O que é ARC?

Blog

Autenticação da Cadeia Recebida (ARC) uma norma que pode mitigar com sucesso os problemas de falha na autenticação DMARC. Activar o DMARC ARC!

por Maitham Al Lawati

Tempo de leitura: 6 min
O que é ARC?
Índice-

O que é ARC (Authenticated Received Chain)?

O ARC Email ou Cadeia de Autenticação Recebida é um sistema de autenticação de correio eletrónico que apresenta a avaliação da autenticação de uma mensagem de correio eletrónico em cada etapa do processo, ao longo do seu tratamento. Em termos mais simples, a Cadeia de Autenticação Recebida pode ser designada como uma sequência de verificação de mensagens de correio eletrónico que permite a cada entidade que trata as mensagens ver efetivamente todas as entidades que a trataram anteriormente. Sendo um protocolo relativamente novo, publicado e documentado como "Experimental" no RFC 8617 em julho de 2019, o Email ARC permite ao servidor de receção validar mensagens de correio eletrónico mesmo quando o SPF e o DKIM são invalidados por um servidor intermédio.

Takeaways de chaves

  1. O ARC permite que a avaliação da autenticação de uma mensagem de correio eletrónico seja monitorizada ao longo do seu percurso em vários servidores.
  2. O DMARC ARC ajuda a mitigar os problemas decorrentes do reencaminhamento de correio eletrónico, permitindo que os emails legítimos passem as verificações de autenticação.
  3. O ARC foi concebido para funcionar em conjunto com o DMARC, aumentando a capacidade de entrega de correio eletrónico sem substituir os sistemas de autenticação existentes.
  4. A implementação do ARC envolve a adição de novos cabeçalhos de correio que encapsulam os resultados da autenticação, permitindo que os servidores a jusante validem corretamente as mensagens.
  5. O tratamento adequado dos cabeçalhos ARC pode resultar na preservação das assinaturas DKIM e na entrega bem sucedida de correio eletrónico, mesmo através de intermediários.

DMARC ARC

O DMARC ARC é uma forma eficaz de contornar as vulnerabilidades que possam existir no seu sistema de autenticação DMARC como resultado do reencaminhamento de correio eletrónico. Ele preserva as informações do email de forma a ajudar essas mensagens a passar nas verificações de autenticação. Embora exija que os seus e-mails não autorizados sejam bloqueados, a última coisa que quer é que os seus e-mails legítimos não sejam entregues. O DMARC ARC mantém uma sequência de verificação dos seus e-mails em cada etapa para garantir que os cabeçalhos dos e-mails permaneçam inalterados e sejam passados para o próximo intermediário na linha.

Simplifique o ARC com o PowerDMARC!

Teste grátis 15 diasMarcar demo

Pode o ARC ser utilizado como substituto do DMARC?

A resposta é não. O e-mail ARC foi construído para passar identificadores de autenticação sequencialmente ao longo da viagem de um e-mail, independentemente do número de servidores intermediários por onde passa. O e-mail ARC ajuda a preservar os resultados da verificação DMARC, impedindo que terceiros e fornecedores de caixas de correio alterem os cabeçalhos ou o conteúdo das mensagens. O ARC não é definitivamente um substituto do DMARC, pelo contrário, pode ser utilizado para além de uma política de DMARC aplicada para melhorar ainda mais a sua entregabilidade de correio electrónico.

Como pode a Autenticação da Cadeia Recebida ajudar?

Como já sabemos, o DMARC permite que um correio eletrónico seja autenticado em relação às normas de autenticação de correio eletrónico SPF e DKIM, especificando ao destinatário como lidar com os e-mails que falham ou passam na autenticação. No entanto, se implementar a aplicação do DMARC na sua organização de acordo com uma política DMARC rigorosa, é possível que mesmo os e-mails legítimos, como os enviados através de uma lista de correio eletrónico ou de um reencaminhador, falhem a autenticação e não sejam entregues ao destinatário! A Cadeia Recebida Autenticada ajuda a mitigar este problema de forma eficaz. Vamos aprender como na secção seguinte:

Situações em que o ARC pode ajudar

  • Listas de correio 

Como membro de uma lista de distribuição, tem a possibilidade de enviar mensagens a todos os membros da lista de uma só vez, dirigindo-se à própria lista de distribuição. O endereço de receção reencaminha depois a sua mensagem para todos os membros da lista. Na situação atual, o DMARC não consegue validar este tipo de mensagens e a autenticação falha mesmo que o correio eletrónico tenha sido enviado de uma fonte legítima! Isto deve-se ao facto de o SPF falhar quando uma mensagem é reencaminhada. Como a lista de correio eletrónico incorpora frequentemente informações adicionais no corpo do correio eletrónico, a assinatura DKIM também pode ser invalidada devido a alterações no conteúdo do correio eletrónico.

