Cadena recibida autenticada

Sistema de autenticación de correo electrónico

La cadena de recepción autenticada ( ARC ) es un sistema de autenticación de correo electrónico diseñado para permitir que un servidor de correo intermedio, como una lista de correo o un servicio de reenvío, firme los resultados de autenticación originales de un correo electrónico. Esto permite que un servicio de recepción valide un correo electrónico cuando los registros SPF y DKIM del correo electrónico se vuelven inválidos por el procesamiento de un servidor intermedio. ^[1]

ARC se define en el RFC 8617, publicado en julio de 2019, como "Experimental". ^[2]

Descripción general

DMARC permite que el dominio de un remitente indique que sus correos electrónicos están protegidos por SPF y/o DKIM , y le dice al servicio receptor qué hacer si ninguno de esos métodos de autenticación pasa, como rechazar el mensaje. Sin embargo, una política DMARC estricta puede bloquear correos electrónicos legítimos enviados a través de una lista de correo o un reenvío, ya que la firma DKIM se invalidará si se modifica el mensaje, como al agregar una etiqueta de asunto o pie de página, y la verificación de SPF fallará (si el reenvío no cambió la dirección de rebote ) o se alineará con el dominio de la lista de correo y no con el dominio del autor del mensaje (a menos que la lista de correo reescriba el campo de encabezado From :).

ARC fue ideado para resolver este problema al brindarles a los servidores intermedios una forma de firmar los resultados de validación del mensaje original. Incluso si la validación SPF y DKIM falla, el servicio receptor puede optar por validar la cadena ARC. Si indica que el mensaje original pasó las verificaciones SPF y DKIM, y las únicas modificaciones fueron realizadas por intermediarios en los que confía el servicio receptor, el servicio receptor puede optar por aceptar el correo electrónico. Validar una cadena ARC solo tiene sentido si el receptor confía en los firmantes de ARC. De hecho, una cadena ARC puede ser falsificada, ^[3] por lo que el procesamiento ARC se aplica cuando los receptores confían en la buena fe de los firmantes de ARC, pero no tanto en sus prácticas de filtrado.

Implementación

ARC define tres nuevos encabezados de correo:

• Resultados de autenticación ARC (abreviado AAR ): una combinación de un número de instancia (i) y los resultados de la validación SPF, DKIM y DMARC
• ARC-Seal (abreviado AS ): una combinación de un número de instancia (i), una firma similar a DKIM de los encabezados ARC-Seal anteriores y la validez de las entradas ARC anteriores.
• Firma del mensaje ARC (abreviada como AMS ): una combinación de un número de instancia (i) y una firma similar a DKIM de todo el mensaje, excepto los encabezados ARC-Seal

Para firmar una modificación, un servidor intermedio realiza los siguientes pasos:

• Copia el campo Resultados de autenticación en un nuevo campo AAR (comenzando con i=1) y lo antepone al mensaje.
• Calcula el AMS para el mensaje (con el AAR) y lo antepone al mensaje.
• Calcula el AS para los encabezados Arc-Seal anteriores y lo antepone al mensaje.

Para validar un ARC, el destinatario realiza los siguientes pasos:

• Valida la cadena de encabezados ARC-Seal (no faltan entradas, todos los mensajes ARC-Seal indican que las entradas ARC anteriores son válidas, etc.)
• Valida la firma del mensaje ARC más reciente (según el número de instancia)

Referencias

1. "Descripción general de la cadena recibida autenticada" (PDF) . The Trusted Domain Project. 2016 . Consultado el 28 de octubre de 2020 .
2. RFC  8617 - El protocolo de cadena de recepción autenticada (ARC)
3. John Levine (14 de junio de 2020). "por qué ARC". dmarc-ietf (lista de correo) . Consultado el 13 de octubre de 2021 .

Enlaces externos

• Especificación ARC para correo electrónico