Le protocole ARC (Authenticated Received Chain) est une norme d’authentification des e-mails créée pour maintenir la vérification de l’authenticité d’un message sur plusieurs relais ou transferts tout au long de la transmission d’emails. Elle a été créée pour offrir un protocole de sécurité en complément des situations où les protocoles SPF, DKIM et DMARC pouvaient autoriser le passage dans leurs environnements spécifiés, mais échouer dans les environnements avec des e-mails renvoyés, comme lors de l’utilisation de listes de diffusion ou de services de messagerie tiers. 

À quoi sert le protocole ARC ? 

Le protocole ARC est utilisé pour renforcer la sécurité des courriels en permettant de conserver les informations d’authentification tout au long de la chaîne de transmission pour faciliter le filtrage des messages. Ses principales fonctions sont de :  

  1. Conserver l’authentification d’origine : lorsqu’un email est retransmis (par exemple via des listes de diffusion ou des services de transfert), les informations d’authentification (comme celles de SPF, DKIM ou DMARC) peuvent être modifiées ou perdues. ARC permet de préserver ces données et facilite le filtrage des messages. 
  2. Maintenir la confiance : les serveurs intermédiaires peuvent ajouter des en-têtes ARC pour indiquer que l’email a été vérifié et que les résultats d’authentification restent valides. 
  3. Améliorer la délivrabilité : en garantissant que les messages authentifiés restent conformes même après avoir traversé plusieurs serveurs, ARC réduit les risques que ces messages soient marqués comme spam ou rejetés. 

Pourquoi le protocole ARC a-t-il été introduit ?  

L’ARC a été introduit pour combler une lacune critique dans l’authentification des e-mails lorsqu’ils étaient transmis ou modifiés par des intermédiaires, tels que des listes de diffusion, des services de transfert automatique ou des passerelles de messagerie. Avant l’ARC, dans les cas où les signatures des messages étaient rompues lors du relais, invalidant les signatures ou échouant à la vérification en transit, les protocoles SPF, DKIM et DMARC pouvaient être rompus. Cela entraînait souvent le rejet ou la classification erronée des messages légitimes comme spam et pouvaient entrainer une détérioration de la réputation d’expéditeur. L’ARC a été développé pour préserver la “trust chain” de réception d’authentification d’origine, permettant aux serveurs intermédiaires d’ajouter une preuve supplémentaire que les résultats d’authentification d’origine étaient corrects. En informant les destinataires des e-mails de ces informations, le protocole ARC contribue à atténuer les faux positifs, réduit les risques de domaine spoofing en augmentant ainsi la probabilité de réussite de la livraison d’e-mails légitimes même dans les infrastructures les plus complexes.

Quels sont les avantages de l’ARC par rapport à SPF, DKIM et DMARC ? 

Le protocole ARC possède plusieurs avantages par rapport à ces protocoles :

Conservation des résultats d’authentification à travers les intermédiaires

  • Problème : ces protocoles fonctionnent bien pour vérifier l’authenticité d’un email lors de sa réception initiale, mais ils peuvent échouer si l’email est retransmis ou modifié (par exemple, par une liste de diffusion ou un service de transfert). Les modifications des en-têtes ou du contenu peuvent invalider les signatures DKIM ou entraîner un échec des vérifications SPF. 
  • Avantage : ARC conserve les résultats d’authentification initiaux (même dans les flux de messagerie indirect) tout au long de la chaîne de transmission, même si des modifications sont apportées. Cela permet aux serveurs de réception de prendre en compte ces résultats et de juger si l’email est légitime, malgré les changements. 
À lire aussi :  Souveraineté et cybersécurité, faut-il choisir entre performance et made in France ?

  Réduction des faux positifs

  • Problème : les messages retransmis peuvent être marqués à tort comme spam ou rejetés si les signatures ou les enregistrements ne correspondent plus. 
  • Avantage : en permettant aux serveurs intermédiaires de valider et de transmettre les résultats d’authentification, ARC aide à éviter les rejets de messages légitimes en garantissant la message intégrity, même s’ils ne passent plus les contrôles SPF ou DKIM après retransmission. 

  Amélioration de la délivrabilité des emails légitimes

  • Problème : les emails provenant de listes de diffusion ou de services de transfert risquent d’être bloqués, ce qui nuit à la délivrabilité des messages légitimes. 
  • Avantage : en assurant une chaîne d’authentification fiable, ARC permet aux messages légitimes de mieux atteindre leur destination, même après des retransmissions. Il est particulièrement utile dans des cas de email relay ou email forwarding. 

  Facilitation de la prise de décision pour les serveurs de réception

  • Problème : les serveurs de réception peuvent manquer d’informations pour déterminer si un message modifié est légitime. 
  • Avantage : en fournissant une chaîne complète des résultats d’authentification tout au long du parcours du message, ARC donne aux serveurs de réception des éléments supplémentaires pour prendre des décisions éclairées. 

