Su guía completa del sistema de cadena de recepción autenticada (ARC) para DMARC

cadena de autenticación recibida

ARC o Cadena Autenticada Recibida es un sistema de autenticación de correo electrónico que muestra la evaluación de la autenticación de un correo electrónico en cada paso del camino, a lo largo de su manipulación. En términos más sencillos, la cadena de recepción autenticada puede denominarse como una "cadena de custodia" para los mensajes de correo electrónico que permite a cada entidad que maneja los mensajes ver efectivamente todas las entidades que lo han manejado previamente. Como protocolo relativamente nuevo publicado y documentado como "Experimental" en el RFC 8617 de julio de 2019, ARC permite al servidor receptor validar los correos electrónicos incluso cuando SPF y DKIM son invalidados por un servidor intermedio.

¿Cómo puede ayudar la cadena de recepción autentificada?

Como ya sabemos, DMARC permite autenticar un correo electrónico con los estándares de autenticación de correo electrónico SPF y DKIM, especificando al receptor cómo manejar los correos electrónicos que fallan o pasan la autenticación. Sin embargo, si usted implementa la aplicación de DMARC en su organización con una política estricta de DMARC, hay posibilidades de que incluso los correos electrónicos legítimos, como los enviados a través de una lista de correo o un reenviador, pueden fallar la autenticación y no ser entregados al receptor. La cadena de recepción autenticada ayuda a mitigar este problema de forma eficaz. Aprendamos cómo en la siguiente sección:

Situaciones en las que la ARC puede ayudar

  • Listas de correo 

Como miembro de una lista de correo, tiene la posibilidad de enviar mensajes a todos los miembros de la lista de una sola vez dirigiéndose a la propia lista de correo. La dirección receptora reenvía posteriormente su mensaje a todos los miembros de la lista. En la situación actual, DMARC no valida este tipo de mensajes y la autenticación falla aunque el correo electrónico haya sido enviado desde una fuente legítima. Esto se debe a que el SPF se rompe cuando se reenvía un mensaje. Como la lista de correo suele incorporar información extra en el cuerpo del correo, la firma DKIM también puede quedar invalidada debido a los cambios en el contenido del correo.

  • Reenvío de mensajes 

Cuando hay un flujo de correo indirecto, por ejemplo, cuando se recibe un correo electrónico de un servidor intermedio y no directamente del servidor de envío, como en el caso de los mensajes reenviados, el SPF se rompe y su correo electrónico fallará automáticamente la autenticación DMARC. Algunos reenviadores también alteran el contenido del correo electrónico, por lo que las firmas DKIM también quedan invalidadas.

 

Cadena autenticada recibida

 

En estas situaciones, la cadena de recepción autentificada viene al rescate. ¿Cómo? Averigüémoslo:

¿Cómo funciona el ARC?

En las situaciones mencionadas anteriormente, los reenviadores habían recibido inicialmente correos electrónicos que habían sido validados según la configuración DMARC, desde una fuente autorizada. Authenticated Received Chain se ha desarrollado como una especificación que permite que la cabecera Authentication-Results pase al siguiente "salto" en la línea de entrega del mensaje.

En el caso de un mensaje reenviado, cuando el servidor de correo electrónico del receptor recibe un mensaje que ha fallado en la autenticación DMARC, intenta validar el correo electrónico por segunda vez, contra la Cadena Autenticada Recibida proporcionada para el correo electrónico, extrayendo los Resultados de Autenticación ARC del salto inicial, para comprobar si fue validado como legítimo antes de que el servidor intermediario lo reenviara al servidor receptor.

Sobre la base de la información extraída, el receptor decide si permite que los resultados de ARC anulen la política DMARC, pasando así el correo electrónico como auténtico y válido y permitiendo que se entregue normalmente en la bandeja de entrada del receptor.

Con la implementación de ARC, el receptor puede autenticar efectivamente el correo electrónico con la ayuda de la siguiente información:

  • Los resultados de autenticación presenciados por el servidor intermedio, junto con todo el historial de resultados de validación SPF y DKIM en el salto inicial.
  • Información necesaria para autentificar los datos enviados.
  • Información para vincular la firma enviada al servidor intermediario, de forma que el correo electrónico se valide en el servidor receptor aunque el intermediario altere el contenido, siempre que remita una firma DKIM nueva y válida.

Implementación de la cadena de recepción autenticada

ARC define tres nuevas cabeceras de correo:

  • ARC-Resultados de Autenticación (AAR): El primero de los encabezados de correo es el AAR que encapsula los resultados de autenticación como SPF, DKIM y DMARC.

Cadena autenticada recibida

  • ARC-Seal (AS) - AS es una versión más simple de una firma DKIM, que contiene información sobre los resultados de la cabecera de autenticación, y la firma ARC.

Cadena autenticada recibida

  • ARC-Message-Signature (AMS) - AMS es también similar a una firma DKIM, que toma una imagen de la cabecera del mensaje que incorpora todo, aparte de las cabeceras ARC-Seal, como los campos To: y From:, el asunto y el cuerpo completo del mensaje.

Cadena autenticada recibida

Pasos realizados por el servidor intermedio para firmar una modificación:

Paso 1: el servidor copia el campo Authentication-Results en un nuevo campo AAR y lo antepone al mensaje

Paso 2: el servidor formula la MGA para el mensaje (con el AAR) y la adjunta al mensaje.

Paso 3: el servidor formula el AS para las cabeceras ARC-Seal anteriores y lo añade al mensaje.

Por último, para validar la cadena autenticada recibida y averiguar si un mensaje reenviado es legítimo o no, el receptor valida la cadena o las cabeceras del sello ARC y la firma más reciente del mensaje ARC. Si en el caso de que las cabeceras ARC hayan sido alteradas de alguna manera, el correo electrónico falla consecuentemente la autenticación DKIM. Sin embargo, si todos los servidores de correo involucrados en la transmisión del mensaje firman y transmiten correctamente ARC, entonces el correo electrónico conserva los resultados de la autenticación DKIM, y pasa la autenticación DMARC, lo que resulta en la entrega exitosa del mensaje en la bandeja de entrada del receptor.

La implementación de ARC respalda y apoya la adopción de DMARC en las organizaciones para asegurarse de que cada correo electrónico legítimo se autentique sin un solo fallo. Regístrese hoy mismo para obtener una prueba gratuita de DM ARC.

Cadena autenticada recibida

Últimas publicaciones de Ahona Rudra (ver todas)
/por
También te puede gustar
ccs powerdmarc blogPowerDMARC se une al proveedor comercial de la Corona británica G-Cloud 12!
abuso de dominio¿Cómo evita DMARC el abuso de dominios?
powerdmarc configurar entrada de blogAsociación de PowerDMARC con Config
cadena de autenticación recibida¿Qué es el ARC?
asegurar dominios aparcados inactivosUso de DMARC para proteger sus dominios inactivos/estacionados
blog del black fridayEl Viernes Negro provocará un aumento de los ataques de suplantación de identidad por correo electrónico: ¿está usted preparado?
¿Qué es el ataque de degradación de TLS? Cómo viene el MTA-STS al rescate?man in the middle snifferreenvío de correo electrónicoReenvío de correo electrónico y su impacto en la autenticación DMARC-Resultados