ARC oder Authenticated Received Chain ist ein E-Mail-Authentifizierungssystem, das die Authentifizierungsbewertung einer E-Mail bei jedem Schritt der Bearbeitung anzeigt. Vereinfacht ausgedrückt kann die Authenticated Received Chain als eine "Verwahrkette" für E-Mail-Nachrichten bezeichnet werden, die es jeder Einheit, die die Nachrichten bearbeitet, ermöglicht, alle Einheiten zu sehen, die sie zuvor bearbeitet haben. Als relativ neues Protokoll, das im Juli 2019 in RFC 8617 als "Experimental" veröffentlicht und dokumentiert wurde, ermöglicht ARC dem empfangenden Server, E-Mails zu validieren, selbst wenn SPF und DKIM von einem Zwischenserver ungültig gemacht werden.
Wie kann eine authentifizierte Empfangskette helfen?
Wie wir bereits wissen, ermöglicht DMARC die Authentifizierung einer E-Mail anhand der E-Mail-Authentifizierungsstandards SPF und DKIM und gibt dem Empfänger vor, wie er die E-Mails behandeln soll, die die Authentifizierung nicht bestehen oder bestehen. Wenn Sie jedoch in Ihrem Unternehmen eine strenge DMARC-Richtlinie einführen, besteht die Möglichkeit, dass selbst legitime E-Mails, die z. B. über eine Mailingliste oder einen Forwarder gesendet werden, die Authentifizierung nicht bestehen und dem Empfänger nicht zugestellt werden! Die Authenticated Received Chain hilft, dieses Problem wirksam zu entschärfen. Wie das geht, erfahren Sie im folgenden Abschnitt:
Situationen, in denen ARC helfen kann
- Mailing-Listen
Als Mitglied einer Mailingliste haben Sie die Möglichkeit, Nachrichten an alle Mitglieder der Liste auf einmal zu senden, indem Sie die Mailingliste selbst adressieren. Die Empfängeradresse leitet Ihre Nachricht dann an alle Mitglieder der Liste weiter. In der derzeitigen Situation kann DMARC diese Art von Nachrichten nicht validieren und die Authentifizierung schlägt fehl, obwohl die E-Mail von einer legitimen Quelle gesendet wurde! Der Grund dafür ist, dass SPF nicht mehr funktioniert, wenn eine Nachricht weitergeleitet wird. Da die Mailingliste oft zusätzliche Informationen in den E-Mail-Text einfügt, kann die DKIM-Signatur aufgrund von Änderungen im E-Mail-Inhalt ebenfalls ungültig werden.
- Weiterleiten von Meldungen
Wenn es einen indirekten Mailfluss gibt, z. B. wenn Sie eine E-Mail von einem Zwischenserver erhalten und nicht direkt vom sendenden Server, wie es bei weitergeleiteten Nachrichten der Fall ist, bricht SPF und Ihre E-Mail wird automatisch die DMARC-Authentifizierung nicht bestehen. Manche Forwarder verändern auch den E-Mail-Inhalt, weshalb auch die DKIM-Signaturen ungültig werden.
In solchen Situationen kommt die Authenticated Received Chain zur Rettung! Wie das geht? Lassen Sie es uns herausfinden:
Wie funktioniert ARC?
In den oben genannten Fällen hatten die Weiterleitungsstellen zunächst E-Mails von einer autorisierten Quelle erhalten, die anhand der DMARC-Einrichtung validiert worden waren. Die Authenticated Received Chain wurde als Spezifikation entwickelt, die es ermöglicht, den Authentication-Results-Header an den nächsten "Hop" in der Kette der Nachrichtenzustellung weiterzuleiten.
