Что такое ARC (Authenticated Received Chain)
ARC (Authenticated Received Chain) - это система аутентификации электронной почты, которая отображает оценку аутентификации электронного сообщения на каждом этапе его обработки. В более простых терминах цепочка Authenticated Received может быть названа последовательностью проверки подлинности сообщений электронной почты, которая позволяет каждому субъекту, обрабатывающему сообщение, эффективно видеть все субъекты, которые ранее обрабатывали его. Будучи относительно новым протоколом, опубликованным и документированным как "Экспериментальный" в RFC 8617 в июле 2019 года, Email ARC позволяет принимающему серверу проверять электронные сообщения даже в тех случаях, когда SPF и DKIM становятся недействительными на промежуточном сервере.
DMARC ARC
DMARC ARC - это эффективный способ обойти уязвимости, которые могут существовать в вашей системе DMARC-аутентификации в результате пересылки электронной почты. Он сохраняет информацию о сообщениях электронной почты таким образом, чтобы помочь этим сообщениям пройти проверку подлинности. Если вы хотите, чтобы неавторизованные письма блокировались, то отказы в доставке законных писем - это последнее, чего бы вам хотелось. DMARC ARC поддерживает последовательность проверки ваших писем на каждом этапе, чтобы гарантировать, что заголовки ваших писем останутся неизменными и будут переданы следующему посреднику в линии.
Можно ли использовать ARC в качестве замены DMARC?
Ответ - нет. Электронная почта ARC была создана для последовательной передачи идентификаторов аутентификации на протяжении всего пути письма, независимо от того, через сколько промежуточных серверов оно проходит. Email ARC помогает сохранить результаты проверки DMARC, не позволяя третьим лицам и поставщикам почтовых ящиков изменять заголовки и содержимое сообщений. ARC определенно не является заменой DMARC, скорее, его можно использовать в дополнение к политике DMARC для дальнейшего повышения эффективности доставки электронной почты.
Как может помочь аутентифицированная полученная цепь?
Как мы уже знаем, DMARC позволяет аутентифицировать электронное письмо по стандартам аутентификации электронной почты SPF и DKIM, указывая получателю, как обращаться с письмами, которые не прошли или прошли аутентификацию. Однако, если вы внедрите в своей организации строгую политику DMARC, есть вероятность, что даже законные письма, например, отправленные через список рассылки или форвардер, могут не пройти проверку подлинности и не быть доставлены получателю! Authenticated Received Chain помогает эффективно решить эту проблему. Давайте узнаем, как это сделать в следующем разделе:
Ситуации, в которых ARC может помочь
Списки рассылки
Будучи членом списка рассылки, вы имеете право отправлять сообщения всем членам списка за один раз, обращаясь к самому списку рассылки. Полученный адрес затем пересылает ваше сообщение всем членам списка. В текущей ситуации DMARC не проверяет эти типы сообщений, и проверка подлинности не проходит, даже если сообщение было отправлено из законного источника! Это происходит потому, что SPF ломается, когда сообщение пересылается. Так как список рассылки часто включает дополнительную информацию в тело письма, подпись DKIM также может быть недействительной из-за изменений в содержимом письма.
Пересылка сообщений
При непрямом почтовом потоке, например, вы получаете письмо с промежуточного сервера, а не напрямую с сервера-отправителя, как в случае с пересылаемыми сообщениями, SPF прерывается, и ваша электронная почта автоматически не сможет пройти DMARC-аутентификацию. Некоторые пересылки также изменяют содержимое электронной почты, поэтому подписи DKIM также становятся недействительными.
В таких ситуациях Аутентифицированная Приобретенная Цепь приходит на помощь! Как? Давай узнаем:
Как функционирует DMARC ARC?
В приведенных выше ситуациях промежуточные серверы (переадресаторы) изначально получали электронные письма, прошедшие проверку на соответствие настройкам DMARC, от авторизованного источника. Authenticated Received Chain разрабатывается как спецификация, позволяющая передавать заголовок Authentication-Results следующему "хопу" в линии доставки сообщения.
В случае пересылки сообщения, когда почтовый сервер получателя получает сообщение, которое не прошло аутентификацию DMARC, он пытается проверить это сообщение во второй раз, по предоставленной цепочке Authenticated Received Chain для этого сообщения, извлекая Email ARC Authentication-Results из первого прыжка, чтобы проверить, было ли оно признано легитимным до того, как сервер-посредник переслал его на сервер-получатель.
На основе полученной информации получатель решает, позволить ли результатам ARC электронной почты отменить политику DMARC, тем самым признавая электронное письмо подлинным и действительным и позволяя ему быть доставленным в нормальном режиме в почтовый ящик получателя.
С реализацией ARC, получатель может эффективно аутентифицировать электронную почту с помощью следующей информации:
- Результаты аутентификации, засвидетельствованные промежуточным сервером, вместе со всей историей проверки SPF и DKIM, приводят к начальному прыжку.
