¿Qué es el ARC?

Blog

Authenticated Received Chain (ARC) un estándar que puede mitigar con éxito los problemas de fallo en la autenticación DMARC. ¡Active DMARC ARC!

por Maitham Al Lawati

Tiempo de lectura: 6 min
¿Qué es el ARC?
Índice-

¿Qué es la cadena de recepción autentificada (ARC)?

ARC Email o Cadena Autenticada Recibida es un sistema de autenticación de correo electrónico que muestra la evaluación de autenticación de un mensaje de correo electrónico en cada paso de su recorrido, a lo largo de su manipulación. En términos más simples, la cadena Autenticada Recibida puede denominarse como una secuencia de verificación o "cadena de custodia" para mensajes de correo electrónico que permite a cada entidad que maneja los mensajes ver efectivamente todas las entidades que lo manejaron previamente. Como protocolo relativamente nuevo publicado y documentado como "Experimental" en RFC 8617 en julio de 2019, Email ARC permite al servidor receptor validar los mensajes de correo electrónico incluso cuando SPF y DKIM son invalidados por un servidor intermedio.

Puntos clave

  1. ARC (Authenticated Received Chain) proporciona una "cadena de custodia" verificable para los resultados de la autenticación del correo electrónico en varios servidores de tratamiento.
  2. Mitiga los fallos de DMARC causados por intermediarios como listas de correo y reenviadores, preservando la validez de los correos legítimos.
  3. ARC complementa a DMARC permitiendo a los receptores confiar en los resultados de autenticación iniciales, mejorando la capacidad de entrega sin sustituir a DMARC.
  4. La implementación implica añadir cabeceras ARC-Authentication-Results, ARC-Seal y ARC-Message-Signature para pasar información de validación.
  5. La firma ARC correcta por parte de intermediarios permite al destinatario final validar la autenticidad del correo electrónico a pesar de modificaciones que normalmente romperían SPF/DKIM.

DMARC ARC

DMARC ARC es una forma eficaz de evitar las vulnerabilidades que puedan existir en su sistema de autenticación DMARC como resultado del reenvío de correo electrónico. Conserva la información del correo electrónico de forma que ayuda a que estos mensajes pasen las comprobaciones de autenticación. Mientras que usted requiere que sus correos electrónicos no autorizados sean bloqueados, sus correos electrónicos legítimos que fallan la entrega es la última cosa que usted querría. DMARC ARC mantiene una secuencia de verificación para sus mensajes de correo electrónico en cada paso para garantizar que sus encabezados de correo electrónico permanecen inalterados y se pasan al siguiente intermediario en la línea.

¡Simplifique el ARC con PowerDMARC!

Prueba de 15 díasAgendar demo

¿Puede utilizarse ARC como sustituto de DMARC?

La respuesta es no. El correo electrónico ARC se creó para transmitir identificadores de autenticación de forma secuencial a lo largo de todo el trayecto de un mensaje de correo electrónico, independientemente de cuántos servidores intermediarios atraviese. El correo electrónico ARC ayuda a preservar los resultados de la verificación DMARC, evitando que terceros y proveedores de buzones modifiquen las cabeceras o el contenido de los mensajes. ARC no sustituye a DMARC, sino que se puede utilizar como complemento de una política DMARC para mejorar aún más la capacidad de entrega del correo electrónico.

¿Cómo puede ayudar la cadena de recepción autentificada?

Como ya sabemos, DMARC permite que un correo electrónico se autentique según los estándares de autenticación de correo electrónico SPF y DKIM, especificando al receptor cómo tratar los correos electrónicos que fallan o superan la autenticación. Sin embargo, si implementa la aplicación de DMARC en su organización según una política DMARC estricta, es posible que incluso los correos electrónicos legítimos, como los enviados a través de una lista de correo o un reenviador, no pasen la autenticación y no se entreguen al destinatario. Authenticated Received Chain ayuda a mitigar este problema de forma eficaz. Veamos cómo en la siguiente sección:

Situaciones en las que la ARC puede ayudar

  • Listas de correo 

Como miembro de una lista de correo, tiene la posibilidad de enviar mensajes a todos los miembros de la lista de una sola vez dirigiéndose a la propia lista de correo. La dirección receptora reenvía posteriormente su mensaje a todos los miembros de la lista. En la situación actual, DMARC no valida este tipo de mensajes y la autenticación falla aunque el correo electrónico haya sido enviado desde una fuente legítima. Esto se debe a que SPF se rompe cuando se reenvía un mensaje. Como la lista de correo suele incorporar información adicional en el cuerpo del mensaje, la firma DKIM también puede quedar invalidada debido a cambios en el contenido del mensaje.

