Отчет DMARC Forensic (RUF): что это такое, как он работает и как его включить

Настройка записи DMARC — это огромный шаг вперед в обеспечении безопасности вашей электронной почты, но настоящая магия происходит тогда, когда вы действительно замыкаете цикл обратной связи. Подумайте об этом так: когда вы публикуете эту запись, вы не просто даете инструкции остальному интернету о том, как обрабатывать вашу почту; вы просите каждый сервер в мире отправлять вам отчеты.

Большинство людей ограничиваются ежедневными сводными отчётами, которые отлично подходят для обзора общей картины, но если знать, где искать, можно получить гораздо более подробную информацию. Именно здесь на помощь приходят отчёты DMARC Forensic Reports (RUF). В этом руководстве мы подробно разберем, что такое отчеты RUF, чем они отличаются от стандартных данных и как их можно использовать для поиска «неопровержимых доказательств» в случае пропажи ваших писем.

Что такое отчет о расследовании DMARC?

Отчет о диагностике DMARC (также называемый отчетом об ошибке) — это подробное оповещение в режиме реального времени, отправляемое принимающими почтовыми серверами в случае, если сообщение не прошло аутентификацию DMARC. Он содержит подробную диагностическую информацию по каждому сообщению, провалившему аутентификацию, включая результаты аутентификации, источник отправки и заголовки сообщения, что позволяет владельцу домена расследовать возможные попытки подделки и устранять неполадки, связанные с аутентификацией электронной почты.

Если сводный отчет представляет собой обзор всех, кто пытался войти в здание, то отчет экспертизы — это запись с камеры видеонаблюдения в высоком разрешении, на которой запечатлен единственный человек, пытавшийся взломать замок. В нём приводятся все мельчайшие подробности о том, почему именно это сообщение было отмечено как подозрительное.

• Кто отправляет это письмо? Обычно подозрительное письмо перехватывает почтовый сервер-получатель (например, корпоративный шлюз).
• Куда попадает это письмо? Оно отправляется прямо на тот адрес электронной почты, который вы указали в теге ruf= вашей записи DMARC.
• Какова общая картина? В отличие от громоздких агрегированных XML-файлов, здесь используется формат AFRF (Authentication Failure Reporting Format). Он гораздо более «удобен для чтения» и содержит достаточно подробную информацию, чтобы помочь вам действительно решить проблему.

Что включает в себя отчет по результатам экспертизы DMARC?

Поскольку отчеты RUF DMARC предназначены для углубленного анализа и устранения неполадок, они содержат конкретные метаданные о сообщении, доставка которого завершилась сбоем, которых нет в сводных отчетах.

Типичный отчет RUF содержит:

• IP-адрес отправителя: точный IP-адрес, с которого была предпринята попытка отправки письма.
• Адреса «From» и «Return-Path»: поле «Header From» и адрес отправителя конверта.
• Тема письма: Фактическая тема письма, отправка которого завершилась неудачей.
• Результаты аутентификации: подробная информация о причинах сбоя SPF или DKIM, а также о том, была ли обеспечена совместимость с DMARC.
• Заголовки письма: полный набор заголовков сообщения.

Настройка записи DMARC — это огромный шаг вперед в обеспечении безопасности вашей электронной почты, но настоящая магия происходит тогда, когда вы действительно замыкаете цикл обратной связи. Подумайте об этом так: когда вы публикуете эту запись, вы не просто даете инструкции остальному интернету о том, как обрабатывать вашу почту; вы просите каждый сервер в мире отправлять вам отчеты.

Большинство людей ограничиваются ежедневными сводными отчётами, которые отлично подходят для обзора общей картины, но если знать, где искать, можно получить гораздо более подробную аналитическую информацию. Именно здесь на помощь приходят в игру вступают отчеты DMARC Forensic Reports (RUF) . В этом руководстве мы подробно расскажем, что такое отчеты RUF, чем они отличаются от стандартных данных и как их можно использовать для поиска «неопровержимых доказательств», когда ваши электронные письма пропадают.

Что такое отчет о расследовании DMARC?

A Отчет DMARC Forensic (также называемый отчетом об ошибке) — это подробное оповещение в режиме реального времени, отправляемое принимающими почтовыми серверами, когда сообщение не проходит аутентификацию DMARC. Он содержит подробную диагностику отдельных сообщений, не прошедших аутентификацию, такую как результаты аутентификации, источник отправки и заголовки сообщений, чтобы владелец домена мог расследовать потенциальные попытки подделки и устранять проблемы с аутентификацией электронной почты. 

