1. Home
  2. Knowledge Base
  3. Authenticated Received Chain

ARC (автентифікований отриманий ланцюг)

ARC, скорочення від Authenticated Received Chain, — це протокол автентифікації, призначений для підвищення безпеки електронної пошти. Його метою є вирішення проблеми надійності доставки повідомлень, особливо коли вони проходять через кілька поштових серверів, перш ніж досягти кінцевого пункту призначення.

ARC у спілкуванні електронною поштою

Автентифікація електронної пошти – це багаторівневий підхід до перевірки автентичності та цілісності повідомлень. ARC є важливим доповненням до екосистеми автентифікації, покращуючи співпрацю між SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) і DMARC (Domain-based Message Authentication, Reporting, and Conformance).

SPF і DKIM забезпечують основні перевірки домену відправника та цілісності даних відповідно. Однак ці два рішення безпеки не є безпомилковими:

  • Перевірки SPF можуть бути невдалими, коли електронні листи пересилаються або ретранслюються через проміжні сервери. Наприклад, неможливість налаштувати записи SPF для субдоменів може призвести до збоїв SPF для електронних листів, надісланих із цих субдоменів, через порушення у вирівнюванні SPF.
  • Підписи DKIM обчислюються на основі вмісту повідомлення. Будь-які зміни в повідомленні, наприклад додавання або видалення вмісту, можуть зробити підпис DKIM недійсним.
  • DMARC додає можливості застосування політики та звітування для подальшого покращення контролю та видимості автентифікації електронної пошти. Отже, якщо повідомлення не відповідає як SPF, так і DKIM, DMARC не вважатиметься підозрілим і буде відхилено.
Layer 1 Intermediary mailing server relays the message from a different IP address unknown for DNS record (e.g. unregistered subdomain) Outcoming message First intermediary server A message sent from IP address: 192.168.0.1 SPF, DKIM and DMARK passed Recipient's mail server verifies the incoming message DKIM fails because content changed So DMARK fails SPF fails because IP address is invalid Intermediary mailing server changes the content by adding a disclaimer: This email was sent to you via the XYZ mailing list Service. For more information, visit www.xyzmailingservice.com. The message is rejected or marked as spam

ARC гарантує, що ці перевірки залишаються дійсними, навіть якщо електронні листи проходять через посередників.

Працюючи разом, ці протоколи створюють надійний захист від спуфінгу, фішингових атак та інших загроз електронної пошти, зрештою покращуючи безпеку та довіру до цифрового спілкування. Правильне впровадження всіх цих протоколів має вирішальне значення для організацій, які прагнуть захистити репутацію свого бренду та підтримувати безпечне спілкування електронною поштою.

arc ARC validates the sources and adds authentication results to the message header Intermediary mailing server relays the message from a different IP address unknown for DNS record (e.g. unregistered subdomain) Outcoming message First intermediary server A message sent from IP address: 192.168.0.1 SPF, DKIM and DMARK passed Recipient's mail server verifies the incoming message DKIM fails because content changed So DMARK fails SPF fails because IP address is invalid The message is delivered ARC validated Intermediary mailing server changes the content by adding a disclaimer: This email was sent to you via the XYZ mailing list Service. For more information, visit www.xyzmailingservice.com.

Розкриття механізму та роботи ARC

Автентифікований отриманий ланцюжок працює шляхом створення криптографічного ланцюга довіри в заголовках електронних листів. Кожен поштовий сервер, який обробляє повідомлення, додає заголовок, що містить цифровий підпис, що дозволяє серверу одержувача перевірити автентичність шляху повідомлення. Цей ланцюг довіри гарантує, що зміни, внесені в електронну пошту під час передачі, можуть бути виявлені та автентифіковані.

Ось етапи реалізації підпису ARC із прикладами:

Крок 1: початковий підпис (перший сервер)

Коли електронний лист надсилається, перший поштовий сервер додає підпис DKIM (DomainKeys Identified Mail) до заголовка повідомлення. Цей підпис DKIM засвідчує автентичність домену відправника. Наприклад: 


      DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=example.com;
      s=selector1; h=from:subject:to; bh=abcdefg1234567=;
      b=XYzABCDeF1234==

Крок 2: підпис ARC (проміжні сервери)

Коли електронний лист проходить через проміжні сервери (наприклад, служби пересилання чи списки розсилки), кожен сервер додає заголовок ARC із власним криптографічним підписом, що містить результат автентифікації попередньої перевірки. Таким чином, заголовок містить оригінальний підпис DKIM з першого кроку. Наприклад: 


      ARC-Authentication-Results: i=1; mx.google.com;
      dkim=pass header.i=@example.com header.s=selector1;
      arc=pass (i=0 spf=pass dkim=pass);

