Qu'est-ce que l'ARC (Authenticated Received Chain) ?
ARC ou Authenticated Received Chain est un système d'authentification des e-mails qui affiche l'évaluation de l'authentification d'un e-mail à chaque étape, tout au long de son traitement. En termes plus simples, la chaîne Authenticated Received peut être qualifiée de séquence de vérification des messages électroniques qui permet à chaque entité qui traite les messages de voir effectivement toutes les entités qui l'ont précédemment traité. En tant que protocole relativement nouveau publié et documenté comme "expérimental" dans le RFC 8617 en juillet 2019, ARC permet au serveur récepteur de valider les courriels même lorsque SPF et DKIM sont rendus invalides par un serveur intermédiaire.
DMARC ARC
DMARC ARC est un moyen efficace de contourner les vulnérabilités qui peuvent exister dans votre système d'authentification DMARC à la suite du transfert d'e-mails. Il préserve les informations du courrier électronique de manière à ce que ces messages passent les contrôles d'authentification. Si vous souhaitez que vos courriels non autorisés soient bloqués, vous ne voulez surtout pas que vos courriels légitimes ne soient pas livrés. DMARC ARC maintient une séquence de vérification de vos courriels à chaque étape afin de garantir que vos en-têtes de courriel restent inchangés et sont transmis à l'intermédiaire suivant.
L'ARC peut-il être utilisé comme substitut de DMARC ?
La réponse est non. ARC a été conçu pour transmettre les identificateurs d'authentification de manière séquentielle tout au long du parcours d'un courriel, quel que soit le nombre de serveurs intermédiaires par lesquels il passe. ARC contribue à préserver les résultats de la vérification DMARC, en empêchant les tiers et les fournisseurs de boîtes aux lettres de modifier les en-têtes ou le contenu des messages. ARC ne remplace en aucun cas DMARC, mais peut être utilisé en complément d'une politique DMARC appliquée pour améliorer la délivrabilité de vos e-mails.
Comment une chaîne d'aide authentifiée peut-elle être reçue ?
Comme nous le savons déjà, DMARC permet d'authentifier un courriel par rapport aux normes d'authentification SPF et DKIM, en spécifiant au destinataire comment traiter les courriels qui échouent ou réussissent l'authentification. Cependant, si vous mettez en œuvre une politique DMARC stricte au sein de votre organisation, il y a des chances que même des e-mails légitimes, comme ceux envoyés par une liste de diffusion ou un transitaire, échouent à l'authentification et ne soient pas remis au destinataire ! La chaîne de réception authentifiée permet d'atténuer efficacement ce problème. Nous allons voir comment dans la section suivante :
Situations dans lesquelles l'ARC peut aider
- Listes de diffusion
En tant que membre d'une liste de diffusion, vous avez le pouvoir d'envoyer des messages à tous les membres de la liste en une seule fois en vous adressant à la liste de diffusion elle-même. L'adresse de réception transmet ensuite votre message à tous les membres de la liste. Dans la situation actuelle, le DMARC ne parvient pas à valider ce type de messages et l'authentification échoue même si le courriel a été envoyé à partir d'une source légitime ! Cela est dû au fait que le SPF se brise lorsqu'un message est transféré. Comme la liste de diffusion intègre souvent des informations supplémentaires dans le corps du courriel, la signature DKIM peut également être invalidée en raison de changements dans le contenu du courriel.
- Transmission des messages
Lorsqu'il y a un flux de courrier indirect, par exemple lorsque vous recevez un courrier électronique d'un serveur intermédiaire et non directement du serveur d'envoi comme dans le cas des messages transférés, le SPF se brise et votre courrier électronique échoue automatiquement l'authentification DMARC. Certains expéditeurs modifient également le contenu du courrier électronique, c'est pourquoi les signatures DKIM sont également invalidées.
Dans de telles situations, la chaîne de réception authentifiée vient à la rescousse ! Comment ? Nous allons le découvrir :
Comment fonctionne DMARC ARC ?