  • Reenvío de mensajes 

Cuando hay un flujo de correo indirecto, por ejemplo, cuando se recibe un correo electrónico de un servidor intermedio y no directamente del servidor de envío, como en el caso de los mensajes reenviados, el SPF se rompe y su correo electrónico fallará automáticamente la autenticación DMARC. Algunos reenviadores también alteran el contenido del correo electrónico, por lo que las firmas DKIM también quedan invalidadas.

 

 

En estas situaciones, la cadena de recepción autentificada viene al rescate. ¿Cómo? Averigüémoslo:

¿Cómo funciona DMARC ARC?

En las situaciones mencionadas anteriormente, los reenviadores habían recibido inicialmente correos electrónicos que habían sido validados según la configuración DMARC, desde una fuente autorizada. Authenticated Received Chain se ha desarrollado como una especificación que permite que la cabecera Authentication-Results pase al siguiente "salto" en la línea de entrega del mensaje.

En el caso de un mensaje reenviado, cuando el servidor de correo electrónico del receptor recibe un mensaje que ha fallado la autenticación DMARC, intenta validar el correo electrónico por segunda vez, contra la Cadena Autenticada Recibida proporcionada para el correo electrónico extrayendo los Resultados de Autenticación ARC de Correo Electrónico del salto inicial, para comprobar si fue validado como legítimo antes de que el servidor intermediario lo reenviara al servidor receptor.

Sobre la base de la información extraída, el receptor decide si permite que los resultados del correo electrónico ARC anulen la política DMARC, pasando así el correo electrónico como auténtico y válido y permitiendo que se entregue normalmente en la bandeja de entrada del receptor.

Con la implementación de ARC, el receptor puede autenticar efectivamente el correo electrónico con la ayuda de la siguiente información:

  • Los resultados de autenticación presenciados por el servidor intermedio, junto con todo el historial de resultados de validación SPF y DKIM en el salto inicial.
  • Información necesaria para autentificar los datos enviados.
  • Información para vincular la firma enviada al servidor intermediario, de forma que el correo electrónico se valide en el servidor receptor aunque el intermediario altere el contenido, siempre que remita una firma DKIM nueva y válida.

Implementación de la cadena de recepción autenticada

ARC define tres nuevas cabeceras de correo:

  • ARC-Resultados de Autenticación (AAR): El primero de los encabezados de correo es el AAR que encapsula los resultados de autenticación como SPF, DKIM y DMARC.

  • ARC-Seal (AS) - AS es una versión más simple de una firma DKIM, que contiene información sobre los resultados de la cabecera de autenticación, y la firma ARC.

  • ARC-Message-Signature (AMS) - AMS es también similar a una firma DKIM, que toma una imagen de la cabecera del mensaje que incorpora todo, aparte de las cabeceras ARC-Seal, como los campos To: y From:, el asunto y el cuerpo completo del mensaje.

Pasos realizados por el servidor intermedio para firmar una modificación:

Paso 1: el servidor copia el campo Authentication-Results en un nuevo campo AAR y lo antepone al mensaje

Paso 2: el servidor formula la MGA para el mensaje (con el AAR) y la adjunta al mensaje.

Paso 3: el servidor formula el AS para las cabeceras ARC-Seal anteriores y lo añade al mensaje.

Por último, para validar la cadena autenticada recibida y averiguar si un mensaje reenviado es legítimo o no, el receptor valida la cadena o las cabeceras ARC Seal y la firma ARC-Message-Signature más reciente. Si las cabeceras DMARC ARC han sido alteradas de alguna manera, el correo electrónico falla la autenticación DKIM. Sin embargo, si todos los servidores de correo involucrados en la transmisión del mensaje firman y transmiten correctamente el correo ARC, entonces el correo conserva los resultados de la autenticación DKIM, y pasa la autenticación DMARC, ¡lo que resulta en la entrega exitosa del mensaje en la bandeja de entrada del receptor!

La implementación de ARC respalda y apoya la adopción de DM ARC en las organizaciones para asegurarse de que cada correo electrónico legítimo se autentique sin un solo fallo. Solicite hoy mismo una prueba gratuita de DM ARC.

Últimos comentarios de Maitham Al Lawati (ver todos)
Razones para evitar el aplanamiento del FPSspf aplanamiento ilustracióndemasiadas búsquedas dns¿Cómo arreglar el exceso de búsquedas de DNS?