ARC | DMARC ARC

Hvad er ARC (Authenticated Received Chain)?

ARC eller Authenticated Received Chain er et system til autentificering af e-mail, der viser en e-mail autentificeringsvurdering hvert trin under hele håndteringen. Forenklet sagt kan Authenticated Received Chain betegnes som en sekvens af verificering af e-mail-meddelelser, der gør det muligt for hver enhed, der håndterer meddelelserne, at se alle de enheder, der tidligere har håndteret dem. Som en relativt ny protokol, der blev offentliggjort og dokumenteret som "Experimental" i RFC 8617 i juli 2019, gør ARC det muligt for den modtagende server at validere e-mails, selv når SPF og DKIM er gjort ugyldige af en mellemliggende server.

DMARC ARC

DMARC ARC er en effektiv måde at omgå sårbarheder, der kan findes i dit DMARC-godkendelsessystem som følge af videresendelse af e-mail. Den bevarer e-mailoplysninger på en måde, der hjælper disse meddelelser med at bestå godkendelseskontrollen. Selv om du kræver, at dine uautoriserede e-mails bliver blokeret, er det sidste, du ønsker, at dine legitime e-mails ikke bliver leveret. DMARC ARC opretholder en sekvens af verificering af dine e-mails på hvert trin for at sikre, at dine e-mail-overskrifter forbliver uændrede og sendes videre til den næste mellemled i rækken.

Kan ARC bruges som erstatning for DMARC?

Svaret er nej. ARC er bygget til at videregive autentifikationsidentifikatorer sekventielt gennem hele e-mailens rejse, uanset hvor mange mellemliggende servere den går igennem. ARC hjælper med at bevare DMARC-verificeringsresultater og forhindrer tredjeparter og postkasseudbydere i at ændre meddelelseshovedlinjer eller indhold. ARC er bestemt ikke en erstatning for DMARC, men kan snarere bruges som supplement til en håndhævet DMARC-politik for yderligere at forbedre din e-mail-leveringsevne.

Hvordan kan godkendt modtaget kædehjælp?

Som vi allerede ved, giver DMARC mulighed for at autentificere en e-mail i forhold til SPF- og DKIM-standarderne for e-mailautentificering og angiver over for modtageren, hvordan de skal håndtere e-mails, der ikke består eller består autentificeringen. Men hvis du implementerer DMARC-håndhævelse i din organisation i henhold til en streng DMARC-politik, er der risiko for, at selv legitime e-mails, f.eks. dem, der sendes via en postliste eller en forwarding, ikke kan godkendes og ikke leveres til modtageren! Authenticated Received Chain hjælper med at mindske dette problem effektivt. Lad os lære hvordan i det følgende afsnit:

Situationer, hvor ARC kan hjælpe

  • Postlister 

Som medlem af en adresseliste har du beføjelse til at sende meddelelser til alle medlemmer på listen på én gang ved at adressere selve adresselisten. Modtagelsesadressen videresender derefter din meddelelse til alle listemedlemmer. I den nuværende situation undlader DMARC at validere disse typer meddelelser, og godkendelsen mislykkes, selvom e-mailen er sendt fra en legitim kilde! Dette skyldes, at SPF går i stykker, når en meddelelse videresendes. Da postlisten ofte fortsætter med at indeholde ekstra oplysninger i e-mail-brødteksten, kan DKIM-signaturen også blive ugyldiggjort på grund af ændringer i e-mail-indholdet.

  • Videresendelse af meddelelser 

Når der er et indirekte mailflow, f.eks. modtager du en e-mail fra en mellemliggende server og ikke direkte fra afsenderserveren, som i tilfælde af videresendte meddelelser, bryder SPF, og din e-mail mislykkes automatisk DMARC-godkendelse. Nogle speditører ændrer også e-mail-indholdet, hvorfor DKIM-underskrifterne også bliver ugyldige.

 

 

I sådanne situationer kommer den godkendte modtagne kæde til undsætning! Hvordan? Lad os finde ud af:

Hvordan fungerer DMARC ARC?

I de situationer, der er anført ovenfor, havde speditører oprindeligt modtaget e-mails, der var blevet valideret mod DMARC-opsætning fra en autoriseret kilde. Godkendt modtaget kæde er udviklet som en specifikation, der gør det muligt at overføre headeren Authentication-Results til det næste 'hop' i linjen for meddelelsesleveringen.

I tilfælde af en videresendt meddelelse, når modtagerens e-mail-server modtager en meddelelse, der ikke havde DMARC-godkendelse, forsøger den at validere e-mailen for anden gang mod den angivne godkendte modtagne kæde til e-mailen ved at udtrække ARC-godkendelsesresultaterne for det første hop for at kontrollere, om den blev valideret til at være legitim, før den mellemliggende server videresendte den til den modtagende server.

På grundlag af de udtrukne oplysninger beslutter modtageren, om ARC-resultaterne skal tilsidesætte DMARC-politikken og derved sende e-mailen som autentisk og gyldig og gøre det muligt at levere den normalt i modtagerens indbakke.

Med ARC-implementering kan modtageren effektivt godkende e-mailen ved hjælp af følgende oplysninger:

  • Autentificeringen resultater som bevidnet af den mellemliggende server, sammen med hele historien om SPF og DKIM validering resulterer i den oprindelige hop.
  • Nødvendige oplysninger for at godkende de sendte data.
  • Oplysninger, der linker den sendte signatur til den mellemliggende server, så e-mailen valideres på den modtagende server, selvom mellemmanden ændrer indholdet, så længe de videresender en ny og gyldig DKIM-signatur.

Implementering af den godkendte modtagne kæde

ARC definerer tre nye brevhoveder:

  • ARC-Authentication-Results (AAR):Først blandt postoverskrifterne er den AAR, der indkapsler godkendelsesresultaterne, f.eks.

  • ARC-Seal (AS) – AS er en enklere version af en DKIM-signatur, der indeholder oplysninger om godkendelsesheaderresultater og ARC-signatur.

  • ARC-Message-Signature (AMS) – AMS ligner også en DKIM-signatur, der tager et billede af brevhovedet, der inkorporerer alt bortset fra ARC-Seal-overskrifter som Til: og Fra: felter, emne og hele meddelelsens brødtekst.

Trin, der udføres af den midlertidige server for at signere en ændring:

Trin 1: Serveren kopierer feltet Godkendelsesresultater til et nyt AAR-felt og præfikser det til meddelelsen

Trin 2: Serveren formulerer AMS for meddelelsen (med AAR) og forbereder den i meddelelsen.

Trin 3: Serveren formulerer AS'en for de tidligere ARC-Seal-headere og føjer den til meddelelsen.

For at validere den autentificerede modtagne kæde og finde ud af, om en videresendt meddelelse er legitim eller ej, validerer modtageren endelig kæden eller ARC Seal-headers og den nyeste ARC-meddelelsessignatur. Hvis DMARC-ARC-headerne er blevet ændret på nogen måde, fejler e-mailen derfor DKIM-godkendelsen. Hvis alle de mailservere, der er involveret i transmissionen af meddelelsen, underskriver og sender ARC korrekt, bevarer e-mailen imidlertid DKIM-godkendelsesresultaterne og består DMARC-godkendelsen, hvilket resulterer i en vellykket levering af meddelelsen i modtagerens indbakke!

ARC-implementering bakker op og understøtter DMARC-adoption i organisationer for at sikre, at alle legitime e-mails bliver godkendt uden et eneste bortfald. Tilmeld dig din gratis DMARC prøveperiode i dag!