我有一个客户端接收来自各个提供商的DMARC报告,但是报告显示,所有检查“通过”和所有DMARC / DKIM / SPF检查工具表明DMARClogging没有问题。 报告采用XML格式并压缩。 有没有简单的方法来区分rua和ruf报告? ruf报告是否以rua报告的forms发送到zip文件? 我的客户认为,由于他每天收到的报告不完全相同,所以他们不能报告,但我不确定。
任何帮助,将不胜感激 :)
提供商在不同的时间发送汇总报告。 许多UTC来到午夜,但像微软这样的供应商经常发送小时报告。 法医报告通常是在发送失败的消息到达ISP的前端入站邮件后大约5-10分钟。
你可以很容易地从RUF报告中分辨出RUA。 聚合或RUA报告通常以如下方式启动:
--report_section Content-Type: text/plain; This is a DMARC aggregate report for yourdomain.com generated at Mon Mar 23 03:53:50 UTC 2015 而法证或联阵报告通常是这样开始的:
--61204608-60BE-4D26-9E07-F450C5B0D826 Content-Type: text/plain; charset="US-ASCII" Content-Transfer-Encoding: 7bit This is an email abuse report for an email message received from IP 10.10.10.10 on Mon Mar 23 04:01:02 UTC 2015. The message below did not meet the sending domain's authentication policy. For more information about this format please see http://www.ietf.org/rfc/rfc5965.txt. --61204608-60BE-4D26-9E07-F450C5B0D826 Content-Type: message/feedback-report
您还会注意到RUA报告(通常是gzip)将XML作为附件,而RUF报告的附件是实际的MIME。 很less有人尝试手动读取或validation任一types的报告。 Agari和Dmarcian等服务专门用于解释DMARC报告。
要提供有关@cmeid最佳答案的更多信息,可能的话还可以为DMARC DNSlogging(TXT)上的两种报告types提供不同的电子邮件地址:
_dmarc.example.com TXT“v = DMARC1; p = none; pct = 100; rua = mailto:[email protected]; ruf = mailto:[email protected]
这可以大大有助于过滤这两个彼此。