ŁUK | ŁUK DMARC

Co to jest ARC (Authenticated Received Chain)?

ARC (Authenticated Received Chain) to system uwierzytelniania wiadomości e-mail, który wyświetla ocenę uwierzytelnienia wiadomości e-mail na każdym etapie jej obsługi. W uproszczeniu łańcuch uwierzytelniania wiadomości e-mail można określić jako sekwencję weryfikacji wiadomości e-mail, która umożliwia każdej jednostce obsługującej wiadomości skuteczne sprawdzenie wszystkich jednostek, które wcześniej obsługiwały tę wiadomość. Jako stosunkowo nowy protokół, opublikowany i udokumentowany jako "eksperymentalny" w RFC 8617 w lipcu 2019 r., ARC umożliwia serwerowi odbiorczemu walidację wiadomości e-mail nawet wtedy, gdy SPF i DKIM zostaną unieważnione przez serwer pośredniczący.

DMARC ARC

DMARC ARC to skuteczny sposób na ominięcie luk, które mogą występować w systemie uwierzytelniania DMARC w wyniku przekazywania wiadomości e-mail. Zachowuje ona informacje o wiadomościach e-mail w sposób, który pomaga im przejść kontrolę uwierzytelniania. Chociaż wymagasz, aby nieautoryzowane wiadomości e-mail były blokowane, niedostarczenie prawidłowych wiadomości e-mail jest ostatnią rzeczą, której byś sobie życzył. DMARC ARC utrzymuje sekwencję weryfikacji wiadomości e-mail na każdym etapie, aby zapewnić, że nagłówki wiadomości e-mail pozostaną niezmienione i zostaną przekazane do następnego pośrednika w kolejce.

Czy ARC może być stosowany jako zamiennik DMARC?

Odpowiedź brzmi: nie. ARC został stworzony w celu sekwencyjnego przekazywania identyfikatorów uwierzytelniania w trakcie całej drogi wiadomości e-mail, niezależnie od tego, przez ile serwerów pośredniczących ona przechodzi. ARC pomaga zachować wyniki weryfikacji DMARC, uniemożliwiając osobom trzecim i dostawcom skrzynek pocztowych modyfikowanie nagłówków lub treści wiadomości. ARC zdecydowanie nie zastępuje DMARC, może być raczej stosowany jako uzupełnienie polityki DMARC w celu dalszej poprawy dostarczalności poczty elektronicznej.

Jak może pomóc uwierzytelniony łańcuch odbiorczy?

Jak już wiemy, DMARC umożliwia uwierzytelnianie wiadomości e-mail w oparciu o standardy uwierzytelniania SPF i DKIM, określając odbiorcy sposób postępowania z wiadomościami, które nie przejdą uwierzytelnienia lub przejdą je pozytywnie. Jednakże, jeśli wdrożysz w swojej organizacji rygorystyczną politykę DMARC, istnieje prawdopodobieństwo, że nawet legalne wiadomości, takie jak te wysłane za pośrednictwem listy mailingowej lub forwardera, mogą nie przejść uwierzytelnienia i nie zostać dostarczone do odbiorcy! Authenticated Received Chain pomaga skutecznie złagodzić ten problem. W dalszej części dowiemy się, jak to zrobić:

Sytuacje, w których ARC może pomóc

  • Listy mailingowe 

Jako członek listy mailingowej, masz możliwość wysyłania wiadomości do wszystkich członków listy za jednym razem, adresując ją do samej listy mailingowej. Adres odbiorczy następnie przekazuje Twoją wiadomość do wszystkich członków listy. W obecnej sytuacji, DMARC nie waliduje tego typu wiadomości i uwierzytelnienie kończy się niepowodzeniem, nawet jeśli email został wysłany z legalnego źródła! Dzieje się tak, ponieważ SPF przerywa działanie, gdy wiadomość jest przekazywana dalej. Ponieważ lista mailingowa często zawiera dodatkowe informacje w treści emaila, podpis DKIM może również zostać unieważniony z powodu zmian w treści emaila.

  • Przekazywanie wiadomości 

Kiedy istnieje pośredni przepływ poczty, np. otrzymujesz email z serwera pośredniczącego, a nie bezpośrednio z serwera wysyłającego, jak w przypadku wiadomości przekazywanych dalej, SPF zostaje złamany i Twój email automatycznie nie przejdzie uwierzytelnienia DMARC. Niektóre forwardery zmieniają również treść emaila, dlatego podpisy DKIM również zostają unieważnione.

