ARCO | DMARC ARCO

Cos'è ARC (Authenticated Received Chain)?

ARC o Authenticated Received Chain è un sistema di autenticazione e-mail che mostra la valutazione dell'autenticazione di un'e-mail ad ogni passo, durante la gestione. In termini più semplici, la catena di ricezione autenticata può essere definita come una sequenza di verifica per i messaggi di posta elettronica che consente a ogni entità che gestisce i messaggi di vedere effettivamente tutte le entità che lo hanno gestito in precedenza. Essendo un protocollo relativamente nuovo, pubblicato e documentato come "Experimental" in RFC 8617 nel luglio 2019, ARC consente al server ricevente di convalidare le e-mail anche quando SPF e DKIM sono resi non validi da un server intermedio.

DMARC ARC

DMARC ARC è un modo efficace per aggirare le vulnerabilità che possono esistere nel vostro sistema di autenticazione DMARC come risultato dell'inoltro di e-mail. Conserva le informazioni delle e-mail in un modo che aiuta questi messaggi a passare i controlli di autenticazione. Mentre si richiede che le e-mail non autorizzate siano bloccate, le e-mail legittime che non vengono consegnate sono l'ultima cosa che si desidera. DMARC ARC mantiene una sequenza di verifica per le vostre e-mail ad ogni passo per garantire che le intestazioni delle vostre e-mail rimangano inalterate e vengano passate al prossimo intermediario nella linea.

Si può usare ARC come sostituto di DMARC?

La risposta è no. ARC è stato costruito per passare gli identificatori di autenticazione in modo sequenziale durante tutto il percorso di un'e-mail, indipendentemente dal numero di server intermedi che attraversa. ARC aiuta a preservare i risultati della verifica DMARC, impedendo a terzi e ai fornitori di caselle di posta di modificare le intestazioni dei messaggi o il contenuto. ARC non è assolutamente un sostituto di DMARC, ma può essere usato in aggiunta a una politica DMARC applicata per migliorare ulteriormente la deliverability delle vostre e-mail.

Come può aiutare la catena di ricezione autenticata?

Come già sappiamo, DMARC permette ad un'email di essere autenticata contro gli standard di autenticazione email SPF e DKIM, specificando al ricevitore come gestire le email che falliscono o passano l'autenticazione. Tuttavia, se si implementa l'applicazione di DMARC nella vostra organizzazione secondo una rigida politica DMARC, ci sono possibilità che anche le email legittime, come quelle inviate attraverso una mailing list o un forwarder, possano fallire l'autenticazione e non essere consegnate al destinatario! Authenticated Received Chain aiuta a mitigare efficacemente questo problema. Impariamo come nella sezione seguente:

Situazioni in cui ARC può aiutare

  • Liste di distribuzione 

Come membro di una mailing list, hai il potere di inviare messaggi a tutti i membri della lista in una volta sola, indirizzando la mailing list stessa. L'indirizzo ricevente inoltra successivamente il vostro messaggio a tutti i membri della lista. Nella situazione attuale, DMARC non riesce a convalidare questo tipo di messaggi e l'autenticazione fallisce anche se l'e-mail è stata inviata da una fonte legittima! Questo perché SPF si rompe quando un messaggio viene inoltrato. Poiché la mailing list spesso continua a incorporare informazioni extra nel corpo dell'email, la firma DKIM può anche essere invalidata a causa dei cambiamenti nel contenuto dell'email.

  • Inoltro di messaggi 

Quando c'è un flusso di posta indiretto, ad esempio stai ricevendo un'email da un server intermedio e non direttamente dal server di invio come nel caso dei messaggi inoltrati, SPF si rompe e la tua email fallirà automaticamente l'autenticazione DMARC. Alcuni inoltri alterano anche il contenuto dell'email, motivo per cui anche le firme DKIM vengono invalidate.

 

 

In queste situazioni, la Catena Autenticata Ricevuta viene in soccorso! Come? Scopriamolo:

Come funziona DMARC ARC?

Nelle situazioni elencate sopra, gli inoltratori avevano inizialmente ricevuto e-mail che erano state convalidate rispetto alla configurazione DMARC, da una fonte autorizzata. La Authenticated Received Chain è sviluppata come una specifica che permette all'intestazione Authentication-Results di essere passata al prossimo 'hop' nella linea di consegna del messaggio.

Nel caso di un messaggio inoltrato, quando il server di posta elettronica del destinatario riceve un messaggio che ha fallito l'autenticazione DMARC, cerca di convalidare l'e-mail per una seconda volta, contro la catena di ricezione autenticata fornita per l'e-mail estraendo l'ARC Authentication-Results del salto iniziale, per controllare se è stato convalidato come legittimo prima che il server intermediario lo inoltrasse al server ricevente.

Sulla base delle informazioni estratte, il destinatario decide se permettere ai risultati dell'ARC di scavalcare la politica DMARC, passando così l'email come autentica e valida e permettendo che venga consegnata normalmente nella casella di posta del destinatario.

Con l'implementazione di ARC, il destinatario può effettivamente autenticare l'e-mail con l'aiuto delle seguenti informazioni:

  • I risultati di autenticazione testimoniati dal server intermedio, insieme a tutta la storia dei risultati di convalida SPF e DKIM nell'hop iniziale.
  • Informazioni necessarie per autenticare i dati inviati.
  • Informazioni per collegare la firma inviata al server intermediario in modo che l'e-mail venga convalidata nel server ricevente anche se l'intermediario altera il contenuto, purché inoltri una nuova e valida firma DKIM.

Attuazione della catena autenticata ricevuta

ARC definisce tre nuove intestazioni di posta:

  • ARC-Authentication-Results (AAR): La prima tra le intestazioni di posta è l'AAR che incapsula i risultati dell'autenticazione come SPF, DKIM e DMARC.

  • ARC-Seal (AS) - AS è una versione più semplice di una firma DKIM, che contiene informazioni sui risultati dell'header di autenticazione e la firma ARC.

  • ARC-Message-Signature (AMS) - AMS è anche simile a una firma DKIM, che prende un'immagine dell'intestazione del messaggio che incorpora tutto tranne le intestazioni ARC-Seal come i campi To: e From:, l'oggetto, e l'intero corpo del messaggio.

Passi eseguiti dal server intermedio per firmare una modifica:

Passo 1: il server copia il campo Authentication-Results in un nuovo campo AAR e lo aggiunge come prefisso al messaggio

Passo 2: il server formula l'AMS per il messaggio (con l'AAR) e lo aggiunge al messaggio.

Passo 3: il server formula l'AS per le intestazioni ARC-Seal precedenti e lo aggiunge al messaggio.

Infine, per convalidare la catena autenticata ricevuta e scoprire se un messaggio inoltrato è legittimo o no, il destinatario convalida la catena o le intestazioni ARC Seal e la più recente ARC-Message-Signature. Se nel caso in cui le intestazioni DMARC ARC sono state alterate in qualsiasi modo, l'email di conseguenza fallisce l'autenticazione DKIM. Tuttavia, se tutti i server di posta coinvolti nella trasmissione del messaggio firmano e trasmettono correttamente ARC, allora l'email conserva i risultati dell'autenticazione DKIM e passa l'autenticazione DMARC, con il risultato di consegnare con successo il messaggio nella casella di posta del destinatario!

L'implementazione di ARC sostiene e supporta l'adozione di DMARC nelle organizzazioni per assicurarsi che ogni email legittima venga autenticata senza un solo errore. Iscriviti oggi stesso alla tua prova gratuita di DMARC!

Ultimi messaggi di Ahona Rudra (vedi tutti)