1. Home
  2. Knowledge Base
  3. Authenticated Received Chain

ARC (ověřený přijímaný řetězec)

ARC, zkratka pro Authenticated Received Chain, je ověřovací protokol navržený pro posílení bezpečnosti e-mailové komunikace. Jeho cílem je vyřešit problém důvěryhodnosti při doručování zpráv, zejména když procházejí více poštovními servery, než dosáhnou svého konečného cíle.

ARC v emailové komunikaci

E-mailová autentizace je vícevrstvý přístup k ověření pravosti a integrity zpráv. ARC je kritickým doplňkem autentizačního ekosystému, který zlepšuje spolupráci mezi SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) a DMARC (Domain-based Message Authentication, Reporting, and Conformance).

SPF a DKIM zajišťují základní kontroly domény odesílatele a integrity dat. Tato dvě bezpečnostní řešení však nejsou neomylná:

  • Kontroly SPF mohou selhat, když jsou e-maily předávány nebo přenášeny přes zprostředkující servery. Například selhání nastavení záznamů SPF pro subdomény může vést k selhání SPF pro e-maily odeslané z těchto subdomén kvůli přerušení zarovnání SPF.
  • Podpisy DKIM se vypočítávají na základě obsahu zprávy. Jakékoli úpravy zprávy, jako je přidání nebo odebrání obsahu, mohou zneplatnit podpis DKIM.
  • DMARC přidává možnosti vynucování zásad a hlášení, aby se dále zlepšila kontrola a viditelnost při ověřování e-mailů. Pokud tedy zpráva selže jak SPF, tak DKIM, selže DMARC a bude považována za podezřelou a bude odmítnuta.
Layer 1 Intermediary mailing server relays the message from a different IP address unknown for DNS record (e.g. unregistered subdomain) Outcoming message First intermediary server A message sent from IP address: 192.168.0.1 SPF, DKIM and DMARK passed Recipient's mail server verifies the incoming message DKIM fails because content changed So DMARK fails SPF fails because IP address is invalid Intermediary mailing server changes the content by adding a disclaimer: This email was sent to you via the XYZ mailing list Service. For more information, visit www.xyzmailingservice.com. The message is rejected or marked as spam

ARC zajišťuje, že tyto kontroly zůstávají platné, i když e-maily procházejí přes zprostředkovatele.

Díky spolupráci tyto protokoly vytvářejí robustní obranu proti spoofingu, phishingovým útokům a dalším e-mailovým hrozbám, což v konečném důsledku zlepšuje zabezpečení a důvěru v digitální komunikaci. Správná implementace všech těchto protokolů je zásadní pro organizace, které chtějí chránit pověst své značky a udržovat bezpečnou e-mailovou komunikaci.

arc ARC validates the sources and adds authentication results to the message header Intermediary mailing server relays the message from a different IP address unknown for DNS record (e.g. unregistered subdomain) Outcoming message First intermediary server A message sent from IP address: 192.168.0.1 SPF, DKIM and DMARK passed Recipient's mail server verifies the incoming message DKIM fails because content changed So DMARK fails SPF fails because IP address is invalid The message is delivered ARC validated Intermediary mailing server changes the content by adding a disclaimer: This email was sent to you via the XYZ mailing list Service. For more information, visit www.xyzmailingservice.com.

Odhalení mechanismu a provozu ARC

Authenticated Received Chain funguje tak, že vytváří kryptografický řetězec důvěry v hlavičkách e-mailů. Každý poštovní server, který zpracovává zprávu, přidává hlavičku obsahující digitální podpis, což umožňuje serveru příjemce ověřit pravost cesty zprávy. Tento řetězec důvěry zajišťuje, že změny provedené v e-mailu během přenosu mohou být detekovány a ověřeny.

Zde jsou kroky zapojené do implementace podpisu ARC s příklady:

Krok 1: Počáteční podpis (první server)

Když je odeslán e-mail, první poštovní server přidá do záhlaví zprávy podpis DKIM (DomainKeys Identified Mail). Tento podpis DKIM potvrzuje pravost domény odesílatele. Například: 


      DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=example.com;
      s=selector1; h=from:subject:to; bh=abcdefg1234567=;
      b=XYzABCDeF1234==

Krok 2: Podpis ARC (střední servery)

Když e-mail prochází přes zprostředkující servery (např. přesměrovací služby nebo e-mailové konference), každý server přidává hlavičku ARC s vlastním kryptografickým podpisem obsahujícím výsledek ověření předchozí kontroly. Záhlaví tedy obsahuje původní podpis DKIM z prvního kroku. Například: 


      ARC-Authentication-Results: i=1; mx.google.com;
      dkim=pass header.i=@example.com header.s=selector1;
      arc=pass (i=0 spf=pass dkim=pass);

