Wat is ARC?

Wat is ARC (Authenticated Received Chain)?

ARC Email of Authenticated Received Chain is een e-mailverificatiesysteem dat de verificatiebeoordeling van een e-mail bij elke stap van de verwerking weergeeft. Eenvoudiger gezegd, kan de Authenticated Received chain worden omschreven als een opeenvolging van verificatie of "chain of custody" voor e-mailberichten die elke entiteit die de berichten behandelt in staat stelt om effectief alle entiteiten te zien die de berichten eerder hebben behandeld. Als relatief nieuw protocol, gepubliceerd en gedocumenteerd als "Experimental" in RFC 8617 op juli 2019, stelt Email ARC de ontvangende server in staat om e-mails te valideren, zelfs wanneer SPF en DKIM ongeldig zijn gemaakt door een tussenliggende server.

DMARC ARC

DMARC ARC is een effectieve manier om kwetsbaarheden te omzeilen die mogelijk bestaan in je DMARC-verificatiesysteem als gevolg van het doorsturen van e-mail. Het bewaart e-mailinformatie op een manier die deze berichten door verificatiecontroles helpt. Hoewel u wilt dat uw ongeautoriseerde e-mails worden geblokkeerd, is het laatste wat u wilt dat uw legitieme e-mails niet worden afgeleverd. DMARC ARC onderhoudt bij elke stap een reeks verificaties voor je e-mails om ervoor te zorgen dat de headers van je e-mail ongewijzigd blijven en worden doorgegeven aan de volgende tussenpersoon in de rij.

Vereenvoudig ARC met PowerDMARC!

Kan ARC worden gebruikt als vervanging voor DMARC?

Het antwoord is nee. E-mail ARC is ontworpen om verificatie-identifiers sequentieel door te geven tijdens het hele traject van een e-mail, ongeacht het aantal tussenliggende servers waar de e-mail doorheen gaat. Email ARC helpt DMARC-verificatieresultaten te behouden en voorkomt dat derden en postbusproviders de headers of inhoud van berichten wijzigen. ARC is zeker geen vervanging voor DMARC, maar kan naast een afgedwongen DMARC-beleid worden gebruikt om de deliverability van uw e-mail verder te verbeteren.

Hoe kan Authenticated Received Chain helpen?

Zoals we al weten, maakt DMARC het mogelijk om een e-mail te verifiëren aan de hand van de SPF en DKIM e-mailverificatiestandaarden, waarbij aan de ontvanger wordt gespecificeerd hoe de e-mails die de verificatie niet doorstaan, moeten worden verwerkt. Als je echter DMARC afdwinging implementeert in je organisatie volgens een strikt DMARC beleid, bestaat de kans dat zelfs legitieme e-mails, zoals die verzonden via een mailinglijst of een forwarder, de authenticatie niet doorstaan en niet worden afgeleverd bij de ontvanger! Authenticated Received Chain helpt dit probleem effectief te beperken. Laten we in de volgende sectie leren hoe:

Situaties waarin ARC kan helpen

• Mailinglijsten 

Als lid van een mailinglijst heb je de mogelijkheid om berichten in één keer naar alle leden van de lijst te sturen door de mailinglijst zelf te adresseren. Het ontvangende adres stuurt je bericht vervolgens door naar alle leden van de lijst. In de huidige situatie slaagt DMARC er niet in om dit soort berichten te valideren en mislukt de authenticatie, ook al is de e-mail verzonden vanuit een legitieme bron! Dit komt omdat SPF breekt wanneer een bericht wordt doorgestuurd. Omdat de mailinglijst vaak extra informatie in de e-mailtekst opneemt, kan de DKIM-handtekening ook ongeldig worden als gevolg van veranderingen in de inhoud van de e-mail.

• Berichten doorsturen 

Wanneer er een indirecte mailstroom is, zoals wanneer je een e-mail ontvangt van een tussenliggende server en niet rechtstreeks van de verzendende server zoals in het geval van doorgestuurde berichten, wordt SPF verbroken en faalt je e-mail automatisch voor DMARC-authenticatie. Sommige forwarders veranderen ook de inhoud van de e-mail, waardoor de DKIM-handtekeningen ook ongeldig worden.

In zulke situaties schiet Authenticated Received Chain te hulp! Hoe? Laten we dat uitzoeken:

Hoe werkt DMARC ARC?

