ARC ou Authenticated Received Chain est un système d'authentification du courrier électronique qui affiche l'évaluation de l'authentification d'un courrier électronique à chaque étape du traitement. En termes plus simples, la chaîne de réception authentifiée peut être appelée "chaîne de garde" pour les messages électroniques qui permettent à chaque entité qui traite les messages de voir effectivement toutes les entités qui l'ont traité auparavant. En tant que protocole relativement nouveau publié et documenté comme "expérimental" dans la RFC 8617 en juillet 2019, ARC permet au serveur de réception de valider les courriels même lorsque SPF et DKIM sont rendus invalides par un serveur intermédiaire.
Comment une chaîne d'aide authentifiée peut-elle être reçue ?
Comme nous le savons déjà, DMARC permet d'authentifier un courrier électronique par rapport aux normes d'authentification SPF et DKIM, en indiquant au destinataire comment traiter les courriers électroniques qui échouent ou réussissent l'authentification. Cependant, si vous mettez en œuvre une politique DMARC stricte au sein de votre organisation, il y a des chances que même des courriels légitimes, tels que ceux envoyés par le biais d'une liste de diffusion ou d'un transitaire, échouent à l'authentification et ne soient pas délivrés au destinataire ! La chaîne de réception authentifiée permet d'atténuer efficacement ce problème. Nous allons voir comment dans la section suivante :
Situations dans lesquelles l'ARC peut aider
- Listes de diffusion
En tant que membre d'une liste de diffusion, vous avez le pouvoir d'envoyer des messages à tous les membres de la liste en une seule fois en vous adressant à la liste de diffusion elle-même. L'adresse de réception transmet ensuite votre message à tous les membres de la liste. Dans la situation actuelle, le DMARC ne parvient pas à valider ce type de messages et l'authentification échoue même si le courriel a été envoyé à partir d'une source légitime ! Cela est dû au fait que le SPF se brise lorsqu'un message est transféré. Comme la liste de diffusion intègre souvent des informations supplémentaires dans le corps du courriel, la signature DKIM peut également être invalidée en raison de changements dans le contenu du courriel.
- Transmission des messages
Lorsqu'il y a un flux de courrier indirect, par exemple lorsque vous recevez un courrier électronique d'un serveur intermédiaire et non directement du serveur d'envoi comme dans le cas des messages transférés, le SPF se brise et votre courrier électronique échoue automatiquement l'authentification DMARC. Certains expéditeurs modifient également le contenu du courrier électronique, c'est pourquoi les signatures DKIM sont également invalidées.
Dans de telles situations, la chaîne de réception authentifiée vient à la rescousse ! Comment ? Nous allons le découvrir :
Comment fonctionne l'ARC ?
Dans les situations susmentionnées, les transitaires avaient initialement reçu des courriers électroniques qui avaient été validés par rapport à la configuration DMARC, à partir d'une source autorisée. La chaîne de réception authentifiée est une spécification qui permet à l'en-tête Authentication-Results d'être transmise au prochain "saut" dans la chaîne de livraison du message.
Dans le cas d'un message transféré, lorsque le serveur de messagerie du destinataire reçoit un message dont l'authentification DMARC a échoué, il tente de valider le courrier électronique une seconde fois, par rapport à la chaîne de réception authentifiée fournie pour le courrier électronique en extrayant les résultats d'authentification ARC du saut initial, pour vérifier s'il a été validé comme étant légitime avant que le serveur intermédiaire ne le transmette au serveur de réception.
Sur la base des informations extraites, le destinataire décide de permettre ou non aux résultats de l'ARC d'outrepasser la politique du DMARC, ce qui permet de faire passer le courriel pour authentique et valide et de le livrer normalement dans la boîte de réception du destinataire.
Avec la mise en œuvre de l'ARC, le destinataire peut effectivement authentifier le courrier électronique à l'aide des informations suivantes :
- Les résultats de l'authentification, tels que constatés par le serveur intermédiaire, ainsi que l'historique complet des résultats de validation SPF et DKIM dans le saut initial.
- Informations nécessaires pour authentifier les données envoyées.
- Informations permettant de lier la signature envoyée au serveur intermédiaire afin que le courrier électronique soit validé dans le serveur de réception même si l'intermédiaire en modifie le contenu, à condition qu'il transmette une nouvelle signature DKIM valide.
Mise en œuvre de la chaîne de réception authentifiée
L'ARC définit trois nouveaux en-têtes de courrier :
- ARC-Résultats d'authentification (AAR): Le premier des en-têtes de courrier est l'AAR qui encapsule les résultats d'authentification tels que SPF, DKIM et DMARC.
- ARC-Seal (AS) - AS est une version plus simple d'une signature DKIM, qui contient des informations sur les résultats de l'en-tête d'authentification, et la signature ARC.
- ARC-Message-Signature (AMS) - L'AMS est également similaire à une signature DKIM, qui prend une image de l'en-tête du message qui incorpore tout, sauf les en-têtes ARC-Seal tels que les champs To : et From :, l'objet et le corps entier du message.
Étapes effectuées par le serveur intermédiaire pour signer une modification :
Étape 1 : le serveur copie le champ "Authentication-Results" dans un nouveau champ AAR et le préfixe au message
Étape 2 : le serveur formule l'AMS pour le message (avec l'AAR) et le prépare au message.
Étape 3 : le serveur formule l'AS pour les en-têtes ARC-Seal précédents et l'ajoute au message.
Enfin, pour valider la chaîne de réception authentifiée et savoir si un message transmis est légitime ou non, le destinataire valide la chaîne ou les en-têtes de sceau ARC et la toute nouvelle signature de message ARC. Si les en-têtes ARC ont été modifiés de quelque manière que ce soit, le courrier électronique échoue par conséquent l'authentification DKIM. Cependant, si tous les serveurs de courrier électronique impliqués dans la transmission du message signent et transmettent correctement ARC, le courrier électronique conserve les résultats de l'authentification DKIM et passe l'authentification DMARC, ce qui permet la livraison du message dans la boîte de réception du destinataire !
La mise en œuvre de l'ARC soutient et appuie l'adoption de la DMARC dans les organisations afin de s'assurer que chaque courriel légitime est authentifié sans une seule défaillance. Inscrivez-vous à votre essai gratuit du DMARC dès aujourd'hui !
