El formato de informe de abuso ( ARF ), también conocido como formato de informe de abuso de mensajería (MARF), es un formato estándar para informar spam por correo electrónico.
Yakov Shafranovich publicó un borrador que describe un formato estándar para los informes de bucle de retroalimentación (FBL) en abril de 2005 [1] y evolucionó hasta el RFC 5965 actual . [2] AOL , que fue pionera en este campo en 2003, inicialmente utilizó un formato diferente y pasó a este estándar de facto en 2008. [3] Los bucles de retroalimentación no tienen que usar ARF, pero la mayoría lo hace.
En enero de 2010, el IETF creó [4] un nuevo grupo de trabajo que se dedicaba a estandarizar el formato ARF. El grupo de trabajo se denominó Messaging Abuse Reporting Format WG o MARF, que produjo el RFC 5965. En 2012, se amplió con el RFC 6591 y el RFC 6692 para definir los Failure Reports (Informes de fallos ) para informar sobre fallos de autenticación de correo electrónico . En 2015, el último tipo de informe se amplió aún más con el RFC 7489 para definir los Failure Reports (Informes de fallos) de DMARC .
El formato ARF está diseñado para ser extensible, permitiendo la notificación genérica de spam, por ejemplo, de los usuarios a algún centro antispam o servicio de asistencia, o para operaciones de exclusión voluntaria . El formato define un nuevo tipo MIME que se incluirá en un multipart/reportarchivo adjunto e incluye al menos los encabezados del mensaje ofensivo. Aunque la descripción preliminar reconoce que algunos operadores pueden optar por modificar o redactar esa parte por razones de privacidad o legales, recomienda que se adjunte todo el mensaje de correo electrónico original, incluida la dirección del destinatario sin modificar.
Un informe FBL encapsulado en ARF incluye el mismo asunto que el mensaje ofensivo. Al igual que los mensajes de rebote , un informe de abuso consta de una parte legible por humanos, seguida de una parte legible por máquinas y el mensaje original. El tipo de la parte legible por máquinas es message/feedback-report, cuya definición es el núcleo del borrador. La extensibilidad se logra al incluir un campo Feedback-Type que caracteriza el informe. Los posibles valores de este campo son:
- abuso
- spam o cualquier otro tipo de abuso de correo electrónico;
- fraude
- indica algún tipo de fraude o actividad de phishing;
- virus
- informe de un virus encontrado en el mensaje original;
- otro
- cualquier otro comentario que no encaje en otros tipos;
- no es spam
- Se puede utilizar para denunciar un mensaje de correo electrónico que se marcó por error como spam. [5]
Se proporciona un registro IANA para el tipo de retroalimentación , así como para los demás nombres de campo. [6] Cada nombre de campo puede ser relevante para cualquier tipo de retroalimentación o solo para un tipo específico. Algunos campos pueden aparecer varias veces. Por ejemplo, el campo Source-IP , que contiene la dirección IP desde la que se recibió el mensaje original, puede aparecer en cualquier tipo de informe FBL, pero solo una vez; el campo Removal-Recipient , que indica las direcciones de correo electrónico que se eliminarán, solo puede aparecer en informes de exclusión voluntaria , pero una o más veces. Además, existe un subtipo DKIM-Failure , con su propio registro IANA.
A continuación se muestra un ejemplo de informe de abuso de correo electrónico. (Tenga en cuenta que solo se requieren las primeras tres líneas de la parte legible por máquina).
De: <[email protected]> Fecha: jue, 8 mar 2005 17:40:36 EDT Asunto: Reenvío: Gane dinero Para: <[email protected]> Versión MIME: 1.0 Tipo de contenido: multipart / report ; report-type = feedback-report ; bound = "part1_13d.2e68ed54_boundary" --part1_13d.2e68ed54_boundary Tipo de contenido: texto sin formato; conjunto de caracteres="US-ASCII" Codificación de transferencia de contenido: 7 bitsSe trata de un informe de abuso de correo electrónico correspondiente a un mensaje de correo electrónico recibido desde la dirección IP 192.0.2.2 el jueves 8 de marzo de 2005 a las 14:00:00 EDT. Para obtener más información sobre este formato, consulte http://www.mipassoc.org/arf/.--part1_13d.2e68ed54_boundary Tipo de contenido: mensaje/informe de retroalimentaciónTipo de retroalimentación: abuso Agente de usuario: SomeGenerator/1.0 Versión: 1 Correo original de: <[email protected]> Recibo original para: <[email protected]> Fecha de recepción: jueves, 8 de marzo de 2005 14:00:00 EDT IP de origen: 192.0.2.2 Resultados de autenticación: mail.example.com; spf=fail [email protected] Dominio denunciado: example.net URI denunciado: http://example.net/earn_money.html URI denunciado: mailto:[email protected] Destinatario de eliminación: [email protected]--part1_13d.2e68ed54_boundary Tipo de contenido: mensaje/rfc822 Disposición del contenido: en líneaDe: <[email protected]> Recibido: de mailserver.example.net (mailserver.example.net [192.0.2.2]) por example.com con ESMTP id M63d4137594e46; jue, 8 mar 2005 14:00:00 -0400 Para: <Undisclosed Recipients> Asunto: Gana dinero Versión MIME: 1.0 Tipo de contenido: text/plain Message-ID: [email protected] Fecha: jue, 2 sep 2004 12:31:03 -0500Spam Spam Spam Spam Spam Spam Spam Spam Spam Spam Spam Spam Spam Spam Spam --parte1_13d.2e68ed54_límite--