Wenn der E-Mail-Server des Empfängers eine Nachricht empfängt, deren DMARC-Authentifizierung fehlgeschlagen ist, versucht er im Falle einer weitergeleiteten Nachricht, die E-Mail ein zweites Mal anhand der bereitgestellten Authenticated Received Chain für die E-Mail zu validieren, indem er die ARC-Authentifizierungsergebnisse des ersten Sprungs extrahiert, um zu prüfen, ob sie als legitim validiert wurde, bevor der Vermittlungsserver sie an den empfangenden Server weitergeleitet hat.
Auf der Grundlage der extrahierten Informationen entscheidet der Empfänger, ob er zulässt, dass die ARC-Ergebnisse die DMARC-Richtlinie außer Kraft setzen, wodurch die E-Mail als authentisch und gültig durchgeht und normal in den Posteingang des Empfängers zugestellt werden kann.
Mit der ARC-Implementierung kann der Empfänger die E-Mail mit Hilfe der folgenden Informationen effektiv authentifizieren:
- Die Authentifizierungsergebnisse, wie sie vom Zwischenserver bezeugt werden, zusammen mit der gesamten Historie der SPF- und DKIM-Validierungsergebnisse im ersten Hop.
- Erforderliche Informationen zur Authentifizierung der gesendeten Daten.
- Informationen, um die gesendete Signatur mit dem Zwischenserver zu verknüpfen, so dass die E-Mail im Empfangsserver validiert wird, auch wenn der Zwischenserver den Inhalt ändert, solange er eine neue und gültige DKIM-Signatur weiterleitet.
Implementierung der authentifizierten Empfangskette
ARC definiert drei neue Mail-Header:
- ARC-Authentication-Results (AAR): An erster Stelle der Mail-Header steht der AAR, der die Authentifizierungsergebnisse wie SPF, DKIM und DMARC kapselt.
- ARC-Seal (AS) - AS ist eine einfachere Version einer DKIM-Signatur, die Informationen zu den Ergebnissen des Authentifizierungs-Headers und der ARC-Signatur enthält.
- ARC-Message-Signature (AMS ) - AMS ähnelt ebenfalls einer DKIM-Signatur, die ein Abbild des Nachrichten-Headers nimmt, das alles außer den ARC-Seal-Headern wie die Felder "An:" und "Von:", den Betreff und den gesamten Text der Nachricht enthält.
Schritte, die der Zwischenserver durchführt, um eine Änderung zu signieren:
Schritt 1: Der Server kopiert das Feld "Authentication-Results" in ein neues AAR-Feld und stellt es der Nachricht voran
Schritt 2: Der Server formuliert das AMS für die Nachricht (mit dem AAR) und stellt es der Nachricht voran.
Schritt 3: Der Server formuliert die AS für die vorherigen ARC-Seal-Header und fügt sie der Nachricht hinzu.
Um schließlich die authentifizierte Empfangskette zu validieren und herauszufinden, ob eine weitergeleitete Nachricht legitim ist oder nicht, validiert der Empfänger die Kette oder die ARC-Siegel-Header und die neueste ARC-Message-Signatur. Sollten die ARC-Header in irgendeiner Weise verändert worden sein, schlägt die E-Mail folglich bei der DKIM-Authentifizierung fehl. Wenn jedoch alle an der Übertragung der Nachricht beteiligten Mailserver ARC korrekt signieren und übertragen, behält die E-Mail die Ergebnisse der DKIM-Authentifizierung bei und besteht die DMARC-Authentifizierung, was zur erfolgreichen Zustellung der Nachricht im Posteingang des Empfängers führt!
Die ARC-Implementierung sichert und unterstützt die DMARC-Einführung in Unternehmen, um sicherzustellen, dass jede legitime E-Mail ohne einen einzigen Lapsus authentifiziert wird. Melden Sie sich noch heute für Ihre kostenlose DMARC-Testversion an!
- Wie man DKIM-Fehler behebt - 9. Januar 2025
- Was ist eine DMARC-Richtlinie? Keine, Quarantäne und Zurückweisung - 9. Januar 2025
- Behebung von "Kein DMARC-Eintrag gefunden" in 5 einfachen Schritten - 6. Januar 2025