Was ist ARC?

Blog

Authenticated Received Chain (ARC) ist ein Standard, der Probleme bei der DMARC-Authentifizierung erfolgreich abmildern kann. Aktivieren Sie DMARC ARC!

von Maitham Al Lawati

Lesezeit: 6 min
Was ist ARC?
Inhaltsverzeichnis-

Was ist ARC (Authenticated Received Chain)?

ARC Email oder Authenticated Received Chain ist ein E-Mail-Authentifizierungssystem, das die Authentifizierungsbewertung einer E-Mail bei jedem Schritt der Bearbeitung anzeigt. Einfacher ausgedrückt kann die Authenticated Received Chain als eine Verifizierungssequenz oder "Chain of Custody" für E-Mail-Nachrichten bezeichnet werden, die es jeder Instanz, die die Nachrichten bearbeitet, ermöglicht, alle Instanzen zu sehen, die sie zuvor bearbeitet haben. Als relativ neues Protokoll, das im Juli 2019 in RFC 8617 als "Experimental" veröffentlicht und dokumentiert wurde, ermöglicht Email ARC dem empfangenden Server die Validierung von E-Mails, selbst wenn SPF und DKIM von einem Zwischenserver ungültig gemacht werden.

Wichtigste Erkenntnisse

  1. ARC (Authenticated Received Chain) bietet eine überprüfbare "Chain of Custody" für E-Mail-Authentifizierungsergebnisse über mehrere Verarbeitungsserver hinweg.
  2. Es entschärft DMARC-Fehler, die von Zwischenhändlern wie Mailinglisten und Weiterleitungen verursacht werden, und bewahrt die Gültigkeit legitimer E-Mails.
  3. ARC ergänzt DMARC, indem es den Empfängern erlaubt, den ersten Authentifizierungsergebnissen zu vertrauen, und so die Zustellbarkeit verbessert, ohne DMARC zu ersetzen.
  4. Die Implementierung umfasst das Hinzufügen von ARC-Authentication-Results-, ARC-Seal- und ARC-Message-Signature-Headern zur Übermittlung von Validierungsinformationen.
  5. Die korrekte ARC-Signierung durch Vermittler ermöglicht es dem Endempfänger, die Authentizität der E-Mail trotz Änderungen, die normalerweise SPF/DKIM verletzen würden, zu überprüfen.

DMARC ARC

DMARC ARC ist eine wirksame Methode zur Umgehung von Schwachstellen in Ihrem DMARC-Authentifizierungssystem, die durch die Weiterleitung von E-Mails entstehen können. Es bewahrt die E-Mail-Informationen so auf, dass diese Nachrichten die Authentifizierungsprüfungen bestehen können. Sie möchten zwar, dass Ihre nicht autorisierten E-Mails blockiert werden, aber dass Ihre legitimen E-Mails nicht zugestellt werden, ist das Letzte, was Sie wollen. DMARC ARC unterhält bei jedem Schritt eine Verifizierungssequenz für Ihre E-Mails, um sicherzustellen, dass Ihre E-Mail-Kopfzeilen unverändert bleiben und an den nächsten Vermittler in der Reihe weitergegeben werden.

Vereinfachen Sie ARC mit PowerDMARC!

15-Tage-TestDemo buchen

Kann ARC als Ersatz für DMARC verwendet werden?

Die Antwort ist nein. ARC Email wurde entwickelt, um Authentifizierungskennungen während der gesamten Reise einer E-Mail weiterzugeben, unabhängig davon, wie viele Zwischenserver sie durchläuft. Email ARC hilft dabei, DMARC-Verifizierungsergebnisse zu bewahren und verhindert, dass Dritte und Mailbox-Anbieter die Kopfzeilen oder den Inhalt von Nachrichten verändern. ARC ist definitiv kein Ersatz für DMARC, sondern kann zusätzlich zu einer durchgesetzten DMARC-Richtlinie verwendet werden, um die Zustellbarkeit Ihrer E-Mails weiter zu verbessern.

Wie kann eine authentifizierte Empfangskette helfen?

Wie wir bereits wissen, ermöglicht DMARC die Authentifizierung einer E-Mail anhand der E-Mail-Authentifizierungsstandards SPF und DKIM und gibt dem Empfänger vor, wie er die E-Mails behandeln soll, die die Authentifizierung nicht bestehen oder bestehen. Wenn Sie jedoch in Ihrem Unternehmen eine strenge DMARC-Richtlinie einführen, besteht die Möglichkeit, dass selbst legitime E-Mails, die z. B. über eine Mailingliste oder einen Forwarder gesendet werden, die Authentifizierung nicht bestehen und dem Empfänger nicht zugestellt werden! Die Authenticated Received Chain hilft, dieses Problem wirksam zu entschärfen. Wie das geht, erfahren Sie im folgenden Abschnitt:

Situationen, in denen ARC helfen kann

  • Mailing-Listen 

Als Mitglied einer Mailingliste haben Sie die Möglichkeit, Nachrichten an alle Mitglieder der Liste auf einmal zu senden, indem Sie die Mailingliste selbst adressieren. Die Empfängeradresse leitet Ihre Nachricht dann an alle Mitglieder der Liste weiter. In der derzeitigen Situation kann DMARC diese Art von Nachrichten nicht validieren und die Authentifizierung schlägt fehl, obwohl die E-Mail von einer legitimen Quelle gesendet wurde! Der Grund dafür ist, dass SPF nicht mehr funktioniert, wenn eine Nachricht weitergeleitet wird. Da die Mailingliste oft zusätzliche Informationen in den E-Mail-Text einfügt, kann die DKIM-Signatur aufgrund von Änderungen im E-Mail-Inhalt ebenfalls ungültig werden.

