Authenticated Received Chain

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen

Authenticated Received Chain (ARC) ist ein Verfahren zur Sicherstellung der Authentizität von E-Mails im Internet. ARC wurde von der Internet Engineering Task Force speziell für den Anwendungsfall entwickelt, wenn eine E-Mail einer E-Mail-Weiterleitung unterliegt und dabei potentiell verändert wird. Es ergänzt das verwandte DMARC-Verfahren, was in einem solchen Szenario fehlschlägt. Während DMARC den Mailserver authentifiziert, von dem die E-Mail ursprünglich stammt, authentifiziert ARC eine Kette von Mailservern, über die die E-Mail weitergeleitet wurde.

DMARC setzt voraus, dass eine E-Mail durch eines der beiden Verfahren SPF oder DKIM authentifiziert wird. Dies funktioniert nur in begrenztem Maße, wenn eine E-Mail-Weiterleitung erfolgt, beispielsweise wenn der Mail Transfer Agent die E-Mail an ein anderes E-Mail-Konto umleitet oder wenn die E-Mail über eine Mailingliste verteilt wird. SPF schlägt in solchen Szenarien fehl, weil die IP-Adresse des weiterleitenden Mail Transfer Agents nicht zu den IP-Adressen des Absenders passt. DKIM schlägt fehl, falls die E-Mail bei der Weiterleitung verändert wird. Eine solche Veränderung ist beispielsweise typisch bei Mailinglisten, die einen Präfix in die Betreffzeile einfügen, sowie einen Textbaustein mit Basisinformationen über die Mailingliste an die Nachricht anhängen.

ARC authentifiziert die E-Mail mittels digitalen Signaturen zum Zeitpunkt der Weiterleitung durch einen E-Mail-Anbieter. Es sichert die Integrität der Nachricht vor Veränderung durch einen unbekannten Dritten, nicht jedoch vor Veränderung durch den Anbieter, der die E-Mail weiterleitet und mit ARC signiert. Dabei trifft ARC keine Aussage darüber, ob der Anbieter vertrauenswürdig ist.[1] Demnach muss der Empfänger selbst entscheiden, ob er dem Anbieter vertraut, dass die durchgeführten Änderungen an der E-Mail harmlos waren.

ARC definiert drei neue E-Mail-Header, die zusammen als ARC-Set bezeichnet werden. Jeder weiterleitende Mail Transfer Agent kann als Vermittlungsinstanz ein neues ARC-Set einfügen, wodurch die Header mehrfach vorkommen können und durchnummeriert werden. Die Liste der ARC-Sets wird ARC-Kette genannt und dient der Authentifizierung der E-Mail.[2]

  • ARC-Authentication-Results (AAR): enthält das DMARC-Prüfergebnis, wodurch die Vermittlungsinstanz die Authentizität der E-Mail zum Zeitpunkt der Weiterleitung erfasst. Der Aufbau des Headers ist ähnlich zu Authentication-Results gemäß RFC 8601.[3]
  • ARC-Message-Signature (AMS): enthält eine digitale Signatur der ggf. modifizierten Nachricht und des ARC-Authentication-Results. Der nächste Empfänger in der Kette kann somit verifizieren, ob die E-Mail so ankommt, wie sie von der Vermittlungsinstanz weitergesendet wurde.
  • ARC-Seal (AS): enthält eine digitale Signatur der bisherigen ARC-Header, wodurch ARC-Authentication-Results und ARC-Message-Signature vor einer Manipulation geschützt werden. Des Weiteren ist ein Prüfergebnis der Vermittlungsinstanz enthalten, ob die bisherige ARC-Kette valide ist (Feld cv).[4]

Die Signaturen sind angelehnt an DKIM-Signaturen, sodass bestehende kryptographische Schlüssel und Software-Bibliotheken für Implementierungen von ARC wiederverwendet werden können.[5]

Veröffentlichung

[Bearbeiten | Quelltext bearbeiten]

Im Juli 2019 wurde ARC in der Reihe Request for Comments als RFC 8617[6] veröffentlicht. Das RFC hat experimentellen Status, wodurch es sich noch nicht um einen Internetstandard handelt. Einige namhafte Anbieter wie Gmail oder Microsoft 365 setzen ARC ein.[7]

  • K. Andersen, B. Long, S. Blank, M. Kucherawy: RFC 8617 – The Authenticated Received Chain (ARC) Protocol. Juli 2019 (englisch).

Einzelnachweise

[Bearbeiten | Quelltext bearbeiten]
  1. K. Andersen, B. Long, S. Blank, M. Kucherawy: RFC 8617 – The Authenticated Received Chain (ARC) Protocol. Juli 2019, Abschnitt 9.3 (englisch).
  2. K. Andersen, B. Long, S. Blank, M. Kucherawy: RFC 8617 – The Authenticated Received Chain (ARC) Protocol. Juli 2019, Abschnitt 3 (englisch).
  3. RFC 8601 – Message Header Field for Indicating Message Authentication Status. September 2019 (englisch).
  4. K. Andersen, B. Long, S. Blank, M. Kucherawy: RFC 8617 – The Authenticated Received Chain (ARC) Protocol. Juli 2019, Abschnitt 4.1 (englisch).
  5. dmarc.org (PDF; 1,6 MB) abgerufen am 16. Februar 2023.
  6. K. Andersen, B. Long, S. Blank, M. Kucherawy: RFC 8617 – The Authenticated Received Chain (ARC) Protocol. Juli 2019 (englisch).
  7. arc-spec.org abgerufen am 16. Februar 2023.