Rapporten over DMARC-falen (gedetailleerde rapporten of RUF-rapporten) werden ooit veel gebruikt voor het oplossen van e-mailproblemen, maar toenemende bezorgdheid over privacy heeft nu het gebruik ervan gemarginaliseerd. Met meer dan zeven jaar ervaring op het gebied van e-mailecosystemen spreekt Mohammed Zaman, Deployment Consultant bij dmarcian, over wat hij ziet als de opkomst en ondergang van RUF-rapporten en wat we in de toekomst kunnen verwachten.

Wanneer kwam jij voor het eerst in aanraking met e-mailrapporten?

Ik kwam voor het eerst met e-mailrapporten in aanraking in 2014 toen ik in het e-mail ecosysteem ging werken. Ik leerde dat er in principe twee soorten DMARC-rapporten bestaan: de samengevoegde rapporten (RUA) waar je belangrijke informatie ziet, zoals de resultaten van de SPF en DKIM -checks en de domeinen. Anderzijds zijn er de gedetailleerde (RUF) rapporten die header-informatie bevatten en soms ook inhoud zoals persoonlijke informatie en volledige e-mailadressen.

Oorspronkelijk waren de gedetailleerde rapporten zeer nuttig als het ging om het oplossen van problemen met bronnen en derden. Het was handig om over zo een rapport te beschikken, zodat je bijvoorbeeld kon vaststellen waar SPF precies faalde. Deze rapporten waren vrij krachtig als het ging om de informatie die ze leverden. Als tegenwording klanten vragen wat je ermee kunt doen, is het antwoord meestal: "Niet veel".

Hoe verklaar jij de afname van de RUF-rapporten?

Ik begon de afname van de RUF-rapporten op te merken rond eind 2015 en begin 2016. Het werd veroorzaakt door de bezorgdheid over privacy die steeds meer in zwang kwam. Gesprekken over hoe persoonlijke gegevens werden gedeeld en waar gegevens werden opgeslagen kwamen steeds vaker voor. Iedereen in de sector werd zich meer bewust van zijn of haar privacy. Deze zorgen nemen in een koortsachtig tempo toe en organisaties scherpen de privacy-standaarden aan na data-inbreuk of slechte pers.

Google, het grootste e-mailplatform dat er is, verstuurt ze niet en Hotmail heeft RUF stopgezet. Ik vertel klanten bij wijze van grap dat het enige nut van RUF-rapporten is dat je kunt achterhalen wie hun zakelijke e-mailadres gebruikt voor LinkedIn-activiteiten. LinkedIn stuurt tegenwoordig waarschijnlijk het grootste aantal RUF-rapporten.

Zie jij of gebruik jij momenteel RUF-rapporten?

Ik zie nog steeds dat RUF-rapporten worden gebruikt. Ik was onlangs bezig met het oplossen van problemen met een klant en we kregen een RUF-rapport van een Europese ISP, maar het was zwaar bewerkt. Het bevatte minimale header-informatie en alle persoonlijke gegevens waren bewerkt.

Welke invloed heeft het wegvallen van RUF-rapporten op je werk gehad?

De grootste uitdaging met het wegvallen van RUF is het oplossen van problemen als er iets misgaat. Vroeger kon je gewoon naar het RUF-rapport kijken om te zien waar het probleem zat. Nu we meestal alleen over de samengevoegde RUA-rapporten beschikken, moet ik naar de klant toe met meer specifieke verzoeken, zoals vragen of ze specifieke headers willen doorsturen.

Soms kom je met een creatieve aanpak terwijl je naar een oplossing toewerkt. Als ik met klanten werk, laat ik ze me een testmail sturen vanaf het platform waar we de authenticatie voor proberen te regelen. Op die manier heb ik een directe e-mail van hen en kan ik de header-informatie bekijken waar ik via het gedetailleerde rapport toegang toe zou hebben gehad.

Hoe zie jij de toekomst van de RUF-rapporten?

Ik denk dat RUF-rapporten een comeback moeten maken in een vorm die voldoet aan de regelgeving en die beter tegemoetkomt aan de bezorgdheid over privacy. Op dit moment lijkt de informatie die DMARC-rapporteurs in het RUF verstrekken inconsistent te zijn. Sommige bevatten bijvoorbeeld alleen maar informatie over headers. Anderen sturen de headers, de HTML en alles wat daartussenin zit.

Het zou goed zijn om de gemeenschap samen te brengen om de richtlijnen van het RUF verder te definiëren, waarbij de groeiende bezorgdheid over privacy gerespecteerd wordt en toch gebruik kan worden gemaakt van de bruikbare informatie die beschikbaar is. Misschien dat dat neerkomt op een zwaar bewerkt RUF-rapport?

Ik weet niet of de e-mail-community DMARC-rapporteurs een duwtje in de rug moet geven om ze aan te moedigen of dat het op de een of andere manier verbeteren van de DMARC-standaard het antwoord is. Ik weet eerlijk gezegd niet of er binnen de gemeenschap überhaupt pleitbezorgers zijn voor verdere ontwikkeling van RUF-rapporten; het zou zomaar kunnen dat RUF uiteindelijk verdwijnt.

Wilt u het gesprek voortzetten? Ga naar het dmarcian- forum