ARC或认证接收链是一个电子邮件认证系统,在整个处理过程中,每一步都显示电子邮件的认证评估。更简单地说,认证接收链可以被称为电子邮件的 "监管链",使每个处理邮件的实体能够有效地看到之前处理它的所有实体。作为2019年7月在RFC 8617中作为 "实验性 "发布和记录的一个相对较新的协议,ARC使接收服务器能够验证电子邮件,即使SPF和DKIM被中间服务器弄得无效。
经过认证的收货链能起到什么作用?
我们已经知道,DMARC允许根据SPF和DKIM电子邮件验证标准对电子邮件进行验证,并向接收方说明如何处理未通过验证或通过验证的电子邮件。但是,如果您在组织中按照严格的 DMARC政策实施 DMARC,那么即使是合法的电子邮件(如通过邮件列表或转发器发送的电子邮件)也有可能无法通过验证,无法交付给接收方!验证接收链可有效缓解这一问题。让我们在下面的章节中学习如何解决这个问题:
ARC可以提供帮助的情况
- 邮件列表
作为一个邮件列表的成员,你有权力通过邮件列表本身的地址向列表中的所有成员一次性发送消息。接收地址随后会将你的信息转发给所有列表成员。在目前的情况下,DMARC无法验证这些类型的邮件,即使邮件是从合法的来源发送的,认证也是失败的!这是因为当SPF被打破时,邮件就会被删除。这是因为当邮件被转发时,SPF会失效。由于邮件列表经常在邮件正文中加入额外的信息,DKIM签名也会因为邮件内容的变化而失效。
- 转发信息
当有一个间接的邮件流时,比如你从一个中间服务器收到邮件,而不是像转发邮件那样直接从发送服务器收到邮件,SPF就会失效,你的邮件就会自动无法通过DMARC认证。一些转发者也会改变电子邮件的内容,这就是为什么DKIM签名也会失效的原因。
在这种情况下,经过认证的接收链就会发挥作用!怎么做?如何拯救?让我们来看看。
ARC是如何运作的?
在上述情况中,转发者最初收到的电子邮件都是根据DMARC 设置验证过的,来自授权来源。经过验证的接收链是作为一种规范开发的,它允许将验证结果标头传递给信息传递过程中的下一 "跳"。
在转发邮件的情况下,当接收方的电子邮件服务器收到DMARC认证失败的邮件时,它会尝试第二次验证该邮件,对照所提供的认证接收链,通过提取最初一跳的ARC认证结果,以检查它在中介服务器将其转发到接收服务器之前是否被验证为合法。
根据提取的信息,接收方决定是否允许ARC的结果覆盖DMARC策略,从而将邮件作为真实有效的邮件通过,并允许它被正常传递到接收方的收件箱。
通过ARC的实施,接收方可以在以下信息的帮助下有效地验证电子邮件。
- 由中间服务器见证的认证结果,以及最初一跳中的SPF和DKIM验证结果的整个历史。
- 验证发送数据的必要信息。
- 将发送的签名与中介服务器联系起来的信息,这样,即使中介改变了内容,只要他们转发了新的有效的DKIM签名,电子邮件就会在接收服务器中得到验证。
认证的接收链的实现
ARC定义了三个新的邮件头。
- ARC-Authentication-Results(AAR)。在邮件头中,首先是AAR,它封装了认证结果,如SPF、DKIM和DMARC。
- ARC-Seal (AS) - AS是DKIM签名的一个简单版本,它包含认证头结果的信息,以及ARC签名。
- ARC-消息签名(AMS)--AMS也类似于DKIM签名,它采用了消息头的图像,其中包含了除ARC-密封头之外的所有内容,如收件人:和发件人:字段、主题和整个消息的正文。
由中间服务器执行的签署修改的步骤。
第1步:服务器将认证结果字段复制到一个新的AAR字段中,并将其作为信息的前缀。
第2步:服务器为信息制定AMS(与AAR一起),并将其预加到信息中。
第3步:服务器为之前的ARC-Seal头制定AS,并将其添加到消息中。
最后,为了验证验证过的接收链,并找出转发的邮件是否合法,接收者会验证链或ARC密封头和最新的ARC-邮件签名。如果ARC标头以任何方式被改变,那么电子邮件就不能通过DKIM验证。然而,如果所有参与邮件传输的邮件服务器都正确地签署和传输了ARC,那么该邮件就保留了DKIM认证结果,并通过了DMARC认证,从而使该邮件成功送达接收者的收件箱中。
ARC实施备份并支持企业采用DMARC,以确保每封合法的电子邮件都能得到认证,没有一点疏漏。今天就注册免费的DMARC试用吧!
- 修复 SPF 错误克服 SPF DNS 查询次数过多限制- 2024 年 4 月 26 日
- 如何用三个步骤发布 DMARC 记录?- 2024 年 4 月 2 日
- DMARC 为什么会失败?在 2024 年修复 DMARC 故障- 2024 年 4 月 2 日