Розбивка компонентів підпису

Created by EvoPdf Components Meaning i=1 represents the originating server or the sender's server. alb.mailserver.com specifies the mail server that performed the ARC checks. dkim=pass header.i=@example.com header.s=selector1 reports the results of the DKIM (DomainKeys Identified Mail) authentication. It states that the DKIM check has passed and the email's content and headers were not tampered with during transit and that the sender's domain is legitimate (example.com). arc=pass indicates the result of the ARC check ensuring the integrity of the message as it travels through intermediate servers. (i=0 spf=pass dkim=pass) additional information

Крок 3: Остаточний підпис (останній сервер)

Коли електронний лист досягає кінцевого адресата, поштовий сервер одержувача перевіряє всі підписи ARC у ланцюжку. Він також перевіряє підпис DKIM з першого кроку, гарантуючи, що шлях повідомлення був законним і що під час передачі не було внесено неавторизованих змін. Якщо всі підписи дійсні, електронний лист доставляється до папки «Вхідні» одержувача.

Впровадження ARC: найкращі практики

Впроваджуючи Authenticated Received Chain, організації можуть забезпечити цілісність своєї електронної пошти, навіть якщо повідомлення проходять через кілька проміжних серверів. Він забезпечує чіткий ланцюжок довіри, підвищуючи безпеку та знижуючи ризик спуфінгу та фішингових атак.

Якщо ви плануєте застосувати ARC для свого домену електронної пошти, ось кілька практичних порад, яких слід дотримуватися:

  • Налаштування SPF і DKIM: Переконайтеся, що інфраструктуру політики відправника (SPF) і DomainKeys Identified Mail (DKIM) правильно налаштовано для вашого домену. ARC базується на цих існуючих механізмах автентифікації.
  • Виберіть надійного постачальника послуг електронної пошти: Якщо ви погано розбираєтеся в протоколах автентифікації електронної пошти, спробуйте скористатися постачальником послуг, який підтримує ARC. Вони допоможуть вам у процесі налаштування.
  • Моніторинг і тестування: наполегливо рекомендується регулярно відстежувати трафік електронної пошти, якщо виникають проблеми, пов’язані з впровадженням ARC. Тестування має вирішальне значення для швидкого виявлення та вирішення проблем.
  • Оновлюйте правила: у міру розвитку інфраструктури електронної пошти оновлюйте правила ARC, щоб відобразити ці зміни. Застарілі політики можуть призвести до помилок автентифікації.

Frequently asked questions

Відповідь на поширені запитання

Які переваги використання ARC?

  • Покращена доставка електронної пошти: законні електронні листи не позначаються постачальниками як спам, оскільки це забезпечує чіткий ланцюжок довіри до повідомлення.
  • Покращена безпека: перевіряючи обробку повідомлень під час їхньої подорожі, Authenticated Received Chain зменшує ризик атак спуфінгу та фішингу.
  • Видимість: ви можете отримати уявлення про те, як повідомлення обробляються проміжними серверами, допомагаючи у вирішенні проблем і моніторингу доставки.

Чи потрібно впроваджувати ARC для свого домену?

Впровадження ARC особливо важливо для організацій, які надсилають велику кількість електронних листів і хочуть забезпечити безпечну доставку своїх повідомлень. Якщо ваш бізнес покладається на спілкування електронною поштою для маркетингу, підтримки клієнтів або інших важливих функцій, це може допомогти захистити репутацію вашого бренду та довіру клієнтів.

Чи є передумови для впровадження АРК?

Так, перед впровадженням важливо правильно налаштувати SPF і DKIM для вашого домену. ARC базується на цих існуючих механізмах автентифікації, щоб забезпечити повний ланцюжок автентифікації.

Чи може ARC викликати проблеми з доставкою електронної пошти?

Незважаючи на те, що ARC розроблено для підвищення безпеки електронної пошти, іноді це може призвести до проблем з доставкою, якщо його не впроваджено належним чином. Щоб уникнути проблем, дуже важливо ретельно налаштувати свої політики та відстежувати трафік електронної пошти на наявність проблем.

Дивись також:

Вам цікаво походження ваших електронних листів? Зустрічайте Emailerize Header Analyzer – ваше вікно у світ відправника. Наш вдосконалений інструмент розшифровує заголовки електронних листів, надаючи цінну інформацію про відправників та їхні маршрути.

Ключові ідеї:

  • Ідентифікація відправника
  • Маршрутизація повідомлень
  • Перевірки автентифікації
  • Перевірка джерела електронної пошти

Отримайте доступ до аналізатора заголовків електронної пошти вже сьогодні та отримайте глибше розуміння своєї папки "Вхідні".