest różnica między RUA a RUF w protokole DMARC?

Raporty RUA zawierają zbiorcze dane dotyczące wyników uwierzytelniania wiadomości e-mail wysyłanych codziennie, natomiast raporty RUF zawierają szczegółowe informacje dotyczące poszczególnych wiadomości e-mail, których wysłanie nie powiodło się, dostarczane w czasie rzeczywistym. Raporty RUA służą do monitorowania trendów, natomiast raporty RUF służą do badania konkretnych zagrożeń.

2. Czym jest znacznik RUA w rekordzie DMARC?

Tag RUA określa adres e-mail, na który należy wysyłać zbiorcze raporty. Ma on format „rua=mailto:[email protected]” i wskazuje serwerom pocztowym, gdzie mają wysyłać codzienne raporty podsumowujące wyniki uwierzytelniania DMARC.

3. Czy tag RUA jest niezbędny do prawidłowego działania protokołu DMARC?

Nie, tag RUA nie jest wymagany do korzystania z podstawowych funkcji DMARC. Jest on jednak zdecydowanie zalecany, ponieważ bez niego nie będziesz otrzymywać raportów dotyczących skuteczności uwierzytelniania wiadomości e-mail, co utrudni monitorowanie i ulepszanie wdrożenia DMARC.

4. Jak często wysyłane są raporty RUA i RUF?

Raporty RUA są zazwyczaj wysyłane codziennie przez serwery odbierające pocztę i zawierają zbiorcze dane z ostatnich 24 godzin. Raporty RUF są wysyłane natychmiast po wystąpieniu błędu uwierzytelnienia, dostarczając w czasie rzeczywistym informacje analityczne dotyczące poszczególnych wiadomości e-mail, których wysłanie nie powiodło się.

5. Czy mogę otrzymać zarówno raport RUA, jak i RUF dla tej samej domeny?

Tak, w rekordzie DMARC można skonfigurować zarówno raportowanie RUA, jak i RUF. Wiele organizacji korzysta z obu tych rodzajów: raportów RUA do bieżącego monitorowania i analizy trendów oraz raportów RUF do szczegółowego badania konkretnych niepowodzeń uwierzytelniania lub incydentów związanych z bezpieczeństwem.