O ARC ou Authenticated Received Chain é um sistema de autenticação de correio eletrónico que apresenta a avaliação da autenticação de uma mensagem de correio eletrónico em cada etapa do processo, ao longo do seu tratamento. Em termos mais simples, a cadeia de receção autenticada pode ser designada como uma "cadeia de custódia" para mensagens de correio eletrónico que permite a cada entidade que trata as mensagens ver efetivamente todas as entidades que a trataram anteriormente. Sendo um protocolo relativamente novo, publicado e documentado como "Experimental" no RFC 8617 em julho de 2019, o ARC permite ao servidor de receção validar mensagens de correio eletrónico mesmo quando o SPF e o DKIM são invalidados por um servidor intermédio.
Como pode a Autenticação da Cadeia Recebida ajudar?
Como já sabemos, o DMARC permite que um e-mail seja autenticado contra as normas de autenticação SPF e DKIM, especificando ao receptor como tratar os e-mails que falham ou passam na autenticação. No entanto, se implementar a aplicação de DMARC na sua organização a uma política DMARC rigorosa, há possibilidades de que mesmo e-mails legítimos, tais como os enviados através de uma lista de correio ou de um reencaminhador, possam falhar a autenticação e não ser entregues ao receptor! A cadeia de recepção autenticada ajuda a mitigar eficazmente este problema. Vamos aprender como na secção seguinte:
Situações em que o ARC pode ajudar
- Listas de correio
Como membro de uma lista de distribuição, tem a possibilidade de enviar mensagens a todos os membros da lista de uma só vez, dirigindo-se à própria lista de distribuição. O endereço de receção reencaminha depois a sua mensagem para todos os membros da lista. Na situação atual, o DMARC não consegue validar este tipo de mensagens e a autenticação falha mesmo que o correio eletrónico tenha sido enviado de uma fonte legítima! Isto deve-se ao facto de o SPF falhar quando uma mensagem é reencaminhada. Como a lista de correio eletrónico incorpora frequentemente informações adicionais no corpo do correio eletrónico, a assinatura DKIM também pode ser invalidada devido a alterações no conteúdo do correio eletrónico.
- Encaminhamento de mensagens
Quando há um fluxo de correio indirecto, como é o caso de estar a receber um correio electrónico de um servidor intermédio e não directamente do servidor de envio, como no caso de mensagens reencaminhadas, as quebras de SPF e o seu correio electrónico falharão automaticamente a autenticação DMARC. Alguns reencaminhadores também alteram o conteúdo do correio electrónico, razão pela qual as assinaturas do DKIM também são invalidadas.
Em tais situações, a Authenticated Received Chain vem em socorro! Como? Vamos descobrir:
Como é que o ARC funciona?
Nas situações listadas acima, os encaminhadores receberam inicialmente emails que foram validados de acordo com a configuração DMARC, de uma fonte autorizada. A Cadeia Recebida Autenticada foi desenvolvida como uma especificação que permite que o cabeçalho Authentication-Results seja passado para o próximo "salto" na linha de entrega da mensagem.
No caso de uma mensagem encaminhada, quando o servidor de correio electrónico do receptor recebe uma mensagem que falhou a autenticação DMARC, tenta validar o correio electrónico pela segunda vez, contra a Cadeia de Recepção Autenticada fornecida para o correio electrónico, extraindo os resultados da autenticação ARC do salto inicial, para verificar se foi validado para ser legítimo antes de o servidor intermediário o encaminhar para o servidor receptor.
Com base na informação extraída, o receptor decide se permite que os resultados do ARC anulem a política DMARC, passando assim o correio electrónico como autêntico e válido e permitindo que seja entregue normalmente na caixa de entrada do receptor.
Com a implementação do ARC, o receptor pode efectivamente autenticar o correio electrónico com a ajuda das seguintes informações:
- Os resultados da autenticação, testemunhados pelo servidor intermédio, juntamente com todo o historial de validação SPF e DKIM, resultam no salto inicial.
- Informação necessária para autenticar os dados enviados.
- Informação para ligar a assinatura enviada ao servidor intermediário para que o correio electrónico seja validado no servidor receptor mesmo que o intermediário altere o conteúdo, desde que reencaminhem uma nova e válida assinatura DKIM.
Implementação da Cadeia de Recepção Autenticada
ARC define três novos cabeçalhos de correio:
- ARC-Autenticação-Resultados (AAR): O primeiro entre os cabeçalhos de correio é o AAR que encapsula os resultados de autenticação como SPF, DKIM, e DMARC.
- ARC-Seal (AS) - AS é uma versão mais simples de uma assinatura DKIM, que contém informação sobre os resultados do cabeçalho de autenticação, e assinatura ARC.
- ARC-Message-Signature (AMS) - AMS é também semelhante a uma assinatura DKIM, que tira uma imagem do cabeçalho da mensagem que incorpora tudo excepto os cabeçalhos ARC-Seal como os campos To: e From:, assunto, e todo o corpo da mensagem.
Passos executados pelo servidor intermédio para assinar uma modificação:
Passo 1: o servidor copia o campo Autenticação-Resultados para um novo campo AAR e prefixa-o à mensagem
Passo 2: o servidor formula o AMS para a mensagem (com o AAR) e prepende-o para a mensagem.
Passo 3: o servidor formula o AS para os cabeçalhos anteriores do ARC-Seal e adiciona-o à mensagem.
Finalmente, para validar a Cadeia Recebida Autenticada e descobrir se uma mensagem enviada é legítima ou não, o receptor valida a cadeia ou os cabeçalhos dos selos ARC e a mais recente mensagem ARC-assinatura. Caso os cabeçalhos do ARC tenham sido alterados de alguma forma, o e-mail falha a autenticação DKIM. No entanto, se todos os servidores de correio envolvidos na transmissão da mensagem assinarem e transmitirem ARC correctamente, então o correio electrónico preserva os resultados da autenticação DKIM, e passa a autenticação DMARC, resultando na entrega bem sucedida da mensagem na caixa de entrada do receptor!
A implementação do ARC faz backup e apoia a adopção do DMARC em organizações para garantir que todo o correio electrónico legítimo seja autenticado sem um único lapso. Inscreva-se hoje para o seu teste DMARC grátis!
- Como corrigir "Nenhum registo SPF encontrado" em 2025 - 21 de janeiro de 2025
- Como ler um relatório DMARC - 19 de janeiro de 2025
- O que é o MTA-STS? Configurar a política correta do MTA-STS - 15 de janeiro de 2025