Если сводный отчет представляет собой обзор всех, кто пытался войти в здание, то отчет экспертизы — это запись с камеры видеонаблюдения в высоком разрешении, на которой запечатлен единственный человек, пытавшийся взломать замок. В нём приводятся все мельчайшие подробности о том, почему именно это сообщение было отмечено как подозрительное.

• Кто его отправляет? Обычно подозрительное письмо перехватывает почтовый сервер-получатель (например, корпоративный шлюз).
• Куда оно попадает? Оно отправляется прямо на тот адрес электронной почты, который вы указали в тег ruf= вашей записи DMARC.
• Какая здесь атмосфера? В отличие от тех громоздких агрегированных XML-файлов, здесь используются AFRF (формат отчетов об ошибках аутентификации). Он гораздо более «читаем» и содержит достаточно подробностей, чтобы помочь вам действительно решить проблему.

Что включает в себя отчет по результатам экспертизы DMARC?

Поскольку отчеты RUF DMARC предназначены для углубленного анализа и устранения неполадок, они содержат конкретные метаданные о сообщении, доставка которого завершилась сбоем, которых нет в сводных отчетах.

Типичный отчет RUF содержит:

• IP-адрес отправителя: Точный IP-адрес, с которого была предпринята попытка отправки письма.
• Адреса «От» и «Return-Path»: «Header From» и отправитель конверта.
• Тема письма: Фактическая тема не доставленного письма.
• Результаты аутентификации: Подробная информация о том, почему SPF или DKIM не прошли проверку и была ли достигнута согласованность DMARC.
• Заголовки письма: Полные заголовки ответа сообщения.
• Личная информация (PII): Поскольку эти отчеты могут содержать темы писем и адреса получателей, они часто содержат PII.

Примечание о конфиденциальности: В связи с наличием персональных данных многие крупные почтовые провайдеры отказались от отправки отчетов RUF, чтобы защитить конфиденциальность пользователей. В PowerDMARC мы решаем эту проблему, поддерживая шифрование PGP для отчетов RUF, гарантируя, что конфиденциальные данные остаются зашифрованными и доступными только вам.

Некоторые приемники, которые отправляют отправляют отчеты RUF, будут замаскируют (замаскируют) конфиденциальные части текста письма или строки темы перед отправкой вам в целях соблюдения законов о конфиденциальности. Именно поэтому некоторые отчеты о криминалистической экспертизе выглядят «пустыми» или содержат [УДАЛЕНО] .

Пример отчета о расследовании DMARC

Чтобы по-настоящему понять, что происходит «под капотом», нужно изучить исходные данные. Когда отправка письма завершается неудачей, система получателя генерирует отчет в формате AFRF. Он выглядит довольно техническим, но на самом деле его довольно легко понять, если знать, на что обратить внимание.

Тип сообщения: auth-failure

User-Agent: PowerDMARC-Reporter/1.0

Версия: 1.0

Original-Mail-From: [email protected]

Дата прибытия: вт, 31 марта 2026 г., 10:00:00 +0000

Message-ID: <[email protected]>

Результаты проверки подлинности: dkim=неудача; spf=неудача

Источник IP: 192.0.2.1

Зарегистрированный домен: yourdomain.com

Что это означает:

• Тип ошибки: Это подтверждает, что произошла ошибка аутентификации.
• Original-Mail-From: Конкретный адрес, с которого была предпринята попытка отправки письма.
• Результаты аутентификации: «неопровержимое доказательство». В данном случае проверки SPF и DKIM завершились неудачей, что и стало причиной сгенерирования отчета.
• IP-адрес отправителя: это точный адрес сервера, с которого было отправлено письмо. Если вы не узнаете этот IP-адрес, возможно, кто-то пытается выдать себя за вас.

Как выглядит запись в вашей системе DNS

Чтобы получить эти отчеты, ваша запись DMARC должна выглядеть примерно так:

v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1;

Примечание: если вы отправляете отчеты на домен, отличный от вашего собственного, на этом домене должна быть записана запись DNS, разрешающая получение ваших отчетов.

Разбор тегов:

• v=DMARC1: Просто стандартный тег версии, чтобы сеть знала, какой протокол вы используете.
• p=none: Это «режим мониторинга». Вы даете серверам указание: «Пока пропускайте почту, но сообщите мне, если что-то пойдет не так».
• rua=: Это ваш почтовый ящик для общих ежедневных сводных отчетов.
• ruf=: Это специальный «криминалистический» тег, который указывает серверам, куда отправлять подробные оповещения о сбоях в режиме реального времени.
• fo=1: Это важный параметр. Он указывает серверу отправлять отчет в случае сбоя проверки SPF или DKIM. (Если не указать этот параметр, некоторые серверы могут отправлять отчет только в случае сбоя обеих проверок).