 

 

W takich sytuacjach na ratunek przychodzi Uwierzytelniony Łańcuch Odbioru! W jaki sposób? Dowiedzmy się:

Jak działa DMARC ARC?

W wyżej wymienionych sytuacjach, forwardery otrzymały początkowo e-maile, które zostały zweryfikowane w oparciu o konfigurację DMARC, z autoryzowanego źródła. Authenticated Received Chain jest rozwijany jako specyfikacja, która pozwala na przekazanie nagłówka Authentication-Results do następnego "hopu" w linii dostarczania wiadomości.

W przypadku przekazanej wiadomości, gdy serwer poczty elektronicznej odbiorcy otrzymuje wiadomość, która nie przeszła uwierzytelnienia DMARC, próbuje zatwierdzić wiadomość e-mail po raz drugi, w odniesieniu do dostarczonego Uwierzytelnionego Łańcucha Odbioru dla wiadomości e-mail poprzez wyodrębnienie ARC Authentication-Results z początkowego skoku, aby sprawdzić, czy została ona zatwierdzona jako zgodna z prawem, zanim serwer pośredniczący przekazał ją do serwera odbierającego.

Na podstawie wyodrębnionych informacji odbiorca decyduje, czy pozwolić, aby wyniki ARC unieważniły politykę DMARC, tym samym uznając wiadomość za autentyczną i ważną oraz umożliwiając jej normalne dostarczenie do skrzynki odbiorczej odbiorcy.

Dzięki implementacji ARC, odbiorca może skutecznie uwierzytelnić wiadomość e-mail za pomocą następujących informacji:

  • Wyniki uwierzytelniania potwierdzone przez serwer pośredniczący, wraz z całą historią wyników walidacji SPF i DKIM w początkowym skoku.
  • Niezbędne informacje do uwierzytelnienia przesyłanych danych.
  • Informacja łącząca wysłany podpis z serwerem pośredniczącym, tak aby wiadomość e-mail została zweryfikowana na serwerze odbierającym, nawet jeśli pośrednik zmieni treść, tak długo jak przesyła nowy i ważny podpis DKIM.

Implementacja uwierzytelnionego otrzymanego łańcucha

ARC definiuje trzy nowe nagłówki pocztowe:

  • ARC-Authentication-Results (AAR): Pierwszy wśród nagłówków poczty jest AAR, który enkapsuluje wyniki uwierzytelniania takie jak SPF, DKIM i DMARC.

  • ARC-Seal (AS) - AS jest prostszą wersją sygnatury DKIM, która zawiera informacje o wynikach nagłówka uwierzytelniającego oraz sygnaturę ARC.

  • ARC-Message-Signature (AMS) - AMS jest również podobny do podpisu DKIM, który wykonuje obraz nagłówka wiadomości, który zawiera wszystko poza nagłówkami ARC-Seal, takie jak pola To: i From:, temat oraz całą treść wiadomości.

Kroki wykonywane przez serwer pośredniczący w celu podpisania modyfikacji:

Krok 1: serwer kopiuje pole Authentication-Results do nowego pola AAR i umieszcza je na początku wiadomości

Krok 2: serwer formułuje AMS dla komunikatu (z AAR) i dołącza go do komunikatu.

Krok 3: serwer formułuje AS dla poprzednich nagłówków ARC-Seal i dodaje je do wiadomości.

Na koniec, aby sprawdzić poprawność otrzymanego łańcucha uwierzytelniania i dowiedzieć się, czy przekazana wiadomość jest zgodna z prawem, odbiorca sprawdza poprawność łańcucha lub nagłówków ARC Seal oraz najnowszego podpisu ARC-Message-Signature. Jeśli nagłówki ARC DMARC zostały w jakikolwiek sposób zmienione, wiadomość e-mail nie przejdzie uwierzytelniania DKIM. Jeśli jednak wszystkie serwery pocztowe biorące udział w przesyłaniu wiadomości prawidłowo podpisują i przesyłają ARC, wówczas wiadomość e-mail zachowuje wyniki uwierzytelniania DKIM i przechodzi uwierzytelnianie DMARC, co skutkuje pomyślnym dostarczeniem wiadomości do skrzynki odbiorczej odbiorcy!

Wdrożenie ARC wspiera przyjęcie DMARC w organizacjach, aby upewnić się, że każdy legalny email zostanie uwierzytelniony bez najmniejszej wpadki. Zapisz się na bezpłatną wersję próbną DM ARC już dziś!

Latest posts by Ahona Rudra (zobacz wszystkie)