Dans les situations énumérées ci-dessus, les expéditeurs avaient initialement reçu des courriels qui avaient été validés par rapport à la configuration du DMARC, d'une source autorisée. La chaîne Authenticated Received Chain est une spécification qui permet de transmettre l'en-tête Authentication-Results au prochain "saut" dans la ligne de livraison du message.
Dans le cas d'un message transféré, lorsque le serveur de messagerie du destinataire reçoit un message dont l'authentification DMARC a échoué, il tente de valider le courrier électronique une seconde fois, par rapport à la chaîne de réception authentifiée fournie pour le courrier électronique en extrayant les résultats d'authentification ARC du saut initial, pour vérifier s'il a été validé comme étant légitime avant que le serveur intermédiaire ne le transmette au serveur de réception.
Sur la base des informations extraites, le destinataire décide de permettre ou non aux résultats de l'ARC d'outrepasser la politique du DMARC, ce qui permet de faire passer le courriel pour authentique et valide et de le livrer normalement dans la boîte de réception du destinataire.
Avec la mise en œuvre de l'ARC, le destinataire peut effectivement authentifier le courrier électronique à l'aide des informations suivantes :
- Les résultats de l'authentification, tels que constatés par le serveur intermédiaire, ainsi que l'historique complet des résultats de validation SPF et DKIM dans le saut initial.
- Informations nécessaires pour authentifier les données envoyées.
- Informations permettant de lier la signature envoyée au serveur intermédiaire afin que le courrier électronique soit validé dans le serveur de réception même si l'intermédiaire en modifie le contenu, à condition qu'il transmette une nouvelle signature DKIM valide.
Mise en œuvre de la chaîne de réception authentifiée
L'ARC définit trois nouveaux en-têtes de courrier :
- ARC-Résultats d'authentification (AAR): Le premier des en-têtes de courrier est l'AAR qui encapsule les résultats d'authentification tels que SPF, DKIM et DMARC.
- ARC-Seal (AS) - AS est une version plus simple d'une signature DKIM, qui contient des informations sur les résultats de l'en-tête d'authentification, et la signature ARC.
- ARC-Message-Signature (AMS) - L'AMS est également similaire à une signature DKIM, qui prend une image de l'en-tête du message qui incorpore tout, sauf les en-têtes ARC-Seal tels que les champs To : et From :, l'objet et le corps entier du message.
Étapes effectuées par le serveur intermédiaire pour signer une modification :
Étape 1 : le serveur copie le champ "Authentication-Results" dans un nouveau champ AAR et le préfixe au message
Étape 2 : le serveur formule l'AMS pour le message (avec l'AAR) et le prépare au message.
Étape 3 : le serveur formule l'AS pour les en-têtes ARC-Seal précédents et l'ajoute au message.
Enfin, pour valider la chaîne de réception authentifiée et savoir si un message transféré est légitime ou non, le destinataire valide la chaîne ou les en-têtes ARC Seal et la plus récente signature de message ARC. Si les en-têtes ARC DMARC ont été modifiés de quelque manière que ce soit, le message échoue à l'authentification DKIM. Toutefois, si tous les serveurs de messagerie impliqués dans la transmission du message signent et transmettent correctement l'ARC, l'e-mail conserve les résultats de l'authentification DKIM et passe l'authentification DMARC, ce qui entraîne la livraison du message dans la boîte de réception du destinataire !
La mise en œuvre de l'ARC soutient et appuie l'adoption de la DMARC dans les organisations afin de s'assurer que chaque courriel légitime est authentifié sans une seule défaillance. Inscrivez-vous à votre essai gratuit du DMARC dès aujourd'hui !
- Prévention de la perte de données dans les e-mails avec DMARC - 8 août 2022
- Délégation de sous-domaines DMARC - 5 août 2022
- Qui est un conseiller DMARC et pourquoi en avez-vous besoin ? - 4 août 2022
