Co to jest ARC (Authenticated Received Chain)?
ARC Email lub Authenticated Received Chain to system uwierzytelniania wiadomości e-mail, który wyświetla ocenę uwierzytelnienia wiadomości e-mail na każdym etapie jej obsługi. Mówiąc prościej, łańcuch Authenticated Received można określić jako sekwencję weryfikacji wiadomości e-mail, która umożliwia każdemu podmiotowi obsługującemu wiadomości skuteczne sprawdzenie wszystkich podmiotów, które wcześniej je obsługiwały. Jako stosunkowo nowy protokół opublikowany i udokumentowany jako "Eksperymentalny" w RFC 8617 w lipcu 2019 r., Email ARC umożliwia serwerowi odbierającemu walidację wiadomości e-mail nawet wtedy, gdy SPF i DKIM są unieważniane przez serwer pośredniczący.
DMARC ARC
DMARC ARC jest skutecznym sposobem na ominięcie luk, które mogą istnieć w systemie uwierzytelniania DMARC w wyniku przekazywania wiadomości e-mail. Zachowuje on informacje o wiadomościach e-mail w sposób, który pomaga tym wiadomościom przejść kontrolę uwierzytelniania. Podczas gdy wymagasz, aby nieautoryzowane wiadomości e-mail były blokowane, niepowodzenie w dostarczaniu legalnych wiadomości e-mail jest ostatnią rzeczą, jakiej byś chciał. DMARC ARC utrzymuje sekwencję weryfikacji wiadomości e-mail na każdym etapie, aby zapewnić, że nagłówki wiadomości pozostaną niezmienione i zostaną przekazane do następnego pośrednika w linii.
Czy ARC może być stosowany jako zamiennik DMARC?
Odpowiedź brzmi: nie. Email ARC został zbudowany tak, aby przekazywać identyfikatory uwierzytelniające sekwencyjnie podczas całej podróży wiadomości e-mail, bez względu na to, przez ile serwerów pośredniczących przechodzi. Email ARC pomaga zachować wyniki weryfikacji DMARC, uniemożliwiając stronom trzecim i dostawcom skrzynek pocztowych modyfikowanie nagłówków lub treści wiadomości. ARC zdecydowanie nie zastępuje DMARC, a raczej może być stosowany jako dodatek do wymuszonej polityki DMARC w celu dalszej poprawy dostarczalności wiadomości e-mail.
Jak może pomóc uwierzytelniony łańcuch odbiorczy?
Jak już wiemy, DMARC umożliwia uwierzytelnianie wiadomości e-mail w oparciu o standardy uwierzytelniania SPF i DKIM, określając odbiorcy sposób postępowania z wiadomościami, które nie przejdą uwierzytelnienia lub przejdą je pozytywnie. Jednakże, jeśli wdrożysz w swojej organizacji rygorystyczną politykę DMARC, istnieje prawdopodobieństwo, że nawet legalne wiadomości, takie jak te wysłane za pośrednictwem listy mailingowej lub forwardera, mogą nie przejść uwierzytelnienia i nie zostać dostarczone do odbiorcy! Authenticated Received Chain pomaga skutecznie złagodzić ten problem. W dalszej części dowiemy się, jak to zrobić:
Sytuacje, w których ARC może pomóc
- Listy mailingowe
Jako członek listy mailingowej masz możliwość wysyłania wiadomości do wszystkich członków listy za jednym razem, adresując samą listę mailingową. Adres odbiorczy przekazuje następnie wiadomość do wszystkich członków listy. W obecnej sytuacji DMARC nie sprawdza poprawności tego typu wiadomości, a uwierzytelnianie kończy się niepowodzeniem, nawet jeśli wiadomość e-mail została wysłana z legalnego źródła! Dzieje się tak, ponieważ SPF ulega uszkodzeniu, gdy wiadomość jest przekazywana dalej. Ponieważ lista mailingowa często zawiera dodatkowe informacje w treści wiadomości e-mail, podpis DKIM może również zostać unieważniony z powodu zmian w treści wiadomości.
- Przekazywanie wiadomości
Kiedy istnieje pośredni przepływ poczty, np. otrzymujesz email z serwera pośredniczącego, a nie bezpośrednio z serwera wysyłającego, jak w przypadku wiadomości przekazywanych dalej, SPF zostaje złamany i Twój email automatycznie nie przejdzie uwierzytelnienia DMARC. Niektóre forwardery zmieniają również treść emaila, dlatego podpisy DKIM również zostają unieważnione.
W takich sytuacjach na ratunek przychodzi Uwierzytelniony Łańcuch Odbioru! W jaki sposób? Dowiedzmy się:
Jak działa DMARC ARC?
