ARC ou Authenticated Received Chain é um sistema de autenticação de correio electrónico que exibe a avaliação da autenticação de um correio electrónico em cada etapa do percurso, ao longo do manuseamento. Em termos mais simples, a cadeia Autenticada Recebida pode ser denominada "cadeia de custódia" para mensagens de correio electrónico que permitem a cada entidade que lida com as mensagens ver efectivamente todas as entidades que anteriormente a tratavam. Sendo um protocolo relativamente novo publicado e documentado como "Experimental" no RFC 8617 em Julho de 2019, o ARC permite ao servidor receptor validar as mensagens de correio electrónico mesmo quando SPF e DKIM são invalidadas por um servidor intermédio.
Como pode a Autenticação da Cadeia Recebida ajudar?
Como já sabemos, o DMARC permite que um correio eletrónico seja autenticado em relação às normas de autenticação de correio eletrónico SPF e DKIM, especificando ao destinatário como lidar com os e-mails que falham ou passam na autenticação. No entanto, se implementar a aplicação do DMARC na sua organização de acordo com uma política DMARC rigorosa, é possível que mesmo os e-mails legítimos, como os enviados através de uma lista de correio eletrónico ou de um reencaminhador, falhem a autenticação e não sejam entregues ao destinatário! A Cadeia Recebida Autenticada ajuda a mitigar este problema de forma eficaz. Vamos aprender como na secção seguinte:
Situações em que o ARC pode ajudar
- Listas de correio
Como membro de uma lista de correio, tem o poder de enviar mensagens a todos os membros da lista de uma só vez, dirigindo-se à própria lista de correio. A morada de recepção reencaminha depois a sua mensagem a todos os membros da lista. Na situação actual, o DMARC não valida este tipo de mensagens e a autenticação falha mesmo que o e-mail tenha sido enviado de uma fonte legítima! Isto acontece porque o SPF quebra quando uma mensagem é reencaminhada. Uma vez que a lista de correio electrónico incorpora frequentemente informação extra no corpo do correio electrónico, a assinatura do DKIM também pode ser invalidada devido a alterações no conteúdo do correio electrónico.
- Encaminhamento de mensagens
Quando há um fluxo de correio indirecto, como é o caso de estar a receber um correio electrónico de um servidor intermédio e não directamente do servidor de envio, como no caso de mensagens reencaminhadas, as quebras de SPF e o seu correio electrónico falharão automaticamente a autenticação DMARC. Alguns reencaminhadores também alteram o conteúdo do correio electrónico, razão pela qual as assinaturas do DKIM também são invalidadas.
Em tais situações, a Authenticated Received Chain vem em socorro! Como? Vamos descobrir:
Como é que o ARC funciona?
Nas situações listadas acima, os encaminhadores receberam inicialmente emails que foram validados de acordo com a configuração DMARC, de uma fonte autorizada. A Cadeia Recebida Autenticada foi desenvolvida como uma especificação que permite que o cabeçalho Authentication-Results seja passado para o próximo "salto" na linha de entrega da mensagem.
No caso de uma mensagem encaminhada, quando o servidor de correio electrónico do receptor recebe uma mensagem que falhou a autenticação DMARC, tenta validar o correio electrónico pela segunda vez, contra a Cadeia de Recepção Autenticada fornecida para o correio electrónico, extraindo os resultados da autenticação ARC do salto inicial, para verificar se foi validado para ser legítimo antes de o servidor intermediário o encaminhar para o servidor receptor.
Com base na informação extraída, o receptor decide se permite que os resultados do ARC anulem a política DMARC, passando assim o correio electrónico como autêntico e válido e permitindo que seja entregue normalmente na caixa de entrada do receptor.
Com a implementação do ARC, o receptor pode efectivamente autenticar o correio electrónico com a ajuda das seguintes informações:
- Os resultados da autenticação, testemunhados pelo servidor intermédio, juntamente com todo o historial de validação SPF e DKIM, resultam no salto inicial.
- Informação necessária para autenticar os dados enviados.
- Informação para ligar a assinatura enviada ao servidor intermediário para que o correio electrónico seja validado no servidor receptor mesmo que o intermediário altere o conteúdo, desde que reencaminhem uma nova e válida assinatura DKIM.
Implementação da Cadeia de Recepção Autenticada
ARC define três novos cabeçalhos de correio:
- ARC-Autenticação-Resultados (AAR): O primeiro entre os cabeçalhos de correio é o AAR que encapsula os resultados de autenticação como SPF, DKIM, e DMARC.
- ARC-Seal (AS) - AS é uma versão mais simples de uma assinatura DKIM, que contém informação sobre os resultados do cabeçalho de autenticação, e assinatura ARC.
- ARC-Message-Signature (AMS) - AMS é também semelhante a uma assinatura DKIM, que tira uma imagem do cabeçalho da mensagem que incorpora tudo excepto os cabeçalhos ARC-Seal como os campos To: e From:, assunto, e todo o corpo da mensagem.
Passos executados pelo servidor intermédio para assinar uma modificação:
Passo 1: o servidor copia o campo Autenticação-Resultados para um novo campo AAR e prefixa-o à mensagem
Passo 2: o servidor formula o AMS para a mensagem (com o AAR) e prepende-o para a mensagem.
Passo 3: o servidor formula o AS para os cabeçalhos anteriores do ARC-Seal e adiciona-o à mensagem.
Finalmente, para validar a Cadeia Recebida Autenticada e descobrir se uma mensagem enviada é legítima ou não, o receptor valida a cadeia ou os cabeçalhos dos selos ARC e a mais recente mensagem ARC-assinatura. Caso os cabeçalhos do ARC tenham sido alterados de alguma forma, o e-mail falha a autenticação DKIM. No entanto, se todos os servidores de correio envolvidos na transmissão da mensagem assinarem e transmitirem ARC correctamente, então o correio electrónico preserva os resultados da autenticação DKIM, e passa a autenticação DMARC, resultando na entrega bem sucedida da mensagem na caixa de entrada do receptor!
A implementação do ARC faz backup e apoia a adopção do DMARC em organizações para garantir que todo o correio electrónico legítimo seja autenticado sem um único lapso. Inscreva-se hoje para o seu teste DMARC grátis!
- Corrigir o erro de SPF: Ultrapassar o limite de demasiadas pesquisas de DNS do SPF - 26 de abril de 2024
- Como publicar um registo DMARC em 3 passos? - 2 de abril de 2024
- Porque é que o DMARC está a falhar? Corrigir a falha do DMARC em 2024 - 2 de abril de 2024