Vad är ARC?
Vad är ARC (Authenticated Received Chain)?
ARC Email eller Authenticated Received Chain är ett system för autentisering av e-post som visar autentiseringsbedömningen av ett e-postmeddelande i varje steg under hela hanteringen. I enklare termer kan kedjan för autentiserad mottagning betecknas som en sekvens av verifiering av e-postmeddelanden som gör det möjligt för varje enhet som hanterar meddelanden att effektivt se alla enheter som tidigare har hanterat det. Email ARC är ett relativt nytt protokoll som publicerades och dokumenterades som "Experimental" i RFC 8617 i juli 2019 och gör det möjligt för den mottagande servern att validera e-postmeddelanden även när SPF och DKIM har gjorts ogiltiga av en mellanliggande server.
DMARC ARC
DMARC ARC är ett effektivt sätt att kringgå sårbarheter som kan finnas i ditt DMARC-autentiseringssystem till följd av vidarebefordran av e-post. Den bevarar e-postinformation på ett sätt som gör att meddelandena klarar autentiseringskontrollerna. Även om du kräver att obehörig e-post blockeras, är det sista du vill att din legitima e-post ska misslyckas med att levereras. DMARC ARC upprätthåller en sekvens av verifiering av din e-post i varje steg för att se till att dina e-posthuvuden förblir oförändrade och skickas vidare till nästa mellanled i kedjan.
Kan ARC användas som en ersättning för DMARC?
Svaret är nej. ARC-e-post är konstruerad för att överföra autentiseringsidentifierare sekventiellt under hela e-postresan, oavsett hur många mellanliggande servrar som e-postmeddelandet går igenom. Email ARC hjälper till att bevara DMARC-verifieringsresultaten och förhindrar att tredje part och brevlådeleverantörer ändrar meddelandets rubriker eller innehåll. ARC är definitivt ingen ersättning för DMARC, utan kan användas som komplement till en DMARC-policy för att ytterligare förbättra leveransbarheten för e-post.
Hur kan autentiserad mottagen kedjehjälp?
Som vi redan vet gör DMARC det möjligt att autentisera ett e-postmeddelande mot SPF- och DKIM-standarderna för autentisering av e-postmeddelanden, och anger för mottagaren hur hanteringen av e-postmeddelanden som inte klarar eller klarar autentiseringen ska gå till. Men om du tillämpar DMARC i din organisation enligt en strikt DMARC-policy finns det risk för att även legitima e-postmeddelanden, t.ex. sådana som skickas via en e-postlista eller en vidarebefordrare, inte klarar autentiseringen och inte levereras till mottagaren! Authenticated Received Chain hjälper till att lindra detta problem på ett effektivt sätt. Låt oss lära oss hur i följande avsnitt:
Situationer där ARC kan hjälpa
- E-postlistor
Som medlem i en e-postlista har du befogenhet att skicka meddelanden till alla medlemmar i listan på en gång genom att adressera själva e-postlistan. Den mottagande adressen vidarebefordrar sedan meddelandet till alla listmedlemmar. I den aktuella situationen kan DMARC inte validera dessa typer av meddelanden och autentiseringen misslyckas trots att e-postmeddelandet har skickats från en legitim källa! Detta beror på att SPF bryts när ett meddelande vidarebefordras. Eftersom e-postlistan ofta fortsätter att innehålla extra information i e-posttexten kan DKIM-signaturen också ogiltigförklaras på grund av ändringar i e-postinnehållet.
- Vidarebefordra meddelanden
När det finns ett indirekt e-postflöde, till exempel att du får ett e-postmeddelande från en mellanliggande server och inte direkt från den sändande servern som i fallet med vidarebefordrade meddelanden, bryts SPF och din e-post automatiskt misslyckas DMARC-autentisering. Vissa vidarebefordrare ändrar också e-postinnehållet, varför DKIM-signaturerna också ogiltigförklaras.
I sådana situationer kommer Autentiserad mottagen kedja till undsättning! Hur? Låt oss ta reda på:
Hur fungerar DMARC ARC?
I de situationer som anges ovan hade vidarebefordrarna ursprungligen fått e-postmeddelanden som hade validerats mot DMARC-installationen, från en auktoriserad källa. Autentiserad mottagen kedja utvecklas som en specifikation som gör att huvudet Autentiseringsresultat kan vidarebefordras till nästa "hopp" på raden för meddelandeleveransen.
När mottagarens e-postserver tar emot ett meddelande som inte godkänts vid DMARC-autentisering försöker den, när det gäller ett vidarebefordrat meddelande, validera e-postmeddelandet en andra gång mot den autentiserade mottagningskedjan för e-postmeddelandet genom att extrahera resultaten av autentiseringen av ARC-meddelandet från det första hoppet, för att kontrollera om det har godkänts som legitimt innan den förmedlande servern vidarebefordrade det till den mottagande servern.
Mottagaren bestämmer på grundval av informationen om ARC-meddelandet ska tillåtas åsidosätta DMARC-policyn och därmed godkänna meddelandet som autentiskt och giltigt och tillåta att det levereras normalt till mottagarens inkorg.
Med ARC-implementering kan mottagaren effektivt autentisera e-postmeddelandet med hjälp av följande information:
- Autentiseringsresultaten som bevittnas av mellanservern, tillsammans med hela historiken för SPF- och DKIM-valideringsresultat i det första hoppet.
- Nödvändig information för att autentisera skickade data.
- Information för att länka den skickade signaturen till mellanhandsservern så att e-postmeddelandet valideras på den mottagande servern även om mellanhanden ändrar innehållet, så länge de vidarebefordrar en ny och giltig DKIM-signatur.
Implementering av autentiserad mottagen kedja
ARC definierar tre nya e-postrubriker:
- ARC-Authentication-Results (AAR): Först bland e-posthuvudena är AAR som kapslar in autentiseringsresultaten som SPF, DKIM och DMARC.
- ARC-Seal (AS) – AS är en enklare version av en DKIM-signatur som innehåller information om autentiseringshuvudresultat och ARC-signatur.
- ARC-Message-Signature (AMS) – AMS liknar också en DKIM-signatur, som tar en bild av meddelandehuvudet som innehåller allt utom ARC-Seal-rubriker som fälten Till: och Från: fält, ämne och hela meddelandets brödtext.
Steg som utförs av mellanservern för att signera en ändring:
Steg 1: Servern kopierar fältet Autentiseringsresultat till ett nytt AAR-fält och föregår det med meddelandet
Steg 2: servern formulerar AMS för meddelandet (med AAR) och förbereder det till meddelandet.
Steg 3: Servern formulerar AS för de tidigare ARC-Seal-rubrikerna och lägger till det i meddelandet.
För att validera den autentiserade mottagna kedjan och ta reda på om ett vidarebefordrat meddelande är legitimt eller inte, validerar mottagaren kedjan eller ARC Seal-headers och den nyaste ARC-Message-Signaturen. Om DMARC ARC-huvudena har ändrats på något sätt misslyckas e-postmeddelandet med DKIM-autentiseringen. Om alla e-postservrar som deltar i överföringen av meddelandet signerar och överför ARC-meddelanden på ett korrekt sätt, behåller e-postmeddelandet dock DKIM-autentiseringsresultaten och klarar DMARC-autentiseringen, vilket leder till att meddelandet levereras framgångsrikt i mottagarens inkorg!
ARC-implementering backar upp och stöder DMARC-användning i organisationer för att se till att alla legitima e-postmeddelanden autentiseras utan ett enda fel. Registrera dig för din kostnadsfria DMARC-testversion idag!