- Необходимая информация для проверки подлинности отправленных данных.
- Информация для связи отправленной подписи с сервером-посредником, чтобы электронная почта была подтверждена на сервере-получателе, даже если посредник изменяет содержание, при условии, что они пересылают новую и действующую подпись DKIM.
Реализация аутентифицированной полученной цепочки
ARC определяет три новых почтовых заголовка:
- АРК-Authentication-Results (AAR): Первым среди почтовых заголовков является AAR, которая инкапсулирует результаты аутентификации, такие как SPF, DKIM и DMARC.
ARC-Authentication-Results: i=1; mx.google.com;
dkim=pass header.i=@altrec.ru header.s=altrec header.b=jVeqcK5f;
spf=pass (google.com: domain of reports@altrec.ru designates 88.205.135.183 as permitted sender) smtp.mailfrom=reports@altrec.ru;
dmarc=pass (p=REJECT sp=REJECT dis=NONE) header.from=altrec.ru- ARC-Seal (AS) - AS является более простой версией подписи DKIM, которая содержит информацию о результатах аутентификации заголовка, и подписи ARC.
ARC-Seal: i=1; a=rsa-sha256; t=1711504805; cv=none;
d=google.com; s=arc-20160816;
b=IuOdkL6MKapOW/wfHk4jLbS0+UPpv/8Uune15D4vKcqlzp0zVtY+PlEnERg/g92dqm
jExxoypxmQU5QT8eAjZ854jVPjosO0rMsziQJH2zdC/SeQ4OsvMigcJrQ3t67Km7U6nL
qk7cDgSyS85hhDDRSxdXvWxZ/H1QzgDvUlHh2WCD1fi97IOOcum1ZU0T8WWnv9UIYwlV
x8ZZ1jwi5Awm3JbQDxbjjt78VDxA73P5bgB37yb8Tt5mnNMBAQfcyoieqsQyxKqGWyfp
6qTLNKf7hUdbSPLGnWAyQCukIBPn4kVym2F5P2LT6RRBeSBjk2LCql1yU97fH0PiANJ0
MDkA==- ARC-Message-Signature (AMS) - AMS также похожа на подпись DKIM, которая берет изображение заголовка сообщения, которое включает в себя все, кроме заголовков ARC-Seal, таких как поля To: и From:, тема и все тело сообщения.
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816;
h=content-transfer-encoding:mime-version:message-id:subject:from:to
:date:dkim-signature;
bh=oeeFvzyaoh+duDZo8/GCaYxvDrPWCLxg275xSOGzM+s=;
fh=Wz5j3X/2/CpXJJHoxV76RQt08YqVaHuVGXuRExEEO3k=;
b=K/k5bFepykTeKezMt78XpUpqGmrWvsk/kmUxCuXabrd/d1BJob0Q9HIpBtZsbYTf/q
uBYojI2oXT3uf4DR125gRjtjEsic3KW09tQGpnHuhZkgYINutzx7JHHOZhQTUybdGJwa
zc9MF42LpTOO5xnKHrNEz3MdtDUj+LRZauOAsOLALTniCQjtPEgZeqdNzFBKgERpPhVh
xXd0pJINpj97VllMBbXDwlAEV2bjPVl0OtpODuanTQ35wiItR+pqBQrjRYmk2su1Inj+
++HA5lO+RwfPLBb7UYpcjFNjIdN/bH/+9Jm62JPergAnTIMBb9y7aGGx/2Nn3RFr6iIB
dFmw==;
dara=google.comШаги, выполняемые промежуточным сервером для подписания модификации:
Шаг 1: сервер копирует поле Authentication-Results в новое поле AAR и префиксом к сообщению
Шаг 2: сервер формулирует AMS для сообщения (с AAR) и подготавливает его к сообщению.
Шаг 3: сервер формулирует AS для предыдущих заголовков ARC-Seal и добавляет его в сообщение.
Наконец, чтобы проверить цепочку аутентифицированных полученных сообщений и выяснить, является ли пересылаемое сообщение легитимным или нет, получатель проверяет цепочку или заголовки ARC Seal и новейшую подпись ARC-Message-Signature. Если в случае DMARC ARC-заголовки были каким-либо образом изменены, электронное письмо, соответственно, не проходит DKIM-аутентификацию. Однако если все почтовые серверы, участвующие в передаче сообщения, правильно подписывают и передают ARC, то письмо сохраняет результаты DKIM-аутентификации и проходит DMARC-аутентификацию, что приводит к успешной доставке сообщения в почтовый ящик получателя!
Внедрение ARC поддерживает и поддерживает внедрение DMARC в организациях, чтобы убедиться, что каждая законная электронная почта проходит аутентификацию без единой ошибки.