Wie unterscheiden sich Forensikberichte von aggregierten Berichten?

Aggregierte Berichte (RUA) sind tägliche XML-Zusammenfassungen, die Volumen und Bestanden/Fehlgeschlagen-Raten pro Quell-IP zeigen. Forensikberichte (RUF) liefern Details pro Nachricht über einzelne Fehler - die tatsächlichen E-Mail-Header, Absender-IP, Betreffzeile und den spezifischen Authentifizierungsmechanismus, der fehlgeschlagen ist. Erfahren Sie mehr unter /de/dmarc-aggregierte-berichte/.

Forensikberichte

Forensikberichte zeigen Ihnen genau,
welche E-Mails fehlgeschlagen sind - und warum

Q: Sind Forensikberichte ein Datenschutzrisiko?

Forensikberichte können personenbezogene Daten enthalten, darunter Betreffzeilen, Empfängeradressen und vollständige E-Mail-Header. Einige Empfänger schwärzen sensible Felder oder senden überhaupt keine Forensikberichte. DMARC Report verarbeitet forensische Daten sicher und bietet Kontrollen für die Datenaufbewahrung.

Q: Was bedeutet fo=1 in einem DMARC-Eintrag?

Die Option fo=1 weist Empfänger an, einen Forensikbericht zu senden, wenn IRGENDEIN Authentifizierungsmechanismus fehlschlägt (SPF oder DKIM). Der Standard fo=0 löst nur dann einen Bericht aus, wenn SOWOHL SPF als auch DKIM fehlschlagen. Die Verwendung von fo=1 bietet Ihnen eine breitere Sichtbarkeit bei Fehlern.

DMARC-Forensikberichte (RUF) liefern Details pro Nachricht über einzelne E-Mails, die die DMARC-Authentifizierung nicht bestanden haben - die Absender-IP, E-Mail-Header, Betreffzeile und den spezifischen Mechanismus, der fehlgeschlagen ist. Sie sind Ihre erste Untersuchungslinie, wenn Spoofing erkannt wird.

Berichte analysieren → DMARC-Eintrag prüfen

Definition

Was ist ein DMARC-
Forensikbericht?

Ein DMARC-Forensikbericht (auch Fehlerbericht genannt) ist eine Benachrichtigung pro Nachricht, die von einem empfangenden Mailserver gesendet wird, wenn eine einzelne E-Mail die DMARC-Authentifizierung nicht besteht. Im Gegensatz zu aggregierten Berichten, die Volumen zusammenfassen, liefern Forensikberichte die tatsächlichen Details jeder fehlgeschlagenen Nachricht.

Forensikberichte werden über den ruf=-Tag in Ihrem DMARC-Eintrag konfiguriert. Nicht alle Empfänger senden Forensikberichte - insbesondere sendet Gmail keine RUF-Berichte aufgrund von Datenschutzbedenken, gemäß Googles DMARC-Dokumentation.

Microsoft (Outlook/365) und Yahoo gehören zu den großen Empfängern, die Forensikberichte senden. In Kombination mit aggregierten Daten bieten sie ein vollständiges Bild der E-Mail-Authentifizierungsgesundheit Ihrer Domain.

Forensikbericht-Detail

Von

ceo@ihredomain.de

gefälscht

Return-Path

bounce@bösartiger-server.ru

Abweichung

Quell-IP

91.203.145.22

unautorisiert

SPF-Ergebnis

Fehlgeschlagen - IP nicht im SPF-Eintrag

Fehler

DKIM-Ergebnis

Fehlgeschlagen - keine gültige Signatur

Fehler

DMARC-Disposition

Ablehnung

durchgesetzt

Betreff

Dringend: Überweisung erforderlich

verdächtig

Anwendungsfälle

Was Sie mit Forensikberichten untersuchen können

Forensikberichte sind Ihr Untersuchungswerkzeug, wenn aggregierte Berichte verdächtige Aktivitäten melden. Jeder Fehlerbericht liefert Ihnen die Beweise, um festzustellen, was passiert ist, und Maßnahmen zu ergreifen.

