9. Privacy Considerations (隐私考虑)
本节讨论与 DMARC 报告的生成和传输相关的安全和隐私考虑。
9.1. Data Exposure Considerations (数据暴露考虑)
聚合报告的范围限于 DMARC 策略和处置结果、与底层认证机制相关的信息以及参与 DMARC 验证的标识符。
失败消息报告提供与认证失败相关的消息特定详细信息。单个报告可以包含消息内容以及跟踪头字段。域所有者能够分析单个报告并尝试确定认证机制失败的根本原因,深入了解配置错误或电子邮件和网络基础设施的其他问题,或检查消息以深入了解滥用行为。
两种报告类型都可能暴露敏感信息,包括:
-
发件人和收件人的电子邮件地址。
-
邮件服务器的 IP 地址,可用于推断网络拓扑。
-
认证基础设施详细信息,例如 DKIM 选择器名称和 SPF 机制。
-
电子邮件内容 (在失败报告中,如果包含)。
9.1.1. Aggregate Report Data (聚合报告数据)
聚合报告仅包含高级统计数据,不包括消息内容。但是,它们确实包括:
-
发送声称来自域所有者域的邮件的源 IP 地址。
-
来自每个源的邮件量。
-
SPF 和 DKIM 的认证结果 (通过/失败)。
-
标识符对齐结果。
此信息可能会用于映射域所有者的电子邮件基础设施或识别用于代表域发送电子邮件的第三方服务。
9.1.2. Failure Report Data (失败报告数据)
失败报告可以包含更敏感的信息,包括:
-
完整的消息头,可能包含内部路由信息。
-
消息正文 (如果包含),可能包含机密或个人信息。
-
认证详细信息,可能透露基础设施详细信息。
9.2. Report Recipients (报告接收方)
DMARC 记录可以指定应将报告发送到被报告域之外的地址。这会产生额外的隐私考虑:
-
第三方报告: 域所有者应该仔细考虑是否将报告定向到第三方服务。
-
数据共享: 将报告发送到外部地址意味着与第三方共享有关域的电子邮件基础设施和流量模式的信息。
-
验证要求: 第 7.1 节中描述的验证机制有助于确保外部报告目的地由域所有者合法授权。
域所有者应该:
-
仔细审查他们定向 DMARC 报告的任何第三方服务。
-
了解正在共享哪些数据以及将如何使用这些数据。
-
在可能的情况下使用加密 (例如 TLS) 进行报告传递,以保护传输中的数据。
-
考虑报告接收方的隐私政策,并确保它们与域所有者的隐私要求一致。
9.3. Data Minimization (数据最小化)
为了最小化隐私风险:
-
邮件接收方应该考虑失败报告中需要什么级别的详细信息,并避免包含超过需要的数据。
-
失败报告应该编辑或省略消息正文内容,除非专门需要用于调试。
-
域所有者应该将报告的分发限制为仅需要访问数据的那些方。
-
报告处理器应该实施适当的安全控制来保护报告数据。
9.4. Compliance with Privacy Regulations (遵守隐私法规)
域所有者和邮件接收方都应该确保他们对 DMARC 报告的处理符合适用的隐私法规,例如:
-
欧盟的 GDPR (通用数据保护条例)。
-
加利福尼亚州的 CCPA (加州消费者隐私法)。
-
其他地区或国家隐私法。
这包括:
-
确保处理报告中的数据有合法依据。
-
向可能包含在报告中的数据的个人提供适当的通知。
-
实施适当的安全措施来保护报告数据。
-
在适用的情况下尊重数据主体权利 (例如访问、删除)。