Отчет по результатам анализа DMARC и сводный отчет (RUF и RUA)

Хотя обе функции включены в одной и той же записи, они служат разным целям. RUA предназначена для общего обзора, а RUF — для детального изучения.

Как включить отчеты DMARC Forensic

Включение RUF — это простой процесс, требующий быстрого обновления настроек DNS.

1. Доступ к DNS: Войдите в консоль управления DNS.
2. Найдите запись DMARC: Найдите запись TXT по адресу _dmarc.yourdomain.com.
3. Добавьте тег RUF: Вставьте тег ruf=mailto:[email protected].
4. Настройте тег FO: Определите триггеры отправки отчетов (см. следующий раздел).
5. Сохраните и распространите изменения : Сохраните изменения. Распространение изменений в DNS по всему миру может занять до 48 часов.

Совет от эксперта: отправка отчетов RUF в стандартный почтовый ящик может быть обременительной и создавать угрозу безопасности. Использование такой платформы, как PowerDMARC, позволяет визуализировать эти данные на удобной панели инструментов, не перегружая почтовый ящик.

Понимание тега DMARC «fo» (параметры для криминалистической экспертизы)

Тег «fo» является подкомпонентом записи DMARC, который указывает получателю, когда необходимо сгенерировать отчет для экспертизы.

Большинство специалистов по безопасности используют параметр fo=1, поскольку он обеспечивает максимальную наглядность любых сбоев в процессе аутентификации. Однако следует иметь в виду, что, хотя fo=1 и обеспечивает наилучшую наглядность, его почти всегда следует направлять в специальный инструмент обработки (такой как PowerDMARC), а не в почтовый ящик человека, иначе «шум» станет неуправляемым.

Почему вы, возможно, не получаете отчеты по анализу DMARC

Если вы включили RUF, но ваш почтовый ящик пуст, не паникуйте. Это не обязательно означает, что ваша запись повреждена.

1. Ограничения, связанные с конфиденциальностью: крупные провайдеры, такие как Gmail и Microsoft 365, как правило, не отправляют отчеты RUF, чтобы защитить конфиденциальность своих пользователей.
2. Успех не дает о себе знать: если все ваши письма проходят аутентификацию DMARC, то и отчетов о сбоях не будет!
3. Поддержка со стороны получателя: не все почтовые серверы-получатели настроены на создание отчетов для анализа.

Именно поэтому сводные отчеты RUA считаются «основополагающим источником информации» о общем состоянии домена, тогда как RUF является вспомогательным инструментом для проведения конкретных расследований.

Вопросы конфиденциальности и безопасности

Поскольку отчеты RUF могут содержать тему и текст письма, на них распространяются строгие нормы по защите персональных данных, такие как GDPR и CCPA. Если злоумышленник подделает ваш домен для отправки фишингового письма частному лицу, полученный вами отчет о расследовании может содержать личные данные этого лица.

Передовой опыт:

• Используйте специальную защищенную платформу для подачи отчетов.
• Включить шифрование PGP: PowerDMARC предлагает шифрование PGP, благодаря чему только вы, как владелец закрытого ключа, сможете просматривать содержимое отчетов RUF.
• Ограничьте доступ к данным только вашей основной группой по безопасности.

Как использовать отчеты RUF для выявления подделки адресов и устранения сбоев

Как только вы начнете получать данные судебной экспертизы, действуйте следующим образом:

1. Обнаружение подделки доменных имен

Если вы обнаружили отчет о расследовании, отправленный с незнакомого IP-адреса, а в поле «От» указан ваш домен, скорее всего, вы зафиксировали попытку подделки. Вы можете использовать этот IP-адрес для обновления списков блокировки или уведомить об этом свой центр обеспечения безопасности.

2. Устранение обоснованных сбоев

Иногда даже ваши собственные легитимные письма не доходят до адресата. Если в отчете указана ошибка, связанная с используемым вами инструментом (например, Salesforce или Mailchimp), проверьте отчет, чтобы выяснить, произошел ли сбой DKIM или просто IP-адрес не был добавлен в вашу запись SPF.

3. Процесс расследования

1. Определите IP-адрес источника в отчете RUF.
2. Проверьте: используется ли этот инструмент в вашей компании?
3. Примите меры: если использование разрешено, но проверка не прошла, исправьте настройки SPF/DKIM. Если использование не разрешено, позвольте вашей политике DMARC, будь то p=quarantine или p=reject, выполнить свою работу.

