איך קוראים דוחות DMARC rua ו-ruf ומזהים ניצול לרעה של דומיין השליחה
כל עסק ששולח cold email ל-B2B מקבל דוחות DMARC יומיים - אבל רובם נשארים בתיבת הדואר בלי שאף אחד פותח אותם. דוח rua מראה בדיוק מי שולח בשם הדומיין שלכם, כולל מקורות שלא הרשתם מעולם. בלי לקרוא אותם באופן שוטף, זיוף דומיין (spoofing) יכול לרוץ שבועות לפני שהוא מתגלה - בדרך כלל כשלקוח מתלונן או כשמוניטין השליחה כבר נפגע.
- דוח rua הוא XML מצטבר שמראה כל IP ששלח בשם הדומיין שלכם ואם הוא עבר יישור SPF/DKIM.
- דוח ruf כמעט ולא נשלח בפועל - רוב ספקי הדואר חוסמים אותו מטעמי פרטיות.
- כלי open source כמו אלה שמתפרסמים תחת dmarc analyzer github הופכים XML גולמי לדוחות קריאים בחינם.
- דומיין שמזוייף לשליחת ספאם עלול לגרום ללקוחות שלכם להתלונן על הודעות שלא עומדות בתיקון 40, גם אם לא שלחתם אותן.
- מעבר ל-p=reject בלי חודש-חודשיים של ניטור rua הוא הטעות הנפוצה ביותר - היא חוסמת גם דואר לגיטימי.
למה בכלל לקרוא דוחות DMARC, ולא רק להגדיר אותם
רשומת DMARC בדומיין רק אומרת לספקי דואר איך להתייחס להודעות שנכשלות ב-SPF/DKIM - היא לא עושה שום דבר יזום בשבילכם. בלי לקרוא את דוחות rua שחוזרים כל יום מ-Gmail, Outlook ו-Yahoo, אין לכם דרך לדעת אם מישהו מנסה לשלוח בשם הדומיין שלכם. עבור עסק שמריץ cold email ל-B2B, זה סיכון כפול: גם למוניטין השליחה של הדומיין הראשי, וגם לאמינות של כל קמפיין דיוור ממוקד שרץ ממנו.
כלי dmarc analyzer הופך את קובצי ה-XML הגולמיים, שרוב תיבות הדואר לא יודעות לפתוח בצורה שימושית, לטבלה קריאה: מי שלח, מאיזה IP, כמה הודעות, והאם הן עברו יישור (alignment) מול SPF ו-DKIM. בלי השלב הזה, גם ארגון עם רשומת DMARC מוגדרת נכון פשוט לא רואה ניסיון spoofing עד שהוא כבר השפיע - למשל כשקמפיין דיוור ממוקד לגיטימי מתחיל לנחות בספאם כי דומיין השליחה נחשד.
מבנה דוח ה-rua: מה בודקים בכל שורה
דוח rua נשלח כקובץ XML מכווץ, בדרך כלל אחת ליום מכל ספק דואר גדול שקיבל הודעות מהדומיין שלכם (בין אם שלחתם אותן ובין אם לא). כל רשומה בדוח מייצגת מקור שליחה אחד לאורך פרק הזמן, לא הודעה בודדת - כך שדוח אחד יכול לכסות אלפי מיילים במספר שורות בלבד.
השורה הקריטית לבדיקה היא הצירוף בין source_ip ל-disposition: אם ה-IP לא מוכר לכם והוא עבר spf=pass בזכות תת-דומיין שהוגדר אצל ספק דיוור אחר, זה עדיין יכול להיות שימוש לגיטימי (למשל כלי CRM ששולח התראות). אבל אם dkim=fail וגם spf=fail על header_from של הדומיין הראשי שלכם, זה כמעט תמיד ניסיון spoofing שדורש טיפול מיידי.
