|
DMARC-Berichte |
Scrollen Zurück Oberste Ebene Weiter Mehr |
Die DMARC-Einträge, die SecurityGateway aus dem DNS abfragt, können Tags enthalten, durch die der Domäneninhaber anzeigt, dass er bestimmte zusammengefasste Statistik- und Fehlerberichte über die DMARC-gestützte Behandlung solcher Nachrichten erhalten will, die angeblich aus seiner Domäne stammen. Die Optionen im Konfigurationsdialog DMARC-Berichte bestimmen, ob Ihr System die angeforderten Arten von Berichten versenden soll, und welche Metadaten die Berichte enthalten sollen. Zusammengefasste Berichte werden jeden Tag um Mitternacht (UTC-Zeit) gesendet. Fehlerberichte werden für jede Nachricht dann gesendet, wenn eine fehlgeschlagene Prüfung den Fehlerbericht auslöst. Alle Berichte werden als XML-Dateien in ZIP-Archiven versandt, die als Dateianlage an die Berichtsnachrichten angehängt werden. Es stehen verschiedene Auswertungsprogramme zur Verfügung, mit deren Hilfe die Empfänger die Berichte einsehen und auswerten können. Per Voreinstellung versendet SecurityGateway nur zusammengefasste Berichte.
Die Optionen in diesem Konfigurationsdialog sind nur verfügbar, wenn die Option DMARC-Prüfung und -Berichterstellung aktivieren im Konfigurationsdialog DMARC-Prüfung aktiv ist. Die DMARC-Spezifikation verlangt außerdem die Nutzung von STARTTLS immer dann, wenn der Empfänger der Berichte dieses Leistungsmerkmal unterstützt. Sie sollten daher, soweit möglich, STARTTLS aktivieren.
DMARC-Berichte
Zusammengefasste DMARC-Berichte senden
Diese Option bewirkt, dass SecurityGateway zusammengefasste DMARC-Berichte an die Domänen sendet, die sie anfordern. Ergibt eine DNS-Abfrage nach den DMARC-Ressourceneinträgen der Domäne in der Absenderkopfzeile From: einer eingehenden Nachricht, dass der DMARC-Eintrag der Domäne den Tag "rua=" enthält (z.B. rua=mailto:dmarc-berichte@example.com), so zeigt dies an, dass der Inhaber der Domäne zusammengefasste DMARC-Berichte erhalten will. SecurityGateway speichert dann die DMARC-Daten für die Domäne und die eingehenden Nachrichten, die einen Absender der Domäne ausweisen. SecurityGateway speichert außerdem die E-Mail-Adressen, an die die Berichte gesandt werden sollen, das auf die Nachrichten angewendete Prüfverfahren (SPF, DKIM oder beide), das Prüfergebnis (bestanden oder nicht bestanden), den übermittelnden Server mit IP-Adresse, die angewendete DMARC-Richtlinie und weitere relevante Daten. Jeden Tag um Mitternacht (UTC-Zeit) nutzt SecurityGateway die gespeicherten Daten, um für die erfassten Domänen Berichte zu erstellen und sie an die angegebenen E-Mail-Adressen zu senden. Nach dem Versand löscht SecurityGateway die DMARC-Daten und beginnt die Speicherung erneut.