Comment ARC interagit-il avec les autres protocoles d’authentification ?  

Décrit dans la norme RFC 8617, le protocole ARC fonctionne en complément de SPF, DKIM et DMARC, en préservant l’écosystème d’authentification tout au long de la chaîne de transmission, même lorsque les emails sont retransmis ou modifiés. Avec SPF, qui vérifie que l’adresse IP de l’expéditeur est autorisée à envoyer des emails pour un domaine, ARC intervient en conservant les résultats SPF initiaux dans ses en-têtes, permettant ainsi aux serveurs de réception de se fier à ces résultats même si une retransmission entraîne un échec SPF. De même, pour DKIM, qui garantit l’intégrité du contenu de l’email grâce à une signature numérique, ARC sauvegarde les résultats DKIM initiaux, ce qui permet de prouver qu’un message était authentique avant toute modification par des intermédiaires, même si la signature DKIM devient invalide par la suite. Avec DMARC, qui utilise les résultats de SPF et DKIM pour appliquer des politiques de rejet ou de mise en quarantaine, ARC permet de contourner les rejets liés à des échecs en préservant les preuves d’authenticité initiales. En enregistrant les résultats d’authentification à chaque étape via des en-têtes spécifiques (ARC-Authentication-Results (message header), ARC-Message-Signature, et ARC-Seal), ARC offre un mécanisme fiable pour valider la légitimité des emails, même dans des contextes où les protocoles traditionnels échouent en utilisant une digitale signature pour protéger les en-têtes et garantir leur intégrité tout au long de la chaîne. 

Comment fonctionne le protocole ARC ?  

ARC agit comme une couche supplémentaire au sein du mail transport et de l’infrastructure des emails, préservant les résultats d’authentification à chaque étape. Ces en-têtes documentent les résultats d’authentification des messages. 

Quels sont les en-têtes spécifiques ajoutés par ARC ? 

ARC introduit trois en-têtes principaux : 

  • ARC-Authentication-Results (AAR) : contient les résultats d’authentification (SPF, DKIM, DMARC) pour chaque étape. 
  • ARC-Message-Signature (AMS) : signe le contenu du message. 
  • ARC-Seal (AS) : signe l’ensemble des en-têtes ARC pour préserver l’intégrité de la chaîne.  

Comment l’ARC préserve-t-il l’authentification des emails lors des renvois ?  

L’ARC préserve l’authentification des emails lors des renvois en enregistrant et en transmettant les résultats d’authentification initiaux tout au long de la chaîne de transmission. Lorsqu’un email est renvoyé ou retransmis par un intermédiaire, comme une liste de diffusion ou un service de transfert, des modifications peuvent être apportées au message, ce qui risque d’invalider les mécanismes d’authentification. SPF peut échouer si l’adresse IP de l’intermédiaire n’est pas incluse dans l’enregistrement SPF de l’expéditeur, et DKIM peut devenir invalide si le contenu ou les en-têtes de l’email sont modifiés. Ces échecs entraînent souvent le rejet des messages ou leur classement en spam par les serveurs de réception, selon les politiques DMARC. 

À lire aussi :  Témoignage : le Groupe MG sensibilise ses collaborateurs avec Cyber Coach

Pour éviter ces problèmes, ARC ajoute trois types d’en-têtes : ARC-Authentication-Results, qui contient les résultats d’authentification initiaux tels qu’ils ont été vérifiés par chaque serveur intermédiaire ; ARC-Message-Signature, qui garantit l’intégrité des en-têtes et des résultats d’authentification précédents ; et ARC-Seal, qui scelle les en-têtes ARC pour assurer leur validité à chaque étape. Chaque serveur intermédiaire ajoute ses propres en-têtes ARC, créant ainsi une chaîne d’authentification vérifiable. Les serveurs de réception peuvent examiner cette chaîne pour valider l’email, même si les vérifications actuelles de SPF ou DKIM échouent. En conservant l’historique des authentifications, ARC permet aux serveurs de réception de prendre des décisions éclairées sur la légitimité des emails retransmis, tout en améliorant leur délivrabilité. 

Quels problèmes le protocole ARC résout il ? 

Le protocole résout plusieurs problèmes tels que :  

Problèmes de délivrabilité des emails 

Le protocole ARC résout les problèmes de “delivery issue” liés aux mécanismes d’authentification des emails. Lorsque les messages sont retransmis ou modifiés par des intermédiaires tels que des listes de diffusion, des services de transfert ou des passerelles de messagerie, les contrôles d’authentification traditionnels peuvent échouer. Cela entraîne souvent un rejet ou un classement en spam de messages légitimes. ARC préserve les résultats d’authentification initiaux tout au long de la chaîne de transmission, permettant aux serveurs de réception de reconnaître les messages comme légitimes, même après des modifications. Cela améliore la délivrabilité des emails, notamment dans des environnements complexes où les protocoles classiques échouent. (il est utile pour les email list management)

Lutte contre le phishing et les attaques par email 

ARC joue également un rôle crucial dans la lutte contre le phishing, l’usurpation d’identité et les attaques par email en renforçant la confiance dans les mécanismes d’authentification. Les attaquants exploitent souvent les vulnérabilités des retransmissions pour faire passer des messages frauduleux pour légitimes. En préservant la chaîne d’authentification, ARC permet aux serveurs de réception d’analyser l’historique des validations, même si des intermédiaires sont impliqués. Cela réduit le risque de voir des emails malveillants contourner les contrôles de sécurité en se faisant passer pour des messages authentiques, contribuant ainsi à protéger les utilisateurs contre les tentatives de phishing et d’autres attaques basées sur l’email. 

