¿Qué es la cadena de recepción autentificada (ARC)?
ARC Email o Cadena Autenticada Recibida es un sistema de autenticación de correo electrónico que muestra la evaluación de la autenticación de un mensaje de correo electrónico en cada paso de su recorrido, a lo largo de su manipulación. En términos más simples, la cadena autenticada recibida puede denominarse como una secuencia de verificación para mensajes de correo electrónico que permite a cada entidad que maneja los mensajes ver efectivamente todas las entidades que lo manejaron previamente. Como protocolo relativamente nuevo publicado y documentado como "Experimental" en RFC 8617 en julio de 2019, Email ARC permite al servidor receptor validar mensajes de correo electrónico incluso cuando SPF y DKIM son invalidados por un servidor intermedio.
DMARC ARC
DMARC ARC es una forma eficaz de evitar las vulnerabilidades que puedan existir en su sistema de autenticación DMARC como resultado del reenvío de correo electrónico. Conserva la información del correo electrónico de forma que ayuda a que estos mensajes pasen las comprobaciones de autenticación. Mientras que usted requiere que sus correos electrónicos no autorizados sean bloqueados, sus correos electrónicos legítimos que fallan la entrega es la última cosa que usted querría. DMARC ARC mantiene una secuencia de verificación para sus mensajes de correo electrónico en cada paso para garantizar que sus encabezados de correo electrónico permanecen inalterados y se pasan al siguiente intermediario en la línea.
¿Puede utilizarse ARC como sustituto de DMARC?
La respuesta es no. El correo electrónico ARC se creó para transmitir identificadores de autenticación de forma secuencial a lo largo de todo el trayecto de un mensaje de correo electrónico, independientemente de cuántos servidores intermediarios atraviese. El correo electrónico ARC ayuda a preservar los resultados de la verificación DMARC, evitando que terceros y proveedores de buzones modifiquen las cabeceras o el contenido de los mensajes. ARC no sustituye a DMARC, sino que se puede utilizar como complemento de una política DMARC para mejorar aún más la capacidad de entrega del correo electrónico.
¿Cómo puede ayudar la cadena de recepción autentificada?
Como ya sabemos, DMARC permite autenticar un correo electrónico con los estándares de autenticación de correo electrónico SPF y DKIM, especificando al receptor cómo manejar los correos electrónicos que fallan o pasan la autenticación. Sin embargo, si usted implementa la aplicación de DMARC en su organización con una política estricta de DMARC, hay posibilidades de que incluso los correos electrónicos legítimos, como los enviados a través de una lista de correo o un reenviador, pueden fallar la autenticación y no ser entregados al receptor. La cadena de recepción autenticada ayuda a mitigar este problema de forma eficaz. Aprendamos cómo en la siguiente sección:
Situaciones en las que la ARC puede ayudar
- Listas de correo
Como miembro de una lista de correo, tiene la posibilidad de enviar mensajes a todos los miembros de la lista de una sola vez dirigiéndose a la propia lista de correo. La dirección receptora reenvía posteriormente su mensaje a todos los miembros de la lista. En la situación actual, DMARC no valida este tipo de mensajes y la autenticación falla aunque el correo electrónico haya sido enviado desde una fuente legítima. Esto se debe a que el SPF se rompe cuando se reenvía un mensaje. Como la lista de correo suele incorporar información extra en el cuerpo del correo, la firma DKIM también puede quedar invalidada debido a los cambios en el contenido del correo.
- Reenvío de mensajes
Cuando hay un flujo de correo indirecto, por ejemplo, cuando se recibe un correo electrónico de un servidor intermedio y no directamente del servidor de envío, como en el caso de los mensajes reenviados, el SPF se rompe y su correo electrónico fallará automáticamente la autenticación DMARC. Algunos reenviadores también alteran el contenido del correo electrónico, por lo que las firmas DKIM también quedan invalidadas.