|
SecurityGateway unterstützt nicht den DMARC-Tag "ri=", der das Intervall für den Versand der zusammengefassten Berichte festlegt. SecurityGateway sendet die zusammengefassten Berichte stets um Mitternacht (UTC-Zeit) an alle Domänen, für die DMARC-Daten seit dem letzten Versand neu gespeichert wurden. |
|
Um aus den gespeicherten DMARC-Daten die Berichte automatisch zu erstellen und zu versenden und die Daten danach zu löschen, muss SecurityGateway um Mitternacht (UTC-Zeit) ausgeführt werden. Läuft SecurityGateway zu diesem Zeitpunkt nicht, so werden keine Berichte erstellt und die DMARC-Daten nicht gelöscht; dies wird auch nicht nachgeholt, wenn SecurityGateway wieder gestartet wird. Die Speicherung der DMARC-Daten wird fortgesetzt, sobald SecurityGateway wieder läuft, die Berichte werden aber erst wieder um Mitternacht (UTC-Zeit) oder beim nächsten Anklicken des Steuerelements "Zusammengefasste Berichte jetzt senden" erstellt und versandt. |
DMARC-Fehlerberichte senden (Berichte werden jeweils nach Auftreten von Fehlern gesendet)
Diese Option bewirkt, dass SecurityGateway DMARC-Fehlerberichte an die Domänen sendet, die sie anfordern. Ergibt eine DNS-Abfrage nach den DMARC-Ressourceneinträgen der Domäne in der Absenderkopfzeile From: einer eingehenden Nachricht, dass der DMARC-Eintrag der Domäne den Tag "ruf=" enthält (z.B. ruf=mailto:dmarc-fehler@example.com), so zeigt dies an, dass der Inhaber der Domäne DMARC-Fehlerberichte erhalten will. Anders als die zusammengefassten Berichte werden die Fehlerberichte in Echtzeit unmittelbar nach dem Auftreten der sie auslösenden Fehler erstellt, und sie enthalten ausführliche Einzelheiten über den Vorgang und die Fehler, die zum Fehlschlagen der Prüfung geführt haben. Die Administratoren der betroffenen Domänen können diese Berichte verwenden, um die Fehler zu analysieren, Probleme in ihren E-Mail-Systemen und deren Konfiguration zu beseitigen und andere Probleme festzustellen, etwa auf laufende Phishing-Angriffe aufmerksam zu werden.
Der Tag "fo=" im DMARC-Eintrag einer Domäne bestimmt, auf welche Arten von Fehlern hin ein Fehlerbericht erstellt wird. Per Voreinstellung wird ein Fehlerbericht nur erstellt, wenn sowohl die SPF- wie auch die DKIM-Prüfung fehlschlagen. Domänen können aber verschiedene Parameter im Tag "fo=" angeben und damit bestimmen, dass sie Berichte nur erhalten wollen, falls SPF fehlschlägt, falls DKIM fehlschlägt, oder falls eine Kombination der Prüfverfahren fehlschlägt. Aus diesem Grund können nach dem Fehlschlagen der DMARC-Prüfung für eine Nachricht auch mehrere Fehlerberichte erstellt werden. Ihre Zahl hängt von der Anzahl der Empfänger im Tag "ruf=", den Parameter im Tag "fo=" sowie der Anzahl fehlgeschlagener Versuche zur Echtheitsbestätigung ab, die während der Prüfung der Nachricht aufgetreten sind. Falls Sie die Anzahl der Empfänger begrenzen wollen, an die SecurityGateway die Berichte sendet, können Sie dazu die Option "Höchstzahl zu berücksichtigender DMARC-Empfänger 'rua' und 'ruf'" weiter unten nutzen.
Zur Festlegung des Formats der Fehlerberichte beachtet SecurityGateway nur den Tag rf=afrf (Berichte über Fehler in der Echtheitsbestätigung mithilfe des Formats für Berichte über missbräuchliche Nutzung ARF); dies entspricht auch der Vorgabe bei DMARC. Alle Berichte werden in diesem Format gesendet, und zwar auch dann, wenn der DMARC-Eintrag der betreffenden Domäne den Tag rf=iodef enthält.
