RFC 6591: Báo cáo lỗi xác thực (AFRF)
Tại sao điều này tồn tại
Các cơ chế xác thực email như SPF, DKIM, và DMARC phát hiện các thư giả mạo hoặc không được phép. Khi những kiểm tra này thất bại, máy chủ nhận sẽ thực hiện hành động (từ chối, cách ly hoặc cho phép). Nhưng chủ sở hữu miền — người bị giả mạo — cần biết về những thất bại này để:
- Phát hiện việc sử dụng trái phép miền của họ (lừa đảo, giả mạo)
- Xác định những người gửi hợp pháp được cấu hình sai (ví dụ: nền tảng tiếp thị không ký bằng DKIM)
- Gỡ lỗi các vấn đề bản ghi xác thực (SPF includes bị hỏng, khóa DKIM sai)
- Xây dựng hình ảnh các mô hình tấn công trước khi chuyển DMARC sang
p=reject
Các báo cáo tổng hợp DMARC (rua) cung cấp các bản tóm tắt thống kê, nhưng chúng không bao gồm chi tiết thư. Các báo cáo pháp y DMARC (ruf) sử dụng định dạng AFRF được định nghĩa bởi RFC này để cung cấp chi tiết từng thư: các tiêu đề thực tế, kết quả xác thực và lý do thất bại cụ thể.
RFC 6591 mở rộng RFC 5965 (ARF) bằng cách thêm kiểu báo cáo Feedback-Type: auth-failure và định nghĩa các trường bổ sung cho dữ liệu xác thực.
Cách nó hoạt động
Một báo cáo AFRF là một thư ARF (multipart/report với report-type=feedback-report) trong đó phần có thể đọc bằng máy sử dụng Feedback-Type: auth-failure và bao gồm các trường xác thực.
Ví dụ báo cáo AFRF
From: dmarc-reporter@receiver.example.com To: dmarc-ruf@example.com Subject: Auth failure report for example.com MIME-Version: 1.0 Content-Type: multipart/report; report-type=feedback-report; boundary="AFRF-BOUNDARY-001" --AFRF-BOUNDARY-001 Content-Type: text/plain Authentication failure report for a message claiming to be from example.com, received from IP 192.0.2.55. --AFRF-BOUNDARY-001 Content-Type: message/feedback-report Feedback-Type: auth-failure User-Agent: Receiver-DMARC/2.0 Version: 1 Original-Mail-From: spoofed@example.com Arrival-Date: Tue, 10 Mar 2026 16:42:00 -0500 Source-IP: 192.0.2.55 Auth-Failure: dmarc Authentication-Results: receiver.example.com; dkim=fail header.d=example.com; spf=fail smtp.mailfrom=spoofed@example.com; dmarc=fail header.from=example.com Reported-Domain: example.com DKIM-Domain: example.com Delivery-Result: reject --AFRF-BOUNDARY-001 Content-Type: text/rfc822-headers From: ceo@example.com To: finance@receiver.example.com Subject: Urgent wire transfer needed Message-ID: <fake-msg-001@192.0.2.55> DKIM-Signature: v=1; a=rsa-sha256; d=example.com; s=selector1; b=INVALID... --AFRF-BOUNDARY-001--
Chi tiết kỹ thuật chính
Trường được thêm bởi RFC 6591
Các trường này xuất hiện trong phần message/feedback-report cùng với các trường ARF tiêu chuẩn:
| Trường | Bắt buộc | Mô tả |
|---|---|---|
Auth-Failure |
Có | Loại thất bại xác thực: adsp, bodyhash, dkim, dmarc, iprev, sender, spf |
Delivery-Result |
Không | Điều gì xảy ra với thư: delivered, spam, policy, reject, other |
DKIM-Domain |
Không | Giá trị d= từ chữ ký DKIM không thành công |
DKIM-Identity |
Không | Giá trị i= từ chữ ký DKIM không thành công |
DKIM-Selector |
Không | Giá trị s= từ chữ ký DKIM không thành công |
Authentication-Results |
Không | Kết quả xác thực đầy đủ theo RFC 8601 |
Reported-Domain |
Không | Miền có chính sách xác thực bị vi phạm |
Giá trị Auth-Failure
| Giá trị | Ý nghĩa |
|---|---|
dmarc |
Đánh giá chính sách DMARC thất bại (không có SPF hoặc DKIM phù hợp) |
dkim |
Xác minh chữ ký DKIM thất bại |
spf |
Kiểm tra SPF thất bại cho người gửi phong bì |
bodyhash |
Hàm hash thân DKIM không khớp (nội dung thư đã bị sửa đổi trong quá trình truyền tải) |
iprev |
Kiểm tra DNS ngược trên IP gửi thất bại |
sender |
Xác minh tiêu đề Người gửi thất bại |
adsp |
Kiểm tra DKIM ADSP thất bại (cũ; hiếm khi sử dụng) |
Mối quan hệ với báo cáo DMARC
DMARC (RFC 7489) định nghĩa hai địa chỉ báo cáo trong bản ghi DNS của nó:
rua— báo cáo tổng hợp (XML). Bản tóm tắt thống kê kết quả xác thực trên tất cả thư.ruf— báo cáo pháp y. Chi tiết từng thư sử dụng định dạng AFRF được định nghĩa bởi RFC này.
