1. Home
  2. Knowledge Base
  3. Authenticated Received Chain

ARC (Chaîne reçue authentifiée)

ARC, abréviation de Authenticated Receiver Chain, est un protocole d'authentification conçu pour renforcer la sécurité des communications par courrier électronique. Il vise à résoudre le problème de la fiabilité de la livraison des messages, en particulier lorsqu'ils transitent par plusieurs serveurs de messagerie avant d'atteindre leur destination finale.

ARC dans la communication par courrier électronique

L'authentification des e-mails est une approche à plusieurs niveaux pour vérifier l'authenticité et l'intégrité des messages. ARC est un ajout essentiel à l'écosystème d'authentification, améliorant la coopération entre SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) et DMARC (Domain-based Message Authentication, Reporting, and Conformance).

SPF et DKIM fournissent respectivement des contrôles fondamentaux sur le domaine de l'expéditeur et l'intégrité des données. Pour autant, ces deux solutions de sécurité ne sont pas infaillibles :

  • Les vérifications SPF peuvent échouer lorsque les e-mails sont transférés ou relayés via des serveurs intermédiaires. Par exemple, le fait de ne pas configurer les enregistrements SPF pour les sous-domaines peut entraîner des échecs SPF pour les e-mails envoyés à partir de ces sous-domaines en raison d'une rupture d'alignement SPF.
  • Les signatures DKIM sont calculées en fonction du contenu du message. Toute modification du message, telle que l'ajout ou la suppression de contenu, peut invalider la signature DKIM.
  • DMARC ajoute des fonctionnalités d'application de politiques et de reporting pour améliorer encore le contrôle et la visibilité sur l'authentification des e-mails. Ainsi, si un message échoue à la fois au SPF et au DKIM, il échoue au DMARC et est considéré comme suspect et sera rejeté.
Layer 1 Intermediary mailing server relays the message from a different IP address unknown for DNS record (e.g. unregistered subdomain) Outcoming message First intermediary server A message sent from IP address: 192.168.0.1 SPF, DKIM and DMARK passed Recipient's mail server verifies the incoming message DKIM fails because content changed So DMARK fails SPF fails because IP address is invalid Intermediary mailing server changes the content by adding a disclaimer: This email was sent to you via the XYZ mailing list Service. For more information, visit www.xyzmailingservice.com. The message is rejected or marked as spam

ARC veille à ce que ces contrôles restent valables même lorsque les emails transitent par des intermédiaires.

En travaillant ensemble, ces protocoles créent une défense robuste contre l'usurpation d'identité, les attaques de phishing et autres menaces basées sur la messagerie électronique, améliorant ainsi la sécurité et la confiance dans les communications numériques. La mise en œuvre correcte de tous ces protocoles est cruciale pour les organisations qui souhaitent protéger la réputation de leur marque et maintenir des communications par courrier électronique sécurisées.

arc ARC validates the sources and adds authentication results to the message header Intermediary mailing server relays the message from a different IP address unknown for DNS record (e.g. unregistered subdomain) Outcoming message First intermediary server A message sent from IP address: 192.168.0.1 SPF, DKIM and DMARK passed Recipient's mail server verifies the incoming message DKIM fails because content changed So DMARK fails SPF fails because IP address is invalid The message is delivered ARC validated Intermediary mailing server changes the content by adding a disclaimer: This email was sent to you via the XYZ mailing list Service. For more information, visit www.xyzmailingservice.com.

Dévoilement du mécanisme et du fonctionnement de l'ARC

La chaîne de réception authentifiée fonctionne en créant une chaîne de confiance cryptographique dans les en-têtes des e-mails. Chaque serveur de messagerie qui traite un message ajoute un en-tête contenant une signature numérique, permettant au serveur du destinataire de vérifier l'authenticité du chemin du message. Cette chaîne de confiance garantit que les modifications apportées à l'e-mail pendant le transit peuvent être détectées et authentifiées.

Voici les étapes impliquées dans la mise en œuvre de la signature ARC avec des exemples :

Étape 1 : Signature initiale (premier serveur)

Lorsqu'un e-mail est envoyé, le premier serveur de messagerie ajoute une signature DKIM (DomainKeys Identified Mail) à l'en-tête du message. Cette signature DKIM atteste de l'authenticité du domaine de l'expéditeur. Par exemple : 


      DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=example.com;
      s=selector1; h=from:subject:to; bh=abcdefg1234567=;
      b=XYzABCDeF1234==

Étape 2 : Signature ARC (serveurs intermédiaires)

Au fur et à mesure que l'e-mail passe par des serveurs intermédiaires (par exemple, services de transfert ou listes de diffusion), chaque serveur ajoute un en-tête ARC avec sa propre signature cryptographique contenant le résultat de l'authentification de la vérification précédente. Ainsi, l'en-tête inclut la signature DKIM originale de la première étape. Par exemple : 


      ARC-Authentication-Results: i=1; mx.google.com;
      dkim=pass header.i=@example.com header.s=selector1;
      arc=pass (i=0 spf=pass dkim=pass);

