1. Home
  2. Knowledge Base
  3. Authenticated Received Chain

ARC (geverifieerde ontvangen keten)

ARC, een afkorting voor Authenticated Receivered Chain, is een authenticatieprotocol dat is ontworpen om de veiligheid van e-mailcommunicatie te vergroten. Het is bedoeld om het probleem van de betrouwbaarheid bij de bezorging van berichten aan te pakken, vooral wanneer deze meerdere mailservers doorlopen voordat ze hun eindbestemming bereiken.

ARC in e-mailcommunicatie

E-mailauthenticatie is een meerlaagse aanpak om de authenticiteit en integriteit van berichten te verifiëren. ARC is een cruciale toevoeging aan het authenticatie-ecosysteem en verbetert de samenwerking tussen SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) en DMARC (Domain-based Message Authentication, Reporting en Conformance).

SPF en DKIM bieden fundamentele controles op respectievelijk het domein van de afzender en de gegevensintegriteit. Deze twee beveiligingsoplossingen zijn echter niet onfeilbaar:

  • SPF-controles kunnen mislukken wanneer e-mails worden doorgestuurd of doorgegeven via tussenliggende servers. Het niet instellen van SPF-records voor subdomeinen kan bijvoorbeeld leiden tot SPF-fouten voor e-mails die vanaf die subdomeinen worden verzonden vanwege de breuk in de SPF-uitlijning.
  • DKIM-handtekeningen worden berekend op basis van de inhoud van het bericht. Eventuele wijzigingen aan het bericht, zoals het toevoegen of verwijderen van inhoud, kunnen de DKIM-handtekening ongeldig maken.
  • DMARC voegt mogelijkheden voor beleidshandhaving en rapportage toe om de controle en zichtbaarheid over e-mailauthenticatie verder te verbeteren. Dus als een bericht zowel SPF als DKIM niet doorstaat, mislukt het DMARC en wordt het als verdacht beschouwd en zal het worden afgewezen.
Layer 1 Intermediary mailing server relays the message from a different IP address unknown for DNS record (e.g. unregistered subdomain) Outcoming message First intermediary server A message sent from IP address: 192.168.0.1 SPF, DKIM and DMARK passed Recipient's mail server verifies the incoming message DKIM fails because content changed So DMARK fails SPF fails because IP address is invalid Intermediary mailing server changes the content by adding a disclaimer: This email was sent to you via the XYZ mailing list Service. For more information, visit www.xyzmailingservice.com. The message is rejected or marked as spam

ARC zorgt ervoor dat deze controles geldig blijven, zelfs als e-mails via tussenpersonen passeren.

Door samen te werken creëren deze protocollen een robuuste verdediging tegen spoofing, phishing-aanvallen en andere op e-mail gebaseerde bedreigingen, waardoor uiteindelijk de veiligheid en het vertrouwen in digitale communicatie worden verbeterd. Het correct implementeren van al deze protocollen is van cruciaal belang voor organisaties die hun merkreputatie willen beschermen en veilige e-mailcommunicatie willen onderhouden.

arc ARC validates the sources and adds authentication results to the message header Intermediary mailing server relays the message from a different IP address unknown for DNS record (e.g. unregistered subdomain) Outcoming message First intermediary server A message sent from IP address: 192.168.0.1 SPF, DKIM and DMARK passed Recipient's mail server verifies the incoming message DKIM fails because content changed So DMARK fails SPF fails because IP address is invalid The message is delivered ARC validated Intermediary mailing server changes the content by adding a disclaimer: This email was sent to you via the XYZ mailing list Service. For more information, visit www.xyzmailingservice.com.

Onthulling van het ARC-mechanisme en de werking

Geauthenticeerde ontvangen keten werkt door het creëren van een cryptografische vertrouwensketen binnen e-mailheaders. Elke mailserver die een bericht verwerkt, voegt een header toe met een digitale handtekening, waardoor de server van de ontvanger de authenticiteit van het pad van het bericht kan verifiëren. Deze vertrouwensketen zorgt ervoor dat wijzigingen die tijdens de verzending in de e-mail worden aangebracht, kunnen worden gedetecteerd en geverifieerd.

Hier zijn de stappen die betrokken zijn bij de implementatie van ARC-handtekeningen met voorbeelden:

Stap 1: Eerste handtekening (eerste server)

Wanneer een e-mail wordt verzonden, voegt de eerste mailserver een DKIM-handtekening (DomainKeys Identified Mail) toe aan de kop van het bericht. Deze DKIM-handtekening getuigt van de authenticiteit van het domein van de afzender. Bijvoorbeeld: 


      DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=example.com;
      s=selector1; h=from:subject:to; bh=abcdefg1234567=;
      b=XYzABCDeF1234==

Stap 2: ARC-handtekening (tussenservers)

Terwijl de e-mail tussenliggende servers passeert (bijvoorbeeld doorstuurservices of mailinglijsten), voegt elke server een ARC-header toe met zijn eigen cryptografische handtekening die het authenticatieresultaat van de vorige controle bevat. De header bevat dus de originele DKIM-handtekening uit de eerste stap. Bijvoorbeeld: 


