• Su guía completa del sistema de cadena de recepción autenticada (ARC) para DMARC

Su guía completa del sistema de cadena de recepción autenticada (ARC) para DMARC

Blog

La cadena de recepción autenticada (ARC) es un nuevo estándar que puede mitigar con éxito los problemas de fallo en la autenticación DMARC. Siga leyendo para saber cómo.

por Maitham Al Lawati

Tiempo de lectura: 5 min
Su guía completa del sistema de cadena de recepción autenticada (ARC) para DMARC
Índice-

ARC o Cadena Autenticada Recibida es un sistema de autenticación de correo electrónico que muestra la evaluación de la autenticación de un mensaje de correo electrónico en cada paso del camino, a lo largo de su manipulación. En términos más sencillos, la cadena autenticada recibida puede denominarse como una "cadena de custodia" para los mensajes de correo electrónico que permite a cada entidad que maneja los mensajes ver efectivamente todas las entidades que lo manejaron previamente. Como protocolo relativamente nuevo publicado y documentado como "Experimental" en RFC 8617 en julio de 2019, ARC permite al servidor receptor validar los mensajes de correo electrónico incluso cuando SPF y DKIM son invalidados por un servidor intermedio.

Puntos clave

  1. Authenticated Received Chain (ARC) proporciona una forma de verificar la autenticidad de los correos electrónicos a medida que se reenvían a través de varios servidores.
  2. ARC ayuda a mitigar los problemas de entrega causados por las estrictas políticas DMARC que a menudo rechazan correos electrónicos legítimos de listas de correo y reenviadores.
  3. La implementación de ARC se basa en tres nuevas cabeceras de correo: ARC-Authentication-Results, ARC-Seal y ARC-Message-Signature.
  4. Al preservar los resultados de autenticación a través de varios saltos de correo electrónico, ARC permite a los receptores validar correos electrónicos incluso cuando DKIM y SPF pueden fallar.
  5. La implantación de ARC mejora la adopción de DMARC al garantizar que los correos electrónicos legítimos se autentican y se entregan correctamente.

¿Cómo puede ayudar la cadena de recepción autentificada?

Como ya sabemos, DMARC permite que un correo electrónico se autentique según los estándares de autenticación de correo electrónico SPF y DKIM, especificando al receptor cómo tratar los correos electrónicos que fallan o superan la autenticación. Sin embargo, si implementa la aplicación de DMARC en su organización según una política DMARC estricta, es posible que incluso los correos electrónicos legítimos, como los enviados a través de una lista de correo o un reenviador, no pasen la autenticación y no se entreguen al destinatario. Authenticated Received Chain ayuda a mitigar este problema de forma eficaz. Veamos cómo en la siguiente sección:

¡Simplifique la seguridad con PowerDMARC!

Prueba de 15 díasAgendar demo

Situaciones en las que la ARC puede ayudar

  • Listas de correo 

Como miembro de una lista de correo, tiene la posibilidad de enviar mensajes a todos los miembros de la lista de una sola vez dirigiéndose a la propia lista de correo. La dirección receptora reenvía posteriormente su mensaje a todos los miembros de la lista. En la situación actual, DMARC no valida este tipo de mensajes y la autenticación falla aunque el correo electrónico haya sido enviado desde una fuente legítima. Esto se debe a que SPF se rompe cuando se reenvía un mensaje. Como la lista de correo suele incorporar información adicional en el cuerpo del mensaje, la firma DKIM también puede quedar invalidada debido a cambios en el contenido del mensaje.

  • Reenvío de mensajes 

Cuando hay un flujo de correo indirecto, por ejemplo, cuando se recibe un correo electrónico de un servidor intermedio y no directamente del servidor de envío, como en el caso de los mensajes reenviados, el SPF se rompe y su correo electrónico fallará automáticamente la autenticación DMARC. Algunos reenviadores también alteran el contenido del correo electrónico, por lo que las firmas DKIM también quedan invalidadas.

