Das DMARC-Protokoll ermöglicht es Ihnen, 2 Arten von Berichten zu erhalten: aggregierte Berichte und Fehlerberichte. DMARC-Fehlerberichte wurden früher als forensische Berichte bezeichnet und sind viel detaillierter als aggregierte DMARC-Berichte, da sie eine Probe einer E-Mail-Nachricht enthalten, die DMARC-, DKIM- und SPF-Tests nicht bestanden hat.
Wenn ein SPF oder DKIM nicht mit DMARC übereinstimmt, sendet der ISP sofort einen Fehlerbericht, sofern er dies unterstützt. Derzeit unterstützen große ISPs wie Google, Verizon und Comcast diese nicht.
Dies führt dazu, dass bei fehlgeschlagenen Nachrichten keine Berichte erstellt werden, selbst wenn Sie Ihren DMARC-Eintrag so konfiguriert haben, dass er Fehlerberichte akzeptiert. Aus diesem Grund besteht ein deutlicher Unterschied zwischen aggregierten DMARC-Berichten und Fehlerberichten.
Wie liest man einen DMARC-Fehlerbericht?
In einem typischen DMARC-Fehlerbericht finden sich die folgenden Felder:
- E-Mail-Adresse des Empfängers: die E-Mail-Adresse, für die die ursprüngliche Nachricht bestimmt war
- SPF- und DKIM-Authentifizierungsergebnisse
- Zeitpunkt des Empfangs
- DKIM-Signatur
- Host
- Betreff der E-Mail
- Nachrichten-ID der E-Mail
- Andere Kopfzeilen wie z. B. benutzerdefinierte Kopfzeilen usw.
Hier ist ein Beispiel für einen DMARC-Fehlerbericht.
Optionen für DMARC-Fehlerberichte
Die vier Optionen für DMARC-Fehlerberichte können mit dem Tag „fo“ gesendet werden:
fo=0: Wenn sowohl SPF als auch DKIM nicht abgeglichen werden können, wird ein Fehlerbericht erstellt.
fo=1: Wenn entweder SPF oder DKIM etwas anderes als „aligned“ ergeben haben, wird ein Fehlerbericht erstellt.
fo=d: Wenn die Signatur fehlschlägt, unabhängig von der Ausrichtung, wird ein DKIM-Fehlerbericht erstellt.
fo=s: Wenn SPF fehlschlägt, auch wenn es nicht abgeglichen ist, wird ein SPF-Fehlerbericht erstellt.
Die Vorteile:
- Sie enthalten mehr Daten als die aggregierten Berichte, z. B. den Betreff der E-Mail, IP-Informationen, das Datum des Nachrichtenempfangs, die Nachrichten-ID, URLs und das Zustellungsergebnis.
- Sie werden sofort empfangen.
Die Nachteile:
- Sie haben eine hohe Falsch-positiv-Rate.
- Die meisten Internetanbieter haben die Unterstützung für Fehlerberichte eingestellt.
- Sie geben potenziell sensible Daten preis.
Der Unterschied zwischen aggregierten DMARC-Berichten und DMARC-Fehlerberichten
Wie bereits erwähnt, unterstützt DMARC zwei Arten von Berichten: aggregierte Berichte und Fehlerberichte.
Es gibt viele Unterschiede zwischen diesen beiden und sie dienen unterschiedlichen Zwecken.
Im Folgenden werden einige der sichtbaren Unterschiede zwischen den beiden Arten beschrieben:
| Aggregierte Berichte | Fehlerberichte |
| Um Berichte zu empfangen, muss der rua-Tag eingerichtet werden. | Um Berichte zu empfangen, muss der rua-Tag eingerichtet werden. |
| Sie liefern aggregierte Daten zu einer Gruppe von E-Mails. | Sie liefern aggregierte Daten zu einer einzelnen E-Mail. |
| Nicht in Echtzeit; standardmäßig werden sie täglich gesendet. | Sie werden unmittelbar nach Fehlern gesendet. |
| XML-Format | Einfacher Text |
| Sie enthalten keine personenbezogenen Daten. | Sie enthalten personenbezogene Daten. |
| Sie werden von allen DMARC-kompatiblen Mailbox-Anbietern unterstützt. | Sie werden nur von manchen Mailbox-Anbietern unterstützt. |
Fazit
Im Gegensatz zu aggregierten DMARC-Berichten waren die DMARC-Fehlerberichte ein erfolgloser Teil des DMARC-Standards. Ersterer meldet den DMARC-Fehler auf umfassendere Weise. Er enthält alle Informationen, die zur Durchsetzung von DMARC erforderlich sind, ohne die Risiken, die DMARC-Fehlerberichte bergen.