Как идентифицировать ненадежные источники в отчетах DMARC?
Хотя агрегированные отчеты DMARC предоставляют хороший обзор вашей рассылки, они не дают достаточно подробной информации для того, чтобы понять, какие ненадежные источники появляются в отчетах как не прошедшие проверку DMARC. Чтобы выявить такие источники, вам нужно использовать подробные отчеты DMARC.
Что такое подробные отчеты DMARC?
Подробные отчеты, в отличие от агрегированных, позволяют получать информацию о каждом конкретном письме, которое не прошло проверку DMARC. Эти отчеты отправляются получающим почтовым провайдером сразу после того, как произошло нарушение DMARC, предоставляя вам почти в реальном времени информацию о сбоях.
Как начать получать подробные отчеты?
Чтобы начать получать подробные отчеты DMARC, нужно добавить в вашу DMARC-запись тег ruf, который указывает адрес, на который будут поступать такие отчеты. Например, если ваша исходная DMARC-запись выглядит так:
Как только вы добавите этот тег, начнете получать подробные отчеты о письмах, которые не прошли проверку DMARC, от тех почтовых провайдеров, которые поддерживают их отправку.
Что будет в этих подробных отчетах?
В таких отчетах могут быть следующие данные:
Информация о IP-адресе (IP-адрес, с которого отправлено письмо)
Время получения письма почтовым провайдером
Результаты проверки SPF, DKIM и DMARC
ISP (Почтовый провайдер, получивший письмо и отправивший отчет)
Информация о домене отправителя:
Адрес отправителя
Адрес Mail From
Адрес DKIM From, если письмо подписано DKIM
Тема письма
URL-адреса (если они есть в письме)
ID сообщения
Результат доставки (было ли письмо отклонено, помещено в карантин или доставлено)
Что именно будет включено в отчет, зависит от конкретного почтового провайдера, и не все данные могут быть в каждом отчете.
Что делать, если источник оказывается легитимным?
Если вы обнаружите, что источник на самом деле является легитимным, вам нужно настроить SPF и DKIM для этого источника, чтобы убедиться, что его письма всегда проходят проверку DMARC.