Qu'est-ce que l'ARC (Authenticated Received Chain) ?
L'ARC Email ou Authenticated Received Chain est un système d'authentification des e-mails qui affiche l'évaluation de l'authentification d'un e-mail à chaque étape, tout au long de son traitement. En termes plus simples, la chaîne Authenticated Received peut être désignée comme une séquence de vérification des messages électroniques qui permet à chaque entité qui traite les messages de voir effectivement toutes les entités qui l'ont précédemment traité. En tant que protocole relativement nouveau publié et documenté comme "expérimental" dans le RFC 8617 en juillet 2019, Email ARC permet au serveur récepteur de valider les courriels même lorsque SPF et DKIM sont rendus invalides par un serveur intermédiaire.
DMARC ARC
DMARC ARC est un moyen efficace de contourner les vulnérabilités qui peuvent exister dans votre système d'authentification DMARC à la suite d'un transfert de courrier électronique. Il préserve les informations relatives aux courriers électroniques de manière à aider ces messages à passer les contrôles d'authentification. Bien que vous souhaitiez que les courriels non autorisés soient bloqués, vous ne voulez surtout pas que vos courriels légitimes ne soient pas livrés. DMARC ARC maintient une séquence de vérification pour vos courriels à chaque étape afin de s'assurer que les en-têtes de vos courriels restent inchangés et sont transmis à l'intermédiaire suivant.
L'ARC peut-il être utilisé comme substitut de DMARC ?
La réponse est non. L'email ARC a été conçu pour transmettre les identifiants d'authentification de manière séquentielle tout au long du parcours d'un email, quel que soit le nombre de serveurs intermédiaires par lesquels il passe. L'ARC email permet de préserver les résultats de la vérification DMARC, en empêchant les tiers et les fournisseurs de boîtes aux lettres de modifier les en-têtes ou le contenu des messages. ARC ne remplace en aucun cas DMARC, mais peut être utilisé en complément d'une politique DMARC appliquée pour améliorer la délivrabilité de vos e-mails.
Comment une chaîne d'aide authentifiée peut-elle être reçue ?
Comme nous le savons déjà, DMARC permet d'authentifier un courriel par rapport aux normes d'authentification SPF et DKIM, en spécifiant au destinataire comment traiter les courriels qui échouent ou réussissent l'authentification. Cependant, si vous mettez en œuvre une politique DMARC stricte au sein de votre organisation, il y a des chances que même des e-mails légitimes, comme ceux envoyés par une liste de diffusion ou un transitaire, échouent à l'authentification et ne soient pas remis au destinataire ! La chaîne de réception authentifiée permet d'atténuer efficacement ce problème. Nous allons voir comment dans la section suivante :
Situations dans lesquelles l'ARC peut aider
- Listes de diffusion
En tant que membre d'une liste de diffusion, vous avez le pouvoir d'envoyer des messages à tous les membres de la liste en une seule fois en vous adressant à la liste de diffusion elle-même. L'adresse de réception transmet ensuite votre message à tous les membres de la liste. Dans la situation actuelle, le DMARC ne parvient pas à valider ce type de messages et l'authentification échoue même si le courriel a été envoyé à partir d'une source légitime ! Cela est dû au fait que le SPF se brise lorsqu'un message est transféré. Comme la liste de diffusion intègre souvent des informations supplémentaires dans le corps du courriel, la signature DKIM peut également être invalidée en raison de changements dans le contenu du courriel.
- Transmission des messages
Lorsqu'il y a un flux de courrier indirect, par exemple lorsque vous recevez un courrier électronique d'un serveur intermédiaire et non directement du serveur d'envoi comme dans le cas des messages transférés, le SPF se brise et votre courrier électronique échoue automatiquement l'authentification DMARC. Certains expéditeurs modifient également le contenu du courrier électronique, c'est pourquoi les signatures DKIM sont également invalidées.
Dans de telles situations, la chaîne de réception authentifiée vient à la rescousse ! Comment ? Nous allons le découvrir :
Comment fonctionne DMARC ARC ?
Dans les situations susmentionnées, les transitaires avaient initialement reçu des courriers électroniques qui avaient été validés par rapport à la configuration DMARC, à partir d'une source autorisée. La chaîne de réception authentifiée est une spécification qui permet à l'en-tête Authentication-Results d'être transmise au prochain "saut" dans la chaîne de livraison du message.
Dans le cas d'un message transféré, lorsque le serveur de messagerie du destinataire reçoit un message qui a échoué à l'authentification DMARC, il tente de valider l'e-mail une deuxième fois, par rapport à la chaîne de réception authentifiée fournie pour l'e-mail en extrayant les résultats d'authentification de l'ARC de l'e-mail du premier saut, afin de vérifier s'il a été validé comme légitime avant que le serveur intermédiaire ne le transfère au serveur récepteur.
Sur la base des informations extraites, le destinataire décide d'autoriser les résultats de l'e-mail ARC à passer outre à la politique DMARC, ce qui permet de considérer l'e-mail comme authentique et valide et de l'envoyer normalement dans la boîte de réception du destinataire.
Avec la mise en œuvre de l'ARC, le destinataire peut effectivement authentifier le courrier électronique à l'aide des informations suivantes :
- Les résultats de l'authentification, tels que constatés par le serveur intermédiaire, ainsi que l'historique complet des résultats de validation SPF et DKIM dans le saut initial.
- Informations nécessaires pour authentifier les données envoyées.
- Informations permettant de lier la signature envoyée au serveur intermédiaire afin que le courrier électronique soit validé dans le serveur de réception même si l'intermédiaire en modifie le contenu, à condition qu'il transmette une nouvelle signature DKIM valide.
Mise en œuvre de la chaîne de réception authentifiée
L'ARC définit trois nouveaux en-têtes de courrier :
- ARC-Résultats d'authentification (AAR): Le premier des en-têtes de courrier est l'AAR qui encapsule les résultats d'authentification tels que SPF, DKIM et DMARC.
- ARC-Seal (AS) - AS est une version plus simple d'une signature DKIM, qui contient des informations sur les résultats de l'en-tête d'authentification, et la signature ARC.
- ARC-Message-Signature (AMS) - L'AMS est également similaire à une signature DKIM, qui prend une image de l'en-tête du message qui incorpore tout, sauf les en-têtes ARC-Seal tels que les champs To : et From :, l'objet et le corps entier du message.
Étapes effectuées par le serveur intermédiaire pour signer une modification :
Étape 1 : le serveur copie le champ "Authentication-Results" dans un nouveau champ AAR et le préfixe au message
Étape 2 : le serveur formule l'AMS pour le message (avec l'AAR) et le prépare au message.
Étape 3 : le serveur formule l'AS pour les en-têtes ARC-Seal précédents et l'ajoute au message.
Enfin, pour valider la chaîne de réception authentifiée et savoir si un message transféré est légitime ou non, le destinataire valide la chaîne ou les en-têtes ARC Seal et la dernière signature de message ARC. Si les en-têtes ARC DMARC ont été modifiés de quelque manière que ce soit, le message échoue à l'authentification DKIM. Toutefois, si tous les serveurs de messagerie impliqués dans la transmission du message signent et transmettent correctement l'ARC, l'e-mail conserve les résultats de l'authentification DKIM et passe l'authentification DMARC, ce qui entraîne la livraison du message dans la boîte de réception du destinataire !
La mise en œuvre d'ARC soutient l'adoption de DMARC dans les organisations afin de s'assurer que chaque courriel légitime est authentifié sans la moindre défaillance. Inscrivez-vous pour votre essai gratuit de DMARC dès aujourd'hui !
