Où se trouvent les rapports d'analyse forensique/d'échec ?

Les utilisateurs configurent souvent leurs enregistrements DMARC et utilisent la balise « RUF » pour demander des rapports d'analyse forensique/d'échec. Cependant, ces rapports sont souvent lents à arriver. Si vous venez d'ajouter la balise RUF à votre enregistrement DMARC, sachez que votre modification peut prendre jusqu'à 24 heures pour être prise en compte par l'Internet au sens large. Si vous ne voyez toujours pas de rapports d'analyse forensique, il y a quelques autres points à noter.

Il y a trois raisons principales pour lesquelles les générateurs de rapports ne les envoient pas :

1. Problèmes de confidentialité : Même si les rapports peuvent être expurgés, certains générateurs de rapports ne les envoient pas simplement pour éviter tout problème lié à la confidentialité. C'est-à-dire que les rapports individuels d'analyse forensique/d'échec peuvent contenir des informations personnellement identifiables (IPI), et certains grands récepteurs d'e-mails sont incroyablement sensibles à tout problème potentiel lié à la confidentialité.
2. Volume : La génération de rapports d'analyse forensique/d'échec peut entraîner la production d'un volume considérable d'e-mails… un seul e-mail entrant peut provoquer la génération d'un rapport d'analyse forensique/d'échec. Si un système est la cible d'une attaque par botnet, il pourrait finir par générer des centaines de milliers, voire des millions de rapports d'analyse forensique/d'échec. Cela finit par utiliser de réelles ressources.
3. Non requis : Les organisations ont démontré leur capacité à déployer le DMARC sans avoir accès aux rapports d'analyse forensique/d'échec. En fait, certaines organisations ne demandent même pas de rapports d'analyse forensique/d'échec en raison de préoccupations de confidentialité. S'ils ne sont pas activés, il n'y a aucune chance d'introduire accidentellement une responsabilité liée à la confidentialité.

Aujourd'hui, les rapports d'analyse forensique/d'échec proviennent principalement de NetEase, LinkedIn et de quelques sites plus petits. Par conséquent, si quelqu'un usurpe votre domaine dans des e-mails livrés à l'un de ces récepteurs, vous recevrez des rapports d'analyse forensique/d'échec. Si l'usurpation d'identité se produit dans des environnements tels que Google, Yahoo ou Microsoft, vous n'obtiendrez aucune information des rapports d'analyse forensique/d'échec, car ces entités et de nombreuses autres ne les génèrent pas.

Il est question de créer une forme de rapport d'analyse forensique/d'échec moins sujette aux préoccupations de confidentialité. Cependant, les entreprises de sécurité souhaitent moins de masquage afin de disposer de plus de données pour alimenter leurs solutions, tandis que les déployeurs de DMARC peuvent effectuer leur travail sans rapports d'analyse forensique/d'échec. Par conséquent, le travail de création de rapports d'analyse forensique/d'échec respectueux de la vie privée n'a pas dépassé le stade de la simple discussion.