W sytuacjach wymienionych powyżej, spedytorzy początkowo otrzymali wiadomości e-mail, które zostały zweryfikowane pod kątem konfiguracji DMARC, z autoryzowanego źródła. Authenticated Received Chain został opracowany jako specyfikacja, która pozwala na przekazanie nagłówka Authentication-Results do następnego "hopu" w linii dostarczania wiadomości.
W przypadku przekazanej wiadomości, gdy serwer pocztowy odbiorcy otrzymuje wiadomość, która nie przeszła uwierzytelnienia DMARC, próbuje po raz drugi zatwierdzić wiadomość e-mail w stosunku do dostarczonego Łańcucha Uwierzytelnionego Odbioru dla wiadomości e-mail poprzez wyodrębnienie Email ARC Authentication-Results z początkowego skoku, aby sprawdzić, czy została ona zatwierdzona jako zgodna z prawem, zanim serwer pośredniczący przekazał ją do serwera odbiorczego.
Na podstawie wyodrębnionych informacji odbiorca decyduje, czy zezwolić na to, aby wyniki ARC email zastąpiły politykę DMARC, tym samym uznając email za autentyczny i ważny oraz pozwalając na jego normalne dostarczenie do skrzynki odbiorczej odbiorcy.
Dzięki implementacji ARC, odbiorca może skutecznie uwierzytelnić wiadomość e-mail za pomocą następujących informacji:
- Wyniki uwierzytelniania potwierdzone przez serwer pośredniczący, wraz z całą historią wyników walidacji SPF i DKIM w początkowym skoku.
- Niezbędne informacje do uwierzytelnienia przesyłanych danych.
- Informacja łącząca wysłany podpis z serwerem pośredniczącym, tak aby wiadomość e-mail została zweryfikowana na serwerze odbierającym, nawet jeśli pośrednik zmieni treść, tak długo jak przesyła nowy i ważny podpis DKIM.
Implementacja uwierzytelnionego otrzymanego łańcucha
ARC definiuje trzy nowe nagłówki pocztowe:
- ARC-Authentication-Results (AAR): Pierwszy wśród nagłówków poczty jest AAR, który enkapsuluje wyniki uwierzytelniania takie jak SPF, DKIM i DMARC.
- ARC-Seal (AS) - AS jest prostszą wersją sygnatury DKIM, która zawiera informacje o wynikach nagłówka uwierzytelniającego oraz sygnaturę ARC.
- ARC-Message-Signature (AMS) - AMS jest również podobny do podpisu DKIM, który wykonuje obraz nagłówka wiadomości, który zawiera wszystko poza nagłówkami ARC-Seal, takie jak pola To: i From:, temat oraz całą treść wiadomości.
Kroki wykonywane przez serwer pośredniczący w celu podpisania modyfikacji:
Krok 1: serwer kopiuje pole Authentication-Results do nowego pola AAR i umieszcza je na początku wiadomości
Krok 2: serwer formułuje AMS dla komunikatu (z AAR) i dołącza go do komunikatu.
Krok 3: serwer formułuje AS dla poprzednich nagłówków ARC-Seal i dodaje je do wiadomości.
Wreszcie, aby zweryfikować otrzymany Łańcuch Uwierzytelniania i dowiedzieć się, czy przekazana wiadomość jest legalna czy nie, odbiorca waliduje łańcuch lub nagłówki ARC Seal oraz najnowszy ARC-Message-Signature. Jeżeli nagłówki DMARC ARC zostały w jakikolwiek sposób zmienione, wiadomość e-mail w konsekwencji nie przechodzi uwierzytelnienia DKIM. Jeżeli jednak wszystkie serwery pocztowe biorące udział w przesyłaniu wiadomości prawidłowo podpisują i przesyłają wiadomości ARC, wtedy email zachowuje wyniki uwierzytelniania DKIM i przechodzi uwierzytelnianie DMARC, co skutkuje pomyślnym dostarczeniem wiadomości do skrzynki odbiorczej!
Wdrożenie ARC wspiera przyjęcie DMARC w organizacjach, aby upewnić się, że każda legalna wiadomość e-mail zostanie uwierzytelniona bez najmniejszej wpadki. Zapisz się na bezpłatną wersję próbną DMARC już dziś!
- Jak naprawić "Nie znaleziono rekordu SPF" w 2025 roku - 21 stycznia 2025 r.
- Czym jest MTA-STS? Konfiguracja właściwej polityki MTA STS - 15 stycznia 2025 r.
- Jak naprawić błąd DKIM - 9 stycznia 2025 r.