 

 

En estas situaciones, la cadena de recepción autentificada viene al rescate. ¿Cómo? Averigüémoslo:

¿Cómo funciona el ARC?

En las situaciones mencionadas anteriormente, los reenviadores habían recibido inicialmente correos electrónicos que habían sido validados según la configuración DMARC, desde una fuente autorizada. Authenticated Received Chain se ha desarrollado como una especificación que permite que la cabecera Authentication-Results pase al siguiente "salto" en la línea de entrega del mensaje.

En el caso de un mensaje reenviado, cuando el servidor de correo electrónico del receptor recibe un mensaje que ha fallado en la autenticación DMARC, intenta validar el correo electrónico por segunda vez, contra la Cadena Autenticada Recibida proporcionada para el correo electrónico, extrayendo los Resultados de Autenticación ARC del salto inicial, para comprobar si fue validado como legítimo antes de que el servidor intermediario lo reenviara al servidor receptor.

Sobre la base de la información extraída, el receptor decide si permite que los resultados de ARC anulen la política DMARC, pasando así el correo electrónico como auténtico y válido y permitiendo que se entregue normalmente en la bandeja de entrada del receptor.

Con la implementación de ARC, el receptor puede autenticar efectivamente el correo electrónico con la ayuda de la siguiente información:

  • Los resultados de autenticación presenciados por el servidor intermedio, junto con todo el historial de resultados de validación SPF y DKIM en el salto inicial.
  • Información necesaria para autentificar los datos enviados.
  • Información para vincular la firma enviada al servidor intermediario, de forma que el correo electrónico se valide en el servidor receptor aunque el intermediario altere el contenido, siempre que remita una firma DKIM nueva y válida.

Implementación de la cadena de recepción autenticada

ARC define tres nuevas cabeceras de correo:

  • ARC-Resultados de Autenticación (AAR): El primero de los encabezados de correo es el AAR que encapsula los resultados de autenticación como SPF, DKIM y DMARC.

  • ARC-Seal (AS) - AS es una versión más simple de una firma DKIM, que contiene información sobre los resultados de la cabecera de autenticación, y la firma ARC.

  • ARC-Message-Signature (AMS) - AMS es también similar a una firma DKIM, que toma una imagen de la cabecera del mensaje que incorpora todo, aparte de las cabeceras ARC-Seal, como los campos To: y From:, el asunto y el cuerpo completo del mensaje.

Pasos realizados por el servidor intermedio para firmar una modificación:

Paso 1: el servidor copia el campo Authentication-Results en un nuevo campo AAR y lo antepone al mensaje

Paso 2: el servidor formula la MGA para el mensaje (con el AAR) y la adjunta al mensaje.

Paso 3: el servidor formula el AS para las cabeceras ARC-Seal anteriores y lo añade al mensaje.

Por último, para validar la cadena autenticada recibida y averiguar si un mensaje reenviado es legítimo o no, el receptor valida la cadena o las cabeceras del sello ARC y la firma más reciente del mensaje ARC. Si en el caso de que las cabeceras ARC hayan sido alteradas de alguna manera, el correo electrónico falla consecuentemente la autenticación DKIM. Sin embargo, si todos los servidores de correo involucrados en la transmisión del mensaje firman y transmiten correctamente ARC, entonces el correo electrónico conserva los resultados de la autenticación DKIM, y pasa la autenticación DMARC, lo que resulta en la entrega exitosa del mensaje en la bandeja de entrada del receptor.

La implementación de ARC respalda y apoya la adopción de DMARC en las organizaciones para asegurarse de que cada correo electrónico legítimo se autentique sin un solo fallo. Regístrese hoy mismo para obtener una prueba gratuita de DM ARC.

Últimos comentarios de Maitham Al Lawati (ver todos)
¿Qué es el ataque de degradación de TLS? Cómo viene el MTA-STS al rescate?man in the middle snifferreenvío de correo electrónicoReenvío de correo electrónico y su impacto en la autenticación DMARC-Resultados