ARC | DMARC ARC

Wat is ARC (Authenticated Received Chain)?

ARC of Authenticated Received Chain is een e-mail authenticatiesysteem dat bij elke stap in de afhandeling van een e-mail de authenticatiebeoordeling ervan weergeeft. Eenvoudiger gezegd kan de Authenticated Received Chain worden aangeduid als een opeenvolging van verificaties voor e-mailberichten die elke entiteit die de berichten afhandelt in staat stelt om effectief alle entiteiten te zien die de berichten eerder hebben afgehandeld. Als relatief nieuw protocol, gepubliceerd en gedocumenteerd als "Experimental" in RFC 8617 op juli 2019, stelt ARC de ontvangende server in staat om e-mails te valideren, zelfs wanneer SPF en DKIM ongeldig zijn gemaakt door een tussenliggende server.

DMARC ARC

DMARC ARC is een effectieve manier om kwetsbaarheden te omzeilen die in uw DMARC verificatiesysteem kunnen bestaan als gevolg van het doorsturen van e-mail. Het bewaart e-mailinformatie op een manier die deze berichten helpt de verificatiecontroles te doorstaan. Hoewel u wilt dat uw ongeautoriseerde e-mails worden geblokkeerd, is het laatste wat u wilt dat uw legitieme e-mails niet worden afgeleverd. DMARC ARC houdt bij elke stap een verificatievolgorde voor uw e-mails in stand om ervoor te zorgen dat de headers van uw e-mails ongewijzigd blijven en worden doorgegeven aan de volgende tussenpersoon in de rij.

Kan ARC gebruikt worden als vervanging voor DMARC?

Het antwoord is nee. ARC is gebouwd om authenticatie identifiers sequentieel door te geven gedurende het traject van een e-mail, ongeacht het aantal tussenliggende servers waar de e-mail doorheen gaat. ARC helpt DMARC verificatieresultaten te behouden, en voorkomt dat derde partijen en mailbox providers de headers of inhoud van berichten wijzigen. ARC is zeker geen vervanging voor DMARC, maar kan gebruikt worden als aanvulling op een DMARC beleid om uw email deliverability verder te verbeteren.

Hoe kan een geauthenticeerde ontvangende keten helpen?

Zoals we al weten, staat DMARC toe dat een e-mail wordt geauthenticeerd tegen de SPF en DKIM e-mail authenticatie standaarden, waarbij de ontvanger wordt gespecificeerd hoe om te gaan met de e-mails die falen of slagen voor de authenticatie. Echter, als u DMARC enforcement in uw organisatie implementeert volgens een strikt DMARC beleid, bestaat de kans dat zelfs legitieme emails, zoals die verzonden zijn via een mailing list of een forwarder, niet geauthenticeerd kunnen worden en niet afgeleverd worden bij de ontvanger! Authenticated Received Chain helpt dit probleem effectief te beperken. Laten we in de volgende sectie leren hoe:

Situaties waarin ARC kan helpen

  • Mailinglijsten 

Als lid van een mailinglijst hebt u de mogelijkheid om in één keer berichten naar alle leden van de lijst te sturen door de mailinglijst zelf te adresseren. Het ontvangende adres stuurt uw bericht vervolgens door naar alle leden van de lijst. In de huidige situatie slaagt DMARC er niet in dit soort berichten te valideren en mislukt de authenticatie, ook al is de e-mail van een legitieme bron verzonden! Dit komt doordat SPF breekt wanneer een bericht wordt doorgestuurd. Omdat de mailinglijst vaak extra informatie in de e-mailbody opneemt, kan de DKIM-handtekening ook ongeldig worden gemaakt door wijzigingen in de e-mailinhoud.

  • Berichten doorsturen 

Wanneer er een indirecte mail flow is, bijvoorbeeld wanneer u een email ontvangt van een tussenliggende server en niet direct van de verzendende server zoals in het geval van doorgestuurde berichten, breekt SPF en zal uw email automatisch DMARC authenticatie falen. Sommige forwarders veranderen ook de inhoud van de e-mail, waardoor de DKIM handtekeningen ook ongeldig worden gemaakt.

