Cos'è ARC?

Blog

Authenticated Received Chain (ARC) uno standard che può mitigare con successo i problemi di fallimento nell'autenticazione DMARC. Attivate DMARC ARC!

di Maitham Al Lawati

Ultimo aggiornamento:
6 Tempo di lettura: 6 min
Cos'è ARC?
Indice dei contenuti-

Cos'è ARC (Authenticated Received Chain)?

L'ARC Email o Authenticated Received Chain è un sistema di autenticazione delle e-mail che visualizza la valutazione dell'autenticazione di un'e-mail in ogni fase del processo, durante la sua gestione. In termini più semplici, la catena di ricezione autenticata può essere definita come una sequenza di verifica o "catena di custodia" per i messaggi di posta elettronica che consente a ogni entità che gestisce i messaggi di vedere effettivamente tutte le entità che li hanno precedentemente gestiti. Come protocollo relativamente nuovo, pubblicato e documentato come "Experimental" nell'RFC 8617 del luglio 2019, Email ARC consente al server ricevente di convalidare le e-mail anche quando SPF e DKIM sono resi non validi da un server intermedio.

I punti chiave da prendere in considerazione

  1. ARC (Authenticated Received Chain) fornisce una "catena di custodia" verificabile per i risultati dell'autenticazione delle e-mail su più server di gestione.
  2. Attenua i fallimenti DMARC causati da intermediari come mailing list e forwarder, preservando la validità delle e-mail legittime.
  3. ARC integra il DMARC consentendo ai destinatari di fidarsi dei risultati iniziali dell'autenticazione, migliorando la deliverability senza sostituire il DMARC.
  4. L'implementazione comporta l'aggiunta delle intestazioni ARC-Authentication-Results, ARC-Seal e ARC-Message-Signature per passare le informazioni di validazione.
  5. La firma ARC corretta da parte degli intermediari consente al destinatario finale di convalidare l'autenticità dell'e-mail nonostante le modifiche che normalmente violerebbero SPF/DKIM.

DMARC ARC

DMARC ARC è un modo efficace per aggirare le vulnerabilità che possono esistere nel sistema di autenticazione DMARC come risultato dell'inoltro di e-mail. Conserva le informazioni delle e-mail in modo da aiutare questi messaggi a superare i controlli di autenticazione. Se da un lato è necessario che le e-mail non autorizzate vengano bloccate, dall'altro le e-mail legittime non vengono consegnate, il che è l'ultima cosa che si desidera. DMARC ARC mantiene una sequenza di verifiche per le vostre e-mail a ogni passo, per garantire che le intestazioni delle vostre e-mail rimangano inalterate e vengano trasmesse all'intermediario successivo.

Semplificate l'ARC con PowerDMARC!

Prova di 15 giorniPrenota una demo

Si può usare ARC come sostituto di DMARC?

La risposta è no. Email ARC è stato costruito per trasmettere gli identificatori di autenticazione in modo sequenziale lungo tutto il percorso di un'e-mail, indipendentemente dal numero di server intermedi attraversati. Email ARC aiuta a preservare i risultati della verifica DMARC, impedendo a terzi e ai provider di caselle postali di modificare le intestazioni o il contenuto dei messaggi. ARC non sostituisce assolutamente il DMARC, ma può essere utilizzato in aggiunta a una politica DMARC per migliorare ulteriormente la deliverability delle e-mail.

Come può aiutare la catena di ricezione autenticata?

Come già sappiamo, il DMARC consente di autenticare un'e-mail rispetto agli standard di autenticazione SPF e DKIM, specificando al destinatario come gestire le e-mail che non superano l'autenticazione. Tuttavia, se si implementa l'applicazione del DMARC nella propria organizzazione secondo una politica DMARC rigorosa, c'è la possibilità che anche le e-mail legittime, come quelle inviate attraverso una mailing list o un forwarder, possano fallire l'autenticazione e non essere consegnate al destinatario! Authenticated Received Chain aiuta a mitigare efficacemente questo problema. Scopriamo come nella sezione seguente:

Situazioni in cui ARC può aiutare

  • Liste di distribuzione 

Come membri di una mailing list, avete la possibilità di inviare messaggi a tutti i membri della lista in una volta sola, indirizzando la mailing list stessa. L'indirizzo ricevente inoltra poi il messaggio a tutti i membri della lista. Nella situazione attuale, il DMARC non riesce a convalidare questo tipo di messaggi e l'autenticazione fallisce anche se l'e-mail è stata inviata da una fonte legittima! Questo perché l'SPF si interrompe quando un messaggio viene inoltrato. Poiché le mailing list spesso incorporano informazioni aggiuntive nel corpo dell'e-mail, anche la firma DKIM può essere invalidata a causa delle modifiche apportate al contenuto dell'e-mail.

