O que é ARC (Authenticated Received Chain)?
ARC Email ou Authenticated Received Chain é um sistema de autenticação de email que exibe a avaliação da autenticação de um email em cada etapa do caminho, ao longo do manuseamento. Em termos mais simples, a Cadeia de Recebimento Autenticado pode ser denominada como uma sequência de verificação para mensagens de correio electrónico que permite a cada entidade que lida com as mensagens ver efectivamente todas as entidades que anteriormente a tratavam. Sendo um protocolo relativamente novo publicado e documentado como "Experimental" no RFC 8617 em Julho de 2019, o Email ARC permite ao servidor receptor validar as mensagens de correio electrónico mesmo quando SPF e DKIM são invalidadas por um servidor intermédio.
DMARC ARC
O DMARC ARC é uma forma eficaz de contornar as vulnerabilidades que possam existir no seu sistema de autenticação DMARC como resultado do reencaminhamento de correio eletrónico. Ele preserva as informações do email de forma a ajudar essas mensagens a passar nas verificações de autenticação. Embora exija que os seus e-mails não autorizados sejam bloqueados, a última coisa que quer é que os seus e-mails legítimos não sejam entregues. O DMARC ARC mantém uma sequência de verificação dos seus e-mails em cada etapa para garantir que os cabeçalhos dos e-mails permaneçam inalterados e sejam passados para o próximo intermediário na linha.
Pode o ARC ser utilizado como substituto do DMARC?
A resposta é não. O e-mail ARC foi construído para passar identificadores de autenticação sequencialmente ao longo da viagem de um e-mail, independentemente do número de servidores intermediários por onde passa. O e-mail ARC ajuda a preservar os resultados da verificação DMARC, impedindo que terceiros e fornecedores de caixas de correio alterem os cabeçalhos ou o conteúdo das mensagens. O ARC não é definitivamente um substituto do DMARC, pelo contrário, pode ser utilizado para além de uma política de DMARC aplicada para melhorar ainda mais a sua entregabilidade de correio electrónico.
Como pode a Autenticação da Cadeia Recebida ajudar?
Como já sabemos, o DMARC permite que um e-mail seja autenticado contra as normas de autenticação SPF e DKIM, especificando ao receptor como tratar os e-mails que falham ou passam na autenticação. No entanto, se implementar a aplicação de DMARC na sua organização a uma política DMARC rigorosa, há possibilidades de que mesmo e-mails legítimos, tais como os enviados através de uma lista de correio ou de um reencaminhador, possam falhar a autenticação e não ser entregues ao receptor! A cadeia de recepção autenticada ajuda a mitigar eficazmente este problema. Vamos aprender como na secção seguinte:
Situações em que o ARC pode ajudar
- Listas de correio
Como membro de uma lista de correio, tem o poder de enviar mensagens a todos os membros da lista de uma só vez, dirigindo-se à própria lista de correio. A morada de recepção reencaminha depois a sua mensagem a todos os membros da lista. Na situação actual, o DMARC não valida este tipo de mensagens e a autenticação falha mesmo que o e-mail tenha sido enviado de uma fonte legítima! Isto acontece porque o SPF quebra quando uma mensagem é reencaminhada. Uma vez que a lista de correio electrónico incorpora frequentemente informação extra no corpo do correio electrónico, a assinatura do DKIM também pode ser invalidada devido a alterações no conteúdo do correio electrónico.
- Encaminhamento de mensagens
Quando há um fluxo de correio indirecto, como é o caso de estar a receber um correio electrónico de um servidor intermédio e não directamente do servidor de envio, como no caso de mensagens reencaminhadas, as quebras de SPF e o seu correio electrónico falharão automaticamente a autenticação DMARC. Alguns reencaminhadores também alteram o conteúdo do correio electrónico, razão pela qual as assinaturas do DKIM também são invalidadas.
Em tais situações, a Authenticated Received Chain vem em socorro! Como? Vamos descobrir:
Como é que o DMARC ARC funciona?