Rozdělení podpisových komponent

Created by EvoPdf Components Meaning i=1 represents the originating server or the sender's server. alb.mailserver.com specifies the mail server that performed the ARC checks. dkim=pass header.i=@example.com header.s=selector1 reports the results of the DKIM (DomainKeys Identified Mail) authentication. It states that the DKIM check has passed and the email's content and headers were not tampered with during transit and that the sender's domain is legitimate (example.com). arc=pass indicates the result of the ARC check ensuring the integrity of the message as it travels through intermediate servers. (i=0 spf=pass dkim=pass) additional information

Krok 3: Konečný podpis (poslední server)

Když e-mail dosáhne svého konečného cíle, poštovní server příjemce ověří všechny podpisy ARC v řetězci. Od prvního kroku také ověřuje podpis DKIM a zajišťuje, že cesta zprávy byla legitimní a že během přenosu nedošlo k žádným neoprávněným úpravám. Pokud jsou všechny podpisy platné, je e-mail doručen do doručené pošty příjemce.

Implementace ARC: Best Practices

Implementací Authenticated Received Chain mohou organizace zajistit integritu své e-mailové komunikace, i když zprávy procházejí více zprostředkujícími servery. Poskytuje jasný řetězec důvěry, zvyšuje bezpečnost a snižuje riziko spoofingu a phishingových útoků.

Pokud zvažujete implementaci ARC pro svou e-mailovou doménu, zde je několik doporučených postupů:

  • Nastavení SPF a DKIM: Ujistěte se, že Sender Policy Framework (SPF) a DomainKeys Identified Mail (DKIM) jsou správně nakonfigurovány pro vaši doménu. ARC staví na těchto existujících autentizačních mechanismech.
  • Vyberte si renomovaného poskytovatele e-mailových služeb: Pokud se nevyznáte v protokolech ověřování e-mailů, zvažte použití poskytovatele služeb, který podporuje ARC. Mohou vás provést procesem nastavení.
  • Monitorování a testování: Důrazně doporučujeme pravidelné monitorování e-mailového provozu pro jakékoli problémy související s implementací ARC. Testování je zásadní pro rychlou identifikaci a řešení problémů.
  • Udržujte zásady aktualizované: Jak se bude vaše e-mailová infrastruktura vyvíjet, aktualizujte své zásady ARC, aby tyto změny odrážely. Zastaralé zásady mohou vést k selhání ověřování.

Frequently asked questions

Řešení běžných otázek

Jaké jsou výhody používání ARC?

  • Vylepšené doručování e-mailů: poskytovatelé brání tomu, aby legitimní e-maily byly označeny jako spam, protože to poskytuje jasný řetězec důvěry pro zprávu.
  • Vylepšené zabezpečení: Ověřováním zpracování zpráv během jejich cesty snižuje Authenticated Received Chain riziko falšování a phishingových útoků.
  • Viditelnost: můžete získat přehled o tom, jak jsou zprávy zpracovávány zprostředkujícími servery, což vám pomůže při odstraňování problémů a sledování doručování.

Musím implementovat ARC pro svou doménu?

Implementace ARC je zvláště důležitá pro organizace, které odesílají velké množství e-mailů a chtějí zajistit, aby jejich zprávy byly doručovány bezpečně. Pokud vaše firma spoléhá na e-mailovou komunikaci pro marketing, zákaznickou podporu nebo jiné důležité funkce, může to pomoci chránit pověst vaší značky a důvěru zákazníků.

Existují nějaké předpoklady pro implementaci ARC?

Ano, před implementací je nezbytné mít správně nastavené SPF a DKIM pro vaši doménu. ARC staví na těchto existujících autentizačních mechanismech a poskytuje kompletní autentizační řetězec.

Může ARC způsobit problémy s doručováním e-mailů?

Přestože je ARC navrženo pro zvýšení zabezpečení e-mailů, může někdy vést k problémům s doručením, pokud není implementováno správně. Abyste se vyhnuli problémům, je důležité pečlivě nakonfigurovat zásady a sledovat e-mailový provoz, zda nedochází k problémům.

Viz také:

Zajímá vás původ vašich e-mailů? Seznamte se s Emailerize Header Analyzer – vaše okno do světa odesílatele. Náš pokročilý nástroj dešifruje hlavičky e-mailů a poskytuje cenné informace o odesílatelích a jejich trasách.

Klíčové statistiky:

  • Identifikace odesílatele
  • Směrování zpráv
  • Kontroly autentizace
  • Ověření zdroje e-mailu

Získejte přístup k Emailerize Header Analyzer ještě dnes a získejte hlubší porozumění vaší doručené poště.