      ARC-Authentication-Results: i=1; mx.google.com;
      dkim=pass header.i=@example.com header.s=selector1;
      arc=pass (i=0 spf=pass dkim=pass);

Uitsplitsing van kenmerkende componenten

Created by EvoPdf Components Meaning i=1 represents the originating server or the sender's server. alb.mailserver.com specifies the mail server that performed the ARC checks. dkim=pass header.i=@example.com header.s=selector1 reports the results of the DKIM (DomainKeys Identified Mail) authentication. It states that the DKIM check has passed and the email's content and headers were not tampered with during transit and that the sender's domain is legitimate (example.com). arc=pass indicates the result of the ARC check ensuring the integrity of the message as it travels through intermediate servers. (i=0 spf=pass dkim=pass) additional information

Stap 3: Laatste handtekening (laatste server)

Wanneer de e-mail zijn eindbestemming bereikt, valideert de mailserver van de ontvanger alle ARC-handtekeningen in de keten. Het verifieert ook de DKIM-handtekening vanaf de eerste stap en zorgt ervoor dat het pad van het bericht legitiem was en dat er tijdens de overdracht geen ongeautoriseerde wijzigingen hebben plaatsgevonden. Als alle handtekeningen geldig zijn, wordt de e-mail afgeleverd in de inbox van de ontvanger.

ARC implementeren: beste praktijken

Door een geauthenticeerde ontvangen keten te implementeren, kunnen organisaties de integriteit van hun e-mailcommunicatie garanderen, zelfs wanneer berichten via meerdere tussenliggende servers gaan. Het biedt een duidelijke vertrouwensketen, verbetert de veiligheid en vermindert het risico op spoofing- en phishing-aanvallen.

Als u overweegt ARC voor uw e-maildomein te implementeren, volgen hier enkele praktische tips:

  • SPF- en DKIM-installatie: Zorg ervoor dat het Sender Policy Framework (SPF) en DomainKeys Identified Mail (DKIM) correct zijn geconfigureerd voor uw domein. ARC bouwt voort op deze bestaande authenticatiemechanismen.
  • Kies een gerenommeerde e-mailserviceprovider: Als u niet goed thuis bent in e-mailverificatieprotocollen, kunt u overwegen een serviceprovider te gebruiken die ARC ondersteunt. Zij kunnen u door het installatieproces begeleiden.
  • Monitoring en testen: Regelmatige monitoring van e-mailverkeer wordt sterk aanbevolen voor eventuele problemen die verband houden met de ARC-implementatie. Testen is van cruciaal belang om problemen snel te kunnen identificeren en oplossen.
  • Houd het beleid up-to-date: Naarmate uw e-mailinfrastructuur evolueert, update u uw ARC-beleid om deze wijzigingen weer te geven. Verouderd beleid kan leiden tot authenticatiefouten.

Frequently asked questions

Algemene vragen beantwoorden

Wat zijn de voordelen van het gebruik van ARC?

  • Verbeterde e-mailbezorgbaarheid: legitieme e-mails worden niet door providers als spam gemarkeerd, omdat het bericht een duidelijke vertrouwensketen biedt.
  • Verbeterde beveiliging: Door de afhandeling van berichten tijdens hun reis te verifiëren, vermindert Authenticated Receiver Chain het risico op spoofing- en phishing-aanvallen.
  • Zichtbaarheid: u kunt inzicht krijgen in hoe berichten worden afgehandeld door tussenliggende servers, wat helpt bij het oplossen van problemen en het monitoren van de bezorging.

Moet ik ARC voor mijn domein implementeren?

Het implementeren van ARC is vooral belangrijk voor organisaties die veel e-mail versturen en er zeker van willen zijn dat hun berichten veilig worden afgeleverd. Als uw bedrijf afhankelijk is van e-mailcommunicatie voor marketing, klantenondersteuning of andere cruciale functies, kan dit u helpen uw merkreputatie en het vertrouwen van uw klanten te beschermen.

Zijn er vereisten voor de implementatie van ARC?

Ja, vóór de implementatie is het essentieel dat SPF en DKIM correct zijn ingesteld voor uw domein. ARC bouwt voort op deze bestaande authenticatiemechanismen om een complete authenticatieketen te bieden.

Kan ARC problemen met de bezorging van e-mail veroorzaken?

Hoewel ARC is ontworpen om de e-mailbeveiliging te verbeteren, kan het soms leiden tot leveringsproblemen als het niet correct wordt geïmplementeerd. Om problemen te voorkomen, is het van cruciaal belang dat u uw beleid zorgvuldig configureert en het e-mailverkeer controleert op eventuele problemen.

Zie ook:

Benieuwd naar de oorsprong van uw e-mails? Maak kennis met de Emailerize Header Analyzer: uw venster op de wereld van de afzender. Onze geavanceerde tool ontcijfert e-mailheaders en biedt waardevolle inzichten over de afzenders en hun routes.

Belangrijkste inzichten:

  • Identificatie van de afzender
  • Berichtroutering
  • Authenticatiecontroles
  • E-mailbronverificatie

Ga vandaag nog naar de Emailerize Header Analyzer en krijg een beter inzicht in uw inbox.