Аутентифицированная полученная цепочка

Authenticated Received Chain ( ARC ) — это система аутентификации электронной почты , предназначенная для того, чтобы позволить промежуточному почтовому серверу, такому как список рассылки или служба пересылки, подписывать исходные результаты аутентификации электронного письма. Это позволяет принимающей службе проверять электронное письмо, когда записи SPF и DKIM электронного письма становятся недействительными в результате обработки промежуточного сервера. ^{[ 1 ]}

ARC определен в RFC 8617, опубликованном в июле 2019 года, как «экспериментальный». ^{[ 2 ]}

Обзор

DMARC позволяет домену отправителя указывать, что его электронные письма защищены SPF и/или DKIM , и сообщает принимающей службе, что делать, если ни один из этих методов аутентификации не проходит — например, отклонить сообщение. Однако строгая политика DMARC может блокировать законные электронные письма, отправленные через список рассылки или сервер пересылки, поскольку подпись DKIM будет признана недействительной, если сообщение будет изменено, например, путем добавления тега темы или нижнего колонтитула, и проверка SPF либо завершится неудачно (если сервер пересылки не изменил адрес возврата ) или быть сопоставлен с доменом списка рассылки, а не с доменом автора сообщения (если только список рассылки не перепишет поле заголовка From :).

ARC был разработан для решения этой проблемы, предоставляя промежуточным серверам возможность подписывать результаты проверки исходного сообщения. Даже если проверка SPF и DKIM не удалась, принимающая служба может выбрать проверку цепочки ARC. Если это указывает на то, что исходное сообщение прошло проверки SPF и DKIM и единственные изменения были внесены посредниками, которым доверяет принимающая служба, принимающая служба может принять решение принять электронное письмо. Проверка цепочки ARC имеет смысл только в том случае, если получатель доверяет подписывающим сторонам ARC. На самом деле цепочку ARC можно подделать. ^{[ 3 ]} поэтому обработка ARC применяется, когда получатели доверяют добросовестности подписывающих лиц ARC, но не столько их методам фильтрации.

Выполнение

ARC определяет три новых почтовых заголовка:

ARC-Authentication-Results (сокращенно AAR ) — комбинация номера экземпляра (i) и результатов проверки SPF, DKIM и DMARC.
ARC-Seal (сокращенно AS ) — комбинация номера экземпляра (i), DKIM-подобной подписи предыдущих заголовков ARC-Seal и действительности предыдущих записей ARC.
ARC-Message-Signature (сокращенно AMS ) — комбинация номера экземпляра (i) и DKIM-подобной подписи всего сообщения, за исключением заголовков ARC-Seal.

Для подписания модификации промежуточный сервер выполняет следующие действия:

Копирует поле Authentication-Results в новое поле AAR (начиная с i=1) и добавляет его в начало сообщения.
Вычисляет AMS для сообщения (с помощью AAR) и добавляет его к сообщению.
Вычисляет AS для предыдущих заголовков Arc-Seal и добавляет его к сообщению.

Для проверки ARC получатель выполняет следующие шаги:

Проверяет цепочку заголовков ARC-Seal (нет пропущенных записей, во всех сообщениях ARC-Seal указано, что предыдущие записи ARC действительны и т. д.)
Проверяет новейшую подпись сообщения ARC (на основе номера экземпляра).

Ссылки

^ «Обзор цепочки полученных с проверкой подлинности» (PDF) . Проект «Доверенный домен». 2016 . Проверено 28 октября 2020 г.
^ RFC 8617 — протокол полученной цепочки с проверкой подлинности (ARC)
^ Джон Левин (14 июня 2020 г.). «почему ARC» . dmarc-ietf (список рассылки) . Проверено 13 октября 2021 г.

Внешние ссылки

Спецификация ARC для электронной почты

[1] «Обзор цепочки полученных с проверкой подлинности» (PDF) . Проект «Доверенный домен». 2016 . Проверено 28 октября 2020 г.

[2] RFC 8617 — протокол полученной цепочки с проверкой подлинности (ARC)

[3] Джон Левин (14 июня 2020 г.). «почему ARC» . dmarc-ietf (список рассылки) . Проверено 13 октября 2021 г.

[ 1 ]

[ 2 ]

[ 3 ]