  • Weiterleiten von Meldungen 

Wenn es einen indirekten Mailfluss gibt, z. B. wenn Sie eine E-Mail von einem Zwischenserver erhalten und nicht direkt vom sendenden Server, wie es bei weitergeleiteten Nachrichten der Fall ist, bricht SPF und Ihre E-Mail wird automatisch die DMARC-Authentifizierung nicht bestehen. Manche Forwarder verändern auch den E-Mail-Inhalt, weshalb auch die DKIM-Signaturen ungültig werden.

 

 

In solchen Situationen kommt die Authenticated Received Chain zur Rettung! Wie das geht? Lassen Sie es uns herausfinden:

Wie funktioniert DMARC ARC?

In den oben genannten Fällen hatten die Weiterleitungsstellen zunächst E-Mails von einer autorisierten Quelle erhalten, die anhand der DMARC-Einrichtung validiert worden waren. Die Authenticated Received Chain wurde als Spezifikation entwickelt, die es ermöglicht, den Authentication-Results-Header an den nächsten "Hop" in der Kette der Nachrichtenzustellung weiterzuleiten.

Wenn der E-Mail-Server des Empfängers eine Nachricht empfängt, deren DMARC-Authentifizierung fehlgeschlagen ist, versucht er im Falle einer weitergeleiteten Nachricht, die E-Mail ein zweites Mal anhand der für die E-Mail bereitgestellten Authenticated Received Chain zu validieren, indem er die Email ARC Authentication-Results des ersten Sprungs extrahiert, um zu überprüfen, ob sie als legitim validiert wurde, bevor der Vermittlungsserver sie an den empfangenden Server weitergeleitet hat.

Auf der Grundlage der extrahierten Informationen entscheidet der Empfänger, ob er zulässt, dass die ARC-E-Mail-Ergebnisse die DMARC-Richtlinie außer Kraft setzen, wodurch die E-Mail als authentisch und gültig gilt und normal in den Posteingang des Empfängers zugestellt werden kann.

Mit der ARC-Implementierung kann der Empfänger die E-Mail mit Hilfe der folgenden Informationen effektiv authentifizieren:

  • Die Authentifizierungsergebnisse, wie sie vom Zwischenserver bezeugt werden, zusammen mit der gesamten Historie der SPF- und DKIM-Validierungsergebnisse im ersten Hop.
  • Erforderliche Informationen zur Authentifizierung der gesendeten Daten.
  • Informationen, um die gesendete Signatur mit dem Zwischenserver zu verknüpfen, so dass die E-Mail im Empfangsserver validiert wird, auch wenn der Zwischenserver den Inhalt ändert, solange er eine neue und gültige DKIM-Signatur weiterleitet.

Implementierung der authentifizierten Empfangskette

ARC definiert drei neue Mail-Header:

  • ARC-Authentication-Results (AAR): An erster Stelle der Mail-Header steht der AAR, der die Authentifizierungsergebnisse wie SPF, DKIM und DMARC kapselt.

  • ARC-Seal (AS) - AS ist eine einfachere Version einer DKIM-Signatur, die Informationen zu den Ergebnissen des Authentifizierungs-Headers und der ARC-Signatur enthält.

  • ARC-Message-Signature (AMS ) - AMS ähnelt ebenfalls einer DKIM-Signatur, die ein Abbild des Nachrichten-Headers nimmt, das alles außer den ARC-Seal-Headern wie die Felder "An:" und "Von:", den Betreff und den gesamten Text der Nachricht enthält.

Schritte, die der Zwischenserver durchführt, um eine Änderung zu signieren:

Schritt 1: Der Server kopiert das Feld "Authentication-Results" in ein neues AAR-Feld und stellt es der Nachricht voran

Schritt 2: Der Server formuliert das AMS für die Nachricht (mit dem AAR) und stellt es der Nachricht voran.

Schritt 3: Der Server formuliert die AS für die vorherigen ARC-Seal-Header und fügt sie der Nachricht hinzu.

Um schließlich die authentifizierte Empfangskette zu validieren und herauszufinden, ob eine weitergeleitete Nachricht legitim ist oder nicht, validiert der Empfänger die Kette oder die ARC-Siegel-Header und die neueste ARC-Message-Signatur. Wenn die DMARC-ARC-Header in irgendeiner Weise verändert wurden, schlägt die E-Mail folglich bei der DKIM-Authentifizierung fehl. Wenn jedoch alle Mailserver, die an der Übertragung der Nachricht beteiligt sind, die ARC-Signatur korrekt übertragen, behält die E-Mail die Ergebnisse der DKIM-Authentifizierung bei und besteht die DMARC-Authentifizierung, was zu einer erfolgreichen Zustellung der Nachricht im Posteingang des Empfängers führt!

Die ARC-Implementierung sichert und unterstützt die DMARC-Einführung in Unternehmen, um sicherzustellen, dass jede legitime E-Mail ohne einen einzigen Fehler authentifiziert wird. Melden Sie sich noch heute für Ihre kostenlose DMARC-Testversion an!

Neueste Beiträge von Maitham Al Lawati (alle anzeigen)
Gründe für die Vermeidung von SPF-Flatteningspf abflachende illustrationzu viele DNS-LookupsWie behebt man zu viele DNS-Lookups?