¿Qué es la cadena de recepción autentificada (ARC)?
ARC o Cadena Autenticada Recibida es un sistema de autenticación de correo electrónico que muestra la evaluación de la autenticación de un correo electrónico en cada paso del camino, a lo largo de su manipulación. En términos más sencillos, la cadena autenticada recibida puede denominarse como una secuencia de verificación para los mensajes de correo electrónico que permite a cada entidad que maneja los mensajes ver efectivamente todas las entidades que lo han manejado previamente. Como protocolo relativamente nuevo publicado y documentado como "Experimental" en el RFC 8617 de julio de 2019, ARC permite al servidor receptor validar los mensajes de correo electrónico incluso cuando SPF y DKIM son invalidados por un servidor intermedio.
DMARC ARC
DMARC ARC es una forma eficaz de evitar las vulnerabilidades que puedan existir en su sistema de autenticación DMARC como resultado del reenvío de correo electrónico. Conserva la información del correo electrónico de forma que ayuda a que estos mensajes pasen las comprobaciones de autenticación. Mientras que usted requiere que sus correos electrónicos no autorizados sean bloqueados, que sus correos legítimos fallen en la entrega es lo último que usted querría. DMARC ARC mantiene una secuencia de verificación para sus correos electrónicos en cada paso para asegurar que sus encabezados de correo electrónico permanecen inalterados y se pasan al siguiente intermediario en la línea.
¿Puede utilizarse ARC como sustituto de DMARC?
La respuesta es no. ARC fue construido para pasar los identificadores de autenticación secuencialmente a lo largo del viaje de un correo electrónico, sin importar cuántos servidores intermediarios atraviese. ARC ayuda a preservar los resultados de la verificación DMARC, impidiendo que terceros y proveedores de buzones modifiquen las cabeceras o el contenido de los mensajes. ARC no es en absoluto un sustituto de DMARC, sino que puede utilizarse además de una política DMARC aplicada para mejorar aún más la capacidad de entrega de su correo electrónico.
¿Cómo puede ayudar la cadena de recepción autentificada?
Como ya sabemos, DMARC permite autenticar un correo electrónico con los estándares de autenticación de correo electrónico SPF y DKIM, especificando al receptor cómo manejar los correos electrónicos que fallan o pasan la autenticación. Sin embargo, si usted implementa la aplicación de DMARC en su organización con una política estricta de DMARC, hay posibilidades de que incluso los correos electrónicos legítimos, como los enviados a través de una lista de correo o un reenviador, pueden fallar la autenticación y no ser entregados al receptor. La cadena de recepción autenticada ayuda a mitigar este problema de forma eficaz. Aprendamos cómo en la siguiente sección:
Situaciones en las que la ARC puede ayudar
- Listas de correo
Como miembro de una lista de correo, tiene la posibilidad de enviar mensajes a todos los miembros de la lista de una sola vez dirigiéndose a la propia lista de correo. La dirección receptora reenvía posteriormente su mensaje a todos los miembros de la lista. En la situación actual, DMARC no valida este tipo de mensajes y la autenticación falla aunque el correo electrónico haya sido enviado desde una fuente legítima. Esto se debe a que el SPF se rompe cuando se reenvía un mensaje. Como la lista de correo suele incorporar información extra en el cuerpo del correo, la firma DKIM también puede quedar invalidada debido a los cambios en el contenido del correo.
- Reenvío de mensajes
Cuando hay un flujo de correo indirecto, por ejemplo, cuando se recibe un correo electrónico de un servidor intermedio y no directamente del servidor de envío, como en el caso de los mensajes reenviados, el SPF se rompe y su correo electrónico fallará automáticamente la autenticación DMARC. Algunos reenviadores también alteran el contenido del correo electrónico, por lo que las firmas DKIM también quedan invalidadas.
