Kompleksowy przewodnik po systemie ARC (Authenticated Received Chain) dla DMARC

łańcuch uwierzytelniania

ARC lub Authenticated Received Chain to system uwierzytelniania wiadomości e-mail, który wyświetla ocenę uwierzytelniania wiadomości e-mail na każdym etapie, podczas obsługi. W uproszczeniu, Authenticated Received Chain może być określany jako "łańcuch nadzoru" dla wiadomości e-mail, który umożliwia każdemu podmiotowi, który obsługuje wiadomości, efektywnie zobaczyć wszystkie podmioty, które wcześniej obsługiwały go. Jako stosunkowo nowy protokół opublikowany i udokumentowany jako "Experimental" w RFC 8617 w lipcu 2019 r., ARC umożliwia serwerowi odbiorczemu walidację wiadomości e-mail nawet wtedy, gdy SPF i DKIM są unieważnione przez serwer pośredni.

Jak może pomóc uwierzytelniony łańcuch odbiorczy?

Jak już wiemy, DMARC umożliwia uwierzytelnianie wiadomości e-mail w oparciu o standardy uwierzytelniania SPF i DKIM, określając odbiorcy sposób postępowania z wiadomościami, które nie przejdą uwierzytelnienia lub przejdą je pozytywnie. Jednakże, jeśli wdrożysz w swojej organizacji rygorystyczną politykę DMARC, istnieje prawdopodobieństwo, że nawet legalne wiadomości, takie jak te wysłane za pośrednictwem listy mailingowej lub forwardera, mogą nie przejść uwierzytelnienia i nie zostać dostarczone do odbiorcy! Authenticated Received Chain pomaga skutecznie złagodzić ten problem. W dalszej części dowiemy się, jak to zrobić:

Sytuacje, w których ARC może pomóc

  • Listy mailingowe 

Jako członek listy mailingowej, masz możliwość wysyłania wiadomości do wszystkich członków listy za jednym razem, adresując ją do samej listy mailingowej. Adres odbiorczy następnie przekazuje Twoją wiadomość do wszystkich członków listy. W obecnej sytuacji, DMARC nie waliduje tego typu wiadomości i uwierzytelnienie kończy się niepowodzeniem, nawet jeśli email został wysłany z legalnego źródła! Dzieje się tak, ponieważ SPF przerywa działanie, gdy wiadomość jest przekazywana dalej. Ponieważ lista mailingowa często zawiera dodatkowe informacje w treści emaila, podpis DKIM może również zostać unieważniony z powodu zmian w treści emaila.

  • Przekazywanie wiadomości 

Kiedy istnieje pośredni przepływ poczty, np. otrzymujesz email z serwera pośredniczącego, a nie bezpośrednio z serwera wysyłającego, jak w przypadku wiadomości przekazywanych dalej, SPF zostaje złamany i Twój email automatycznie nie przejdzie uwierzytelnienia DMARC. Niektóre forwardery zmieniają również treść emaila, dlatego podpisy DKIM również zostają unieważnione.

 

Autentycznie odebrany łańcuch

 

W takich sytuacjach na ratunek przychodzi Uwierzytelniony Łańcuch Odbioru! W jaki sposób? Dowiedzmy się:

Jak działa ARC?

W sytuacjach wymienionych powyżej, spedytorzy początkowo otrzymali wiadomości e-mail, które zostały zweryfikowane pod kątem konfiguracji DMARC, z autoryzowanego źródła. Authenticated Received Chain został opracowany jako specyfikacja, która pozwala na przekazanie nagłówka Authentication-Results do następnego "hopu" w linii dostarczania wiadomości.

W przypadku przekazanej wiadomości, gdy serwer poczty elektronicznej odbiorcy otrzymuje wiadomość, która nie przeszła uwierzytelnienia DMARC, próbuje zatwierdzić wiadomość e-mail po raz drugi, w odniesieniu do dostarczonego Uwierzytelnionego Łańcucha Odbioru dla wiadomości e-mail poprzez wyodrębnienie ARC Authentication-Results z początkowego skoku, aby sprawdzić, czy została ona zatwierdzona jako zgodna z prawem, zanim serwer pośredniczący przekazał ją do serwera odbierającego.

Na podstawie wyodrębnionych informacji odbiorca decyduje, czy pozwolić, aby wyniki ARC unieważniły politykę DMARC, tym samym uznając wiadomość za autentyczną i ważną oraz umożliwiając jej normalne dostarczenie do skrzynki odbiorczej odbiorcy.