Spoofing-Versuche

Identifizieren Sie Angreifer, die sich als Ihre Führungskräfte, Buchhaltung oder Ihr Support-Team ausgeben. Forensikberichte zeigen die genaue verwendete Von-Adresse, die tatsächliche Quell-IP und die Return-Path-Abweichung.

Fehlkonfigurierte Drittanbieter-Absender

Entdecken Sie legitime Dienste (Marketing-Plattformen, CRMs, Ticket-Systeme), die als Ihre Domain senden, ohne korrekte SPF/DKIM-Konfiguration. Beheben Sie diese, bevor Sie die Richtlinie verschärfen.

Weiterleitungsfehler

E-Mail-Weiterleitung (Mailinglisten, .edu-Weiterleitungen, automatische Weiterleitungen) bricht die SPF-Ausrichtung. Forensikberichte zeigen, welche Weiterleitungspfade Fehler verursachen, damit Sie Ausnahmen konfigurieren oder ARC implementieren können.

Schatten-IT erkennen

Finden Sie unautorisierte SaaS-Tools, die E-Mails als Ihre Domain senden, ohne IT-Genehmigung - vergessene Testkonten, Marketing-Experimente oder von Mitarbeitern konfigurierte Dienste.

Vergleich

Aggregierte vs. forensische Berichte

Beide Berichtstypen dienen unterschiedlichen Zwecken. Aggregierte Berichte liefern das Gesamtbild; forensische Berichte liefern die Beweise. Sie benötigen beide für eine effektive DMARC-Durchsetzung.

Merkmal

Aggregiert (RUA)

Forensisch (RUF)

Berichtstyp

Volumen-Zusammenfassung (XML)

Detail pro Nachricht

Häufigkeit

Täglich (24-Stunden-Batches)

Pro Fehler (Echtzeit oder gebündelt)

Granularität

Pro Quell-IP

Pro einzelner Nachricht

Enthaltene Daten

IP, Anzahl, Bestanden/Fehlgeschlagen, Disposition

Vollständige Header, Betreff, Ausrichtungsdetail

Datenschutzauswirkung

Gering - kein Nachrichteninhalt

Höher - enthält Header und Betreff

Empfänger-Unterstützung

Nahezu universell

Begrenzt - Gmail sendet kein RUF

DMARC-Tag

rua=

ruf=

Hauptzweck

Trendanalyse, Absender-Erkennung

Vorfalluntersuchung, Bedrohungsanalyse

Datenschutz

Datenschutzaspekte
bei Forensikberichten

Forensikberichte können personenbezogene Daten (PII) enthalten - Betreffzeilen, Empfänger-E-Mail-Adressen und vollständige Nachrichten-Header. Deshalb entscheiden sich einige Empfänger, sie nicht zu senden, und deshalb erfordern sie eine sorgfältige Handhabung.

Gmail sendet aufgrund von Datenschutzrichtlinien keine Forensikberichte
Microsoft sendet Forensikberichte, schwärzt aber möglicherweise einige Felder
Yahoo sendet Forensikberichte mit unterschiedlichem Detailgrad
Einige Enterprise-Empfänger senden vollständige forensische Daten
DMARC Report verarbeitet forensische Daten sicher mit konfigurierbarer Aufbewahrung

Datentypen in Forensikberichten

E-Mail-Header

Enthält Routing-Informationen und Authentifizierungsergebnisse

Mittel

Betreffzeile

Kann vertrauliche Kommunikationsthemen offenlegen

Hoch

Empfängeradresse

Identifiziert das Ziel der fehlgeschlagenen Nachricht

Hoch

Quell-IP

Server-IP-Adresse - nicht personenbezogen

Gering

Authentifizierungsergebnisse

Technische Bestanden/Fehlgeschlagen-Daten ohne PII

Gering

Konfiguration

Der `fo=`-Tag - steuert, wann Berichte ausgelöst werden

Der fo=-Tag in Ihrem DMARC-Eintrag teilt Empfängern mit, welche Fehlertypen einen Forensikbericht auslösen sollen. Jede Option bietet unterschiedliche Granularität.

fo=0 Standard

Erzeugt einen Forensikbericht nur wenn SOWOHL SPF als auch DKIM keinen ausgerichteten Pass liefern. Dies ist die konservativste Einstellung und erzeugt die wenigsten Berichte.