Итоги

Посмотрите на это с другой стороны: если сводные отчеты DMARC RUA — это ваша ежемесячная выписка из банка, то отчеты Forensic RUF — это отдельные квитанции по каждой подозрительной транзакции. Они не идеальны, в основном потому, что крупные игроки, такие как Gmail, ставят конфиденциальность пользователей выше, чем рассылку этих отчетов, но когда вы их получаете, они становятся настоящим сокровищем для устранения неполадок.

Если вы пытаетесь выяснить, почему тот или иной маркетинговый инструмент работает некорректно, или если вы подверглись целенаправленной атаке с подделкой данных, эти отчеты предоставят вам информацию о том, «кто, что и где» происходит, в режиме реального времени. Просто убедитесь, что вы обращаетесь с этими данными ответственно, в идеале — с помощью платформы, которая обеспечивает их шифрование, чтобы у вас не скопилось большое количество конфиденциальной личной информации.

Хотите просматривать свои аналитические данные без лишних хлопот? PowerDMARC упрощает эту задачу, преобразуя необработанные данные RUF в удобную для просмотра панель мониторинга, оснащенную шифрованием PGP для обеспечения безопасности и соответствия нормативным требованиям. Начните 15-дневную бесплатную пробную версию уже сегодня и получите полную картину вашей почтовой экосистемы.

Часто задаваемые вопросы

Что такое отчет о расследовании DMARC?

По сути, это оповещение в режиме реального времени. Вместо того чтобы ждать ежедневного отчета, отчет о расследовании генерируется в тот же момент, когда отдельное письмо не проходит проверку DMARC. Он очень подробный и предназначен для тщательного расследования.

Чем RUF отличается от RUA?

RUA — это ежедневный обзор, дающий общее представление о ситуации; он содержит информацию о тенденциях и объемах в формате XML. RUF — это подробный «микрообзор»; он отправляется мгновенно, использует формат ARF и содержит конкретные сведения об одном конкретном сообщении, доставка которого завершилась неудачей.

Как же на самом деле включить эти отчеты?

Вам нужно будет отредактировать запись DMARC в настройках DNS. Просто добавьте тег ruf=mailto:[email protected]. Если вы хотите обеспечить максимальную надежность, добавьте тег fo=1, чтобы получать отчет при сбое либо SPF, либо DKIM, а не ждать, пока не выйдут из строя оба протокола.

Я установил RUF, но ничего не работает. Он неисправен?

Скорее всего, нет. Вероятнее всего, ваши письма без проблем проходят аутентификацию (и это хорошо!). Кроме того, имейте в виду, что многие крупные провайдеры вообще не отправляют отчеты RUF, чтобы защитить конфиденциальность своих пользователей. Если вы получаете отчеты RUA, то, скорее всего, ваша запись работает.

Содержатся ли в этих отчетах персональные данные?

Да, и в этом-то и заключается сложность. В отчетах по результатам экспертизы могут фигурировать тема письма, адрес получателя, а иногда даже фрагмент текста сообщения. Именно поэтому рекомендуется использовать безопасную платформу для управления такими данными, чтобы не нарушать законы о конфиденциальности, такие как GDPR.

Для чего нужен тег «fo»?

Это аббревиатура от «Forensic Options» (параметры диагностики). По сути, это набор инструкций, указывающих приемнику, когда именно следует инициировать отчет: либо только в случае полного сбоя (fo=0), либо при возникновении сбоя на любом этапе процесса аутентификации (fo=1).

• О сайте
• Последние сообщения

Милена Багдасарян

Специалист по контенту в PowerDMARC

Милена - опытный писатель и создатель контента с более чем 7-летним опытом работы в создании увлекательных материалов по ИТ, кибербезопасности, виртуальным мероприятиям и многим другим темам. У нее есть опыт работы с высококачественными материалами для международных журналов, она окончила такие престижные учебные заведения, как Нью-Йоркский университет Абу-Даби, UWC China и Колледж Европы.

Последние сообщения Милены Багдасарян (см. все)

• Обзор Sendmarc: функции, отзывы пользователей, плюсы и минусы (2026) - 22 апреля 2026 г.
• Соответствие стандарту FIPS: как укрепить свою инфраструктуру до крайнего срока в 2026 году - 20 апреля 2026 г.
• Безопасность при работе с клиентами: 5 способов не дать вашей команде продаж выглядеть как фишеры - 14 апреля 2026 г.