La tua guida completa al sistema ARC (Authenticated Received Chain) per DMARC
di
Tempo di lettura: 5 min
L'ARC o Authenticated Received Chain è un sistema di autenticazione delle e-mail che visualizza la valutazione dell'autenticazione di un'e-mail in ogni fase del percorso, durante la sua gestione. In termini più semplici, la catena di ricezione autenticata può essere definita come una "catena di custodia" per i messaggi e-mail che consente a ogni entità che gestisce i messaggi di vedere effettivamente tutte le entità che li hanno precedentemente gestiti. Come protocollo relativamente nuovo, pubblicato e documentato come "Experimental" nella RFC 8617 del luglio 2019, ARC consente al server di ricezione di convalidare le e-mail anche quando SPF e DKIM sono resi non validi da un server intermedio.
I punti chiave da prendere in considerazione
- L'Authenticated Received Chain (ARC) fornisce un modo per verificare l'autenticità delle e-mail quando vengono inoltrate attraverso più server.
- ARC aiuta a mitigare i problemi di consegna causati dalle rigide politiche DMARC che spesso rifiutano le e-mail legittime provenienti da mailing list e forwarder.
- L'implementazione di ARC si basa su tre nuove intestazioni di posta: ARC-Authentication-Results, ARC-Seal e ARC-Message-Signature.
- Conservando i risultati dell'autenticazione attraverso i vari passaggi delle e-mail, ARC consente ai ricevitori di convalidare le e-mail anche quando DKIM e SPF possono fallire.
- L'implementazione di ARC migliora l'adozione del DMARC, garantendo l'autenticazione e la consegna di e-mail legittime.
Come può aiutare la catena di ricezione autenticata?
Come già sappiamo, il DMARC consente di autenticare un'e-mail rispetto agli standard di autenticazione SPF e DKIM, specificando al destinatario come gestire le e-mail che non superano l'autenticazione. Tuttavia, se si implementa l'applicazione del DMARC nella propria organizzazione secondo una politica DMARC rigorosa, c'è la possibilità che anche le e-mail legittime, come quelle inviate attraverso una mailing list o un forwarder, possano fallire l'autenticazione e non essere consegnate al destinatario! Authenticated Received Chain aiuta a mitigare efficacemente questo problema. Scopriamo come nella sezione seguente:
Semplificate la sicurezza con PowerDMARC!
Situazioni in cui ARC può aiutare
- Liste di distribuzione
Come membri di una mailing list, avete la possibilità di inviare messaggi a tutti i membri della lista in una volta sola, indirizzando la mailing list stessa. L'indirizzo ricevente inoltra poi il messaggio a tutti i membri della lista. Nella situazione attuale, il DMARC non riesce a convalidare questo tipo di messaggi e l'autenticazione fallisce anche se l'e-mail è stata inviata da una fonte legittima! Questo perché l'SPF si interrompe quando un messaggio viene inoltrato. Poiché le mailing list spesso incorporano informazioni aggiuntive nel corpo dell'e-mail, anche la firma DKIM può essere invalidata a causa delle modifiche apportate al contenuto dell'e-mail.
- Inoltro di messaggi
Quando c'è un flusso di posta indiretto, ad esempio stai ricevendo un'email da un server intermedio e non direttamente dal server di invio come nel caso dei messaggi inoltrati, SPF si rompe e la tua email fallirà automaticamente l'autenticazione DMARC. Alcuni inoltri alterano anche il contenuto dell'email, motivo per cui anche le firme DKIM vengono invalidate.
In queste situazioni, la Catena Autenticata Ricevuta viene in soccorso! Come? Scopriamolo:
Come funziona ARC?
Nelle situazioni sopra elencate, gli spedizionieri avevano inizialmente ricevuto messaggi di posta elettronica che erano stati convalidati rispetto all'impostazione DMARC, da una fonte autorizzata. La catena di ricezione autenticata è stata sviluppata come una specifica che consente di passare l'intestazione Authentication-Results al successivo "hop" nella linea di consegna del messaggio.
