1. Home
  2. Knowledge Base
  3. Authenticated Received Chain

ARC (аутентифицированная полученная цепочка)

ARC, сокращение от Authenticated Полученная Цепочка, представляет собой протокол аутентификации, предназначенный для повышения безопасности электронной почты. Он направлен на решение проблемы надежности доставки сообщений, особенно когда они проходят через несколько почтовых серверов, прежде чем достигнут конечного пункта назначения.

ARC в общении по электронной почте

Аутентификация электронной почты — это многоуровневый подход к проверке подлинности и целостности сообщений. ARC является важным дополнением к экосистеме аутентификации, улучшающим взаимодействие между SPF (структура политики отправителей), DKIM (идентифицированная почта с помощью ключей домена) и DMARC (аутентификация, отчетность и соответствие сообщений на основе домена).

SPF и DKIM обеспечивают фундаментальную проверку домена отправителя и целостности данных соответственно. Однако эти два решения безопасности не являются безошибочными:

  • Проверки SPF могут завершиться неудачно, если электронные письма пересылаются или ретранслируются через промежуточные серверы. Например, если не настроить записи SPF для субдоменов, это может привести к сбоям SPF для электронных писем, отправленных с этих субдоменов, из-за нарушения выравнивания SPF.
  • Подписи DKIM рассчитываются на основе содержимого сообщения. Любые изменения сообщения, например добавление или удаление содержимого, могут сделать подпись DKIM недействительной.
  • DMARC добавляет возможности применения политик и отчетности для дальнейшего улучшения контроля и видимости аутентификации электронной почты. Таким образом, если сообщение не соответствует требованиям SPF и DKIM, оно не проходит проверку DMARC и считается подозрительным и будет отклонено.
Layer 1 Intermediary mailing server relays the message from a different IP address unknown for DNS record (e.g. unregistered subdomain) Outcoming message First intermediary server A message sent from IP address: 192.168.0.1 SPF, DKIM and DMARK passed Recipient's mail server verifies the incoming message DKIM fails because content changed So DMARK fails SPF fails because IP address is invalid Intermediary mailing server changes the content by adding a disclaimer: This email was sent to you via the XYZ mailing list Service. For more information, visit www.xyzmailingservice.com. The message is rejected or marked as spam

ARC гарантирует, что эти проверки остаются действительными, даже когда электронные письма проходят через посредников.

Работая вместе, эти протоколы создают надежную защиту от спуфинга, фишинговых атак и других угроз, связанных с электронной почтой, что в конечном итоге повышает безопасность и доверие к цифровой связи. Правильная реализация всех этих протоколов имеет решающее значение для организаций, стремящихся защитить репутацию своего бренда и поддерживать безопасную связь по электронной почте.

arc ARC validates the sources and adds authentication results to the message header Intermediary mailing server relays the message from a different IP address unknown for DNS record (e.g. unregistered subdomain) Outcoming message First intermediary server A message sent from IP address: 192.168.0.1 SPF, DKIM and DMARK passed Recipient's mail server verifies the incoming message DKIM fails because content changed So DMARK fails SPF fails because IP address is invalid The message is delivered ARC validated Intermediary mailing server changes the content by adding a disclaimer: This email was sent to you via the XYZ mailing list Service. For more information, visit www.xyzmailingservice.com.

Раскрытие механизма и работы ARC

Аутентифицированная цепочка получения работает путем создания криптографической цепочки доверия в заголовках электронных писем. Каждый почтовый сервер, обрабатывающий сообщение, добавляет заголовок, содержащий цифровую подпись, позволяющую серверу получателя проверить подлинность пути сообщения. Эта цепочка доверия гарантирует, что изменения, внесенные в электронное письмо во время передачи, могут быть обнаружены и проверены.

Вот шаги, необходимые для реализации подписи ARC, с примерами:

Шаг 1. Первоначальная подпись (первый сервер)

При отправке электронного письма первый почтовый сервер добавляет подпись DKIM (DomainKeys Identified Mail) в заголовок сообщения. Эта подпись DKIM подтверждает подлинность домена отправителя. Например: 


      DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=example.com;
      s=selector1; h=from:subject:to; bh=abcdefg1234567=;
      b=XYzABCDeF1234==

Шаг 2. Подпись ARC (промежуточные серверы)

Когда электронная почта проходит через промежуточные серверы (например, службы пересылки или списки рассылки), каждый сервер добавляет заголовок ARC со своей собственной криптографической подписью, содержащей результат аутентификации предыдущей проверки. Таким образом, заголовок включает в себя исходную подпись DKIM с первого шага. Например: 