Dzięki implementacji ARC, odbiorca może skutecznie uwierzytelnić wiadomość e-mail za pomocą następujących informacji:

  • Wyniki uwierzytelniania potwierdzone przez serwer pośredniczący, wraz z całą historią wyników walidacji SPF i DKIM w początkowym skoku.
  • Niezbędne informacje do uwierzytelnienia przesyłanych danych.
  • Informacja łącząca wysłany podpis z serwerem pośredniczącym, tak aby wiadomość e-mail została zweryfikowana na serwerze odbierającym, nawet jeśli pośrednik zmieni treść, tak długo jak przesyła nowy i ważny podpis DKIM.

Implementacja uwierzytelnionego otrzymanego łańcucha

ARC definiuje trzy nowe nagłówki pocztowe:

  • ARC-Authentication-Results (AAR): Pierwszy wśród nagłówków poczty jest AAR, który enkapsuluje wyniki uwierzytelniania takie jak SPF, DKIM i DMARC.

Autentycznie odebrany łańcuch

  • ARC-Seal (AS) - AS jest prostszą wersją sygnatury DKIM, która zawiera informacje o wynikach nagłówka uwierzytelniającego oraz sygnaturę ARC.

Autentycznie odebrany łańcuch

  • ARC-Message-Signature (AMS) - AMS jest również podobny do podpisu DKIM, który wykonuje obraz nagłówka wiadomości, który zawiera wszystko poza nagłówkami ARC-Seal, takie jak pola To: i From:, temat oraz całą treść wiadomości.

Autentycznie odebrany łańcuch

Kroki wykonywane przez serwer pośredniczący w celu podpisania modyfikacji:

Krok 1: serwer kopiuje pole Authentication-Results do nowego pola AAR i umieszcza je na początku wiadomości

Krok 2: serwer formułuje AMS dla komunikatu (z AAR) i dołącza go do komunikatu.

Krok 3: serwer formułuje AS dla poprzednich nagłówków ARC-Seal i dodaje je do wiadomości.

Na koniec, aby zweryfikować otrzymany łańcuch uwierzytelniający i dowiedzieć się, czy przesłana wiadomość jest prawdziwa, odbiorca sprawdza poprawność łańcucha lub nagłówków ARC Seal oraz najnowszego podpisu ARC-Message-Signature. Jeżeli nagłówki ARC zostały w jakikolwiek sposób zmienione, wiadomość e-mail w konsekwencji nie przejdzie uwierzytelnienia DKIM. Jednakże, jeżeli wszystkie serwery pocztowe biorące udział w przesyłaniu wiadomości poprawnie podpisują i przesyłają ARC, wtedy email zachowuje wyniki uwierzytelnienia DKIM i przechodzi uwierzytelnienie DMARC, co skutkuje pomyślnym dostarczeniem wiadomości do skrzynki odbiorczej!

Wdrożenie ARC wspiera przyjęcie DMARC w organizacjach, aby upewnić się, że każdy legalny email zostanie uwierzytelniony bez najmniejszej wpadki. Zapisz się na bezpłatną wersję próbną DM ARC już dziś!

Autentycznie odebrany łańcuch

Latest posts by Ahona Rudra (zobacz wszystkie)
/przez
Możesz także polubić
komunikat dla prasyPowerDMARC poszerza grono doradców wykonawczych, witając nowego członka
blog becJak zwalczać ataki typu BEC (Business Email Compromise) za pomocą uwierzytelniania poczty elektronicznej?
100 dmarc enforcement blogWięc właśnie doszedłeś do 100% egzekwowania DMARC. Co teraz?
blog o oszustwach ceoTen e-mail nie był od szefa: 6 sposobów na powstrzymanie oszustwa CEO
wpis na blogu powerdmarc mannaiPowerDMARC ogłasza partnerstwo z katarskim liderem usług cyberbezpieczeństwa
2021 oszustwaTop 5 Evolved Email Fraud Scams: 2023 Trendy
Co to jest atak TLS Downgrade? Jak MTA-STS przychodzi na ratunek?man in the middle snifferprzekierowanie poczty elektronicznejPrzekazywanie wiadomości e-mail i jego wpływ na uwierzytelnianie DMARC - wyniki