ARC

Wat is ARC?

ARC of Authenticated Received Chain is een e-mail authenticatiesysteem dat de authenticatiebeoordeling van een e-mailbericht bij elke stap weergeeft, gedurende de hele afhandeling. Eenvoudiger gezegd kan de Authenticated Received Chain worden aangeduid als een "chain of custody" voor e-mailberichten, die elke entiteit die de berichten behandelt in staat stelt om alle entiteiten die de berichten eerder hebben behandeld effectief te zien. Als relatief nieuw protocol, gepubliceerd en gedocumenteerd als "Experimental" in RFC 8617 op juli 2019, stelt ARC de ontvangende server in staat om emails te valideren, zelfs wanneer SPF en DKIM ongeldig zijn gemaakt door een tussenliggende server.

Hoe kan een geauthenticeerde ontvangende keten helpen?

Zoals we al weten, staat DMARC toe dat een e-mail wordt geauthenticeerd tegen de SPF en DKIM e-mail authenticatie standaarden, waarbij de ontvanger wordt gespecificeerd hoe om te gaan met de e-mails die falen of slagen voor de authenticatie. Echter, als u DMARC enforcement in uw organisatie implementeert volgens een strikt DMARC beleid, bestaat de kans dat zelfs legitieme emails, zoals die verzonden zijn via een mailing list of een forwarder, niet geauthenticeerd kunnen worden en niet afgeleverd worden bij de ontvanger! Authenticated Received Chain helpt dit probleem effectief te beperken. Laten we in de volgende sectie leren hoe:

Situaties waarin ARC kan helpen

  • Mailinglijsten 

Als lid van een mailinglijst hebt u de mogelijkheid om in één keer berichten naar alle leden van de lijst te sturen door de mailinglijst zelf te adresseren. Het ontvangende adres stuurt uw bericht vervolgens door naar alle leden van de lijst. In de huidige situatie slaagt DMARC er niet in dit soort berichten te valideren en mislukt de authenticatie, ook al is de e-mail van een legitieme bron verzonden! Dit komt doordat SPF breekt wanneer een bericht wordt doorgestuurd. Omdat de mailinglijst vaak extra informatie in de e-mailbody opneemt, kan de DKIM-handtekening ook ongeldig worden gemaakt door wijzigingen in de e-mailinhoud.

  • Berichten doorsturen 

Wanneer er een indirecte mail flow is, bijvoorbeeld wanneer u een email ontvangt van een tussenliggende server en niet direct van de verzendende server zoals in het geval van doorgestuurde berichten, breekt SPF en zal uw email automatisch DMARC authenticatie falen. Sommige forwarders veranderen ook de inhoud van de e-mail, waardoor de DKIM handtekeningen ook ongeldig worden gemaakt.

 

 

In dergelijke situaties schiet de Authenticated Received Chain te hulp! Hoe? Laten we dat eens uitzoeken:

Hoe werkt ARC?

In de hierboven opgesomde situaties hadden de forwarders aanvankelijk e-mails ontvangen die waren gevalideerd aan de hand van de DMARC-setup, van een geautoriseerde bron. Authenticated Received Chain is ontwikkeld als een specificatie die het mogelijk maakt de Authentication-Results header door te geven aan de volgende "hop" in de lijn van de berichtaflevering.

In het geval van een doorgestuurd bericht probeert de e-mailserver van de ontvanger, wanneer hij een bericht ontvangt dat DMARC-authenticatie niet heeft doorstaan, de e-mail een tweede keer te valideren tegen de verstrekte Authenticated Received Chain voor de e-mail door de ARC Authentication-Results van de eerste "hop" te extraheren, om na te gaan of het bericht als legitiem werd gevalideerd voordat de tussenliggende server het naar de ontvangende server doorstuurde.

Op basis van de geëxtraheerde informatie beslist de ontvanger of de ARC-resultaten het DMARC-beleid terzijde mogen schuiven, zodat de e-mail als authentiek en geldig wordt beschouwd en normaal in de inbox van de ontvanger kan worden afgeleverd.

Met de ARC-implementatie kan de ontvanger de e-mail effectief authenticeren met behulp van de volgende informatie:

  • De authenticatieresultaten zoals waargenomen door de tussenliggende server, samen met de hele geschiedenis van SPF en DKIM validatieresultaten in de initiële hop.
  • Noodzakelijke informatie om de verzonden gegevens te authenticeren.
  • Informatie om de verzonden handtekening aan de tussenliggende server te koppelen, zodat de e-mail bij de ontvangende server wordt gevalideerd, zelfs als de tussenliggende server de inhoud wijzigt, zolang hij maar een nieuwe en geldige DKIM-handtekening doorstuurt.

Implementatie van geauthenticeerde ontvangen keten

ARC definieert drie nieuwe mail headers:

  • ARC-Authenticatie-Resultaten (AAR): De eerste van de mail headers is de AAR die de authenticatie resultaten zoals SPF, DKIM, en DMARC inkapselt.

  • ARC-Seal (AS) - AS is een eenvoudigere versie van een DKIM-handtekening, die informatie bevat over de resultaten van de authenticatieheader, en ARC-handtekening.

  • ARC-Message-Signature (AMS) - AMS is ook vergelijkbaar met een DKIM handtekening, maar neemt een afbeelding van de header van het bericht waarin alles is opgenomen behalve de ARC-Seal headers zoals de velden To: en From:, onderwerp, en de hele body van het bericht.

Stappen uitgevoerd door de intermediaire server om een wijziging te ondertekenen:

Stap 1: de server kopieert het veld Authentication-Results naar een nieuw AAR-veld en voegt het toe aan het bericht

Stap 2: de server formuleert het AMS voor het bericht (met het AAR) en voegt het toe aan het bericht.

Stap 3: de server formuleert het AS voor de voorgaande ARC-Seal headers en voegt het toe aan het bericht.

Tenslotte, om de Authenticated Received Chain te valideren en uit te vinden of een doorgestuurd bericht legitiem is of niet, valideert de ontvanger de chain of ARC Seal-headers en de nieuwste ARC-Message-Signature. Als de ARC headers op enigerlei wijze zijn gewijzigd faalt de email bijgevolg bij de DKIM authenticatie. Echter, als alle mailservers die betrokken zijn bij de verzending van het bericht ARC correct ondertekenen en verzenden, dan behoudt de e-mail de DKIM authenticatie resultaten, en slaagt DMARC authenticatie, wat resulteert in de succesvolle aflevering van het bericht in de inbox van de ontvanger!

ARC implementatie ondersteunt DMARC adoptie in organisaties om er zeker van te zijn dat elke legitieme e-mail geauthenticeerd wordt zonder een enkele fout. Meld u vandaag nog aan voor uw gratis DMARC-proefversie!