Wichtiger Hinweis: Google und Yahoo werden DMARC ab April 2024 vorschreiben.
PowerDMARC

Ihr umfassender Leitfaden zum Authenticated Received Chain (ARC)-System für DMARC

Authentifizierung erhaltene Kette

Authentifizierung erhaltene Kette

Lesezeit: 4 min

ARC oder Authenticated Received Chain ist ein E-Mail-Authentifizierungssystem, das die Authentifizierungsbewertung einer E-Mail bei jedem Schritt der Bearbeitung anzeigt. Vereinfacht ausgedrückt kann die Authenticated Received Chain als eine "Verwahrkette" für E-Mail-Nachrichten bezeichnet werden, die es jeder Entität, die die Nachrichten bearbeitet, ermöglicht, alle Entitäten, die sie zuvor bearbeitet haben, effektiv zu sehen. Als relativ neues Protokoll, das im Juli 2019 in RFC 8617 als "Experimental" veröffentlicht und dokumentiert wurde, ermöglicht ARC dem empfangenden Server, E-Mails auch dann zu validieren, wenn SPF und DKIM von einem Zwischenserver ungültig gemacht wurden.

Wie kann eine authentifizierte Empfangskette helfen?

Wie wir bereits wissen, ermöglicht DMARC die Authentifizierung einer E-Mail anhand der E-Mail-Authentifizierungsstandards SPF und DKIM und gibt dem Empfänger vor, wie er die E-Mails behandeln soll, die die Authentifizierung nicht bestehen oder bestehen. Wenn Sie jedoch in Ihrem Unternehmen eine strenge DMARC-Richtlinie einführen, besteht die Möglichkeit, dass selbst legitime E-Mails, die z. B. über eine Mailingliste oder einen Forwarder gesendet werden, die Authentifizierung nicht bestehen und dem Empfänger nicht zugestellt werden! Die Authenticated Received Chain hilft, dieses Problem wirksam zu entschärfen. Wie das geht, erfahren Sie im folgenden Abschnitt:

Situationen, in denen ARC helfen kann

Als Mitglied einer Mailingliste haben Sie die Möglichkeit, Nachrichten an alle Mitglieder der Liste auf einmal zu senden, indem Sie die Mailingliste selbst adressieren. Die Empfängeradresse leitet Ihre Nachricht dann anschließend an alle Listenmitglieder weiter. In der aktuellen Situation kann DMARC diese Art von Nachrichten nicht validieren und die Authentifizierung schlägt fehl, obwohl die E-Mail von einer legitimen Quelle gesendet wurde! Das liegt daran, dass SPF bei der Weiterleitung einer Nachricht versagt. Da die Mailingliste oft noch zusätzliche Informationen in den E-Mail-Body einbaut, kann die DKIM-Signatur auch durch Änderungen im E-Mail-Inhalt ungültig werden.

Wenn es einen indirekten Mailfluss gibt, z. B. wenn Sie eine E-Mail von einem Zwischenserver erhalten und nicht direkt vom sendenden Server, wie es bei weitergeleiteten Nachrichten der Fall ist, bricht SPF und Ihre E-Mail wird automatisch die DMARC-Authentifizierung nicht bestehen. Manche Forwarder verändern auch den E-Mail-Inhalt, weshalb auch die DKIM-Signaturen ungültig werden.

 

 

In solchen Situationen kommt die Authenticated Received Chain zur Rettung! Wie das geht? Lassen Sie es uns herausfinden:

Wie funktioniert ARC?

In den oben genannten Fällen hatten die Weiterleitungsstellen zunächst E-Mails von einer autorisierten Quelle erhalten, die anhand der DMARC-Einrichtung validiert worden waren. Die Authenticated Received Chain wurde als Spezifikation entwickelt, die es ermöglicht, den Authentication-Results-Header an den nächsten "Hop" in der Kette der Nachrichtenzustellung weiterzuleiten.

Wenn der E-Mail-Server des Empfängers eine Nachricht empfängt, deren DMARC-Authentifizierung fehlgeschlagen ist, versucht er im Falle einer weitergeleiteten Nachricht, die E-Mail ein zweites Mal anhand der bereitgestellten Authenticated Received Chain für die E-Mail zu validieren, indem er die ARC-Authentifizierungsergebnisse des ersten Sprungs extrahiert, um zu prüfen, ob sie als legitim validiert wurde, bevor der Vermittlungsserver sie an den empfangenden Server weitergeleitet hat.

Auf der Grundlage der extrahierten Informationen entscheidet der Empfänger, ob er zulässt, dass die ARC-Ergebnisse die DMARC-Richtlinie außer Kraft setzen, wodurch die E-Mail als authentisch und gültig durchgeht und normal in den Posteingang des Empfängers zugestellt werden kann.

Mit der ARC-Implementierung kann der Empfänger die E-Mail mit Hilfe der folgenden Informationen effektiv authentifizieren:

Implementierung der authentifizierten Empfangskette

ARC definiert drei neue Mail-Header:

Schritte, die der Zwischenserver durchführt, um eine Änderung zu signieren:

Schritt 1: Der Server kopiert das Feld "Authentication-Results" in ein neues AAR-Feld und stellt es der Nachricht voran

Schritt 2: Der Server formuliert das AMS für die Nachricht (mit dem AAR) und stellt es der Nachricht voran.

Schritt 3: Der Server formuliert die AS für die vorherigen ARC-Seal-Header und fügt sie der Nachricht hinzu.

Um schließlich die authentifizierte Empfangskette zu validieren und herauszufinden, ob eine weitergeleitete Nachricht legitim ist oder nicht, validiert der Empfänger die Kette oder die ARC-Siegel-Header und die neueste ARC-Message-Signatur. Sollten die ARC-Header in irgendeiner Weise verändert worden sein, schlägt die E-Mail folglich bei der DKIM-Authentifizierung fehl. Wenn jedoch alle an der Übertragung der Nachricht beteiligten Mailserver ARC korrekt signieren und übertragen, behält die E-Mail die Ergebnisse der DKIM-Authentifizierung bei und besteht die DMARC-Authentifizierung, was zur erfolgreichen Zustellung der Nachricht im Posteingang des Empfängers führt!

Die ARC-Implementierung sichert und unterstützt die DMARC-Einführung in Unternehmen, um sicherzustellen, dass jede legitime E-Mail ohne einen einzigen Lapsus authentifiziert wird. Melden Sie sich noch heute für Ihre kostenlose DMARC-Testversion an!

Beenden der mobilen Version