RUF - A quoi sert-il ?
Le reporting forensique (RUF) était autrefois largement utilisé pour le dépannage des emails, mais les préoccupations de confidentialité ont maintenant marginalisé son utilisation. Avec plus de sept ans d'expérience dans l'écosystème de la messagerie, Mohammed Zaman, consultant en déploiement chez dmarcian, nous parle de ce qu'il considère comme la montée et le déclin des rapports d'expertise et de ce que l'avenir lui réserve.
Quand avez-vous découvert le reporting par e-mail ?
J'ai rencontré pour la première fois rapport d'email en 2014, lorsque j'ai commencé à travailler dans l'écosystème de la messagerie électronique. J'ai appris qu'il existait essentiellement deux types de rapports DMARC - l'agrégat (RUA), où vous voyez des informations de haut niveau telles que SPF qui passe ou échoue, DKIM qui passe ou ne passe pas, et les domaines. Le rapport médico-légal (RUF), quant à lui, contient des informations d'en-tête et parfois du contenu, notamment des informations personnelles et des adresses électroniques complètes.
A l'origine, le rapports médico-légaux était très utile lorsqu'il s'agissait de dépanner les sources et les expéditeurs tiers. Il était pratique de disposer d'un rapport d'expertise afin de pouvoir localiser les défaillances du SPF, par exemple. Aujourd'hui, lorsque la plupart des clients demandent ce que l'on peut en faire, la réponse de base est "pas grand-chose".
Pourquoi le déclin des rapports médico-légaux ?
J'ai commencé à remarquer le déclin du RUF vers la fin 2015 et le début 2016. Elle était motivée par les préoccupations relatives à la vie privée qui étaient de plus en plus au premier plan dans l'esprit des gens. Les conversations autour de la façon dont les données personnelles étaient partagées et où les données étaient stockées sont devenues plus courantes. Tous les acteurs du secteur sont devenus plus soucieux de la protection de la vie privée ; ces préoccupations se poursuivent à un rythme fébrile, les organisations resserrant leurs normes de confidentialité après des violations de données ou une mauvaise presse.
Google, la plus grande plateforme de messagerie, ne les envoie pas et Hotmail a abandonné les rapports RUF. Je dis en plaisantant à mes clients que la seule utilité des rapports RUF est de découvrir qui utilise leur adresse électronique professionnelle pour des activités sur Linkedin. LinkedIn envoie probablement la majorité des rapports RUF de nos jours.
Voyez-vous ou utilisez-vous actuellement des rapports médico-légaux ?
Je vois encore des rapports RUF utilisés. Récemment, lors d'un dépannage avec un client, j'ai pu obtenir un rapport RUF d'un fournisseur d'accès européen, mais même dans ce cas, il était fortement expurgé. Il contenait des informations minimales sur l'en-tête, mais toutes les données personnelles étaient supprimées.
Comment votre travail a-t-il changé avec la disparition des rapports médico-légaux ?
Le plus grand défi avec la chute du RUF est le dépannage lorsque quelque chose ne va pas. Dans le passé, il suffisait de regarder le rapport RUF pour savoir où se trouvait le problème. Aujourd'hui, en me basant uniquement sur le rapport global (RUA), je dois me rendre chez le client pour obtenir des réponses plus précises, comme l'envoi d'en-têtes spécifiques.
Il arrive que vous trouviez des approches créatives tout en travaillant à une solution. Je travaille avec des clients, je leur demande de m'envoyer un e-mail de test à partir de la plate-forme pour laquelle nous essayons d'améliorer l'authentification. De cette façon, je dispose d'un courriel direct de leur part et je peux consulter les informations d'en-tête auxquelles j'aurais eu accès via le rapport d'expertise.
Quel est, selon vous, l'avenir des rapports de police scientifique ?
Je pense que les rapports d'expertise devraient faire leur retour sous une forme conforme à la réglementation et répondant mieux aux préoccupations en matière de confidentialité. Pour l'instant, les informations que les rapporteurs DMARC fournissent dans le RUF semblent être incohérentes. Certains, par exemple, se contentent d'inclure les en-têtes. D'autres envoient les en-têtes, le HTML et tout ce qui se trouve entre les deux.
Il serait bon que la communauté se réunisse pour définir des directives RUF qui respectent les préoccupations croissantes en matière de protection de la vie privée tout en tirant parti des informations médico-légales utiles qui sont disponibles. Peut-être cela ressemble-t-il à un rapport RUF fortement expurgé ?
Je ne sais pas s'il faudra une impulsion de la part de la communauté de la messagerie pour encourager les rapporteurs DMARC ou si l'amélioration de la norme DMARC d'une manière ou d'une autre est la solution. Honnêtement, je ne sais pas s'il y a des défenseurs dans la communauté pour faire évoluer les rapports d'expertise, donc RUF peut éventuellement tomber dans l'oubli.
Vous voulez poursuivre la conversation ? Rendez-vous sur le forum dmarcien.