- source_ip - כתובת ה-IP ששלחה בפועל
- count - כמה הודעות הגיעו מאותו מקור באותו פרק זמן
- disposition (policy_evaluated) - מה ספק הדואר עשה בפועל: none, quarantine או reject
- spf ו-dkim results - האם כל מנגנון עבר בנפרד
- header_from - הדומיין שהופיע למשתמש בשדה "מאת"
- envelope_from - הדומיין הטכני שממנו בוצע ה-SMTP MAIL FROM
דוח ruf: למה כמעט אף אחד לא מקבל אותו בפועל
דוח ruf (forensic) אמור לשלוח עותק חלקי או מלא של כל הודעה בודדת שנכשלה באימות, בזמן אמת. בפועל, כמעט אף ספק דואר גדול - לא Gmail, לא Outlook - לא שולח אותו כברירת מחדל, כי הוא חושף תוכן הודעה ומטא-דאטה של נמענים, מה שמתנגש עם מדיניות הפרטיות של הספקים עצמם.
אם בכל זאת יש לכם מקור ruf פעיל (למשל דרך פתרון ארגוני שמריץ honeypot משלו), חשוב לזכור שמדובר בתוכן הודעה אמיתי שכולל כתובות דואר וטקסט - אחסון שלו כפוף לחוק הגנת הפרטיות הישראלי, לא רק לשיקולי אבטחה. הגבילו גישה, קבעו תקופת שמירה קצרה, ואל תשמרו ruf "כי אולי יהיה שימושי" - זה מידע אישי לכל דבר.
dmarc analyzer: בין open source חינמי לפתרון ארגוני
כשמחפשים dmarc analyzer יש בעצם שלוש רמות. הרמה הראשונה היא כלי dmarc analyzer free עם מגבלת דומיינים - מספיקה לעסק קטן עם דומיין שליחה אחד או שניים, ונותנת דשבורד בסיסי לזיהוי מקורות לא מוכרים. הרמה השנייה היא dmarc analyzer open source, כלים שמתפרסמים תחת dmarc analyzer github ומריצים parsing עצמאי של ה-XML לבסיס נתונים מקומי - מתאים לצוות טכני שרוצה שליטה מלאה ולא רוצה לשלוח דוחות לצד שלישי.
הרמה השלישית היא פתרון ארגוני כמו dmarc analyzer mimecast, שמשלב ניטור DMARC עם שאר מנגנוני האבטחה של הארגון (anti-phishing, brand protection), כולל התראות אוטומטיות והמלצה מדורגת למעבר בין p=none ל-p=quarantine ל-p=reject. זה נכון לארגון עם הרבה דומיינים ותת-דומיינים, אבל לרוב יותר מדי בשביל עסק שמריץ קמפיין דיוור ממוקד אחד או שניים בחודש.
לדוגמה, שורה בדוח rua עם source_ip לא מוכר, count 40, spf=fail ו-dkim=fail על header_from של הדומיין הראשי - זה סימן מיידי לבדיקה, ולא רעש רקע שאפשר להתעלם ממנו.
טווחים אופייניים בדוח rua של דומיין דיוור B2B פעיל
אחרי כמה שבועות של איסוף rua על דומיין ששולח cold email ממוקד בקצב יומי נמוך, ההרכב הטיפוסי של המקורות נראה בערך כך:
הנתונים משקפים טווח אופייני מניסיון ניטור קמפיינים ממוקדים בהיקף נמוך-בינוני, ואינם נתון קבוע - היחס משתנה לפי מספר הכלים המחוברים לדומיין.
טעויות נפוצות בקריאת דוחות DMARC
רוב הנזק לא נגרם מחוסר בדיקה, אלא מפרשנות שגויה של מה שכבר רואים בדוח.
- מעבר ישיר ל-p=reject בלי חודש-חודשיים של ניטור ב-p=none - זה חוסם גם דואר לגיטימי ששכחתם להגדיר לו alignment
- התעלמות מתת-דומיינים - sp= לא מוגדר בנפרד, ותת-דומיין שנשכח נשאר חשוף
- טיפול במעביר דואר לגיטימי (forwarder) כמו spoofing, כי הוא נכשל ב-SPF אחרי ההעברה - זה תקין וצפוי, DKIM לרוב עדיין עובר
- בדיקה חד-פעמית ואז שכחה - נפח ה-spoofing משתנה משבוע לשבוע
- אי-יישור בין envelope-from ל-header-from אצל ספק דיוור שלישי, שגורם לבלבל בין תקלה טכנית להתקפה אמיתית
איך אנחנו ב-LDM עוקבים אחרי דוחות DMARC של דומייני שליחה
בכל דומיין שליחה חדש שעולה לקמפיין דיוור ממוקד, אנחנו שומרים p=quarantine עם ניטור rua שבועי לפחות ארבעה שבועות לפני שקילת מעבר ל-p=reject, ומעלים את pct= בהדרגה במקום קפיצה חדה.