  • Encaminhamento de mensagens 

Quando há um fluxo de correio indirecto, como é o caso de estar a receber um correio electrónico de um servidor intermédio e não directamente do servidor de envio, como no caso de mensagens reencaminhadas, as quebras de SPF e o seu correio electrónico falharão automaticamente a autenticação DMARC. Alguns reencaminhadores também alteram o conteúdo do correio electrónico, razão pela qual as assinaturas do DKIM também são invalidadas.

 

 

Em tais situações, a Authenticated Received Chain vem em socorro! Como? Vamos descobrir:

Como é que o DMARC ARC funciona?

Nas situações listadas acima, os encaminhadores receberam inicialmente emails que foram validados de acordo com a configuração DMARC, de uma fonte autorizada. A Cadeia Recebida Autenticada foi desenvolvida como uma especificação que permite que o cabeçalho Authentication-Results seja passado para o próximo "salto" na linha de entrega da mensagem.

No caso de uma mensagem encaminhada, quando o servidor de correio electrónico do receptor recebe uma mensagem que falhou a autenticação DMARC, tenta validar o correio electrónico pela segunda vez, contra a Cadeia de Recepção Autenticada fornecida para o correio electrónico, extraindo o Email ARC Authentication-Resultados do salto inicial, para verificar se foi validado para ser legítimo antes de o servidor intermediário o reencaminhar para o servidor receptor.

Com base na informação extraída, o receptor decide se permite que os resultados do e-mail ARC anulem a política DMARC, passando assim o e-mail como autêntico e válido e permitindo que seja entregue normalmente na caixa de entrada do receptor.

Com a implementação do ARC, o receptor pode efectivamente autenticar o correio electrónico com a ajuda das seguintes informações:

  • Os resultados da autenticação, testemunhados pelo servidor intermédio, juntamente com todo o historial de validação SPF e DKIM, resultam no salto inicial.
  • Informação necessária para autenticar os dados enviados.
  • Informação para ligar a assinatura enviada ao servidor intermediário para que o correio electrónico seja validado no servidor receptor mesmo que o intermediário altere o conteúdo, desde que reencaminhem uma nova e válida assinatura DKIM.

Implementação da Cadeia de Recepção Autenticada

ARC define três novos cabeçalhos de correio:

  • ARC-Autenticação-Resultados (AAR): O primeiro entre os cabeçalhos de correio é o AAR que encapsula os resultados de autenticação como SPF, DKIM, e DMARC.

  • ARC-Seal (AS) - AS é uma versão mais simples de uma assinatura DKIM, que contém informação sobre os resultados do cabeçalho de autenticação, e assinatura ARC.

  • ARC-Message-Signature (AMS) - AMS é também semelhante a uma assinatura DKIM, que tira uma imagem do cabeçalho da mensagem que incorpora tudo excepto os cabeçalhos ARC-Seal como os campos To: e From:, assunto, e todo o corpo da mensagem.

Passos executados pelo servidor intermédio para assinar uma modificação:

Passo 1: o servidor copia o campo Autenticação-Resultados para um novo campo AAR e prefixa-o à mensagem

Passo 2: o servidor formula o AMS para a mensagem (com o AAR) e prepende-o para a mensagem.

Passo 3: o servidor formula o AS para os cabeçalhos anteriores do ARC-Seal e adiciona-o à mensagem.

Finalmente, para validar a Cadeia Recebida Autenticada e descobrir se uma mensagem enviada é legítima ou não, o receptor valida a cadeia ou os cabeçalhos dos selos ARC e a mais recente mensagem ARC-assinatura. Caso os cabeçalhos DMARC ARC tenham sido alterados de alguma forma, o correio electrónico falha a autenticação DKIM. No entanto, se todos os servidores de correio envolvidos na transmissão da mensagem assinarem e transmitirem correctamente o ARC de correio electrónico, então o correio electrónico preserva os resultados da autenticação DKIM, e passa a autenticação DMARC, resultando na entrega bem sucedida da mensagem na caixa de entrada do receptor!

A implementação do ARC apoia e apoia a adopção do DMARC em organizações para garantir que cada correio electrónico legítimo seja autenticado sem um único lapso. Inscreva-se hoje para o seu teste DMARC grátis!

Últimas mensagens de Maitham Al Lawati (ver todas)
Razões para evitar SPF Flatteningilustração de achatamento spfpesquisas de dns demasiado numerosasComo corrigir demasiados DNS Lookups?