Nel caso di un messaggio inoltrato, quando il server di posta elettronica del destinatario riceve un messaggio che ha fallito l'autenticazione DMARC, cerca di convalidare l'e-mail per una seconda volta, contro la catena di ricezione autenticata fornita per l'e-mail estraendo l'ARC Authentication-Results del salto iniziale, per controllare se è stato convalidato come legittimo prima che il server intermediario lo inoltrasse al server ricevente.
Sulla base delle informazioni estratte, il destinatario decide se permettere ai risultati dell'ARC di scavalcare la politica DMARC, passando così l'email come autentica e valida e permettendo che venga consegnata normalmente nella casella di posta del destinatario.
Con l'implementazione di ARC, il destinatario può effettivamente autenticare l'e-mail con l'aiuto delle seguenti informazioni:
- I risultati di autenticazione testimoniati dal server intermedio, insieme a tutta la storia dei risultati di convalida SPF e DKIM nell'hop iniziale.
- Informazioni necessarie per autenticare i dati inviati.
- Informazioni per collegare la firma inviata al server intermediario in modo che l'e-mail venga convalidata nel server ricevente anche se l'intermediario altera il contenuto, purché inoltri una nuova e valida firma DKIM.
Attuazione della catena autenticata ricevuta
ARC definisce tre nuove intestazioni di posta:
- ARC-Authentication-Results (AAR): La prima tra le intestazioni di posta è l'AAR che incapsula i risultati dell'autenticazione come SPF, DKIM e DMARC.
- ARC-Seal (AS) - AS è una versione più semplice di una firma DKIM, che contiene informazioni sui risultati dell'header di autenticazione e la firma ARC.
- ARC-Message-Signature (AMS) - AMS è anche simile a una firma DKIM, che prende un'immagine dell'intestazione del messaggio che incorpora tutto tranne le intestazioni ARC-Seal come i campi To: e From:, l'oggetto, e l'intero corpo del messaggio.
Passi eseguiti dal server intermedio per firmare una modifica:
Passo 1: il server copia il campo Authentication-Results in un nuovo campo AAR e lo aggiunge come prefisso al messaggio
Passo 2: il server formula l'AMS per il messaggio (con l'AAR) e lo aggiunge al messaggio.
Passo 3: il server formula l'AS per le intestazioni ARC-Seal precedenti e lo aggiunge al messaggio.
Infine, per convalidare la catena autenticata ricevuta e scoprire se un messaggio inoltrato è legittimo o no, il destinatario convalida la catena o le intestazioni ARC Seal e la più recente ARC-Message-Signature. Se nel caso in cui le intestazioni ARC sono state alterate in qualsiasi modo, l'email di conseguenza fallisce l'autenticazione DKIM. Tuttavia, se tutti i server di posta coinvolti nella trasmissione del messaggio firmano e trasmettono correttamente ARC, allora l'email conserva i risultati dell'autenticazione DKIM e passa l'autenticazione DMARC, con il risultato di consegnare con successo il messaggio nella casella di posta del destinatario!
L'implementazione di ARC sostiene e supporta l'adozione di DMARC nelle organizzazioni per assicurarsi che ogni email legittima venga autenticata senza un solo errore. Iscriviti oggi stesso alla tua prova gratuita di DMARC!
Esperto di sicurezza informatica, CEO di PowerDMARC
Maitham è un imprenditore tecnologico, esperto di sicurezza informatica, CEO e fondatore di PowerDMARC con oltre 15 anni di esperienza nel settore. Maitham ha conseguito un MBA presso l'Università di Manchester e varie certificazioni professionali, tra cui CISSP, CISM, CRISC e ISC2 CCSP.
Ultimi messaggi di Maitham Al Lawati (vedi tutti)
- Come creare e pubblicare un record DMARC - 3 marzo 2025
- Come risolvere il problema "Nessun record SPF trovato" nel 2025 - 21 gennaio 2025
- Come leggere un rapporto DMARC - 19 gennaio 2025