fo=1 Jeder Fehler

Erzeugt einen Forensikbericht wenn ENTWEDER SPF oder DKIM keinen ausgerichteten Pass liefert. Empfohlen - bietet Sichtbarkeit bei partiellen Fehlern, die fo=0 übersehen würde.

fo=d DKIM-Fehler

Erzeugt einen Bericht wenn eine DKIM-Signatur die Auswertung nicht besteht, unabhängig von der Ausrichtung. Nützlich für die Fehlersuche bei DKIM-Schlüsselrotation oder Selektor-Problemen.

fo=s SPF-Fehler

Erzeugt einen Bericht wenn die SPF-Auswertung aus irgendeinem Grund fehlschlägt, unabhängig von der Ausrichtung. Nützlich zur Identifizierung von SPF-Konfigurationslücken oder IP-Bereichsänderungen.

Empfohlene Konfiguration: Verwenden Sie fo=1, um das breiteste Spektrum an Fehlern zu erfassen. Während der Überwachungsphase (p=none) erhalten Sie damit maximale Sichtbarkeit bei Authentifizierungsproblemen, bevor Sie Ihre Richtlinie verschärfen. Erstellen Sie Ihren Eintrag mit unserem DMARC-Eintrag-Generator.

FAQ

Häufig gestellte Fragen

Sendet Gmail DMARC-Forensikberichte?

Nein. Google hat aufgrund von Datenschutzbedenken bezüglich der Aufnahme von E-Mail-Headern und Betreffzeilen in Fehlerbenachrichtigungen noch nie RUF-Forensikberichte versendet. Sie erhalten Forensikberichte von Microsoft (Outlook/365), Yahoo und einigen Enterprise-Empfängern, aber nicht von Gmail. Nutzen Sie aggregierte Berichte für Gmail-Absenderdaten.

Sind Forensikberichte ein Datenschutzrisiko?

Forensikberichte können PII enthalten, darunter Betreffzeilen, Empfängeradressen und vollständige E-Mail-Header. Einige Empfänger schwärzen sensible Felder oder verzichten ganz auf das Senden von Forensikberichten. DMARC Report verarbeitet forensische Daten sicher mit konfigurierbaren Datenaufbewahrungsrichtlinien. Organisationen, die der DSGVO oder dem CCPA unterliegen, sollten ihre Verfahren zur Handhabung forensischer Daten überprüfen.

Was bedeutet fo=1 in einem DMARC-Eintrag?

Die Option fo=1 weist Empfänger an, einen Forensikbericht zu senden, wenn IRGENDEIN Authentifizierungsmechanismus fehlschlägt (SPF oder DKIM). Der Standard fo=0 löst nur aus, wenn SOWOHL SPF als auch DKIM fehlschlagen. Wir empfehlen fo=1 für maximale Sichtbarkeit während der Überwachungsphase.

Wie aktiviere ich Forensikberichte?

Fügen Sie den ruf=-Tag zusammen mit fo=1 für maximale Abdeckung zu Ihrem DMARC-Eintrag hinzu. Beispiel: v=DMARC1; p=none; rua=mailto:rua@beispiel.de; ruf=mailto:ruf@beispiel.de; fo=1. Verwenden Sie unseren DMARC-Eintrag-Generator, um den Eintrag zu erstellen.

Vollständige Sichtbarkeit bei Authentifizierungsfehlern

DMARC Report verarbeitet sowohl aggregierte als auch forensische Berichte in einem Dashboard - klassifiziert Bedrohungen und identifiziert unautorisierte Absender automatisch.

Kostenlos testen

Was Nutzer über unsere Bedrohungserkennung sagen

Rated 4.8/5 on G2 · 469 verified reviews

Verified User in Information Technology and Services

5/5

"Best security tool for your own domains"

The weekly reports help me a lot to analyze quickly the emails sent from my domains and that gives me peace of mind.

8/31/2022 Verified on G2

Ryan C.

Director

4.5/5

"Control Centre for Email Security"

I like that we can see and check all reports on just 1 platform. We manage multiple domains, and monitoring them all in one place is essential.

8/29/2022 Verified on G2

eddy g.