Co to jest ARC (Authenticated Received Chain)?

ARC Email lub Authenticated Received Chain to system uwierzytelniania wiadomości e-mail, który wyświetla ocenę uwierzytelniania wiadomości e-mail na każdym etapie, podczas obsługi. W prostszym ujęciu łańcuch Authenticated Received można określić jako sekwencję weryfikacji wiadomości e-mail, która umożliwia każdemu podmiotowi, który obsługuje wiadomości, skuteczne zobaczenie wszystkich podmiotów, które wcześniej obsługiwały go. Jako stosunkowo nowy protokół opublikowany i udokumentowany jako "Experimental" w RFC 8617 w lipcu 2019 r., Email ARC umożliwia serwerowi odbierającemu walidację wiadomości e-mail nawet wtedy, gdy SPF i DKIM są unieważnione przez serwer pośredni.

DMARC ARC

DMARC ARC jest skutecznym sposobem na ominięcie luk, które mogą istnieć w systemie uwierzytelniania DMARC w wyniku przekazywania wiadomości e-mail. Zachowuje on informacje o wiadomościach e-mail w sposób, który pomaga tym wiadomościom przejść kontrolę uwierzytelniania. Podczas gdy wymagasz, aby nieautoryzowane wiadomości e-mail były blokowane, niepowodzenie w dostarczaniu legalnych wiadomości e-mail jest ostatnią rzeczą, jakiej byś chciał. DMARC ARC utrzymuje sekwencję weryfikacji wiadomości e-mail na każdym etapie, aby zapewnić, że nagłówki wiadomości pozostaną niezmienione i zostaną przekazane do następnego pośrednika w linii.

Czy ARC może być stosowany jako zamiennik DMARC?

Odpowiedź brzmi: nie. Email ARC został zbudowany tak, aby przekazywać identyfikatory uwierzytelniające sekwencyjnie podczas całej podróży wiadomości e-mail, bez względu na to, przez ile serwerów pośredniczących przechodzi. Email ARC pomaga zachować wyniki weryfikacji DMARC, uniemożliwiając stronom trzecim i dostawcom skrzynek pocztowych modyfikowanie nagłówków lub treści wiadomości. ARC zdecydowanie nie zastępuje DMARC, a raczej może być stosowany jako dodatek do wymuszonej polityki DMARC w celu dalszej poprawy dostarczalności wiadomości e-mail.

Jak może pomóc uwierzytelniony łańcuch odbiorczy?

Jak już wiemy, DMARC umożliwia uwierzytelnianie wiadomości e-mail w oparciu o standardy uwierzytelniania SPF i DKIM, określając odbiorcy sposób postępowania z wiadomościami, które nie przejdą uwierzytelnienia lub przejdą je pozytywnie. Jednakże, jeśli wdrożysz w swojej organizacji rygorystyczną politykę DMARC, istnieje prawdopodobieństwo, że nawet legalne wiadomości, takie jak te wysłane za pośrednictwem listy mailingowej lub forwardera, mogą nie przejść uwierzytelnienia i nie zostać dostarczone do odbiorcy! Authenticated Received Chain pomaga skutecznie złagodzić ten problem. W dalszej części dowiemy się, jak to zrobić:

Sytuacje, w których ARC może pomóc

• Listy mailingowe 

Jako członek listy mailingowej, masz możliwość wysyłania wiadomości do wszystkich członków listy za jednym razem, adresując ją do samej listy mailingowej. Adres odbiorczy następnie przekazuje Twoją wiadomość do wszystkich członków listy. W obecnej sytuacji, DMARC nie waliduje tego typu wiadomości i uwierzytelnienie kończy się niepowodzeniem, nawet jeśli email został wysłany z legalnego źródła! Dzieje się tak, ponieważ SPF przerywa działanie, gdy wiadomość jest przekazywana dalej. Ponieważ lista mailingowa często zawiera dodatkowe informacje w treści emaila, podpis DKIM może również zostać unieważniony z powodu zmian w treści emaila.

• Przekazywanie wiadomości 

Kiedy istnieje pośredni przepływ poczty, np. otrzymujesz email z serwera pośredniczącego, a nie bezpośrednio z serwera wysyłającego, jak w przypadku wiadomości przekazywanych dalej, SPF zostaje złamany i Twój email automatycznie nie przejdzie uwierzytelnienia DMARC. Niektóre forwardery zmieniają również treść emaila, dlatego podpisy DKIM również zostają unieważnione.

W takich sytuacjach na ratunek przychodzi Uwierzytelniony Łańcuch Odbioru! W jaki sposób? Dowiedzmy się:

Jak działa DMARC ARC?

W sytuacjach wymienionych powyżej, spedytorzy początkowo otrzymali wiadomości e-mail, które zostały zweryfikowane pod kątem konfiguracji DMARC, z autoryzowanego źródła. Authenticated Received Chain został opracowany jako specyfikacja, która pozwala na przekazanie nagłówka Authentication-Results do następnego "hopu" w linii dostarczania wiadomości.

