ARC ist da!

ARC? Ist das das DMARC-Licht oder so was? Nein, nicht wirklich. ARC ist ein neues Protokoll, das für “Authenticated Received Chain” steht und entwickelt wurde, um Situationen zu korrigieren, in denen DMARC versagen würde.

Wir werfen zunächst einen Blick auf die Situationen, die mit ARC korrigiert werden können. Danach werden wir einen Blick auf die aktuellen Lösungsvorschläge von ARC und die aktuellen Implementierer von ARC werfen.

In welchen Situationen kann ARC helfen?

Mailinglisten
Wenn Sie Mitglied einer Mailingliste sind, können Sie eine Nachricht an alle Mitglieder dieser Liste senden, indem Sie die Mailingliste selbst ansprechen. Diese Empfängeradresse wird dann Ihre Nachricht an alle Mitglieder der Liste weiterleiten. Die Liste enthält oft zusätzliche Informationen zum Inhalt der Nachricht, z.B. eine Benachrichtigung über die Liste der Mitglieder mit Optionen zum Abbestellen.

Momentan scheitern diese Nachrichten bei der Anwendung von DMARC, was sehr logisch ist, da ihre Mailserver den SPF für diese Nachricht unterbrechen. Da sich der Inhalt der Mail ändert, wird auch die DKIM-Signatur ungültig.

Nachrichten weiterleiten

Wenn Sie ein Konto eingerichtet haben, das Nachrichten an ein anderes Postfach weiterleitet, kann es zu Problemen mit Nachrichten von Absendern kommen, deren DMARC-Richtlinie auf Ablehnung oder Quarantäne eingestellt ist. Dies liegt daran, dass die Weiterleitungsdienste den SPF für diese Nachrichten unterbrechen. Einige Absender ändern auch den Inhalt der E-Mail, indem sie Spam-Filterergebnisse, zusätzliche Haftungsausschlüsse oder Fußzeilen hinzufügen.

Diese Situationen lassen sich als “Indirekte E-Mail-Flows” zusammenfassen. Sie sind Mailflows, bei denen der ursprüngliche Empfänger der Nachricht nicht der endgültige Empfänger ist und als Vermittler fungiert.

Wie kann ARC helfen?

Da die Absender in der oben beschriebenen Situation zunächst E-Mails mit einem DMARC gültigen Setup erhalten haben, wäre es sinnvoll, diese Ergebnisse verschlüsselt an den nächsten Empfänger der Nachrichten weiterzuleiten.

ARC ist als Spezifikation konzipiert, die es erlaubt, den Authentication-Results-Header (der das Ergebnis der Nachrichten beschreibt) an den nächsten ‘hop’ in der Zeile der Nachrichtenzustellung weiterzugeben.

Wenn ein Empfänger die Ergebnisse einer eingehenden Nachricht überprüft und sieht, dass die DMARC-Ergebnisse fehlschlagen, wird er versuchen, die bereitgestellte ARC-Kette zu validieren. Wenn sich dies als gültig erweist, können sie die Authentifizierungsergebnisse des ersten Hops extrahieren.

Basierend auf den Ergebnissen dieser Header können sie die ARC-Informationen verwenden, um die DMARC-Richtlinie zu überschreiben, abhängig von der Reputation der ARC-Vermittler.

Was macht ARC?

Wenn ein Empfänger eine ARC-Kette erfolgreich validieren kann, hat er die folgenden Informationen:

  • Die Authentifizierungsergebnisse aus der Sicht des ersten ARC-Teilnehmers, der die Nachricht bearbeitet. Dies beinhaltet die DMARC / DKIM und SPF Ergebnisse.
  • Die Informationen zur Überprüfung der gesendeten Daten.
  • Die Informationen, um die gesendete Signatur mit ihrem Vermittler zu verknüpfen, um eine Reputation aufzubauen.

Dies würde es Intermediären ermöglichen, der Nachricht Inhalte hinzuzufügen, sofern sie die Nachricht mit einer neuen (und korrekten) DKIM-Signatur weiterleiten.

Darüber hinaus liefert es Daten an Reputationssysteme über die Vermittler, die die Nachrichten bearbeiten.

Was macht ARC nicht?

Die ARC-Ergebnisse sagen zunächst nichts über den Ruf der Intermediäre aus. Anhand der ARC-Ergebnisse ist ein Empfänger in der Lage, Reputationssysteme aufzubauen (oder zu füttern), die letztendlich dabei helfen können. Da die ARC selbst nichts über den Inhalt sagt, sollte dies bei der Bewertung der ARC-Politik berücksichtigt werden.

Die Vermittler können den Inhalt der Nachricht anpassen und somit die zuvor beschriebenen Daten wie Spam-Filterergebnisse, zusätzliche Disclaimer oder Fußzeilen hinzufügen, dies kann aber auch ein schlechter Inhalt sein.

Wie ist der Status?

Die ARC-Spezifikation wurde erstmals 2016 eingeführt. In den folgenden Monaten wurde die Spezifikation verfeinert und hat einige frühe Anwender. AOL validiert und signiert seit einiger Zeit Nachrichten mit ARC und in den letzten Wochen hat Google ARC auch auf seinen Servern eingeführt. Microsoft und Yahoo! haben ARC auf ihrer nahen Roadmap angekündigt.

ARC wird schließlich die Anzahl der ungültigen DMARC-Meldungen verringern. Dies wird auch bei der Einführung von DMARC sehr hilfreich sein.

Verwenden Sie DMARC Analyzer um zu überprüfen, wer E-Mails im Namen Ihrer Domain versendet.