ARC

ARC o Authenticated Received Chain è un sistema di autenticazione e-mail che mostra la valutazione dell'autenticazione di un'e-mail ad ogni passo, durante il trattamento. In termini più semplici, la catena di ricezione autenticata può essere definita come una "catena di custodia" per i messaggi di posta elettronica che permette ad ogni entità che gestisce i messaggi di vedere effettivamente tutte le entità che lo hanno precedentemente gestito. Essendo un protocollo relativamente nuovo, pubblicato e documentato come "Experimental" in RFC 8617 nel luglio 2019, ARC permette al server ricevente di convalidare le email anche quando SPF e DKIM sono resi non validi da un server intermedio.

Come può aiutare la catena di ricezione autenticata?

Come già sappiamo, DMARC permette ad un'email di essere autenticata contro gli standard di autenticazione email SPF e DKIM, specificando al ricevitore come gestire le email che falliscono o passano l'autenticazione. Tuttavia, se si implementa l'applicazione di DMARC nella vostra organizzazione secondo una rigida politica DMARC, ci sono possibilità che anche le email legittime, come quelle inviate attraverso una mailing list o un forwarder, possano fallire l'autenticazione e non essere consegnate al destinatario! Authenticated Received Chain aiuta a mitigare efficacemente questo problema. Impariamo come nella sezione seguente:

Situazioni in cui ARC può aiutare

  • Liste di distribuzione 

Come membro di una mailing list, hai il potere di inviare messaggi a tutti i membri della lista in una volta sola, indirizzando la mailing list stessa. L'indirizzo ricevente inoltra successivamente il vostro messaggio a tutti i membri della lista. Nella situazione attuale, DMARC non riesce a convalidare questo tipo di messaggi e l'autenticazione fallisce anche se l'e-mail è stata inviata da una fonte legittima! Questo perché SPF si rompe quando un messaggio viene inoltrato. Poiché la mailing list spesso continua a incorporare informazioni extra nel corpo dell'email, la firma DKIM può anche essere invalidata a causa dei cambiamenti nel contenuto dell'email.

  • Inoltro di messaggi 

Quando c'è un flusso di posta indiretto, ad esempio stai ricevendo un'email da un server intermedio e non direttamente dal server di invio come nel caso dei messaggi inoltrati, SPF si rompe e la tua email fallirà automaticamente l'autenticazione DMARC. Alcuni inoltri alterano anche il contenuto dell'email, motivo per cui anche le firme DKIM vengono invalidate.

 

 

In queste situazioni, la Catena Autenticata Ricevuta viene in soccorso! Come? Scopriamolo:

Come funziona ARC?

Nelle situazioni elencate sopra, gli inoltratori avevano inizialmente ricevuto e-mail che erano state convalidate rispetto alla configurazione DMARC, da una fonte autorizzata. La Authenticated Received Chain è sviluppata come una specifica che permette all'intestazione Authentication-Results di essere passata al prossimo 'hop' nella linea di consegna del messaggio.

Nel caso di un messaggio inoltrato, quando il server di posta elettronica del destinatario riceve un messaggio che ha fallito l'autenticazione DMARC, cerca di convalidare l'e-mail per una seconda volta, contro la catena di ricezione autenticata fornita per l'e-mail estraendo l'ARC Authentication-Results del salto iniziale, per controllare se è stato convalidato come legittimo prima che il server intermediario lo inoltrasse al server ricevente.

Sulla base delle informazioni estratte, il destinatario decide se permettere ai risultati dell'ARC di scavalcare la politica DMARC, passando così l'email come autentica e valida e permettendo che venga consegnata normalmente nella casella di posta del destinatario.

Con l'implementazione di ARC, il destinatario può effettivamente autenticare l'e-mail con l'aiuto delle seguenti informazioni:

  • I risultati di autenticazione testimoniati dal server intermedio, insieme a tutta la storia dei risultati di convalida SPF e DKIM nell'hop iniziale.
  • Informazioni necessarie per autenticare i dati inviati.
  • Informazioni per collegare la firma inviata al server intermediario in modo che l'e-mail venga convalidata nel server ricevente anche se l'intermediario altera il contenuto, purché inoltri una nuova e valida firma DKIM.

Attuazione della catena autenticata ricevuta

ARC definisce tre nuove intestazioni di posta:

  • ARC-Authentication-Results (AAR): La prima tra le intestazioni di posta è l'AAR che incapsula i risultati dell'autenticazione come SPF, DKIM e DMARC.

  • ARC-Seal (AS) - AS è una versione più semplice di una firma DKIM, che contiene informazioni sui risultati dell'header di autenticazione e la firma ARC.

  • ARC-Message-Signature (AMS) - AMS è anche simile a una firma DKIM, che prende un'immagine dell'intestazione del messaggio che incorpora tutto tranne le intestazioni ARC-Seal come i campi To: e From:, l'oggetto, e l'intero corpo del messaggio.

Passi eseguiti dal server intermedio per firmare una modifica:

Passo 1: il server copia il campo Authentication-Results in un nuovo campo AAR e lo aggiunge come prefisso al messaggio

Passo 2: il server formula l'AMS per il messaggio (con l'AAR) e lo aggiunge al messaggio.

Passo 3: il server formula l'AS per le intestazioni ARC-Seal precedenti e lo aggiunge al messaggio.

Infine, per convalidare la catena autenticata ricevuta e scoprire se un messaggio inoltrato è legittimo o no, il destinatario convalida la catena o le intestazioni ARC Seal e la più recente ARC-Message-Signature. Se nel caso in cui le intestazioni ARC sono state alterate in qualsiasi modo, l'email di conseguenza fallisce l'autenticazione DKIM. Tuttavia, se tutti i server di posta coinvolti nella trasmissione del messaggio firmano e trasmettono correttamente ARC, allora l'email conserva i risultati dell'autenticazione DKIM e passa l'autenticazione DMARC, con il risultato di consegnare con successo il messaggio nella casella di posta del destinatario!

L'implementazione di ARC sostiene e supporta l'adozione di DMARC nelle organizzazioni per assicurarsi che ogni email legittima venga autenticata senza un solo errore. Iscriviti oggi stesso alla tua prova gratuita di DMARC!