W przypadku przekazanej wiadomości, gdy serwer pocztowy odbiorcy otrzymuje wiadomość, która nie przeszła uwierzytelnienia DMARC, próbuje po raz drugi zatwierdzić wiadomość e-mail w stosunku do dostarczonego Łańcucha Uwierzytelnionego Odbioru dla wiadomości e-mail poprzez wyodrębnienie Email ARC Authentication-Results z początkowego skoku, aby sprawdzić, czy została ona zatwierdzona jako zgodna z prawem, zanim serwer pośredniczący przekazał ją do serwera odbiorczego.

Na podstawie wyodrębnionych informacji odbiorca decyduje, czy zezwolić na to, aby wyniki ARC email zastąpiły politykę DMARC, tym samym uznając email za autentyczny i ważny oraz pozwalając na jego normalne dostarczenie do skrzynki odbiorczej odbiorcy.

Dzięki implementacji ARC, odbiorca może skutecznie uwierzytelnić wiadomość e-mail za pomocą następujących informacji:

• Wyniki uwierzytelniania potwierdzone przez serwer pośredniczący, wraz z całą historią wyników walidacji SPF i DKIM w początkowym skoku.
• Niezbędne informacje do uwierzytelnienia przesyłanych danych.
• Informacja łącząca wysłany podpis z serwerem pośredniczącym, tak aby wiadomość e-mail została zweryfikowana na serwerze odbierającym, nawet jeśli pośrednik zmieni treść, tak długo jak przesyła nowy i ważny podpis DKIM.

Implementacja uwierzytelnionego otrzymanego łańcucha

ARC definiuje trzy nowe nagłówki pocztowe:

• ARC-Authentication-Results (AAR): Pierwszy wśród nagłówków poczty jest AAR, który enkapsuluje wyniki uwierzytelniania takie jak SPF, DKIM i DMARC.

• ARC-Seal (AS) - AS jest prostszą wersją sygnatury DKIM, która zawiera informacje o wynikach nagłówka uwierzytelniającego oraz sygnaturę ARC.

• ARC-Message-Signature (AMS) - AMS jest również podobny do podpisu DKIM, który wykonuje obraz nagłówka wiadomości, który zawiera wszystko poza nagłówkami ARC-Seal, takie jak pola To: i From:, temat oraz całą treść wiadomości.

Kroki wykonywane przez serwer pośredniczący w celu podpisania modyfikacji:

Krok 1: serwer kopiuje pole Authentication-Results do nowego pola AAR i umieszcza je na początku wiadomości

Krok 2: serwer formułuje AMS dla komunikatu (z AAR) i dołącza go do komunikatu.

Krok 3: serwer formułuje AS dla poprzednich nagłówków ARC-Seal i dodaje je do wiadomości.

Wreszcie, aby zweryfikować otrzymany Łańcuch Uwierzytelniania i dowiedzieć się, czy przekazana wiadomość jest legalna czy nie, odbiorca waliduje łańcuch lub nagłówki ARC Seal oraz najnowszy ARC-Message-Signature. Jeżeli nagłówki DMARC ARC zostały w jakikolwiek sposób zmienione, wiadomość e-mail w konsekwencji nie przechodzi uwierzytelnienia DKIM. Jeżeli jednak wszystkie serwery pocztowe biorące udział w przesyłaniu wiadomości prawidłowo podpisują i przesyłają wiadomości ARC, wtedy email zachowuje wyniki uwierzytelniania DKIM i przechodzi uwierzytelnianie DMARC, co skutkuje pomyślnym dostarczeniem wiadomości do skrzynki odbiorczej!

Wdrożenie ARC wspiera przyjęcie DMARC w organizacjach, aby upewnić się, że każda legalna wiadomość e-mail zostanie uwierzytelniona bez najmniejszej wpadki. Zapisz się na bezpłatną wersję próbną DMARC już dziś!

• O
• Latest Posts

Maitham Al Lawati

Maitham jest przedsiębiorcą technologicznym, ekspertem ds. cyberbezpieczeństwa, dyrektorem generalnym i założycielem PowerDMARC z ponad 15-letnim doświadczeniem w branży. Maitham posiada tytuł Global MBA Uniwersytetu w Manchesterze oraz różne certyfikaty zawodowe, w tym CISSP, CISM, CRISC i ISC2 CCSP.

Najnowsze posty autorstwa Maitham Al Lawati (zobacz wszystkie)

• Napraw błąd SPF: Pokonaj limit zbyt wielu wyszukiwań DNS SPF - 26 kwietnia 2024 r.
• Jak opublikować rekord DMARC w 3 krokach? - 2 kwietnia 2024 r.
• Dlaczego DMARC zawodzi? Naprawa błędów DMARC w 2024 roku - 2 kwietnia 2024 r.