メインコンテンツへスキップ
DMARCレポートの違い:RUAとRUF

DMARCレポートの違い:RUAとRUF

2021年5月27日
導入技術ガイダンス

DMARCプロジェクトを立ち上げたばかりであれば、関連する2つのレポートタイプ、すなわち「集計レポート(RUA)」と「フォレンジック(失敗)レポート(RUF)」の違いを理解することが極めて重要です。

DMARCレコードを公開すると、通常1〜2日以内にこれらのレポートの形でDMARCデータが生成され始めます。このレポートを設定・分析することで、自社ドメインのメールがどのように処理されているかの詳細を把握できるようになります。

簡単に言うと、RUAレポートは「ドメインの全トラフィックの包括的な概要」を提供し、RUFレポートは「DMARCに100%準拠していない個々のメールのコピー(一部秘匿処理済み)」を提供します。組織は、最低でもRUAレポートを受信するようDMARCレコードを設定する必要があります。

データの種類や機密性が気になる方のために、本ガイドでは個人特定情報(PII:Personally Identifiable Information)に関する注意点を含め、知っておくべき詳細を解説します。

RUA 対 RUF

DMARC RUA(集計)レポートとは?

集計レポートは最も重要であり、SPF、DKIM、およびDMARCの認証ステータスに関する情報が含まれています。

集計レポートには、メール本文に含まれる機密情報は一切含まれていません。データは、メッセージ数およびメール認証属性に限定されています。ほぼすべてのドメイン所有者がRUAレポートの受信登録を行っていますが、RUFレポートについてはそうではありません。

RUAレポートには、以下の情報が含まれています(以下の例で示されている箇所)。

  • レポートの日時範囲
  • 対象ドメイン
  • メッセージを送信したIPアドレス
  • SPFおよびDKIMの成否(Pass / Fail)
  • 適用されたDMARCポリシー
  • SPFおよびDKIMに関連付けられているドメイン
RUAレポートの内訳

🔎 dmarcianはRUAデータをどのように活用するか?

dmarcianは、レポート生成側(受信サーバー)からXML形式で発行されるRUAレポートを回収し、ユーザーフレンドリーな「dmarcian DMARC管理プラットフォーム」に統合します。弊社のプラットフォームは、これらのレポートの処理・分析に特化しており、メール送信元、DKIM、SPFに基づくDMARC準拠ステータスの実用的な可視性を提供します。また、ドメインに対する潜在的な脅威や悪用を検知した場合はアラートを通知します。

重要な点として、dmarcianがお客様のメールボックス、メール本文、添付ファイル、その他機密とみなされる要素にアクセスすることは一切ありません。

DMARC RUF(フォレンジック)レポートとは?

フォレンジックレポート(RUF)はもともと、DMARC認証に失敗したメールのコピー(一部を黒塗り等の秘匿処理をしたもの)をドメイン所有者に提供することを目的として作られました。ドメイン所有者は、修正(認証設定)が必要な「正規のメールストリーム」の真の送信元を特定する際、このフォレンジックレポートに記載された詳細な情報を活用できます。

しかし、一部の秘匿処理(マスキング)が不十分であったり不適切であったりすることによるプライバシー上の懸念から、現在ほとんどのDMARCレポート生成側(Gmail等の受信サーバー)はRUFレポートを提供していません。

もしあなたが機密情報を扱う業界(医療、金融、政府機関、教育など)のドメイン所有者である場合、プライバシーの観点から、フォレンジックレポート(RUF)を有効化するかどうかは慎重に検討する必要があります。

実際には、RUFレポートは、悪意のあるURLをほぼリアルタイムで抽出できるという特性から、当初は特定の脅威インテリジェンス活動に活用されていました。これらの悪意のあるURLは、処理された後、サイト削除サービスに提供されることになります。RUFレポートはDMARCレポーターによって提供されることがほとんどないため、RUFレポートに基づく効果的なサイト削除インテリジェンスを実現するには、より広範な脅威インテリジェンスコミュニティからの専門的なデータフィードを補完的に活用する必要があります。

💡 実務におけるRUFの現状

運用が始まった当初、RUFレポートはほぼリアルタイムで悪質なURLを抽出できる特性があったため、特定の脅威インテリジェンス活動を強化するために利用されていました。抽出された悪質なURLは処理され、テイクダウン(サイト閉鎖)サービスへと提供されていたのです。

しかし現在、主要なレポート生成側がRUFレポートの提供を大半停止しているため、RUFだけに頼った効果的なテイクダウン戦略は難しく、より広範な脅威インテリジェンスコミュニティからの専門的なデータフィードで補完する必要があります。

RUFデータはどのように活用できますか?

RUFデータは、正当なトラフィックの一部がなぜDMARCの検証に失敗するのかを理解したり、ドメインを悪用するメッセージがどのように構成されているかについてより詳細な情報を得たりするのに役立ちます。RUFレポートに対応しているDMARCレポート生成ツールは限られているため、RUFデータは他のデータストリーム(例えば、abuse@メールボックスへの送信内容のキャプチャや、メールログの調査によるメールストリームの発信元追跡など)と組み合わせて活用するのが最適です。

dmarcianはRUFをどのようにレポートしますか?

dmarcianは処理のためのRUFレポートを受け付け、プラットフォーム内の [Forensic Viewer(フォレンジック・ビューアー)] 機能を通じて、お客様に内容を表示することができます。

報告とプライバシー

DMARCのコンプライアンスを確立・維持するために必要なのは、RUAレポートのみです。

私たちがサポートします
メールセキュリティのエキスパート集団であるdmarcianは、「ドメインセキュリティを通じて、メールとインターネットをより信頼できるものにする」というミッションを掲げ、お客様の組織のドメイン状況を評価し、長期にわたってDMARCの実装と管理をサポートいたします。

まずは30日間の無料トライアルから始めましょう

さらに詳しく議論を続けたい方は、ぜひ dmarcian Forum へお越しください。

法科学法科学報告

関連記事