ARC

ARC ou Authenticated Received Chain é um sistema de autenticação de correio electrónico que exibe a avaliação da autenticação de um correio electrónico em cada etapa do percurso, ao longo do manuseamento. Em termos mais simples, a cadeia Autenticada Recebida pode ser denominada "cadeia de custódia" para mensagens de correio electrónico que permitem a cada entidade que lida com as mensagens ver efectivamente todas as entidades que anteriormente a tratavam. Sendo um protocolo relativamente novo publicado e documentado como "Experimental" no RFC 8617 em Julho de 2019, o ARC permite ao servidor receptor validar as mensagens de correio electrónico mesmo quando SPF e DKIM são invalidadas por um servidor intermédio.

Como pode a Autenticação da Cadeia Recebida ajudar?

Como já sabemos, o DMARC permite que um e-mail seja autenticado contra as normas de autenticação SPF e DKIM, especificando ao receptor como lidar com os e-mails que falham ou passam na autenticação. No entanto, se implementar a aplicação de DMARC na sua organização a uma política DMARC rigorosa, há possibilidades de que mesmo e-mails legítimos, tais como os enviados através de uma lista de correio ou de um reencaminhador, possam falhar a autenticação e não ser entregues ao receptor! A cadeia de recepção autenticada ajuda a mitigar eficazmente este problema. Vamos aprender como na secção seguinte:

Situações em que o ARC pode ajudar

  • Listas de correio 

Como membro de uma lista de correio, tem o poder de enviar mensagens a todos os membros da lista de uma só vez, dirigindo-se à própria lista de correio. A morada de recepção reencaminha depois a sua mensagem a todos os membros da lista. Na situação actual, o DMARC não valida este tipo de mensagens e a autenticação falha mesmo que o e-mail tenha sido enviado de uma fonte legítima! Isto acontece porque o SPF quebra quando uma mensagem é reencaminhada. Uma vez que a lista de correio electrónico incorpora frequentemente informação extra no corpo do correio electrónico, a assinatura do DKIM também pode ser invalidada devido a alterações no conteúdo do correio electrónico.

  • Encaminhamento de mensagens 

Quando há um fluxo de correio indirecto, como é o caso de estar a receber um correio electrónico de um servidor intermédio e não directamente do servidor de envio, como no caso de mensagens reencaminhadas, as quebras de SPF e o seu correio electrónico falharão automaticamente a autenticação DMARC. Alguns reencaminhadores também alteram o conteúdo do correio electrónico, razão pela qual as assinaturas do DKIM também são invalidadas.

 

 

Em tais situações, a Authenticated Received Chain vem em socorro! Como? Vamos descobrir:

Como é que o ARC funciona?

Nas situações acima enumeradas, os reencaminhadores tinham inicialmente recebido e-mails que tinham sido validados contra a configuração DMARC, de uma fonte autorizada. A cadeia de recepção autenticada é desenvolvida como uma especificação que permite que o cabeçalho Autenticação-Resultados seja passado para o próximo "salto" na linha da entrega da mensagem.

No caso de uma mensagem encaminhada, quando o servidor de correio electrónico do receptor recebe uma mensagem que falhou a autenticação DMARC, tenta validar o correio electrónico pela segunda vez, contra a Cadeia de Recepção Autenticada fornecida para o correio electrónico, extraindo os resultados da autenticação ARC do salto inicial, para verificar se foi validado para ser legítimo antes de o servidor intermediário o encaminhar para o servidor receptor.

Com base na informação extraída, o receptor decide se permite que os resultados do ARC anulem a política DMARC, passando assim o correio electrónico como autêntico e válido e permitindo que seja entregue normalmente na caixa de entrada do receptor.

Com a implementação do ARC, o receptor pode efectivamente autenticar o correio electrónico com a ajuda das seguintes informações:

  • Os resultados da autenticação, testemunhados pelo servidor intermédio, juntamente com todo o historial de validação SPF e DKIM, resultam no salto inicial.
  • Informação necessária para autenticar os dados enviados.
  • Informação para ligar a assinatura enviada ao servidor intermediário para que o correio electrónico seja validado no servidor receptor mesmo que o intermediário altere o conteúdo, desde que reencaminhem uma nova e válida assinatura DKIM.

Implementação da Cadeia de Recepção Autenticada

ARC define três novos cabeçalhos de correio:

  • ARC-Autenticação-Resultados (AAR): O primeiro entre os cabeçalhos de correio é o AAR que encapsula os resultados de autenticação como SPF, DKIM, e DMARC.

  • ARC-Seal (AS) - AS é uma versão mais simples de uma assinatura DKIM, que contém informação sobre os resultados do cabeçalho de autenticação, e assinatura ARC.

  • ARC-Message-Signature (AMS) - AMS é também semelhante a uma assinatura DKIM, que tira uma imagem do cabeçalho da mensagem que incorpora tudo excepto os cabeçalhos ARC-Seal como os campos To: e From:, assunto, e todo o corpo da mensagem.

Passos executados pelo servidor intermédio para assinar uma modificação:

Passo 1: o servidor copia o campo Autenticação-Resultados para um novo campo AAR e prefixa-o à mensagem

Passo 2: o servidor formula o AMS para a mensagem (com o AAR) e prepende-o para a mensagem.

Passo 3: o servidor formula o AS para os cabeçalhos anteriores do ARC-Seal e adiciona-o à mensagem.

Finalmente, para validar a Cadeia Recebida Autenticada e descobrir se uma mensagem enviada é legítima ou não, o receptor valida a cadeia ou os cabeçalhos dos selos ARC e a mais recente mensagem ARC-assinatura. Caso os cabeçalhos do ARC tenham sido alterados de alguma forma, o e-mail falha a autenticação DKIM. No entanto, se todos os servidores de correio envolvidos na transmissão da mensagem assinarem e transmitirem ARC correctamente, então o correio electrónico preserva os resultados da autenticação DKIM, e passa a autenticação DMARC, resultando na entrega bem sucedida da mensagem na caixa de entrada do receptor!

A implementação do ARC faz backup e apoia a adopção do DMARC em organizações para garantir que todo o correio electrónico legítimo seja autenticado sem um único lapso. Inscreva-se hoje para o seu teste DMARC grátis!