你的DMARC认证接收链(ARC)系统的综合指南
作者:
阅读时间 5 分钟
ARC或 Authenticated Received Chain 是一种电子邮件验证系统,可在整个处理过程中显示电子邮件的每一步验证评估。简单地说,"已验证收件链 "可以被称为电子邮件的 "监管链",使处理邮件的每个实体都能有效地查看之前处理过邮件的所有实体。作为一种相对较新的协议,ARC 在 2019 年 7 月的 RFC 8617 中以 "实验 "形式发布和记录,即使SPF 和 DKIM因中间服务器而失效,接收服务器也能验证电子邮件。
主要收获
- 验证接收链 (ARC) 提供了一种在电子邮件通过多个服务器转发时验证其真实性的方法。
- 严格的 DMARC 政策往往会拒绝来自邮件列表和转发器的合法电子邮件,而 ARC 可帮助缓解这些政策造成的发送问题。
- ARC 的实施依赖于三个新的邮件头:ARC-Authentication-Results、ARC-Seal 和 ARC-Message-Signature。
- 通过在不同的电子邮件跳转过程中保留验证结果,ARC 允许收件人在 DKIM 和 SPF 可能失败的情况下验证电子邮件。
- 实施 ARC 可确保合法电子邮件通过验证并成功交付,从而提高 DMARC 的采用率。
经过认证的收货链能起到什么作用?
我们已经知道,DMARC 允许根据SPF和DKIM电子邮件验证标准对电子邮件进行验证,并向接收方说明如何处理未通过验证或通过验证的电子邮件。但是,如果您在组织中按照严格的DMARC 政策实施DMARC,那么即使是合法的电子邮件(如通过邮件列表或转发器发送的电子邮件)也有可能无法通过验证,无法交付给接收方!验证接收链可有效缓解这一问题。让我们在下面的章节中学习如何解决这个问题:
利用 PowerDMARC 简化安全性!
ARC可以提供帮助的情况
- 邮件列表
作为邮件列表的成员,您可以通过邮件列表本身向列表中的所有成员一次性发送信息。接收地址随后会将您的信息转发给所有列表成员。在当前情况下,DMARC 无法验证这些类型的邮件,即使邮件是从合法来源发送的,验证也会失败!这是因为 SPF 在邮件被转发时会失效。由于邮件列表通常会在邮件正文中加入额外信息,因此DKIM 签名也会因邮件内容的更改而失效。
- 转发信息
当有一个间接的邮件流时,比如你从一个中间服务器收到邮件,而不是像转发邮件那样直接从发送服务器收到邮件,SPF就会失效,你的邮件就会自动无法通过DMARC认证。一些转发者也会改变电子邮件的内容,这就是为什么DKIM签名也会失效的原因。
在这种情况下,经过认证的接收链就会发挥作用!怎么做?如何拯救?让我们来看看。
ARC是如何运作的?
在上述情况中,转发者最初收到的电子邮件都是根据DMARC 设置验证过的,来自授权来源。经过验证的接收链是作为一种规范开发的,它允许将验证结果标头传递给信息传递过程中的下一 "跳"。
在转发邮件的情况下,当接收方的电子邮件服务器收到DMARC认证失败的邮件时,它会尝试第二次验证该邮件,对照所提供的认证接收链,通过提取最初一跳的ARC认证结果,以检查它在中介服务器将其转发到接收服务器之前是否被验证为合法。
根据提取的信息,接收方决定是否允许ARC的结果覆盖DMARC策略,从而将邮件作为真实有效的邮件通过,并允许它被正常传递到接收方的收件箱。
通过ARC的实施,接收方可以在以下信息的帮助下有效地验证电子邮件。
- 由中间服务器见证的认证结果,以及最初一跳中的SPF和DKIM验证结果的整个历史。
- 验证发送数据的必要信息。
- 将发送的签名与中介服务器联系起来的信息,这样,即使中介改变了内容,只要他们转发了新的有效的DKIM签名,电子邮件就会在接收服务器中得到验证。
认证的接收链的实现
ARC定义了三个新的邮件头。
- ARC-Authentication-Results(AAR)。在邮件头中,首先是AAR,它封装了认证结果,如SPF、DKIM和DMARC。
- ARC-Seal (AS) - AS是DKIM签名的一个简单版本,它包含认证头结果的信息,以及ARC签名。
- ARC-消息签名(AMS)--AMS也类似于DKIM签名,它采用了消息头的图像,其中包含了除ARC-密封头之外的所有内容,如收件人:和发件人:字段、主题和整个消息的正文。
由中间服务器执行的签署修改的步骤。
第1步:服务器将认证结果字段复制到一个新的AAR字段中,并将其作为信息的前缀。
第2步:服务器为信息制定AMS(与AAR一起),并将其预加到信息中。
第3步:服务器为之前的ARC-Seal头制定AS,并将其添加到消息中。
最后,为了验证验证过的接收链,并找出转发的邮件是否合法,接收者会验证链或ARC密封头和最新的ARC-邮件签名。如果ARC标头以任何方式被改变,那么电子邮件就不能通过DKIM验证。然而,如果所有参与邮件传输的邮件服务器都正确地签署和传输了ARC,那么该邮件就保留了DKIM认证结果,并通过了DMARC认证,从而使该邮件成功送达接收者的收件箱中。
ARC实施备份并支持企业采用DMARC,以确保每封合法的电子邮件都能得到认证,没有一点疏漏。今天就注册免费的DMARC试用吧!
网络安全专家,PowerDMARC 首席执行官PowerDMARC
Maitham 是一位技术企业家、网络安全专家、PowerDMARC 首席执行官兼创始人,拥有 15 年以上的行业经验。Maitham 拥有曼彻斯特大学全球工商管理硕士学位以及 CISSP、CISM、CRISC 和 ISC2 CCSP 等多项专业认证。
Maitham Al Lawati发表的最新文章(查看全部)
- 如何创建和发布 DMARC 记录- 2025 年 3 月 3 日
- 如何在 2025 年修复 "未找到 SPF 记录- 2025 年 1 月 21 日
- 如何阅读 DMARC 报告- 2025 年 1 月 19 日