      ARC-Authentication-Results: i=1; mx.google.com;
      dkim=pass header.i=@example.com header.s=selector1;
      arc=pass (i=0 spf=pass dkim=pass);

Распределение компонентов подписи

Created by EvoPdf Components Meaning i=1 represents the originating server or the sender's server. alb.mailserver.com specifies the mail server that performed the ARC checks. dkim=pass header.i=@example.com header.s=selector1 reports the results of the DKIM (DomainKeys Identified Mail) authentication. It states that the DKIM check has passed and the email's content and headers were not tampered with during transit and that the sender's domain is legitimate (example.com). arc=pass indicates the result of the ARC check ensuring the integrity of the message as it travels through intermediate servers. (i=0 spf=pass dkim=pass) additional information

Шаг 3. Окончательная подпись (последний сервер)

Когда электронное письмо достигает конечного пункта назначения, почтовый сервер получателя проверяет все подписи ARC в цепочке. Он также проверяет подпись DKIM с первого шага, гарантируя, что путь сообщения был законным и что во время передачи не произошло несанкционированных изменений. Если все подписи действительны, электронное письмо доставляется в почтовый ящик получателя.

Внедрение ARC: лучшие практики

Внедряя цепочку полученных с проверкой подлинности, организации могут обеспечить целостность своей электронной почты, даже если сообщения проходят через несколько промежуточных серверов. Он обеспечивает четкую цепочку доверия, повышая безопасность и снижая риск спуфинга и фишинговых атак.

Если вы планируете внедрить ARC для своего почтового домена, вот несколько рекомендаций, которым следует следовать:

  • Настройка SPF и DKIM: Убедитесь, что структура политики отправителей (SPF) и почта, идентифицированная с помощью DomainKeys (DKIM), правильно настроены для вашего домена. ARC основывается на этих существующих механизмах аутентификации.
  • Выберите надежного поставщика услуг электронной почты: Если вы недостаточно хорошо разбираетесь в протоколах аутентификации электронной почты, рассмотрите возможность использования поставщика услуг, поддерживающего ARC. Они могут помочь вам в процессе установки.
  • Мониторинг и тестирование: Настоятельно рекомендуется регулярно отслеживать трафик электронной почты при возникновении любых проблем, связанных с реализацией ARC. Тестирование имеет решающее значение для быстрого выявления и устранения проблем.
  • Обновляйте политики: По мере развития вашей почтовой инфраструктуры обновляйте политики ARC, чтобы отразить эти изменения. Устаревшие политики могут привести к сбоям аутентификации.

Frequently asked questions

Решение распространенных вопросов

Каковы преимущества использования ARC?

  • Улучшенная доставляемость электронной почты: законные электронные письма не могут быть помечены поставщиками как спам, поскольку это обеспечивает четкую цепочку доверия для сообщения.
  • Повышенная безопасность: проверяя обработку сообщений на протяжении всего пути, цепочка полученных с проверкой подлинности снижает риск спуфинга и фишинговых атак.
  • Видимость: вы можете получить представление о том, как сообщения обрабатываются промежуточными серверами, что помогает устранять неполадки и контролировать доставку.

Нужно ли мне внедрять ARC для моего домена?

Внедрение ARC особенно важно для организаций, которые отправляют большие объемы электронной почты и хотят обеспечить безопасную доставку своих сообщений. Если ваш бизнес использует электронную почту для маркетинга, поддержки клиентов или других важных функций, это может помочь защитить репутацию вашего бренда и доверие клиентов.

Есть ли предпосылки для внедрения ARC?

Да, перед реализацией важно правильно настроить SPF и DKIM для вашего домена. ARC опирается на существующие механизмы аутентификации, обеспечивая полную цепочку аутентификации.

Может ли ARC вызвать проблемы с доставкой электронной почты?

Хотя ARC предназначен для повышения безопасности электронной почты, иногда он может приводить к проблемам с доставкой, если он реализован неправильно. Чтобы избежать проблем, крайне важно тщательно настраивать политики и отслеживать трафик электронной почты на наличие проблем.

Смотрите также:

Хотите узнать происхождение ваших писем? Встречайте Анализатор заголовков Emailerize — ваше окно в мир отправителя. Наш продвинутый инструмент расшифровывает заголовки электронных писем, предоставляя ценную информацию об отправителях и их маршрутах.

Ключевые выводы:

  • Идентификация отправителя
  • Маршрутизация сообщений
  • Проверки аутентификации
  • Проверка источника электронной почты

Получите доступ к анализатору заголовков Emailerize сегодня и получите более глубокое представление о своем почтовом ящике.