|
Für die DMARC-Fehlerberichte unterstützt SecurityGateway folgende Standards vollständig: RFC 5965: Ein erweiterbares Format für E-Mail-Feedback-Berichte, RFC 6591: Berichte über Fehler in der Echtheitsbestätigung mithilfe des Formats für Berichte über missbräuchliche Nutzung ARF, RFC 6652: Berichte über Fehler bei der SPF-Verarbeitung mithilfe des Formats für Berichte über missbräuchliche Nutzung ARF, RFC 6651: Erweiterungen für Fehlerberichte bei DomainKeys Identified Mail (DKIM) und RFC 6692: Ursprungsports im Format für Berichte über missbräuchliche Nutzung ARF. Verlangt der DMARC-Tag "fo=" auch Berichte über Fehler bei der SPF-Prüfung, so sendet SecurityGateway SPF-Fehlerberichte nach RFC 6522. Aus diesem Grund müssen die Erweiterungen für diese Spezifikation im SPF-Eintrag der Domäne enthalten sein. SPF-Fehlerberichte werden nicht unabhängig von der DMARC-Verarbeitung gesendet; sie werden ferner nicht gesendet, falls die Erweiterungen nach RFC 6522 fehlen. Verlangt der DMARC-Tag "fo=" auch Berichte über Fehler bei der DKIM-Prüfung, so sendet SecurityGateway DKIM-Fehlerberichte nach RFC 6651. Aus diesem Grund müssen die Erweiterungen für diese Spezifikation in der Kopfzeile für die DKIM-Signatur enthalten sein, und für die Domäne muss ein gültiger TXT-Eintrag zu den DKIM-Berichten im DNS veröffentlicht sein. Die DKIM-Fehlerberichte werden nicht unabhängig von der DMARC-Verarbeitung gesendet; sie werden ferner nicht gesendet, falls die Erweiterungen nach RFC 6651 fehlen. |
Höchstzahl zu berücksichtigender DMARC-Empfänger "rua" und "ruf" (0 = keine Begrenzung)
Falls Sie die Anzahl der Empfänger begrenzen wollen, an die SecurityGateway zusammengefasste DMARC-Berichte und DMARC-Fehlerberichte sendet, geben Sie hier die zulässige Höchstzahl der Empfänger ein. Enthalten die Tags "rua=" oder "ruf=" im DMARC-Eintrag einer Domäne mehr Empfänger, als hier zugelassen sind, dann sendet SecurityGateway die Berichte an die angegebenen Empfänger in der Reihenfolge, in der sie in den Tags erscheinen, bis die Höchstzahl erreicht ist. Per Voreinstellung ist die Zahl der Empfänger nicht begrenzt.
Kopien aller Berichte per E-Mail senden an:
Falls Sie Kopien aller zusammengefassten DMARC-Berichte und DMARC-Fehlerberichte (nur bei Nutzung der Tags fo=0 und fo=1) per E-Mail an bestimmte Empfänger senden lassen wollen, tragen Sie die E-Mail-Adressen der Empfänger hier ein. Trennen Sie mehrere Adressen durch Kommata.
Metadaten für DMARC-Berichte
Die folgenden Optionen dienen dazu, Informationen und Angaben zu Ihrer Organisation, sog. Metadaten, zu erfassen, die in die DMARC-Berichte aufgenommen werden.
Standard-Domäne
Dies ist die SecurityGateway-Domäne, die für die Erstellung der DMARC-Berichte verantwortlich ist. Sie können die Domäne aus dem Rollmenü auswählen.
Kontakt-E-Mail-Adresse
Hier können Sie eine lokale E-Mail-Adresse angeben, mit der sich die Empfänger der Berichte bei Fragen zum Bericht in Verbindung setzen können. Trennen Sie mehrere Adressen durch Kommata.
Kontaktdaten
Hier können Sie zusätzliche Kontaktdaten für die Empfänger der Berichte angeben, etwa eine Website oder Rufnummer.
Antwortpfad für Berichte
Hier können Sie den SMTP-Antwortpfad (die Bounce-Adresse) für die Nachrichten angeben, mit denen SecurityGateway die DMARC-Berichte versendet. Dieser Antwortpfad ist für Zustellfehler relevant; um solche Fehler zu ignorieren, geben Sie hiernoreply@<meinedomäne.com> an.