En estas situaciones, la cadena de recepción autentificada viene al rescate. ¿Cómo? Averigüémoslo:
¿Cómo funciona DMARC ARC?
En las situaciones mencionadas anteriormente, los reenviadores habían recibido inicialmente correos electrónicos que habían sido validados según la configuración DMARC, desde una fuente autorizada. Authenticated Received Chain se ha desarrollado como una especificación que permite que la cabecera Authentication-Results pase al siguiente "salto" en la línea de entrega del mensaje.
En el caso de un mensaje reenviado, cuando el servidor de correo electrónico del receptor recibe un mensaje que ha fallado la autenticación DMARC, intenta validar el correo electrónico por segunda vez, contra la Cadena Autenticada Recibida proporcionada para el correo electrónico extrayendo los Resultados de Autenticación ARC de Correo Electrónico del salto inicial, para comprobar si fue validado como legítimo antes de que el servidor intermediario lo reenviara al servidor receptor.
Sobre la base de la información extraída, el receptor decide si permite que los resultados del correo electrónico ARC anulen la política DMARC, pasando así el correo electrónico como auténtico y válido y permitiendo que se entregue normalmente en la bandeja de entrada del receptor.
Con la implementación de ARC, el receptor puede autenticar efectivamente el correo electrónico con la ayuda de la siguiente información:
- Los resultados de autenticación presenciados por el servidor intermedio, junto con todo el historial de resultados de validación SPF y DKIM en el salto inicial.
- Información necesaria para autentificar los datos enviados.
- Información para vincular la firma enviada al servidor intermediario, de forma que el correo electrónico se valide en el servidor receptor aunque el intermediario altere el contenido, siempre que remita una firma DKIM nueva y válida.
Implementación de la cadena de recepción autenticada
ARC define tres nuevas cabeceras de correo:
- ARC-Resultados de Autenticación (AAR): El primero de los encabezados de correo es el AAR que encapsula los resultados de autenticación como SPF, DKIM y DMARC.
- ARC-Seal (AS) - AS es una versión más simple de una firma DKIM, que contiene información sobre los resultados de la cabecera de autenticación, y la firma ARC.
- ARC-Message-Signature (AMS) - AMS es también similar a una firma DKIM, que toma una imagen de la cabecera del mensaje que incorpora todo, aparte de las cabeceras ARC-Seal, como los campos To: y From:, el asunto y el cuerpo completo del mensaje.
Pasos realizados por el servidor intermedio para firmar una modificación:
Paso 1: el servidor copia el campo Authentication-Results en un nuevo campo AAR y lo antepone al mensaje
Paso 2: el servidor formula la MGA para el mensaje (con el AAR) y la adjunta al mensaje.
Paso 3: el servidor formula el AS para las cabeceras ARC-Seal anteriores y lo añade al mensaje.
Por último, para validar la cadena autenticada recibida y averiguar si un mensaje reenviado es legítimo o no, el receptor valida la cadena o las cabeceras ARC Seal y la firma ARC-Message-Signature más reciente. Si las cabeceras DMARC ARC han sido alteradas de alguna manera, el correo electrónico falla la autenticación DKIM. Sin embargo, si todos los servidores de correo involucrados en la transmisión del mensaje firman y transmiten correctamente el correo ARC, entonces el correo conserva los resultados de la autenticación DKIM, y pasa la autenticación DMARC, ¡lo que resulta en la entrega exitosa del mensaje en la bandeja de entrada del receptor!
La implementación de ARC respalda y apoya la adopción de DM ARC en las organizaciones para asegurarse de que cada correo electrónico legítimo se autentique sin un solo fallo. Solicite hoy mismo una prueba gratuita de DM ARC.
- ¿Qué es la política DMARC? Ninguna, Cuarentena y Rechazo - 15 de septiembre de 2024
- Solucionar el error SPF: Superar el límite de demasiadas búsquedas DNS de SPF - 26 de abril de 2024
- ¿Cómo publicar un registro DMARC en 3 pasos? - 2 de abril de 2024