In de bovenstaande situaties hadden de forwarders aanvankelijk e-mails ontvangen die waren gevalideerd met DMARC setup, van een geautoriseerde bron. Authenticated Received Chain is ontwikkeld als een specificatie die het mogelijk maakt om de Authentication-Results header door te geven aan de volgende 'hop' in de lijn van de berichtaflevering.

In het geval van een doorgestuurd bericht, wanneer de e-mailserver van de ontvanger een bericht ontvangt dat de DMARC-authenticatie niet heeft doorstaan, probeert deze de e-mail voor een tweede keer te valideren aan de hand van de Authenticated Received Chain voor de e-mail door de Email ARC Authentication-Results van de eerste hop te extraheren, om te controleren of de e-mail legitiem was gevalideerd voordat de tussenliggende server deze doorstuurde naar de ontvangende server.

Op basis van de geëxtraheerde informatie beslist de ontvanger of de ARC e-mailresultaten het DMARC-beleid opheffen, waardoor de e-mail als authentiek en geldig wordt beschouwd en normaal wordt afgeleverd in de inbox van de ontvanger.

Met de implementatie van ARC kan de ontvanger de e-mail effectief verifiëren met behulp van de volgende informatie:

• De authenticatieresultaten zoals gezien door de tussenliggende server, samen met de hele geschiedenis van SPF- en DKIM-validatieresultaten in de eerste hop.
• Noodzakelijke informatie om de verzonden gegevens te verifiëren.
• Informatie om de verzonden handtekening te koppelen aan de tussenliggende server, zodat de e-mail wordt gevalideerd in de ontvangende server, zelfs als de tussenliggende server de inhoud wijzigt, zolang ze een nieuwe en geldige DKIM handtekening doorsturen.

Implementatie van Authenticated Received Chain

ARC definieert drie nieuwe mail headers:

• ARC-Authenticatie-Resultaten (AAR): De eerste van de mail headers is de AAR die de authenticatieresultaten zoals SPF, DKIM en DMARC insluit.

• ARC-Seal (AS) - AS is een eenvoudigere versie van een DKIM-handtekening die informatie bevat over de resultaten van de authenticatieheader en de ARC-handtekening.

• ARC-Message-Signature (AMS) - AMS lijkt ook op een DKIM-handtekening, maar neemt een afbeelding van de berichtkop die alles bevat behalve ARC-Seal-koppen zoals de velden Aan: en Van:, het onderwerp en de volledige inhoud van het bericht.

Stappen uitgevoerd door de tussenliggende server om een wijziging te ondertekenen:

Stap 1: de server kopieert het Authentication-Results-veld naar een nieuw AAR-veld en voegt het toe aan het bericht

Stap 2: de server formuleert de AMS voor het bericht (met de AAR) en voegt deze toe aan het bericht.

Stap 3: de server formuleert de AS voor de vorige ARC-Seal headers en voegt deze toe aan het bericht.

Tot slot, om de Authenticated Received Chain te valideren en te achterhalen of een doorgestuurd bericht legitiem is of niet, valideert de ontvanger de keten of ARC Seal-headers en de nieuwste ARC-Message-Signature. Als de DMARC ARC-headers op een of andere manier zijn gewijzigd, faalt de e-mail bijgevolg voor DKIM-verificatie. Als echter alle mailservers die betrokken zijn bij de verzending van het bericht de e-mail correct ARC ondertekenen en verzenden, dan behoudt de e-mail de DKIM-authenticatieresultaten en doorstaat de DMARC-authenticatie, wat resulteert in de succesvolle aflevering van het bericht in de inbox van de ontvanger!

ARC-implementatie ondersteunt en ondersteunt de invoering van DMARC in organisaties om ervoor te zorgen dat elke legitieme e-mail zonder enige fout wordt geverifieerd. Meld u vandaag nog aan voor uw gratis DMARC proefversie!

• Over
• Laatste berichten

Maitham Al Lawati

Cyberbeveiligingsexpert, CEO bij PowerDMARC

Maitham is een technisch ondernemer, cyberbeveiligingsexpert, CEO en oprichter van PowerDMARC met meer dan 15 jaar ervaring in de sector. Maitham heeft een Global MBA van de Universiteit van Manchester en diverse professionele certificeringen waaronder CISSP, CISM, CRISC en ISC2 CCSP.

Laatste berichten van Maitham Al Lawati (Bekijk alle berichten)

• Een DMARC record maken en publiceren - 3 maart 2025
• Hoe "Geen SPF-record gevonden" repareren in 2025 - 21 januari 2025
• Een DMARC-rapport lezen - 19 januari 2025