Qu'est-ce que l'ARC ?

Blog

Authenticated Received Chain (ARC) : une norme qui permet d'atténuer les problèmes d'échec de l'authentification DMARC. Activez DMARC ARC !

par Maitham Al Lawati

Temps de lecture : 6 min
Qu'est-ce que l'ARC ?
Table des matières-

Qu'est-ce que l'ARC (Authenticated Received Chain) ?

ARC Email ou Authenticated Received Chain est un système d'authentification du courrier électronique qui affiche l'évaluation de l'authentification d'un courrier électronique à chaque étape, tout au long de son traitement. En termes plus simples, la chaîne Authenticated Received peut être décrite comme une séquence de vérification ou une "chaîne de garde" pour les messages électroniques qui permet à chaque entité qui traite les messages de voir effectivement toutes les entités qui l'ont traité précédemment. En tant que protocole relativement nouveau publié et documenté comme "expérimental" dans la RFC 8617 en juillet 2019, Email ARC permet au serveur de réception de valider les courriels même lorsque SPF et DKIM sont rendus invalides par un serveur intermédiaire.

Points clés à retenir

  1. ARC (Authenticated Received Chain) fournit une "chaîne de contrôle" vérifiable pour les résultats de l'authentification du courrier électronique sur plusieurs serveurs de traitement.
  2. Il atténue les défaillances DMARC causées par des intermédiaires tels que les listes de diffusion et les transitaires, préservant ainsi la validité des courriels légitimes.
  3. ARC complète DMARC en permettant aux destinataires de faire confiance aux résultats de l'authentification initiale, améliorant ainsi la délivrabilité sans remplacer DMARC.
  4. La mise en œuvre consiste à ajouter les en-têtes ARC-Authentication-Results, ARC-Seal et ARC-Message-Signature pour transmettre les informations de validation.
  5. La signature ARC correcte par des intermédiaires permet au destinataire final de valider l'authenticité du courrier électronique malgré des modifications qui, normalement, briseraient SPF/DKIM.

DMARC ARC

DMARC ARC est un moyen efficace de contourner les vulnérabilités qui peuvent exister dans votre système d'authentification DMARC à la suite d'un transfert de courrier électronique. Il préserve les informations des courriels de manière à aider ces messages à passer les contrôles d'authentification. Bien que vous souhaitiez que les courriels non autorisés soient bloqués, vous ne voulez surtout pas que vos courriels légitimes ne soient pas livrés. DMARC ARC maintient une séquence de vérification pour vos courriels à chaque étape afin de s'assurer que les en-têtes de vos courriels restent inchangés et sont transmis à l'intermédiaire suivant.

Simplifiez l'ARC avec PowerDMARC !

15 jours d'essaiRéservez une démo

L'ARC peut-il être utilisé comme substitut de DMARC ?

La réponse est non. L'email ARC a été conçu pour transmettre les identifiants d'authentification de manière séquentielle tout au long du parcours d'un email, quel que soit le nombre de serveurs intermédiaires par lesquels il passe. L'ARC email permet de préserver les résultats de la vérification DMARC, en empêchant les tiers et les fournisseurs de boîtes aux lettres de modifier les en-têtes ou le contenu des messages. ARC ne remplace en aucun cas DMARC, mais peut être utilisé en complément d'une politique DMARC appliquée pour améliorer la délivrabilité de vos e-mails.

Comment une chaîne d'aide authentifiée peut-elle être reçue ?

Comme nous le savons déjà, DMARC permet à un courriel d'être authentifié par rapport aux normes d'authentification SPF et DKIM, en précisant au destinataire comment traiter les courriels qui échouent ou réussissent l'authentification. Cependant, si vous mettez en œuvre une politique DMARC stricte au sein de votre organisation, il y a des chances que même des courriels légitimes, tels que ceux envoyés par l'intermédiaire d'une liste de diffusion ou d'un transitaire, échouent à l'authentification et ne soient pas délivrés au destinataire ! La chaîne de réception authentifiée permet d'atténuer efficacement ce problème. Nous allons voir comment dans la section suivante :

Situations dans lesquelles l'ARC peut aider

  • Listes de diffusion 

En tant que membre d'une liste de diffusion, vous avez la possibilité d'envoyer des messages à tous les membres de la liste en une seule fois en vous adressant à la liste elle-même. L'adresse de réception transmet ensuite votre message à tous les membres de la liste. Dans la situation actuelle, DMARC ne parvient pas à valider ces types de messages et l'authentification échoue même si le courrier électronique a été envoyé par une source légitime ! En effet, SPF ne fonctionne pas lorsqu'un message est transféré. Comme la liste de diffusion incorpore souvent des informations supplémentaires dans le corps du message, la signature DKIM peut également être invalidée en raison des modifications apportées au contenu du message.

