如何区分 rua 和 ruf DMARC 报告?

如何区分 rua 和 ruf DMARC 报告?

我有一个客户,他从各种提供商处收到 DMARC 报告,但报告显示所有检查都“通过”,并且所有 DMARC/DKIM/SPF 检查工具都显示 DMARC 记录正常。报告采用 XML 格式并压缩。有没有简单的方法可以区分 rua 和 ruf 报告?ruf 报告是否像 rua 报告一样以 zip 文件形式提供?我的客户认为,由于他每天收到的报告不是在同一时间,所以它们不可能是 rua 报告,但我不太确定。

任何帮助,将不胜感激 :)

答案1

提供商发送汇总报告的时间各不相同。许多报告在 UTC 午夜发送,但一些提供商(如 Microsoft)通常每小时发送一次报告。取证报告在近时发送,通常在故障消息到达 ISP 前端入站邮件程序后约 5-10 分钟。

您可以轻松区分 RUA 报告和 RUF 报告。汇总报告或 RUA 报告通常以以下方式开头:

--report_section
Content-Type: text/plain;

This is a DMARC aggregate report for yourdomain.com
generated at Mon Mar 23 03:53:50 UTC 2015

而法医报告或 RUF 报告通常以如下方式开始:

--61204608-60BE-4D26-9E07-F450C5B0D826
Content-Type: text/plain; charset="US-ASCII"
Content-Transfer-Encoding: 7bit

This is an email abuse report for an email message received from IP 10.10.10.10 on Mon Mar 23 04:01:02 UTC 2015.
The message below did not meet the sending domain's authentication policy.
For more information about this format please see http://www.ietf.org/rfc/rfc5965.txt.

--61204608-60BE-4D26-9E07-F450C5B0D826
Content-Type: message/feedback-report

您还会注意到,RUA 报告带有 XML(通常经过 gzip 压缩)作为附件,而 RUF 报告的附件则是实际的 MIME。很少有人会尝试手动阅读或验证这两种类型的报告。Agari 和 Dmarcian 等服务专门用于解释 DMARC 报告。

答案2

为了提供有关@cmeid 优秀答案的更多信息,如果可能的话,还可以为 DMARC DNS 记录(TXT)上的两种报告类型提供不同的电子邮件地址:

_dmarc.example.com TXT“v=DMARC1;p=无;pct=100;rua=mailto:[电子邮件保护]; ruf=邮箱:[电子邮件保护]

这可以极大地帮助过滤掉这两个。

相关内容