Полученная цепочка с проверкой подлинности

Authenticated Received Chain ( ARC ) - это система аутентификации электронной почты, позволяющая промежуточному почтовому серверу, например списку рассылки или службе пересылки, подписывать исходные результаты аутентификации электронного письма. Это позволяет принимающей службе проверять электронную почту, когда записи SPF и DKIM электронной почты становятся недействительными в результате обработки промежуточным сервером. ^[1]

ARC определен в RFC 8617, опубликованном в июле 2019 года, как «экспериментальный». ^[2]

Обзор

DMARC позволяет домену отправителя указывать, что его электронная почта защищена SPF и / или DKIM , и сообщает принимающей службе, что делать, если ни один из этих методов аутентификации не проходит, например, чтобы отклонить сообщение. Однако строгая политика DMARC может блокировать законные электронные письма, отправленные через список рассылки или пересылку, поскольку подпись DKIM будет недействительной, если сообщение будет изменено, например, путем добавления тега темы или нижнего колонтитула, и проверка SPF либо завершится неудачно (если сервер пересылки не изменил адрес возврата ) или был выровнен с доменом списка рассылки, а не с доменом автора сообщения (если список рассылки не перезаписывает поле заголовка From:) .

ARC был разработан для решения этой проблемы, давая промежуточным серверам возможность подписывать результаты проверки исходного сообщения. Даже если проверка SPF и DKIM не удалась, служба-получатель может выбрать проверку цепочки ARC. Если это указывает на то, что исходное сообщение прошло проверки SPF и DKIM, и единственные изменения были внесены посредниками, которым доверяет служба-получатель, служба-получатель может принять решение о принятии сообщения электронной почты. Проверка цепочки ARC имеет смысл только в том случае, если получатель доверяет подписывающим сторонам ARC. Фактически, цепочка ARC может быть подделана ^[3], поэтому обработка ARC применяется, когда получатели доверяют добросовестности подписантов ARC, но не столько их методам фильтрации.

Выполнение

ARC определяет три новых заголовка почты:

ARC-Authentication-Results (сокращенно AAR ) - комбинация номера экземпляра (i) и результатов проверки SPF, DKIM и DMARC.
ARC-Seal (сокращенно AS ) - комбинация номера экземпляра (i), DKIM-подобной подписи предыдущих заголовков ARC-Seal и действительности предыдущих записей ARC.
ARC-Message-Signature (сокращенно AMS ) - комбинация номера экземпляра (i) и DKIM-подобной подписи всего сообщения, за исключением заголовков ARC-Seal.

Чтобы подписать модификацию, промежуточный сервер выполняет следующие шаги:

Копирует поле «Authentication-Results» в новое поле AAR (начиная с i = 1) и добавляет его к сообщению.
Вычисляет AMS для сообщения (с AAR) и добавляет его к сообщению.
Вычисляет AS для предыдущих заголовков Arc-Seal и добавляет его к сообщению.

Чтобы проверить ARC, получатель выполняет следующие шаги:

Проверяет цепочку заголовков ARC-Seal (отсутствуют отсутствующие записи, все сообщения ARC-Seal указывают, что предыдущие записи ARC действительны, и т. Д.)
Проверяет новейшую подпись сообщения ARC (на основе номера экземпляра)

Смотрите также

использованная литература

^ «Обзор аутентифицированной полученной цепочки» (PDF) . Проект доверенного домена. 2016 . Проверено 28 октября 2020 .
^ RFC 8617 - Протокол аутентифицированной полученной цепочки (ARC)
↑ Джон Левин (14 июня 2020 г.). «почему ARC» . dmarc-ietf (список рассылки) . Проверено 13 октября 2021 года .

внешняя ссылка

Спецификация ARC для электронной почты

[1] «Обзор аутентифицированной полученной цепочки» (PDF) . Проект доверенного домена. 2016 . Проверено 28 октября 2020 .

[2] RFC 8617 - Протокол аутентифицированной полученной цепочки (ARC)

[3] Джон Левин (14 июня 2020 г.). «почему ARC» . dmarc-ietf (список рассылки) . Проверено 13 октября 2021 года .

[1]