ARC

Qu'est-ce que l'ARC ?

ARC ou Authenticated Received Chain est un système d'authentification des e-mails qui affiche l'évaluation de l'authentification d'un e-mail à chaque étape, tout au long de son traitement. En termes plus simples, la chaîne de réception authentifiée peut être qualifiée de " chaîne de garde " pour les messages électroniques qui permet à chaque entité qui traite les messages de voir effectivement toutes les entités qui l'ont précédemment traité. En tant que protocole relativement nouveau publié et documenté comme "expérimental" dans le RFC 8617 en juillet 2019, ARC permet au serveur récepteur de valider les courriels même lorsque SPF et DKIM sont rendus invalides par un serveur intermédiaire.

Comment une chaîne d'aide authentifiée peut-elle être reçue ?

Comme nous le savons déjà, le DMARC permet d'authentifier un courrier électronique selon les normes d'authentification SPF et DKIM, en précisant au destinataire comment traiter les courriers électroniques dont l'authentification est réussie ou échouée. Cependant, si vous appliquez la politique DMARC à votre organisation, il y a des chances que même des courriels légitimes, comme ceux envoyés par une liste de diffusion ou un expéditeur, échouent à l'authentification et ne soient pas livrés au destinataire ! La chaîne de réception authentifiée permet d'atténuer efficacement ce problème. Voyons comment dans la section suivante :

Situations dans lesquelles l'ARC peut aider

  • Listes de diffusion 

En tant que membre d'une liste de diffusion, vous avez le pouvoir d'envoyer des messages à tous les membres de la liste en une seule fois en vous adressant à la liste de diffusion elle-même. L'adresse de réception transmet ensuite votre message à tous les membres de la liste. Dans la situation actuelle, le DMARC ne parvient pas à valider ce type de messages et l'authentification échoue même si le courriel a été envoyé à partir d'une source légitime ! Cela est dû au fait que le SPF se brise lorsqu'un message est transféré. Comme la liste de diffusion intègre souvent des informations supplémentaires dans le corps du courriel, la signature DKIM peut également être invalidée en raison de changements dans le contenu du courriel.

  • Transmission des messages 

Lorsqu'il y a un flux de courrier indirect, par exemple lorsque vous recevez un courrier électronique d'un serveur intermédiaire et non directement du serveur d'envoi comme dans le cas des messages transférés, le SPF se brise et votre courrier électronique échoue automatiquement l'authentification DMARC. Certains expéditeurs modifient également le contenu du courrier électronique, c'est pourquoi les signatures DKIM sont également invalidées.

 

 

Dans de telles situations, la chaîne de réception authentifiée vient à la rescousse ! Comment ? Nous allons le découvrir :

Comment fonctionne l'ARC ?

Dans les situations énumérées ci-dessus, les expéditeurs avaient initialement reçu des courriels qui avaient été validés par rapport à la configuration du DMARC, d'une source autorisée. La chaîne Authenticated Received Chain est une spécification qui permet de transmettre l'en-tête Authentication-Results au prochain "saut" dans la ligne de livraison du message.

Dans le cas d'un message transféré, lorsque le serveur de messagerie du destinataire reçoit un message dont l'authentification DMARC a échoué, il tente de valider le courrier électronique une seconde fois, par rapport à la chaîne de réception authentifiée fournie pour le courrier électronique en extrayant les résultats d'authentification ARC du saut initial, pour vérifier s'il a été validé comme étant légitime avant que le serveur intermédiaire ne le transmette au serveur de réception.

Sur la base des informations extraites, le destinataire décide de permettre ou non aux résultats de l'ARC d'outrepasser la politique du DMARC, ce qui permet de faire passer le courriel pour authentique et valide et de le livrer normalement dans la boîte de réception du destinataire.

Avec la mise en œuvre de l'ARC, le destinataire peut effectivement authentifier le courrier électronique à l'aide des informations suivantes :

  • Les résultats de l'authentification, tels que constatés par le serveur intermédiaire, ainsi que l'historique complet des résultats de validation SPF et DKIM dans le saut initial.
  • Informations nécessaires pour authentifier les données envoyées.
  • Informations permettant de lier la signature envoyée au serveur intermédiaire afin que le courrier électronique soit validé dans le serveur de réception même si l'intermédiaire en modifie le contenu, à condition qu'il transmette une nouvelle signature DKIM valide.

Mise en œuvre de la chaîne de réception authentifiée

L'ARC définit trois nouveaux en-têtes de courrier :

  • ARC-Résultats d'authentification (AAR): Le premier des en-têtes de courrier est l'AAR qui encapsule les résultats d'authentification tels que SPF, DKIM et DMARC.

  • ARC-Seal (AS) - AS est une version plus simple d'une signature DKIM, qui contient des informations sur les résultats de l'en-tête d'authentification, et la signature ARC.

  • ARC-Message-Signature (AMS) - L'AMS est également similaire à une signature DKIM, qui prend une image de l'en-tête du message qui incorpore tout, sauf les en-têtes ARC-Seal tels que les champs To : et From :, l'objet et le corps entier du message.

Étapes effectuées par le serveur intermédiaire pour signer une modification :

Étape 1 : le serveur copie le champ "Authentication-Results" dans un nouveau champ AAR et le préfixe au message

Étape 2 : le serveur formule l'AMS pour le message (avec l'AAR) et le prépare au message.

Étape 3 : le serveur formule l'AS pour les en-têtes ARC-Seal précédents et l'ajoute au message.

Enfin, pour valider la chaîne de réception authentifiée et savoir si un message transmis est légitime ou non, le destinataire valide la chaîne ou les en-têtes de sceau ARC et la toute nouvelle signature de message ARC. Si les en-têtes ARC ont été modifiés de quelque manière que ce soit, le courrier électronique échoue par conséquent l'authentification DKIM. Cependant, si tous les serveurs de courrier électronique impliqués dans la transmission du message signent et transmettent correctement ARC, le courrier électronique conserve les résultats de l'authentification DKIM et passe l'authentification DMARC, ce qui permet la livraison du message dans la boîte de réception du destinataire !

La mise en œuvre de l'ARC soutient et appuie l'adoption de la DMARC dans les organisations afin de s'assurer que chaque courriel légitime est authentifié sans une seule défaillance. Inscrivez-vous à votre essai gratuit du DMARC dès aujourd'hui !