Nas situações listadas acima, os encaminhadores receberam inicialmente emails que foram validados de acordo com a configuração DMARC, de uma fonte autorizada. A Cadeia Recebida Autenticada foi desenvolvida como uma especificação que permite que o cabeçalho Authentication-Results seja passado para o próximo "salto" na linha de entrega da mensagem.
No caso de uma mensagem encaminhada, quando o servidor de correio electrónico do receptor recebe uma mensagem que falhou a autenticação DMARC, tenta validar o correio electrónico pela segunda vez, contra a Cadeia de Recepção Autenticada fornecida para o correio electrónico, extraindo o Email ARC Authentication-Resultados do salto inicial, para verificar se foi validado para ser legítimo antes de o servidor intermediário o reencaminhar para o servidor receptor.
Com base na informação extraída, o receptor decide se permite que os resultados do e-mail ARC anulem a política DMARC, passando assim o e-mail como autêntico e válido e permitindo que seja entregue normalmente na caixa de entrada do receptor.
Com a implementação do ARC, o receptor pode efectivamente autenticar o correio electrónico com a ajuda das seguintes informações:
- Os resultados da autenticação, testemunhados pelo servidor intermédio, juntamente com todo o historial de validação SPF e DKIM, resultam no salto inicial.
- Informação necessária para autenticar os dados enviados.
- Informação para ligar a assinatura enviada ao servidor intermediário para que o correio electrónico seja validado no servidor receptor mesmo que o intermediário altere o conteúdo, desde que reencaminhem uma nova e válida assinatura DKIM.
Implementação da Cadeia de Recepção Autenticada
ARC define três novos cabeçalhos de correio:
- ARC-Autenticação-Resultados (AAR): O primeiro entre os cabeçalhos de correio é o AAR que encapsula os resultados de autenticação como SPF, DKIM, e DMARC.
- ARC-Seal (AS) - AS é uma versão mais simples de uma assinatura DKIM, que contém informação sobre os resultados do cabeçalho de autenticação, e assinatura ARC.
- ARC-Message-Signature (AMS) - AMS é também semelhante a uma assinatura DKIM, que tira uma imagem do cabeçalho da mensagem que incorpora tudo excepto os cabeçalhos ARC-Seal como os campos To: e From:, assunto, e todo o corpo da mensagem.
Passos executados pelo servidor intermédio para assinar uma modificação:
Passo 1: o servidor copia o campo Autenticação-Resultados para um novo campo AAR e prefixa-o à mensagem
Passo 2: o servidor formula o AMS para a mensagem (com o AAR) e prepende-o para a mensagem.
Passo 3: o servidor formula o AS para os cabeçalhos anteriores do ARC-Seal e adiciona-o à mensagem.
Finalmente, para validar a Cadeia Recebida Autenticada e descobrir se uma mensagem enviada é legítima ou não, o receptor valida a cadeia ou os cabeçalhos dos selos ARC e a mais recente mensagem ARC-assinatura. Caso os cabeçalhos DMARC ARC tenham sido alterados de alguma forma, o correio electrónico falha a autenticação DKIM. No entanto, se todos os servidores de correio envolvidos na transmissão da mensagem assinarem e transmitirem correctamente o ARC de correio electrónico, então o correio electrónico preserva os resultados da autenticação DKIM, e passa a autenticação DMARC, resultando na entrega bem sucedida da mensagem na caixa de entrada do receptor!
A implementação do ARC apoia e apoia a adopção do DMARC em organizações para garantir que cada correio electrónico legítimo seja autenticado sem um único lapso. Inscreva-se hoje para o seu teste DMARC grátis!
- Corrigir o erro de SPF: Ultrapassar o limite de demasiadas pesquisas de DNS do SPF - 26 de abril de 2024
- Como publicar um registo DMARC em 3 passos? - 2 de abril de 2024
- Porque é que o DMARC está a falhar? Corrigir a falha do DMARC em 2024 - 2 de abril de 2024