アーク

ARC(Authenticated Received Chain)とは、電子メールを取り扱う際に、その電子メールの認証評価を各段階で表示する電子メール認証システムのことです。より簡単に言えば、Authenticated Received Chainは、電子メールメッセージの「Chain of Custody」と呼ぶことができ、メッセージを扱う各エンティティが、以前にメッセージを扱ったすべてのエンティティを効果的に見ることができます。2019年7月にRFC 8617で「Experimental」として公開・文書化された比較的新しいプロトコルであるARCは、SPFやDKIMが中間サーバーによって無効にされた場合でも、受信サーバーがメールを検証することを可能にします。

Authenticated Received Chainはどのように役立つのか?

すでにご存じのように、DMARCは電子メールをSPFおよびDKIMの電子メール認証規格に照らして認証し、認証に失敗した電子メールまたは合格した電子メールをどのように処理するかを受信者に指定することができます。しかし、組織内で厳格なDMARCポリシーに基づいてDMARCエンフォースメントを実施した場合、メーリングリストやフォワーダーを介して送信されたような正当なメールであっても、認証に失敗して受信者に届けられない可能性があります。Authenticated Received Chainは、この問題を効果的に軽減することができます。次のセクションでは、その方法をご紹介します。

アークがお手伝いできる場面

  • メーリング・リスト 

メーリングリストのメンバーは、メーリングリスト自体にアドレスを設定することで、そのメーリングリストに参加しているすべてのメンバーにメッセージを一度に送信することができます。受信アドレスは、その後、あなたのメッセージをすべてのリストのメンバーに転送します。現状では、DMARCはこの種のメッセージの検証に失敗し、正当な送信元からメールが送られてきたにもかかわらず、認証が失敗してしまいます。これは、メッセージが転送されるとSPFが壊れるためです。メーリングリストでは、メール本文に余分な情報を盛り込むことが多いため、メール内容の変更によってDKIM署名が無効になることもあります。

  • メッセージの転送 

転送されたメッセージの場合のように、送信サーバーから直接メールを受け取るのではなく、中間サーバーからメールを受け取るなど、間接的なメールの流れがある場合、SPFが壊れ、メールは自動的にDMARC認証に失敗します。また、フォワーダーの中にはメールの内容を変更するものもあるため、DKIMの署名も無効になってしまいます。

 

 

このような状況では、Authenticated Received Chainが助けになります。どうやって?それを見てみましょう。

アークの機能とは?

上記の状況では、フォワーダーは最初にDMARC設定に照らして検証されたメールを、認証された送信元から受信していました。Authenticated Received Chainは、Authentication-Resultsヘッダーをメッセージ配信の次のホップに渡すための仕様として開発されました。

転送されたメッセージの場合、受信側のメールサーバーは、DMARC認証に失敗したメッセージを受信すると、最初のホップのARC Authentication-Resultsを抽出して、そのメールに対して提供されたAuthenticated Received Chainに対して2回目の検証を試み、仲介サーバーが受信側のサーバーに転送する前に正当性が検証されたかどうかを確認しています。

受信者は、抽出された情報に基づいて、ARCの結果がDMARCポリシーを上書きすることを許可するかどうかを決定し、それによって電子メールが真正で有効であると認められ、受信者の受信箱に正常に配信されることを許可する。

ARCの実装により、受信者は以下の情報を用いて効果的にメールを認証することができます。

  • 中間サーバーが目撃した認証結果と、最初のホップでのSPFとDKIMの検証結果の全履歴を表示します。
  • 送信されたデータを認証するために必要な情報です。
  • 送信された署名を仲介サーバにリンクさせるための情報で、仲介者がコンテンツを変更しても、新しい有効なDKIM署名を転送していれば、受信サーバでメールが検証されるようになっています。

Authenticated Received Chainの実装

ARCは3つの新しいメールヘッダを定義しています。

  • ARC-Authentication-Results(AAR)。メールヘッダの最初にあるAARは、SPF、DKIM、DMARCなどの認証結果をカプセル化したものです。

  • ARC-Seal (AS) - ASはDKIM署名の簡易版で、認証ヘッダーの結果とARC署名の情報を含んでいます。

  • ARC-Message-Signature(AMS) - AMSもDKIMの署名に似ていますが、ARC-Sealヘッダー以外のTo:フィールド、From:フィールド、件名、メッセージの本文全体を含むメッセージヘッダーのイメージを取得します。

変更内容に署名するために中間サーバーが行う手順。

ステップ1:サーバーはAuthentication-Resultsフィールドを新しいAARフィールドにコピーし、それをメッセージのプレフィックスとします。

ステップ2:サーバは、メッセージに対するAMSを(AARとともに)策定し、メッセージの前に追加します。

ステップ3:サーバは、前回のARC-SealヘッダのASを策定し、メッセージに追加します。

最後に、Authenticated Received Chainを検証し、転送されたメッセージが正当なものであるかどうかを確認するために、受信者はチェーン、ARC Seal-headers、および最新のARC-Message-Signatureを検証します。万が一、ARCヘッダーが何らかの形で変更されていた場合、そのメールは結果的にDKIM認証に失敗します。しかし、メッセージの送信に関わるすべてのメールサーバーが正しくARCに署名して送信していれば、メールはDKIM認証の結果を維持し、DMARC認証を通過して、受信者の受信箱にメッセージが正常に届けられることになります。

ARCの導入は、すべての正当な電子メールが一度の失敗もなく認証されるように、組織におけるDMARCの導入をバックアップおよびサポートします。今すぐDMARCの無料トライアルにお申し込みください。