Répartition des composants de signature

Created by EvoPdf Components Meaning i=1 represents the originating server or the sender's server. alb.mailserver.com specifies the mail server that performed the ARC checks. dkim=pass header.i=@example.com header.s=selector1 reports the results of the DKIM (DomainKeys Identified Mail) authentication. It states that the DKIM check has passed and the email's content and headers were not tampered with during transit and that the sender's domain is legitimate (example.com). arc=pass indicates the result of the ARC check ensuring the integrity of the message as it travels through intermediate servers. (i=0 spf=pass dkim=pass) additional information

Étape 3 : Signature finale (dernier serveur)

Lorsque l'e-mail atteint sa destination finale, le serveur de messagerie du destinataire valide toutes les signatures ARC de la chaîne. Il vérifie également la signature DKIM dès la première étape, garantissant que le chemin du message était légitime et qu'aucune modification non autorisée n'a eu lieu pendant le transit. Si toutes les signatures sont valides, l'e-mail est envoyé dans la boîte de réception du destinataire.

Mise en œuvre d'ARC : meilleures pratiques

En mettant en œuvre une chaîne de réception authentifiée, les organisations peuvent garantir l'intégrité de leurs communications par courrier électronique, même lorsque les messages transitent par plusieurs serveurs intermédiaires. Il fournit une chaîne de confiance claire, renforçant la sécurité et réduisant le risque d'attaques d'usurpation d'identité et de phishing.

Si vous envisagez de mettre en œuvre ARC pour votre domaine de messagerie, voici quelques bonnes pratiques à suivre :

  • Configuration SPF et DKIM : Assurez-vous que Sender Policy Framework (SPF) et DomainKeys Identified Mail (DKIM) sont correctement configurés pour votre domaine. ARC s'appuie sur ces mécanismes d'authentification existants.
  • Choisissez un fournisseur de services de messagerie réputé : Si vous ne maîtrisez pas bien les protocoles d'authentification de messagerie, envisagez de faire appel à un fournisseur de services prenant en charge ARC. Ils peuvent vous guider tout au long du processus de configuration.
  • Surveillance et tests : Une surveillance régulière du trafic de messagerie est fortement recommandée pour tout problème lié à la mise en œuvre d'ARC. Les tests sont essentiels pour identifier et résoudre les problèmes rapidement.
  • Gardez les politiques à jour : À mesure que votre infrastructure de messagerie évolue, mettez à jour vos politiques ARC pour refléter ces changements. Des politiques obsolètes peuvent entraîner des échecs d’authentification.

Frequently asked questions

Répondre aux questions courantes

Quels sont les avantages de l’utilisation d’ARC ?

  • Délivrabilité améliorée des e-mails : les e-mails légitimes ne peuvent pas être marqués comme spam par les fournisseurs, car cela fournit une chaîne de confiance claire pour le message.
  • Sécurité améliorée : en vérifiant le traitement des messages tout au long de leur parcours, la chaîne de réception authentifiée réduit le risque d'usurpation d'identité et d'attaques de phishing.
  • Visibilité : vous pouvez obtenir des informations sur la façon dont les messages sont traités par les serveurs intermédiaires, ce qui facilite le dépannage et le suivi de la livraison.

Dois-je implémenter ARC pour mon domaine ?

La mise en œuvre d'ARC est particulièrement importante pour les organisations qui envoient un volume élevé d'e-mails et souhaitent garantir que leurs messages sont transmis en toute sécurité. Si votre entreprise s'appuie sur la communication par courrier électronique pour le marketing, le support client ou d'autres fonctions critiques, cela peut contribuer à protéger la réputation de votre marque et la confiance de vos clients.

Existe-t-il des conditions préalables à la mise en œuvre de l’ARC ?

Oui, avant la mise en œuvre, il est essentiel de configurer correctement SPF et DKIM pour votre domaine. ARC s'appuie sur ces mécanismes d'authentification existants pour fournir une chaîne d'authentification complète.

ARC peut-il causer des problèmes de livraison des e-mails ?

Bien que l'ARC soit conçu pour améliorer la sécurité du courrier électronique, il peut parfois entraîner des problèmes de livraison s'il n'est pas mis en œuvre correctement. Pour éviter les problèmes, il est essentiel de configurer soigneusement vos politiques et de surveiller le trafic de messagerie pour déceler tout problème.

Voir également :

Curieux de connaître l'origine de vos e-mails ? Découvrez l'analyseur d'en-tête Emailerize : votre fenêtre sur le monde de l'expéditeur. Notre outil avancé déchiffre les en-têtes des e-mails, fournissant ainsi des informations précieuses sur les expéditeurs et leurs itinéraires.

Idées clés :

  • Identification de l'expéditeur
  • Routage des messages
  • Vérifications d'authentification
  • Vérification de la source du courrier électronique

Accédez à l'analyseur d'en-tête Emailerize dès aujourd'hui et obtenez une compréhension plus approfondie de votre boîte de réception.