Was ist ARC (Authenticated Received Chain)?
ARC Email oder Authenticated Received Chain ist ein E-Mail-Authentifizierungssystem, das die Authentifizierungsbewertung einer E-Mail bei jedem Schritt der Bearbeitung anzeigt. Einfacher ausgedrückt kann die Authenticated Received Chain als eine Abfolge von Verifizierungen für E-Mail-Nachrichten bezeichnet werden, die es jeder Entität, die die Nachrichten bearbeitet, ermöglicht, alle Entitäten zu sehen, die sie zuvor bearbeitet haben. Als relativ neues Protokoll, das im Juli 2019 in RFC 8617 als "Experimental" veröffentlicht und dokumentiert wurde, ermöglicht Email ARC dem empfangenden Server, E-Mails auch dann zu validieren, wenn SPF und DKIM von einem Zwischenserver ungültig gemacht wurden.
DMARC ARC
DMARC ARC ist eine wirksame Methode zur Umgehung von Schwachstellen in Ihrem DMARC-Authentifizierungssystem, die durch die Weiterleitung von E-Mails entstehen können. Es bewahrt die E-Mail-Informationen so auf, dass diese Nachrichten die Authentifizierungsprüfungen bestehen können. Sie möchten zwar, dass Ihre nicht autorisierten E-Mails blockiert werden, aber dass Ihre legitimen E-Mails nicht zugestellt werden, ist das Letzte, was Sie wollen. DMARC ARC unterhält bei jedem Schritt eine Verifizierungssequenz für Ihre E-Mails, um sicherzustellen, dass Ihre E-Mail-Kopfzeilen unverändert bleiben und an den nächsten Vermittler in der Reihe weitergegeben werden.
Kann ARC als Ersatz für DMARC verwendet werden?
Die Antwort ist nein. ARC Email wurde entwickelt, um Authentifizierungskennungen während der gesamten Reise einer E-Mail weiterzugeben, unabhängig davon, wie viele Zwischenserver sie durchläuft. Email ARC hilft dabei, DMARC-Verifizierungsergebnisse zu bewahren und verhindert, dass Dritte und Mailbox-Anbieter die Kopfzeilen oder den Inhalt von Nachrichten verändern. ARC ist definitiv kein Ersatz für DMARC, sondern kann zusätzlich zu einer durchgesetzten DMARC-Richtlinie verwendet werden, um die Zustellbarkeit Ihrer E-Mails weiter zu verbessern.
Wie kann eine authentifizierte Empfangskette helfen?
Wie wir bereits wissen, ermöglicht DMARC die Authentifizierung einer E-Mail anhand der E-Mail-Authentifizierungsstandards SPF und DKIM und gibt dem Empfänger vor, wie er die E-Mails behandeln soll, die die Authentifizierung nicht bestehen oder bestehen. Wenn Sie jedoch in Ihrem Unternehmen eine strenge DMARC-Richtlinie einführen, besteht die Möglichkeit, dass selbst legitime E-Mails, die z. B. über eine Mailingliste oder einen Forwarder gesendet werden, die Authentifizierung nicht bestehen und dem Empfänger nicht zugestellt werden! Die Authenticated Received Chain hilft, dieses Problem wirksam zu entschärfen. Wie das geht, erfahren Sie im folgenden Abschnitt:
Situationen, in denen ARC helfen kann
- Mailing-Listen
Als Mitglied einer Mailingliste haben Sie die Möglichkeit, Nachrichten an alle Mitglieder der Liste auf einmal zu senden, indem Sie die Mailingliste selbst adressieren. Die Empfängeradresse leitet Ihre Nachricht dann anschließend an alle Listenmitglieder weiter. In der aktuellen Situation kann DMARC diese Art von Nachrichten nicht validieren und die Authentifizierung schlägt fehl, obwohl die E-Mail von einer legitimen Quelle gesendet wurde! Das liegt daran, dass SPF bei der Weiterleitung einer Nachricht versagt. Da die Mailingliste oft noch zusätzliche Informationen in den E-Mail-Body einbaut, kann die DKIM-Signatur auch durch Änderungen im E-Mail-Inhalt ungültig werden.
- Weiterleiten von Meldungen
Wenn es einen indirekten Mailfluss gibt, z. B. wenn Sie eine E-Mail von einem Zwischenserver erhalten und nicht direkt vom sendenden Server, wie es bei weitergeleiteten Nachrichten der Fall ist, bricht SPF und Ihre E-Mail wird automatisch die DMARC-Authentifizierung nicht bestehen. Manche Forwarder verändern auch den E-Mail-Inhalt, weshalb auch die DKIM-Signaturen ungültig werden.
In solchen Situationen kommt die Authenticated Received Chain zur Rettung! Wie das geht? Lassen Sie es uns herausfinden:
Wie funktioniert DMARC ARC?
