ARC lub Authenticated Received Chain to system uwierzytelniania wiadomości e-mail, który wyświetla ocenę uwierzytelniania wiadomości e-mail na każdym etapie, podczas obsługi. W uproszczeniu, Authenticated Received Chain może być określany jako "łańcuch nadzoru" dla wiadomości e-mail, który umożliwia każdemu podmiotowi, który obsługuje wiadomości, efektywnie zobaczyć wszystkie podmioty, które wcześniej obsługiwały go. Jako stosunkowo nowy protokół opublikowany i udokumentowany jako "Experimental" w RFC 8617 w lipcu 2019 r., ARC umożliwia serwerowi odbiorczemu walidację wiadomości e-mail nawet wtedy, gdy SPF i DKIM są unieważnione przez serwer pośredni.
Jak może pomóc uwierzytelniony łańcuch odbiorczy?
Jak już wiemy, DMARC pozwala na uwierzytelnianie emaili w oparciu o standardy uwierzytelniania SPF i DKIM, określając odbiorcy jak ma postępować z emailami, które nie przejdą lub przejdą uwierzytelnianie. Jednakże, jeśli wdrożysz w swojej organizacji rygorystyczną politykę DMARC, istnieją szanse, że nawet legalne emaile, takie jak te wysyłane przez listę mailingową lub forwarder, mogą nie przejść uwierzytelnienia i nie zostać dostarczone do odbiorcy! Authenticated Received Chain pomaga skutecznie złagodzić ten problem. Dowiedzmy się jak to zrobić w poniższej sekcji:
Sytuacje, w których ARC może pomóc
- Listy mailingowe
Jako członek listy mailingowej, masz możliwość wysyłania wiadomości do wszystkich członków listy za jednym razem, adresując ją do samej listy mailingowej. Adres odbiorczy następnie przekazuje Twoją wiadomość do wszystkich członków listy. W obecnej sytuacji, DMARC nie waliduje tego typu wiadomości i uwierzytelnienie kończy się niepowodzeniem, nawet jeśli email został wysłany z legalnego źródła! Dzieje się tak, ponieważ SPF przerywa działanie, gdy wiadomość jest przekazywana dalej. Ponieważ lista mailingowa często zawiera dodatkowe informacje w treści emaila, podpis DKIM może również zostać unieważniony z powodu zmian w treści emaila.
- Przekazywanie wiadomości
Kiedy istnieje pośredni przepływ poczty, np. otrzymujesz email z serwera pośredniczącego, a nie bezpośrednio z serwera wysyłającego, jak w przypadku wiadomości przekazywanych dalej, SPF zostaje złamany i Twój email automatycznie nie przejdzie uwierzytelnienia DMARC. Niektóre forwardery zmieniają również treść emaila, dlatego podpisy DKIM również zostają unieważnione.
W takich sytuacjach na ratunek przychodzi Uwierzytelniony Łańcuch Odbioru! W jaki sposób? Dowiedzmy się:
Jak działa ARC?
W wyżej wymienionych sytuacjach, forwardery otrzymały początkowo e-maile, które zostały zweryfikowane w oparciu o konfigurację DMARC, z autoryzowanego źródła. Authenticated Received Chain jest rozwijany jako specyfikacja, która pozwala na przekazanie nagłówka Authentication-Results do następnego "hopu" w linii dostarczania wiadomości.
W przypadku przekazanej wiadomości, gdy serwer poczty elektronicznej odbiorcy otrzymuje wiadomość, która nie przeszła uwierzytelnienia DMARC, próbuje zatwierdzić wiadomość e-mail po raz drugi, w odniesieniu do dostarczonego Uwierzytelnionego Łańcucha Odbioru dla wiadomości e-mail poprzez wyodrębnienie ARC Authentication-Results z początkowego skoku, aby sprawdzić, czy została ona zatwierdzona jako zgodna z prawem, zanim serwer pośredniczący przekazał ją do serwera odbierającego.
Na podstawie wyodrębnionych informacji odbiorca decyduje, czy pozwolić, aby wyniki ARC unieważniły politykę DMARC, tym samym uznając wiadomość za autentyczną i ważną oraz umożliwiając jej normalne dostarczenie do skrzynki odbiorczej odbiorcy.
Dzięki implementacji ARC, odbiorca może skutecznie uwierzytelnić wiadomość e-mail za pomocą następujących informacji:
- Wyniki uwierzytelniania potwierdzone przez serwer pośredniczący, wraz z całą historią wyników walidacji SPF i DKIM w początkowym skoku.
- Niezbędne informacje do uwierzytelnienia przesyłanych danych.
- Informacja łącząca wysłany podpis z serwerem pośredniczącym, tak aby wiadomość e-mail została zweryfikowana na serwerze odbierającym, nawet jeśli pośrednik zmieni treść, tak długo jak przesyła nowy i ważny podpis DKIM.
Implementacja uwierzytelnionego otrzymanego łańcucha
ARC definiuje trzy nowe nagłówki pocztowe:
- ARC-Authentication-Results (AAR): Pierwszy wśród nagłówków poczty jest AAR, który enkapsuluje wyniki uwierzytelniania takie jak SPF, DKIM i DMARC.
- ARC-Seal (AS) - AS jest prostszą wersją sygnatury DKIM, która zawiera informacje o wynikach nagłówka uwierzytelniającego oraz sygnaturę ARC.
- ARC-Message-Signature (AMS) - AMS jest również podobny do podpisu DKIM, który wykonuje obraz nagłówka wiadomości, który zawiera wszystko poza nagłówkami ARC-Seal, takie jak pola To: i From:, temat oraz całą treść wiadomości.
Kroki wykonywane przez serwer pośredniczący w celu podpisania modyfikacji:
Krok 1: serwer kopiuje pole Authentication-Results do nowego pola AAR i umieszcza je na początku wiadomości
Krok 2: serwer formułuje AMS dla komunikatu (z AAR) i dołącza go do komunikatu.
Krok 3: serwer formułuje AS dla poprzednich nagłówków ARC-Seal i dodaje je do wiadomości.
Na koniec, aby zweryfikować otrzymany łańcuch uwierzytelniający i dowiedzieć się, czy przesłana wiadomość jest prawdziwa, odbiorca sprawdza poprawność łańcucha lub nagłówków ARC Seal oraz najnowszego podpisu ARC-Message-Signature. Jeżeli nagłówki ARC zostały w jakikolwiek sposób zmienione, wiadomość e-mail w konsekwencji nie przejdzie uwierzytelnienia DKIM. Jednakże, jeżeli wszystkie serwery pocztowe biorące udział w przesyłaniu wiadomości poprawnie podpisują i przesyłają ARC, wtedy email zachowuje wyniki uwierzytelnienia DKIM i przechodzi uwierzytelnienie DMARC, co skutkuje pomyślnym dostarczeniem wiadomości do skrzynki odbiorczej!
Wdrożenie ARC wspiera przyjęcie DMARC w organizacjach, aby upewnić się, że każdy legalny email zostanie uwierzytelniony bez najmniejszej wpadki. Zapisz się na bezpłatną wersję próbną DM ARC już dziś!
- Jak naprawić "The DNS record type 99 (SPF) Has Been Deprecated"? - 9 marca 2023 r.
- SPF DKIM DMARC: Podstawowe elementy uwierzytelniania poczty elektronicznej - 9 marca 2023 r.
- Czym jest Brute Force Attack i jak działa? - 9 marca 2023 r.