  • Inoltro di messaggi 

Quando c'è un flusso di posta indiretto, ad esempio stai ricevendo un'email da un server intermedio e non direttamente dal server di invio come nel caso dei messaggi inoltrati, SPF si rompe e la tua email fallirà automaticamente l'autenticazione DMARC. Alcuni inoltri alterano anche il contenuto dell'email, motivo per cui anche le firme DKIM vengono invalidate.

 

 

In queste situazioni, la Catena Autenticata Ricevuta viene in soccorso! Come? Scopriamolo:

Come funziona DMARC ARC?

Nelle situazioni sopra elencate, gli spedizionieri avevano inizialmente ricevuto messaggi di posta elettronica che erano stati convalidati rispetto all'impostazione DMARC, da una fonte autorizzata. La catena di ricezione autenticata è stata sviluppata come una specifica che consente di passare l'intestazione Authentication-Results al successivo "hop" nella linea di consegna del messaggio.

Nel caso di un messaggio inoltrato, quando il server di posta elettronica del destinatario riceve un messaggio che non ha superato l'autenticazione DMARC, cerca di convalidare l'e-mail una seconda volta, rispetto alla catena di ricezione autenticata fornita per l'e-mail, estraendo i risultati dell'autenticazione ARC dell'e-mail del salto iniziale, per verificare se l'e-mail è stata convalidata come legittima prima che il server intermediario la inoltrasse al server ricevente.

Sulla base delle informazioni estratte, il destinatario decide se consentire ai risultati dell'e-mail ARC di ignorare il criterio DMARC, facendo passare l'e-mail come autentica e valida e consentendole di essere consegnata normalmente nella casella di posta del destinatario.

Con l'implementazione di ARC, il destinatario può effettivamente autenticare l'e-mail con l'aiuto delle seguenti informazioni:

  • I risultati di autenticazione testimoniati dal server intermedio, insieme a tutta la storia dei risultati di convalida SPF e DKIM nell'hop iniziale.
  • Informazioni necessarie per autenticare i dati inviati.
  • Informazioni per collegare la firma inviata al server intermediario in modo che l'e-mail venga convalidata nel server ricevente anche se l'intermediario altera il contenuto, purché inoltri una nuova e valida firma DKIM.

Attuazione della catena autenticata ricevuta

ARC definisce tre nuove intestazioni di posta:

  • ARC-Authentication-Results (AAR): La prima tra le intestazioni di posta è l'AAR che incapsula i risultati dell'autenticazione come SPF, DKIM e DMARC.

  • ARC-Seal (AS) - AS è una versione più semplice di una firma DKIM, che contiene informazioni sui risultati dell'header di autenticazione e la firma ARC.

  • ARC-Message-Signature (AMS) - AMS è anche simile a una firma DKIM, che prende un'immagine dell'intestazione del messaggio che incorpora tutto tranne le intestazioni ARC-Seal come i campi To: e From:, l'oggetto, e l'intero corpo del messaggio.

Passi eseguiti dal server intermedio per firmare una modifica:

Passo 1: il server copia il campo Authentication-Results in un nuovo campo AAR e lo aggiunge come prefisso al messaggio

Passo 2: il server formula l'AMS per il messaggio (con l'AAR) e lo aggiunge al messaggio.

Passo 3: il server formula l'AS per le intestazioni ARC-Seal precedenti e lo aggiunge al messaggio.

Infine, per convalidare la catena di ricezione autenticata e scoprire se un messaggio inoltrato è legittimo o meno, il destinatario convalida la catena o le intestazioni ARC Seal e la firma ARC-Message più recente. Se le intestazioni ARC del DMARC sono state alterate in qualche modo, l'e-mail non supera l'autenticazione DKIM. Tuttavia, se tutti i server di posta coinvolti nella trasmissione del messaggio firmano e trasmettono correttamente l'e-mail ARC, l'e-mail conserva i risultati dell'autenticazione DKIM e supera l'autenticazione DMARC, con conseguente consegna del messaggio nella casella di posta del destinatario!

L'implementazione di ARC sostiene e supporta l'adozione del DMARC nelle organizzazioni per assicurarsi che ogni e-mail legittima venga autenticata senza alcun errore. Registratevi oggi stesso per la vostra prova gratuita del DMARC!

Ultimi messaggi di Maitham Al Lawati (vedi tutti)
Ultimo aggiornamento:
Motivi per evitare l'appiattimento della SPFIllustrazione dell'appiattimento spfTroppi lookup dnsCome sistemare troppe ricerche sul DNS?