In den oben genannten Fällen hatten die Weiterleitungsstellen zunächst E-Mails von einer autorisierten Quelle erhalten, die anhand der DMARC-Einrichtung validiert worden waren. Die Authenticated Received Chain wurde als Spezifikation entwickelt, die es ermöglicht, den Authentication-Results-Header an den nächsten "Hop" in der Kette der Nachrichtenzustellung weiterzuleiten.
Wenn der E-Mail-Server des Empfängers eine Nachricht empfängt, deren DMARC-Authentifizierung fehlgeschlagen ist, versucht er im Falle einer weitergeleiteten Nachricht, die E-Mail ein zweites Mal anhand der für die E-Mail bereitgestellten Authenticated Received Chain zu validieren, indem er die Email ARC Authentication-Results des ersten Sprungs extrahiert, um zu überprüfen, ob sie als legitim validiert wurde, bevor der Vermittlungsserver sie an den empfangenden Server weitergeleitet hat.
Auf der Grundlage der extrahierten Informationen entscheidet der Empfänger, ob er zulässt, dass die ARC-E-Mail-Ergebnisse die DMARC-Richtlinie außer Kraft setzen, wodurch die E-Mail als authentisch und gültig gilt und normal in den Posteingang des Empfängers zugestellt werden kann.
Mit der ARC-Implementierung kann der Empfänger die E-Mail mit Hilfe der folgenden Informationen effektiv authentifizieren:
- Die Authentifizierungsergebnisse, wie sie vom Zwischenserver bezeugt werden, zusammen mit der gesamten Historie der SPF- und DKIM-Validierungsergebnisse im ersten Hop.
- Erforderliche Informationen zur Authentifizierung der gesendeten Daten.
- Informationen, um die gesendete Signatur mit dem Zwischenserver zu verknüpfen, so dass die E-Mail im Empfangsserver validiert wird, auch wenn der Zwischenserver den Inhalt ändert, solange er eine neue und gültige DKIM-Signatur weiterleitet.
Implementierung der authentifizierten Empfangskette
ARC definiert drei neue Mail-Header:
- ARC-Authentication-Results (AAR): An erster Stelle der Mail-Header steht der AAR, der die Authentifizierungsergebnisse wie SPF, DKIM und DMARC kapselt.
- ARC-Seal (AS) - AS ist eine einfachere Version einer DKIM-Signatur, die Informationen zu den Ergebnissen des Authentifizierungs-Headers und der ARC-Signatur enthält.
- ARC-Message-Signature (AMS ) - AMS ähnelt ebenfalls einer DKIM-Signatur, die ein Abbild des Nachrichten-Headers nimmt, das alles außer den ARC-Seal-Headern wie die Felder "An:" und "Von:", den Betreff und den gesamten Text der Nachricht enthält.
Schritte, die der Zwischenserver durchführt, um eine Änderung zu signieren:
Schritt 1: Der Server kopiert das Feld "Authentication-Results" in ein neues AAR-Feld und stellt es der Nachricht voran
Schritt 2: Der Server formuliert das AMS für die Nachricht (mit dem AAR) und stellt es der Nachricht voran.
Schritt 3: Der Server formuliert die AS für die vorherigen ARC-Seal-Header und fügt sie der Nachricht hinzu.
Um schließlich die authentifizierte Empfangskette zu validieren und herauszufinden, ob eine weitergeleitete Nachricht legitim ist oder nicht, validiert der Empfänger die Kette oder die ARC-Siegel-Header und die neueste ARC-Message-Signatur. Wenn die DMARC-ARC-Header in irgendeiner Weise verändert wurden, schlägt die E-Mail folglich bei der DKIM-Authentifizierung fehl. Wenn jedoch alle Mailserver, die an der Übertragung der Nachricht beteiligt sind, die ARC-Signatur korrekt übertragen, behält die E-Mail die Ergebnisse der DKIM-Authentifizierung bei und besteht die DMARC-Authentifizierung, was zu einer erfolgreichen Zustellung der Nachricht im Posteingang des Empfängers führt!
Die ARC-Implementierung sichert und unterstützt die DMARC-Einführung in Unternehmen, um sicherzustellen, dass jede legitime E-Mail ohne einen einzigen Fehler authentifiziert wird. Melden Sie sich noch heute für Ihre kostenlose DMARC-Testversion an!
- SPF-Perror beheben: Überwindung der SPF-Grenze für zu viele DNS-Lookups - April 26, 2024
- Wie veröffentlicht man einen DMARC-Datensatz in 3 Schritten? - 2. April 2024
- Warum funktioniert DMARC nicht? Behebung von DMARC-Fehlern im Jahr 2024 - 2. April 2024