 

 

In dergelijke situaties schiet de Authenticated Received Chain te hulp! Hoe? Laten we dat eens uitzoeken:

Hoe werkt DMARC ARC?

In de hierboven opgesomde situaties hadden de forwarders aanvankelijk e-mails ontvangen die waren gevalideerd aan de hand van de DMARC-setup, van een geautoriseerde bron. Authenticated Received Chain is ontwikkeld als een specificatie die het mogelijk maakt de Authentication-Results header door te geven aan de volgende "hop" in de lijn van de berichtaflevering.

In het geval van een doorgestuurd bericht probeert de e-mailserver van de ontvanger, wanneer hij een bericht ontvangt dat DMARC-authenticatie niet heeft doorstaan, de e-mail een tweede keer te valideren tegen de verstrekte Authenticated Received Chain voor de e-mail door de ARC Authentication-Results van de eerste "hop" te extraheren, om na te gaan of het bericht als legitiem werd gevalideerd voordat de tussenliggende server het naar de ontvangende server doorstuurde.

Op basis van de geëxtraheerde informatie beslist de ontvanger of de ARC-resultaten het DMARC-beleid terzijde mogen schuiven, zodat de e-mail als authentiek en geldig wordt beschouwd en normaal in de inbox van de ontvanger kan worden afgeleverd.

Met de ARC-implementatie kan de ontvanger de e-mail effectief authenticeren met behulp van de volgende informatie:

  • De authenticatieresultaten zoals waargenomen door de tussenliggende server, samen met de hele geschiedenis van SPF en DKIM validatieresultaten in de initiële hop.
  • Noodzakelijke informatie om de verzonden gegevens te authenticeren.
  • Informatie om de verzonden handtekening aan de tussenliggende server te koppelen, zodat de e-mail bij de ontvangende server wordt gevalideerd, zelfs als de tussenliggende server de inhoud wijzigt, zolang hij maar een nieuwe en geldige DKIM-handtekening doorstuurt.

Implementatie van geauthenticeerde ontvangen keten

ARC definieert drie nieuwe mail headers:

  • ARC-Authenticatie-Resultaten (AAR): De eerste van de mail headers is de AAR die de authenticatie resultaten zoals SPF, DKIM, en DMARC inkapselt.

  • ARC-Seal (AS) - AS is een eenvoudigere versie van een DKIM-handtekening, die informatie bevat over de resultaten van de authenticatieheader, en ARC-handtekening.

  • ARC-Message-Signature (AMS) - AMS is ook vergelijkbaar met een DKIM handtekening, maar neemt een afbeelding van de header van het bericht waarin alles is opgenomen behalve de ARC-Seal headers zoals de velden To: en From:, onderwerp, en de hele body van het bericht.

Stappen uitgevoerd door de intermediaire server om een wijziging te ondertekenen:

Stap 1: de server kopieert het veld Authentication-Results naar een nieuw AAR-veld en voegt het toe aan het bericht

Stap 2: de server formuleert het AMS voor het bericht (met het AAR) en voegt het toe aan het bericht.

Stap 3: de server formuleert het AS voor de voorgaande ARC-Seal headers en voegt het toe aan het bericht.

Tenslotte, om de Authenticated Received Chain te valideren en uit te vinden of een doorgestuurd bericht legitiem is of niet, valideert de ontvanger de chain of ARC Seal-headers en de nieuwste ARC-Message-Signature. Indien de DMARC ARC headers op enigerlei wijze zijn gewijzigd faalt de email bijgevolg in de DKIM authenticatie. Echter, als alle mail servers die betrokken zijn bij de verzending van het bericht ARC correct ondertekenen en verzenden, dan behoudt de email de DKIM authenticatie resultaten, en slaagt DMARC authenticatie, resulterend in de succesvolle aflevering van het bericht in de inbox van de ontvanger!

ARC implementatie ondersteunt DMARC adoptie in organisaties om er zeker van te zijn dat elke legitieme e-mail geauthenticeerd wordt zonder een enkele fout. Meld u vandaag nog aan voor uw gratis DMARC-proefversie!

 

Nieuwste berichten van Ahona Rudra (zie alle)