ARC или Authenticated Received Chain - это система аутентификации электронной почты, которая отображает оценку аутентификации электронной почты на каждом этапе, в течение всего процесса обработки. Проще говоря, цепочку аутентифицированных полученных сообщений можно назвать "цепочкой хранения" сообщений электронной почты, которая позволяет каждой сущности, которая обрабатывает сообщения, эффективно видеть все сущности, которые ранее обрабатывали их. Как относительно новый протокол, опубликованный и документированный как "Экспериментальный" в RFC 8617 в июле 2019 года, ARC позволяет принимающему серверу проверять сообщения электронной почты, даже когда SPF и DKIM становятся недействительными промежуточным сервером.
Как может помочь аутентифицированная полученная цепь?
Как мы уже знаем, DMARC позволяет аутентифицировать электронное письмо по стандартам аутентификации электронной почты SPF и DKIM, указывая получателю, как поступать с письмами, которые не прошли или прошли аутентификацию. Однако если вы внедряете в своей организации строгую политику DMARC, есть вероятность, что даже легитимные письма, например отправленные через список рассылки или переадресацию, могут не пройти проверку подлинности и не быть доставленными получателю! Цепочка Authenticated Received Chain помогает эффективно решить эту проблему. Давайте узнаем, как это сделать в следующем разделе:
Ситуации, в которых ARC может помочь
- Списки рассылки
Будучи членом списка рассылки, вы имеете право отправлять сообщения всем членам списка за один раз, обращаясь к самому списку рассылки. Полученный адрес затем пересылает ваше сообщение всем членам списка. В текущей ситуации DMARC не проверяет эти типы сообщений, и проверка подлинности не проходит, даже если сообщение было отправлено из законного источника! Это происходит потому, что SPF ломается, когда сообщение пересылается. Так как список рассылки часто включает дополнительную информацию в тело письма, подпись DKIM также может быть недействительной из-за изменений в содержимом письма.
- Пересылка сообщений
При непрямом почтовом потоке, например, вы получаете письмо с промежуточного сервера, а не напрямую с сервера-отправителя, как в случае с пересылаемыми сообщениями, SPF прерывается, и ваша электронная почта автоматически не сможет пройти DMARC-аутентификацию. Некоторые пересылки также изменяют содержимое электронной почты, поэтому подписи DKIM также становятся недействительными.
В таких ситуациях Аутентифицированная Приобретенная Цепь приходит на помощь! Как? Давай узнаем:
Как функционирует ARC?
В приведенных выше ситуациях переадресаторы изначально получали электронные письма, прошедшие проверку на соответствие настройкам DMARC, от авторизованного источника. Authenticated Received Chain разрабатывается как спецификация, позволяющая передавать заголовок Authentication-Results следующему "хопу" в линии доставки сообщения.
В случае переадресованного сообщения, когда почтовый сервер получателя получает сообщение, которое не прошло проверку подлинности DMARC, он пытается проверить это сообщение второй раз, сопоставляя его с предоставленной цепью аутентифицированных полученных сообщений путем извлечения результатов проверки подлинности ARC (ARC Authentication-Results of the initial hop), чтобы проверить, было ли оно проверено на легитимность, прежде чем сервер-посредник переадресовал его на сервер-получатель.
На основе извлеченной информации, получатель решает, позволить ли результаты ARC отменить политику DMARC, таким образом, передавая электронную почту как подлинную и действительную и позволяя ей быть доставленной в обычном порядке в почтовый ящик получателя.
С реализацией ARC, получатель может эффективно аутентифицировать электронную почту с помощью следующей информации:
- Результаты аутентификации, засвидетельствованные промежуточным сервером, вместе со всей историей проверки SPF и DKIM, приводят к начальному прыжку.
- Необходимая информация для проверки подлинности отправленных данных.
- Информация для связи отправленной подписи с сервером-посредником, чтобы электронная почта была подтверждена на сервере-получателе, даже если посредник изменяет содержание, при условии, что они пересылают новую и действующую подпись DKIM.
Реализация аутентифицированной полученной цепочки
ARC определяет три новых почтовых заголовка:
- АРК-Аутентификация-Продукты (AAR): Первым среди почтовых заголовков является AAR, которая инкапсулирует результаты аутентификации, такие как SPF, DKIM и DMARC.
- ARC-Seal (AS) - AS является более простой версией подписи DKIM, которая содержит информацию о результатах аутентификации заголовка, и подписи ARC.
- ARC-подпись сообщения (AMS) - AMS также похожа на подпись DKIM, которая берет изображение заголовка сообщения, которое включает в себя все, кроме заголовков ARC-Seal, таких как поля To: и From:, тема и все тело сообщения.
Шаги, выполняемые промежуточным сервером для подписания модификации:
Шаг 1: сервер копирует поле Authentication-Results в новое поле AAR и префиксом к сообщению
Шаг 2: сервер формулирует AMS для сообщения (с AAR) и подготавливает его к сообщению.
Шаг 3: сервер формулирует AS для предыдущих заголовков ARC-Seal и добавляет его в сообщение.
Наконец, чтобы проверить аутентифицированную цепь получения и выяснить, является ли пересылаемое сообщение законным или нет, приемник проверяет цепь или заголовки ARC-пломбы и новейшую ARC-пломбу сообщения. Если заголовки ARC были каким-либо образом изменены, то электронное сообщение не проходит DKIM-аутентификацию. Однако, если все почтовые серверы, участвующие в передаче сообщения, правильно подпишут и передадут ARC, то электронная почта сохранит результаты DKIM-аутентификации, и пройдет DMARC-аутентификацию, в результате чего сообщение будет успешно доставлено в почтовый ящик получателя!
Реализация ARC создает резервные копии и поддерживает внедрение DMARC в организациях, чтобы гарантировать, что каждая законная электронная почта будет аутентифицирована без единого пропуска. Зарегистрируйтесь на бесплатную пробную версию DMARC уже сегодня!
- Исправьте пермеррор SPF: Преодоление ограничения SPF Too Many DNS Lookups Limit - 26 апреля 2024 г.
- Как опубликовать запись DMARC за 3 шага? - 2 апреля 2024 г.
- Почему DMARC не работает? Устранение сбоев DMARC в 2024 году - 2 апреля 2024 г.