Quels sont les avantages du protocole ARC ? 

Voici les plus gros avantages du protocole : 

Meilleure délivrabilité des emails 

Le protocole ARC améliore la délivrabilité des emails, en particulier dans des environnements où les messages sont retransmis ou modifiés par des intermédiaires tels que des listes de diffusion ou des services de transfert automatique. Les mécanismes d’authentification traditionnels peuvent échouer après ces modifications, ce qui entraîne le rejet ou la mise en quarantaine de messages légitimes. En préservant et en transmettant les résultats d’authentification initiaux tout au long de la chaîne de transmission, ARC permet aux serveurs de réception de valider les emails en se basant sur leur légitimité d’origine, même si des changements ont eu lieu. Cela garantit que les messages légitimes atteignent leur destination finale sans être bloqués. 

À lire aussi :  Qu’est-ce que le vishing ?

Réduction des faux positifs 

ARC contribue également à réduire les faux positifs, c’est-à-dire les cas où des emails légitimes sont incorrectement identifiés comme indésirables ou frauduleux. Les mécanismes d’authentification traditionnels peuvent marquer à tort des messages retransmis comme non conformes aux politiques DMARC, entraînant leur rejet ou leur classement en spam. En conservant un historique des résultats d’authentification valides, ARC fournit aux serveurs de réception des preuves supplémentaires de la légitimité des emails, même si les vérifications SPF ou DKIM échouent après retransmission. Cela permet de prendre des décisions plus précises et de garantir que les messages légitimes ne sont pas bloqués à tort. 

Dans quels cas utiliser le protocole ARC ?  

Il est possible d’utiliser le protocole dans les cas suivants :  

Utilisation d’ARC pour les services cloud 

Le protocole ARC est particulièrement utile pour les services cloud qui gèrent la messagerie pour le compte de leurs clients. Ces services, comme les fournisseurs de messagerie professionnelle ou les plateformes de collaboration, transmettent souvent des emails au nom de leurs utilisateurs. Dans ce processus, les enregistrements SPF ou les signatures DKIM peuvent ne pas correspondre aux attentes des serveurs de réception, entraînant des échecs d’authentification. ARC permet à ces services cloud de préserver les résultats d’authentification d’origine et de les transmettre aux serveurs finaux, garantissant une protection des domaines et une couverture des emails afin qu’ils ne soient pas rejetés ou marqués comme spam, même après un traitement dans le cloud. 

ARC et les systèmes tiers de relayage d’emails  

ARC est également essentiel pour les systèmes tiers qui relayent des emails, tels que les listes de diffusion, les services de transfert automatique ou les solutions de sécurité email qui inspectent et réacheminent les messages. Ces systèmes modifient généralement les emails en ajoutant des en-têtes ou en changeant le contenu, ce qui peut invalider les signatures DKIM ou entraîner des échecs SPF. En utilisant ARC, ces systèmes peuvent ajouter des en-têtes qui attestent de la validité des résultats d’authentification initiaux. Les serveurs de réception peuvent ainsi vérifier la légitimité des emails malgré les modifications, assurant une meilleure délivrabilité tout en maintenant un haut niveau de sécurité. 

Quels serveurs de messagerie supportent le protocole ARC ?  

De nombreux serveurs de messagerie modernes prennent désormais en charge le protocole ARC pour résoudre les problèmes d’authentification dans des environnements complexes. Parmi ceux-ci, on trouve :

  • Google Gmail 
  • Microsoft Outlook/Exchange Online 
  • Yahoo Mail 
  • Postfix (avec des extensions) 
  • Exim (avec configuration supplémentaire) 

Ces plateformes utilisent ARC pour améliorer l’authentification dans des scénarios de messagerie complexes. 

De plus, U-Cyber ​​360° peut être un élément central d’une sécurité optimale des e-mails, même dans ce contexte complexe. Des outils de filtrage avancés, qui facilitent en quelque sorte la gestion des règles d’authentification, aident les entreprises à éloigner toutes les menaces et à assurer la fiabilité et la sécurité de toutes leurs communications.

Articles similaires

Cybersécurité
30.12.2020

Les impacts d'une cyberattaque

Cybersécurité
29.04.2020

Comment se prémunir d'une cyberattaque ?