Trong thực tế, báo cáo pháp y qua ruf có mức độ áp dụng hạn chế. Nhiều nhà cung cấp hộp thư lớn (Gmail, Yahoo) không gửi báo cáo pháp y do lo ngại về quyền riêng tư. Những nhà cung cấp gửi thường che khuất nội dung thư và địa chỉ người nhận. Báo cáo tổng hợp (rua) vẫn là nguồn phản hồi DMARC chính.
Lỗi thường gặp
- Mong đợi báo cáo pháp y từ tất cả những người nhận. Hầu hết các nhà cung cấp hộp thư chính không gửi báo cáo AFRF. Đừng dựa vào
ruflàm nguồn dữ liệu duy nhất về thất bại xác thực. Báo cáo tổng hợp DMARC (rua) được hỗ trợ rộng rãi hơn nhiều. - Nhầm lẫn AFRF với báo cáo lạm dụng ARF. Cả hai đều sử dụng
multipart/reportvớireport-type=feedback-report, nhưng chúng có các giá trịFeedback-Typekhác nhau. Báo cáoauth-failurecó nghĩa là kiểm tra xác thực thất bại; báo cáoabusecó nghĩa là người dùng đã nhấp vào "Báo cáo Spam". Xử lý chúng khác nhau. - Bỏ qua trường Auth-Failure. Trường
Auth-Failurecho bạn biết chính xác kiểm tra nào thất bại. Thất bạidkimgợi ý vấn đề ký; thất bạispfgợi ý IP bị thiếu trong bản ghi SPF của bạn; thất bạidmarccó nghĩa là không có cơ chế nào phù hợp. - Không xuất bản địa chỉ ruf. Mặc dù hầu hết những người nhận sẽ không sử dụng nó, một số nhà cung cấp nhỏ hơn và cổng doanh nghiệp gửi báo cáo pháp y. Bao gồm
ruftrong bản ghi DMARC của bạn không tốn gì và có thể cung cấp dữ liệu hữu ích. - Coi báo cáo pháp y như bounces. Báo cáo thất bại xác thực không có nghĩa là thư không được gửi. Kiểm tra trường
Delivery-Result— thư có thể đã được gửi đến thư mục thư rác mặc dù thất bại.
Tác động có thể gửi
- Phát hiện sớm các chiến dịch giả mạo. Khi ai đó lừa đảo bằng miền của bạn, báo cáo AFRF (nếu có sẵn) cung cấp các tiêu đề cụ thể và IP nguồn của các thư giả, cho phép phản ứng nhanh hơn trước sự cố.
- Gỡ lỗi các sai cấu hình xác thực. Báo cáo pháp y hiển thị
Auth-Failure: dkimvới một bộ chọn và miền cụ thể cho bạn biết chính xác khóa DKIM hoặc cấu hình ký nào bị hỏng. - Triển khai DMARC an toàn. Khi chuyển từ
p=nonesangp=quarantinehoặcp=reject, báo cáo pháp y giúp bạn xác định những người gửi hợp pháp không thành công xác thực trước khi những thư đó bắt đầu bị chặn. - Bổ sung dữ liệu tổng hợp. Báo cáo DMARC tổng hợp cho bạn thấy rằng 50 thư không thành công xác thực từ IP 192.0.2.55. Báo cáo pháp y cho bạn thấy các tiêu đề thực tế của một trong những thư đó, tiết lộ liệu đó là lừa đảo hay hệ thống hợp pháp được cấu hình sai.