  • Transmission des messages 

Lorsqu'il y a un flux de courrier indirect, par exemple lorsque vous recevez un courrier électronique d'un serveur intermédiaire et non directement du serveur d'envoi comme dans le cas des messages transférés, le SPF se brise et votre courrier électronique échoue automatiquement l'authentification DMARC. Certains expéditeurs modifient également le contenu du courrier électronique, c'est pourquoi les signatures DKIM sont également invalidées.

 

 

Dans de telles situations, la chaîne de réception authentifiée vient à la rescousse ! Comment ? Nous allons le découvrir :

Comment fonctionne DMARC ARC ?

Dans les situations susmentionnées, les transitaires avaient initialement reçu des courriers électroniques qui avaient été validés par rapport à la configuration DMARC, à partir d'une source autorisée. La chaîne de réception authentifiée est une spécification qui permet à l'en-tête Authentication-Results d'être transmise au prochain "saut" dans la chaîne de livraison du message.

Dans le cas d'un message transféré, lorsque le serveur de messagerie du destinataire reçoit un message qui a échoué à l'authentification DMARC, il tente de valider l'e-mail une deuxième fois, par rapport à la chaîne de réception authentifiée fournie pour l'e-mail en extrayant les résultats d'authentification de l'ARC de l'e-mail du premier saut, afin de vérifier s'il a été validé comme légitime avant que le serveur intermédiaire ne le transfère au serveur récepteur.

Sur la base des informations extraites, le destinataire décide d'autoriser les résultats de l'e-mail ARC à passer outre à la politique DMARC, ce qui permet de considérer l'e-mail comme authentique et valide et de l'envoyer normalement dans la boîte de réception du destinataire.

Avec la mise en œuvre de l'ARC, le destinataire peut effectivement authentifier le courrier électronique à l'aide des informations suivantes :

  • Les résultats de l'authentification, tels que constatés par le serveur intermédiaire, ainsi que l'historique complet des résultats de validation SPF et DKIM dans le saut initial.
  • Informations nécessaires pour authentifier les données envoyées.
  • Informations permettant de lier la signature envoyée au serveur intermédiaire afin que le courrier électronique soit validé dans le serveur de réception même si l'intermédiaire en modifie le contenu, à condition qu'il transmette une nouvelle signature DKIM valide.

Mise en œuvre de la chaîne de réception authentifiée

L'ARC définit trois nouveaux en-têtes de courrier :

  • ARC-Résultats d'authentification (AAR): Le premier des en-têtes de courrier est l'AAR qui encapsule les résultats d'authentification tels que SPF, DKIM et DMARC.

  • ARC-Seal (AS) - AS est une version plus simple d'une signature DKIM, qui contient des informations sur les résultats de l'en-tête d'authentification, et la signature ARC.

  • ARC-Message-Signature (AMS) - L'AMS est également similaire à une signature DKIM, qui prend une image de l'en-tête du message qui incorpore tout, sauf les en-têtes ARC-Seal tels que les champs To : et From :, l'objet et le corps entier du message.

Étapes effectuées par le serveur intermédiaire pour signer une modification :

Étape 1 : le serveur copie le champ "Authentication-Results" dans un nouveau champ AAR et le préfixe au message

Étape 2 : le serveur formule l'AMS pour le message (avec l'AAR) et le prépare au message.

Étape 3 : le serveur formule l'AS pour les en-têtes ARC-Seal précédents et l'ajoute au message.

Enfin, pour valider la chaîne de réception authentifiée et savoir si un message transféré est légitime ou non, le destinataire valide la chaîne ou les en-têtes ARC Seal et la dernière signature de message ARC. Si les en-têtes ARC DMARC ont été modifiés de quelque manière que ce soit, le message échoue à l'authentification DKIM. Toutefois, si tous les serveurs de messagerie impliqués dans la transmission du message signent et transmettent correctement l'ARC, l'e-mail conserve les résultats de l'authentification DKIM et passe l'authentification DMARC, ce qui entraîne la livraison du message dans la boîte de réception du destinataire !

La mise en œuvre d'ARC soutient l'adoption de DMARC dans les organisations afin de s'assurer que chaque courriel légitime est authentifié sans la moindre défaillance. Inscrivez-vous pour votre essai gratuit de DMARC dès aujourd'hui !

Derniers messages de Maitham Al Lawati (voir tous)
Raisons d'éviter l'aplatissement du SPFillustration de l'aplatissement du spftrop de requêtes DNSComment remédier à un trop grand nombre de consultations DNS ?