ARCO | ARCO DMARC

O que é ARC (Authenticated Received Chain)?

ARC ou Authenticated Received Chain é um sistema de autenticação de correio electrónico que exibe a avaliação da autenticação de um correio electrónico em cada etapa do percurso, ao longo do manuseamento. Em termos mais simples, a Cadeia Recebida Autenticada pode ser denominada como uma sequência de verificação para mensagens de correio electrónico que permite a cada entidade que lida com as mensagens ver efectivamente todas as entidades que anteriormente a tratavam. Sendo um protocolo relativamente novo publicado e documentado como "Experimental" no RFC 8617 em Julho de 2019, o ARC permite ao servidor receptor validar as mensagens de correio electrónico mesmo quando SPF e DKIM são invalidadas por um servidor intermédio.

DMARC ARC

DMARC ARC é uma forma eficaz de contornar vulnerabilidades que possam existir no seu sistema de autenticação DMARC como resultado do encaminhamento de correio electrónico. Preserva a informação de correio electrónico de uma forma que ajuda estas mensagens a passar as verificações de autenticação. Enquanto exige que os seus e-mails não autorizados sejam bloqueados, os seus e-mails legítimos que não sejam entregues é a última coisa que desejaria. DMARC ARC mantém uma sequência de verificação das suas mensagens de correio electrónico em cada passo para assegurar que os seus cabeçalhos de correio electrónico permanecem inalterados e são passados para o próximo intermediário na linha.

Pode o ARC ser utilizado como substituto do DMARC?

A resposta é não. O ARC foi construído para passar os identificadores de autenticação sequencialmente ao longo de uma viagem de correio electrónico, independentemente do número de servidores intermediários por onde passa. O ARC ajuda a preservar os resultados da verificação DMARC, impedindo que terceiros e fornecedores de caixas de correio alterem os cabeçalhos ou o conteúdo das mensagens. O ARC não é definitivamente um substituto do DMARC, pelo contrário, pode ser utilizado para além de uma política de DMARC aplicada para melhorar ainda mais a sua entregabilidade de correio electrónico.

Como pode a Autenticação da Cadeia Recebida ajudar?

Como já sabemos, o DMARC permite que um e-mail seja autenticado contra as normas de autenticação SPF e DKIM, especificando ao receptor como tratar os e-mails que falham ou passam na autenticação. No entanto, se implementar a aplicação de DMARC na sua organização a uma política DMARC rigorosa, há possibilidades de que mesmo e-mails legítimos, tais como os enviados através de uma lista de correio ou de um reencaminhador, possam falhar a autenticação e não ser entregues ao receptor! A cadeia de recepção autenticada ajuda a mitigar eficazmente este problema. Vamos aprender como na secção seguinte:

Situações em que o ARC pode ajudar

  • Listas de correio 

Como membro de uma lista de correio, tem o poder de enviar mensagens a todos os membros da lista de uma só vez, dirigindo-se à própria lista de correio. A morada de recepção reencaminha depois a sua mensagem a todos os membros da lista. Na situação actual, o DMARC não valida este tipo de mensagens e a autenticação falha mesmo que o e-mail tenha sido enviado de uma fonte legítima! Isto acontece porque o SPF quebra quando uma mensagem é reencaminhada. Uma vez que a lista de correio electrónico incorpora frequentemente informação extra no corpo do correio electrónico, a assinatura do DKIM também pode ser invalidada devido a alterações no conteúdo do correio electrónico.

  • Encaminhamento de mensagens 

Quando há um fluxo de correio indirecto, como é o caso de estar a receber um correio electrónico de um servidor intermédio e não directamente do servidor de envio, como no caso de mensagens reencaminhadas, as quebras de SPF e o seu correio electrónico falharão automaticamente a autenticação DMARC. Alguns reencaminhadores também alteram o conteúdo do correio electrónico, razão pela qual as assinaturas do DKIM também são invalidadas.

 

 

Em tais situações, a Authenticated Received Chain vem em socorro! Como? Vamos descobrir:

Como é que o DMARC ARC funciona?

Nas situações acima enumeradas, os reencaminhadores tinham inicialmente recebido e-mails que tinham sido validados contra a configuração DMARC, de uma fonte autorizada. A cadeia de recepção autenticada é desenvolvida como uma especificação que permite que o cabeçalho Autenticação-Resultados seja passado para o próximo "salto" na linha da entrega da mensagem.

No caso de uma mensagem encaminhada, quando o servidor de correio electrónico do receptor recebe uma mensagem que falhou a autenticação DMARC, tenta validar o correio electrónico pela segunda vez, contra a Cadeia de Recepção Autenticada fornecida para o correio electrónico, extraindo os resultados da autenticação ARC do salto inicial, para verificar se foi validado para ser legítimo antes de o servidor intermediário o encaminhar para o servidor receptor.

Com base na informação extraída, o receptor decide se permite que os resultados do ARC anulem a política DMARC, passando assim o correio electrónico como autêntico e válido e permitindo que seja entregue normalmente na caixa de entrada do receptor.

Com a implementação do ARC, o receptor pode efectivamente autenticar o correio electrónico com a ajuda das seguintes informações:

  • Os resultados da autenticação, testemunhados pelo servidor intermédio, juntamente com todo o historial de validação SPF e DKIM, resultam no salto inicial.
  • Informação necessária para autenticar os dados enviados.
  • Informação para ligar a assinatura enviada ao servidor intermediário para que o correio electrónico seja validado no servidor receptor mesmo que o intermediário altere o conteúdo, desde que reencaminhem uma nova e válida assinatura DKIM.

Implementação da Cadeia de Recepção Autenticada

ARC define três novos cabeçalhos de correio:

  • ARC-Autenticação-Resultados (AAR): O primeiro entre os cabeçalhos de correio é o AAR que encapsula os resultados de autenticação como SPF, DKIM, e DMARC.

  • ARC-Seal (AS) - AS é uma versão mais simples de uma assinatura DKIM, que contém informação sobre os resultados do cabeçalho de autenticação, e assinatura ARC.

  • ARC-Message-Signature (AMS) - AMS é também semelhante a uma assinatura DKIM, que tira uma imagem do cabeçalho da mensagem que incorpora tudo excepto os cabeçalhos ARC-Seal como os campos To: e From:, assunto, e todo o corpo da mensagem.

Passos executados pelo servidor intermédio para assinar uma modificação:

Passo 1: o servidor copia o campo Autenticação-Resultados para um novo campo AAR e prefixa-o à mensagem

Passo 2: o servidor formula o AMS para a mensagem (com o AAR) e prepende-o para a mensagem.

Passo 3: o servidor formula o AS para os cabeçalhos anteriores do ARC-Seal e adiciona-o à mensagem.

Finalmente, para validar a Cadeia Recebida Autenticada e descobrir se uma mensagem enviada é legítima ou não, o receptor valida a cadeia ou os cabeçalhos dos selos ARC e a mais recente mensagem ARC-assinatura. Caso os cabeçalhos DMARC ARC tenham sido alterados de alguma forma, o correio electrónico falha a autenticação DKIM. No entanto, se todos os servidores de correio envolvidos na transmissão da mensagem assinarem e transmitirem ARC correctamente, então o correio electrónico preserva os resultados da autenticação DKIM, e passa a autenticação DMARC, resultando na entrega bem sucedida da mensagem na caixa de entrada do receptor!

A implementação do ARC faz backup e apoia a adopção do DMARC em organizações para garantir que todo o correio electrónico legítimo seja autenticado sem um único lapso. Inscreva-se hoje para o seu teste DMARC grátis!

Últimos posts de Ahona Rudra (ver todos)