מקור IP לא מוכר בדוח הוא תמיד טריגר לבדיקה, לא רק רישום בטבלה - אנחנו בודקים אם הוא שייך לספק דיוור מאושר של הלקוח, ואם לא, ממליצים על חסימה או פנייה לספק האחסון של אותו IP.
לזה יש גם היבט רגולטורי: תיקון 40 לחוק התקשורת (בזק ושידורים) מחייב זיהוי ברור של המפרסם ומנגנון הסרה תקין בכל הודעה פרסומית. הודעות ספאם שנשלחות ממקור שמזייף את הדומיין שלכם כמעט אף פעם לא עומדות בדרישות האלה - אין הסרה תקנית, אין זיהוי אמיתי - וכשלקוח מתלונן, התלונה נוחתת על המוניטין של הדומיין האמיתי, גם אם לא שלחתם את ההודעה. ניטור שוטף של rua הוא בפועל קו ההגנה הראשון נגד התרחיש הזה.
שאלות נפוצות
מה ההבדל בין דוח rua לדוח ruf?
rua הוא דוח מצטבר (aggregate) שמסכם, בדרך כלל אחת ליום, כמה הודעות הגיעו מכל מקור IP והאם הן עברו SPF/DKIM. ruf הוא דוח פורנזי (forensic) שאמור לשלוח עותק של הודעה בודדת שנכשלה, אך כמעט אף ספק דואר גדול לא שולח אותו כברירת מחדל בגלל שיקולי פרטיות.
האם דוח DMARC יכול לחשוף פרטים על הלקוחות שלנו?
דוח rua לא - הוא מכיל רק IP, כמות ותוצאות אימות, בלי תוכן הודעה או כתובות נמענים. דוח ruf כן עלול לכלול תוכן ומטא-דאטה של הודעה בודדת, ולכן כמעט לא נשלח בפועל, ואם כן - יש להתייחס אליו כמידע אישי לפי חוק הגנת הפרטיות.
איזה dmarc analyzer מתאים לעסק קטן שרק מתחיל עם DMARC?
לרוב מספיק כלי dmarc analyzer free עם מגבלת דומיין אחד-שניים, או כלי dmarc analyzer open source שמתפרסם תחת dmarc analyzer github ומריץ parsing עצמאי. פתרון ארגוני כמו dmarc analyzer mimecast משתלם בעיקר כשיש הרבה דומיינים ותת-דומיינים לנטר במקביל.
כל כמה זמן צריך לבדוק את הדוחות?
שבועי הוא הקצב המינימלי לדומיין שליחה פעיל, ויומי בשבועות הראשונים אחרי הפעלת DMARC או אחרי כל שינוי במדיניות (p=). נפח ה-spoofing משתנה, כך שבדיקה חד-פעמית לא מספיקה.
מה עושים כשמזהים מקור IP לא מוכר בדוח?
קודם בודקים אם הוא שייך לכלי מאושר (CRM, פלטפורמת דיוור, מערכת התראות) שפשוט לא הוגדר נכון ב-SPF. אם לא, מדובר כנראה בניסיון spoofing - מומלץ לחסום אותו ולשקול העלאת pct= ב-p=quarantine או p=reject בהדרגה.
איך זה קשור לתיקון 40 לחוק התקשורת?
תיקון 40 מחייב זיהוי ברור של השולח ומנגנון הסרה תקין בכל הודעה פרסומית. כשמישהו מזייף את הדומיין שלכם לשליחת ספאם, ההודעות כמעט אף פעם לא עומדות בדרישות האלה - והתלונות עלולות להגיע ללקוחות שלכם ולפגוע במוניטין העסק האמיתי, למרות שלא שלחתם את ההודעה.
רוצים ליישם את זה באאוטריץ׳ שלכם?
נראה לכם איך זה עובד על הסגמנט והמוצר שלכם — לפני שמתחילים.
דברו איתנו