En estas situaciones, la cadena de recepción autentificada viene al rescate. ¿Cómo? Averigüémoslo:
¿Cómo funciona DMARC ARC?
En las situaciones mencionadas anteriormente, los reenviadores habían recibido inicialmente correos electrónicos que habían sido validados según la configuración DMARC, desde una fuente autorizada. La cadena de recepción autenticada se ha desarrollado como una especificación que permite que la cabecera Authentication-Results pase al siguiente "salto" en la línea de entrega del mensaje.
En el caso de un mensaje reenviado, cuando el servidor de correo electrónico del receptor recibe un mensaje que ha fallado en la autenticación DMARC, intenta validar el correo electrónico por segunda vez, contra la Cadena Autenticada Recibida proporcionada para el correo electrónico, extrayendo los Resultados de Autenticación ARC del salto inicial, para comprobar si fue validado como legítimo antes de que el servidor intermediario lo reenviara al servidor receptor.
Sobre la base de la información extraída, el receptor decide si permite que los resultados de ARC anulen la política DMARC, pasando así el correo electrónico como auténtico y válido y permitiendo que se entregue normalmente en la bandeja de entrada del receptor.
Con la implementación de ARC, el receptor puede autenticar efectivamente el correo electrónico con la ayuda de la siguiente información:
- Los resultados de autenticación presenciados por el servidor intermedio, junto con todo el historial de resultados de validación SPF y DKIM en el salto inicial.
- Información necesaria para autentificar los datos enviados.
- Información para vincular la firma enviada al servidor intermediario, de forma que el correo electrónico se valide en el servidor receptor aunque el intermediario altere el contenido, siempre que remita una firma DKIM nueva y válida.
Implementación de la cadena de recepción autenticada
ARC define tres nuevas cabeceras de correo:
- ARC-Resultados de Autenticación (AAR): El primero de los encabezados de correo es el AAR que encapsula los resultados de autenticación como SPF, DKIM y DMARC.
- ARC-Seal (AS) - AS es una versión más simple de una firma DKIM, que contiene información sobre los resultados de la cabecera de autenticación, y la firma ARC.
- ARC-Message-Signature (AMS) - AMS es también similar a una firma DKIM, que toma una imagen de la cabecera del mensaje que incorpora todo, aparte de las cabeceras ARC-Seal, como los campos To: y From:, el asunto y el cuerpo completo del mensaje.
Pasos realizados por el servidor intermedio para firmar una modificación:
Paso 1: el servidor copia el campo Authentication-Results en un nuevo campo AAR y lo antepone al mensaje
Paso 2: el servidor formula la MGA para el mensaje (con el AAR) y la adjunta al mensaje.
Paso 3: el servidor formula el AS para las cabeceras ARC-Seal anteriores y lo añade al mensaje.
Por último, para validar la cadena autenticada recibida y saber si un mensaje reenviado es legítimo o no, el receptor valida la cadena o las cabeceras ARC Seal y la firma ARC más reciente. Si en caso de que las cabeceras ARC de DMARC hayan sido alteradas de alguna manera, el correo electrónico falla consecuentemente la autenticación DKIM. Sin embargo, si todos los servidores de correo involucrados en la transmisión del mensaje firman y transmiten correctamente ARC, entonces el correo electrónico conserva los resultados de la autenticación DKIM, y pasa la autenticación DMARC, lo que resulta en la entrega exitosa del mensaje en la bandeja de entrada del receptor.
La implementación de ARC respalda y apoya la adopción de DMARC en las organizaciones para asegurarse de que cada correo electrónico legítimo se autentique sin un solo fallo. Regístrese hoy mismo para obtener una prueba gratuita de DM ARC.
- Implementación de DMARC Reply-To para remitentes de correo electrónico - 9 de agosto de 2022
- Prevención de la pérdida de datos en el correo electrónico con DMARC - 8 de agosto de 2022
- Delegación de subdominio DMARC - 5 de agosto de 2022
